Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Jnic2015 PDF
Jnic2015 PDF
c
Universidad de Leon
Area de Publicaciones
c
RIASC, Universidad de Leon INCIBE
ISBN: 978-84-9773-742-5
JNIC2015
Prefacio
Las Jornadas Nacionales de Investigacion en Ciberseguridad nacen este ano 2015 en el seno de los
grupos de trabajo fomentados por el Instituto Nacional de Ciberseguridad INCIBE que es tambien
co-organizador del evento junto con el Instituto de Ciencias Aplicadas a la Ciberseguridad (Research
Institute of Applied Sciences in Cybersecurity, RIASC) de la Universidad de Leon.
Se ha hecho un gran esfuerzo por parte de todos los integrantes de los grupos de trabajo para
que la primera edicion tenga lugar este mismo ano. Tambien nacen con vocacion de continuidad y
con el objetivo claro de fomentar un lugar de encuentro estable en Espana para los investigadores en
ciberseguridad.
Finalmente se tiene un completo programa con diez sesiones que abarcan los siguientes temas:
Las sesiones de las Jornadas se celebran en la Real Colegiata de San Isidoro, en Leon, los das 14, 15
y 16 de septiembre. Esperamos sinceramente que estos das sean productivos para todos los asistentes.
i
JNIC2015
Comite ejecutivo
ii
JNIC2015
Comite organizador
General Chair
Javier Alonso Universidad de Leon
Program Chairs
Migue V. Carriegos Universidad de Leon
Ramon Angel Fernandez Daz Universidad de Leon
Financial Chair
Adriana Suarez Corona Universidad de Leon
Workshop Chair
Pedro Garca-Teodoro Universidad de Granada
Publication Chairs
Juan Felipe Garca Sierra Universidad de Leon
Jorge Lorenzana Tamargo Universidad de Leon
Publicity Chairs
Paolo Casari IMDEA Networks Institute
Igor Santos DeustoTech, Universidad de Deusto
Web Master
Sara Isabel Gonzalez Universidad de Leon
Jorge Lorenzana Tamargo Universidad de Leon
iii
JNIC2015
Comite de programa
iv
JNIC2015
v
JNIC2015
Revisores adicionales
Carles Angles
Vicenc Creus
Eduardo Fidalgo Fernandez
Francisco Martn-Fernandez
Jose Luis Montero
Ana Nieto
vi
JNIC2015
Contenidos
vii
JNIC2015
viii
JNIC2015
ix
JNIC2015
x
JNIC2015
xi
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
1
Resumen La mayor parte de los modelos matematicos malware. Estos nos proporcionaran herramientas muy uti-
desarrollados para estudiar y simular la propagacion del les a la hora no solo de entender el comportamiento del
malware son modelos globales; es decir, no tienen en cuen-
ta las caractersticas individuales de los dispositivos que malware en su propagacion, sino tambien en la simula-
forman parte del medioambiente en el que se produce la cion de posibles medidas de control (que ayuden a tomar
infeccion. En los nuevos escenarios que se plantean (Inter- decisiones para contener la epidemia).
net de las Cosas, SmartCities, etc.), en los que la conectividad
global es poco menos que un axioma, estos modelos presen- En la literatura cientfica se pueden encontrar muchos
tan serias deficiencias. El objetivo de este trabajo es poner modelos propuestos cuya finalidad es tratar de simular la
de manifiesto de manera justificada dichas deficiencias y propagacion de malware, ya sea sobre redes de ordenado-
proponer los modelos individuales como alternativa.
res o sobre redes de dispositivos moviles (vease, por ejem-
plo [4], [5], [6]). La inmensa mayora de los mismos son
I. Introduccion modelos deterministas basados en sistemas de ecuaciones
diferenciales ordinarias ([7], [8]). Se trata de modelos pura-
El gran desarrollo cientfico y tecnologico de los ultimos
mente teoricos de manera que, en casi todos los casos, su
anos ha dado lugar a nuevos paradigmas como la Internet
objetivo es el estudio cualitativo del sistema de ecuaciones
de las Cosas, el BYOD, las SmartCities, la telemedicina,
diferenciales que rige la dinamica. Debido a su naturaleza
los medios de transporte inteligentes, las viviendas inteli-
presentan tres importantes inconvenientes [9]:
gentes, etc. Estos conceptos estan aun dando sus primeros
pasos y, aunque actualmente su nivel de implantacion no (1) No tienen en cuenta las interacciones locales entre los
es muy alto, seran los pilares sobre los que se cimente nues- distintos dispositivos de la red.
tra futura sociedad. En este sentido, no parece arriesgado (2) Suponen que los dispositivos se encuentran ho-
decir que en ella la conectividad sera global, de manera mogeneamente conectados y distribuidos.
que la mayor parte de los aspectos de nuestra vida los (3) No tienen en cuenta las caractersticas individuales de
podremos controlar de manera remota. cada uno de los dispositivos.
Los instrumentos tecnologicos gracias a los cuales este En el nuevo escenario que se vislumbra (y que se pu-
nuevo escenario sera una realidad no son solo las compu- so de manifiesto al principio de esta seccion), es necesario
tadoras sino tambien los dispositivos moviles (tabletas, tener en cuenta todos estos condicionantes ya que exis-
telefonos inteligentes,...), los dispositivos wereables, los ten multiples tipos de dispositivos conectados, cada uno
electrodomesticos inteligentes, etc. de ellos con unos roles y caractersticas muy especficas
Desafortunadamente este idlico paraso tecnologico no que deben ser tenidas en cuenta a la hora de disenar un
se encuentra exento de amenazas. Sin duda, la mas impor- modelo epidemiologico eficiente. Ello se puede conseguir si
tante es la debida a la accion del codigo malicioso (tam- se utiliza un paradigma diferente: el de los modelos indi-
bien conocido como malware, su acronimo en Ingles). viduales. En ellos, se considera un conjunto de entidades
Los costes que ocasiona tanto economicos como sociales e individuales que representaran a los actores involucrados
incluso polticos son cuantiosos, con lo que la lucha contra en el fenomeno de la propagacion del malware, se definen
el mismo supone uno de los grandes retos de la Ciberse- sus relaciones y especificaciones en relacion al codigo ma-
guridad. licioso, y se construyen las reglas de transicion entre los
Esta lucha se lleva a cabo en diferentes frentes: des- distintos estados. Los resultados que se obtienen muestran
de la concienciacion del usuario para que adopte medidas tanto la evolucion individual de cada uno de los dispositi-
de seguridad oportunas hasta la adopcion e implantacion vos como la evolucion global del sistema.
de polticas de seguridad adecuadas en los distintos or- El objetivo de este trabajo es poner de manifiesto la
ganismos y companas, pasando por el desarrollo de soft- necesidad de la busqueda de nuevos modelos para hacer
ware antivirus por parte de las empresas especializadas. frente a los nuevos escenarios planteados. Para ello se pro-
Ademas la comunidad cientfica ha prestado especial aten- pondra y estudiara un modelo determinista basado en un
cion al diseno de metodos y algoritmos para detectar la sistema de ecuaciones diferenciales ordinarias, y posterior-
presencia de malware en los distintos dispositivos ([1], [2], mente se introducira el correspondiente modelo individual.
[3]). Aunque esta es una lnea de actuacion fundamen- El resto del trabajo se organiza como sigue: en la seccion
tal, hemos de considerar tambien como actuacion comple- 2 se hace una breve introduccion a los modelos individua-
mentaria el desarrollo de modelos matematicos que nos les; el modelo determinista y su contrapartida individual
permitan simular el comportamiento de una epidemia de se introducen y estudian en la seccion 3, y finalmente las
1
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
2
2
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
3
3
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
4
&""
4
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
5
-'./0(.&'/)
decir, supondremos que hasta un cierto instante de tiem-
#"""
po, Tprof [i], no se habran implementado dichas medidas
,""
!"#$%&'()*%#
en el dispositivo, y a partir de dicho instante de tiempo
+"" +,-'./,-%#
s se instalaran. Si 0 1 es la probabilidad de exito
012%$$(,#,#
que tiene la vacunacion, entonces se verifica que:
*""
3%$"&%-./,#
1, con probabilidad si t Tprof [i]
$"" v[i, t] = (17)
0, en otro caso
%&'()
!" #"" #!" $""
El coeficiente de perdida de inmunidad [i]: nos
Fig. 3. Evolucion de los distintos compartimentos cuando R0 > 1. indica si el agente i-esimo pierde la inmunidad que le han
conferido las medidas profilacticas o no. Dependera del pe-
riodo de inmunidad, Tinm [i] del dispositivo. De esta ma-
B. El modelo individual basado en agentes nera se tendra que:
En lo que sigue vamos a esbozar las principales carac-
1, si t Tinm [i]
tersticas del modelo individual que se propone como con- [i] = (18)
0, en otro caso
trapartida al modelo global presentado en la seccion III.A.
En este sentido se tratara de un MBA de manera que los El coeficiente de recuperacion b[i, t]: al igual que en
agentes representaran los distintos dispositivos que se en- el caso global, la recuperacion de un dispositivo (agente)
cuentran en la red. infectado depende de dos factores: la deteccion del codi-
go malicioso y la eliminacion con exito del mismo (una
B.1 Caractersticas de los agentes
vez detectado). As supongamos que d[i, t] es la probabi-
Sea est[i, t] el estado del agente i-esimo en el instante lidad de detectar el malware en el agente i-esimo en cada
de tiempo t de manera que dicho estado podra ser sus- instante de tiempo t (observese que depende del tiempo
ceptible (est[i, t] = S), portador (est[i, t] = P ), infeccio- puesto que en el influye si hay implementados metodos de
so (est[i, t] = I) o recuperado (est[i, t] = R). Se verifi- deteccion en el dispositivo en el instante de tiempo consi-
cara pues que S (t) es el numero de dispositivos que se derado y de su eficacia); y e[i] es la probabilidad de que
encuentran en estado susceptible en el instante de tiempo sea eliminado con exito, se tendra que:
t, y as sucesivamente.
Las especificaciones individuales que caracterizan cada 1, con probabilidad d[i, t] e[i]
b[i, t] = (19)
agente son las siguientes: 0, con probabilidad 1 d[i, t] e[i]
El coeficiente de transmision a[i, t]: este parametro
depende no solo del agente sobre el que se este calculan- El coeficiente de sistema operativo [i]: sera de
do sino tambien del tiempo, ya que supondremos que la naturaleza booleana de tal manera que nos indica si el
topologa los contactos de un dispositivo (que se mide.en sistema operativo del agente i-esimo es el mismo que el
terminos de un grafo de conexiones) se va modificando con objeto de ataque por el malware o no. As:
el tiempo. As, si vec[i, t] es la vecindad del agente i-esimo
1, si posee el mismo S.O. que el atacado
en el instante de tiempo t, [i, j, t] representa el numero [i] =
0, en otro caso
de contactos efectivos entre el agente i-esimo y el agente
(20)
j-esimo durante el instante de tiempo t y q[i, j] es la pro-
El coeficiente de dispositivo [i]: al igual que el
babilidad de que un contacto efectivo entre ambos agentes
caso anterior sera de naturaleza booleana de tal manera
acabe en contagio, entonces podemos definir la siguiente
que nos indica si el tipo de dispositivo que define al agente
variable booleana:
i-esimo es el mismo que el atacado por el malware o no.
1, con probabilidad [i, j, t] q[i, j] En nuestro caso, y para no complicar en exceso el modelo,
podemos suponer que el malware puede atacar o bien a
si j vec[i, t]
a[i, j, t] = 0, con probabilidad 1 [i, j, t] q[i, j] computadoras o bien a dispositivos moviles (tabletas y
telefonos inteligentes). As:
si j vec[i, t]
0, 0 si j / vec[i, t]
(15) 1, si el tipo de dispositivo al que pertence
Consecuentemente se verificara que: [i] = el agente i es el atacado por el malware
0, en otro caso
_
a[i, t] = a[i, j, t]. (16) (21)
jvec[i,t] Observese que un factor clave en el modelo individual es
la correcta determinacion de los parametros involucrados
El coeficiente de vacunacion v[i, t]: este coeficiente en el mismo. Se consideran coeficientes, periodos tempo-
nos indica si el agente i-esimo tiene implementadas medi- rales y probabilidades particulares en cada dispositivo, los
das profilacticas en el instante de tiempo t que le hagan cuales dependeran del tipo y del rol que jueguen dentro
inmune a la accion del malware (y por lo tanto, que pase del proceso infeccioso y de las caractersticas particulares
a ser recuperado). Este parametro depende del tiempo, es del malware.
5
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
6
B.2 Las reglas de transicion En este sentido existen diferentes tipos de dispositivos
Las reglas de transicion entre los diferentes estados en (computadoras, dispositivos moviles, dispositivos werea-
los que se puede encontrar un agente se pueden resumir bles, etc.) que tienen distintos usos y finalidades y dife-
de la siguiente manera: rentes especificaciones y roles en relacion con el malwa-
Transicion de susceptible a portador: El agente i-esimo re. Consecuentemente es necesario disenar modelos ma-
que es susceptible en el instante de tiempo t, pasa a ser tematicos que tengan en cuenta estas caractersticas.
portador en el instante de tiempo t + 1 cuando Desafortunadamente lo anterior no es posible si segui-
mos considerando modelos cuya dinamica venga regida
a[i, t] = 1 AND [i] = 0. (22) por sistemas de ecuaciones diferenciales. Como alternativa
eficaz y eficiente podemos considerar los modelos basados
Transicion de susceptible a infeccioso: El agente i-esimo en agentes. Es una metodologa relativamente novedosa y
que es susceptible en el instante de tiempo t, pasa a ser que ya se ha aplicado con exito a la simulacion de otro
infeccioso en el instante de tiempo t + 1 cuando tipo de fenomenos.
Las simulaciones (individuales y globales) que se obtie-
a[i, t] = 1 AND [i] = 1. (23) nen a partir de estos modelos son mas realistas que las
obtenidas a partir de los modelos globales ya que tienen
Transicion de susceptible a recuperado: El agente i-esi- en cuenta las caractersticas individuales de los diferentes
mo que es susceptible en el instante de tiempo t, pasa a dispositivos y sus interacciones locales.
ser recuperado en el instante de tiempo t + 1 cuando Estos modelos presentan dos desventajas fundamenta-
les, a saber: (1) es necesario tener una eficaz monitoriza-
a[i, t] = 0 AND v[i, t] = 1. (24) cion del sistema para determinar de manera correcta los
distintos parametros que intervienen en el modelo, y (2)
Transicion de portador o infeccioso a recuperado: El
tienen un coste computacional mas elevado que el de los
agente i-esimo que es portador o infeccioso en el instante
modelos basados en ecuaciones diferenciales.
de tiempo t, pasa a estar recuperado en el instante de
tiempo t + 1 cuando b[i, t] = 1. Agradecimientos
Transicion de recuperado a susceptible: El agente i-esi-
mo, recuperado en el instante de tiempo t, pasa a ser sus- Este trabajo ha sido parcialmente subvencionado por
ceptible en el instante de tiempo t + 1 cuando [i] = 1. el Ministerio de Economa y Competitividad (Espana) y
En la Figura 4 se presenta la evolucion global de dos de por los fondos europeos FEDER con el proyecto TIN2014-
los distintos compartimentos del modelo basado en agen- 55325-C2-2-R.
tes: el numero total de susceptibles y de infectados. La
simulacion se realiza sobre 10,000 dispositivos y en la fi- Referencias
gura solo se visualizan las primeras 48 horas del proceso [1] Y. Ding, X. Yuan, K. Tang, X. Xiao, Y. Zhang, A fast malwa-
re detection algorithm based on objective-oriented association
infeccioso. Los valores de los parametros utilizados han si- mining, Comput. Secur., vol. 39, pp. 315324, 2013.
do aleatorios y similares a los de la simulacion de la Figura [2] P. Wang, Y.-S. Wang, Malware behavioural detection and vac-
3. cine development by using a support vector model, J. Comput.
Syst. Sci., vol. 81, no. 6, pp. 1012-1026, 2015.
./+0(+/1/2(+
[3] C. C. Zou, W. Gong, D. Towsley, L. Gao, The Monitoring and
Early Detection of Internet Worms, IEEE ACM T. Network.,
-"""
vol. 13, no. 5, pp. 961-974, 2005.
[4] A. Dadlani, M.S. Kumar, K. Kim, K. Sohraby, Stability and
Immunization Analysis of a Malware Spread Model Over Scale-
,"""
Free Networks, IEEE Commun. Lett., vol. 18, no. 11, pp. 1907-
1910, 2014.
!"#$%&'()*%#
[5] S. Wen, W. Zhou, J. Zhang, Y. Xiang, W.L. Zhou, W.J. Jia, et
%"""
+,-%$'./0#
al, Modeling and Analysis on the Propagation Dynamics of Mo-
dern Email Malware, IEEE Trans. Dependable Secur. Comput.,
#"""
vol. 11, no. 4, pp. 361-374, 2014.
[6] C. C. Zou, W. Gong, D. Towsley, Code Red Worm Propagation
'()*+
Modeling and Analysis, Proc. 9th ACM Conference on Com-
!" #" $" %" &" puter and Communication Security (CCS02), p.138-147, Nov.
18-22, Washington DC, USA, 2002.
Fig. 4.Evolucion global de susceptibles e infectados en el modelo [7] S. Peng, Y. Shui, A. Yang, Smarphone Malware and Its Propa-
individual. gation Modeling: A survey, IEEE Commun. Surv. Tutor., vol.
16, no. 2, pp. 925-941, 2014.
[8] L.X. Yang, X. Yang, The impact of nonlinear infection rate on
the spread of computer virus, Nonlinear Dyn., 2015, to appear,
doi: 10.1007/s11071-015-2140-z
IV. Conclusiones [9] Martn del Rey, A., Mathematical modeling of the propagation
En este trabajo se ha puesto de manifiesto que el para- of malware: a review, Secur. Commun. Netw., 2015, to appear,
doi: 10.1002/sec.1186.
digma en el que se basan la mayor parte de los modelos [10] T.T. Allen, Introduction to Discrete Event Simulation and
matematicos propuestos hasta la fecha para simular la pro- Agent-based Modeling. London: Springer-Verlag, 2011.
pagacion de malware, debe cambiar para hacer frente al [11] S. Wolfram, A New Kind of Science. Champaign, IL: Wolfram
Media, 2002.
nuevo escenario de conectividad total al que se aproxima [12] S.F. Railsback, V. Grimm, Agent-Based and Individual-Based
nuestra sociedad. Modeling. Princeton, NJ: Princeton University Press, 2012.
6
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
7
7
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
1
Resumen Esta trabajo propone un modelo de datos y toda la informacion del trafico de la red que se genera
la aplicacion de Sistemas Inmunes Artificiales para el de- en el ambiente que se encuentra funcionando, es decir,
sarrollo e implementacion de un Sistema de Deteccion de
Intrusos, que permita identificar actividades anomalas e in- recolecta la informacion de red interna como informacion
trusivas dentro de un sistema de informacion de gobierno. de red externa (conexiones entrantes y salientes).
El IDS propuesto utiliza un conjuntos de datos del compor-
tamiento de los usuarios que han ejecutado multiples tareas
Con los tipos anteriores de recoleccion de datos per-
en un perodo considerable de tiempo dentro del sistema miten una variedad de IDS como la deteccion de usos in-
real. Las contribuciones especficas son: modelo de datos, debidos (misuse detection) la cual compara la informacion
la identificacion de un perfil de usuario y la aplicacion de al- recogida con descripciones (o firmas) de ataques conoci-
goritmos de seleccion negativa y de busqueda de secuencias
de forma local como KPM para identificar tareas intrusivas dos. Por otra parte, la deteccion de anomalas (anomaly
de forma eficiente. Los resultados son optimos y con una detection) utiliza los datos historicos sobre la ejecucion
tasa de falsas alarmas bajo. de tareas o actividades en el sistema y detalla el compor-
Palabras Clave: Sistema inmune artificial, Sistema tamiento deseado de usuarios como de las aplicaciones,
de Deteccion de Intrusos, comportamiento de usuario, Se- para construir un perfil que representa la operacion nor-
leccion negativa mal del sistema monitorizado, e identifica patrones de ac-
tividades que se desvan del perfil definido.
I. Introduccion Ademas existen una variedad de tecnicas , metodologas
En la actualidad la seguridad de la informacion es un y algoritmos para el desarrollo de un IDS. El area mas
area muy importante para cualquier persona o institucion utilizada para los IDS es la aplicacion de Inteligencia Ar-
alrededor del mundo, ya que los datos se han convertido en tificial con las tecnicas de Machine Learning y Minera
el activo mas importante el cual debe ser salvaguardado de Datos (Data Mining). En esta area se han real-
de una manera eficiente y adecuada. La gran mayora izado multiples investigaciones y artculos, obteniendo
de los datos deben mantenerse seguros de cualquier in- grandes avances de sobre la aplicacion distintas tecnicas
truso o actividad no permitida, de modo que la seguridad como Arboles de Decision, Redes Neuronales, Algorit-
tiene una importancia crtica. El termino de intrusion mos Geneticos, Support Vector Machines, Sistemas In-
como lo presenta [1] se puede definir como cualquier con- munes Artificiales entre otras [2]. Los IDS tambien uti-
junto de acciones que tratan de comprometer la integri- lizan tecnicas y modelos estadsticos con el proposito de
dad, confidencialidad o disponibilidad de un recurso. Por automatizar completamente la deteccion de ataques mali-
ello es necesario utilizar una herramienta que pueda de- ciosos distinguiendo del uso normal de los sistemas. Las
tectar estas actividades y mantener la informacion acce- mas utilizadas son Redes Bayesianas, Cadenas de Markov,
sible solo a las personas autorizadas. Dicha herramienta etc.
se la denomina como Sistema de Deteccion de Intrusos En este trabajo se presenta una propuesta de inves-
(IDS), el mismo que analiza eventos que suceden en un tigacion en torno a la seguridad informatica, y mas es-
sistema informatico en busca de signos de intrusiones. El pecficamente en el area de los sistemas de deteccion de
principal objetivo de un IDS es monitorear la actividad intrusos (IDS) basados en anomalas de comportamiento
en un servidor, red o un equipo informatico (PC, Tablet, de usuarios. El sistema propuesto utiliza la tecnica de
movil, etc.) de tal forma que permita identificar de man- Sistemas Inmunes artificiales aplicando el algoritmo de
era eficiente posibles ataques o intentos de violacion a la seleccion negativa, ademas, un algoritmo de busqueda
seguridad basados en patrones de comportamiento, firmas de secuencias en forma local llamado Knuth-Morris-Pratt
de codigo o analisis de protocolos, para luego alertar al (KMP).
administrador del equipo. El gran auge en el desarrollo El artculo esta organizado de la siguiente forma: en la
e implementacion de multiples IDS han surgido algunas Seccion 2 se detalla trabajos realizados anteriormente pre-
maneras en la recoleccion y utilizacion de la informacion sentado sus fortalezas y comparandolos con nuestra prop-
para el sistema de deteccion, los cuales se describen con- uesta. En la Seccion 3 se detalla el objetivo de la inves-
tinuacion: tigacion y la aportacion cientfica, ademas se presenta los
Basado en el Host: Este tipo de sistema de deteccion materiales y metodos utilizados para la construccion del
utiliza la informacion de tareas o actividades realizadas IDS. Posteriormente, en la Sesion 4 se presentan desarrollo
en el equipo donde se encuentra funcionando el IDS. del algoritmo. En las session 5 se presentan los resultados
Basado en la Red: Este sistema de deteccion utiliza del sistema propuesto. Finalmente, en la Seccion 6 se pre-
8
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
2
sentan las conclusiones y trabajos futuros que han surgido de anomalas en red.
de esta investigacion. Este trabajo propone la aplicacion de un sistema in-
mune con seleccion negativa en las tareas que ejecutan los
II. Trabajos Relacionados usuarios dentro de un sistema informatico, donde, a par-
Un sistema de deteccion de intrusos IDS es un sistema tir del historico de estas ejecuciones se genera un perfil de
de software o hardware automatizado para realizar un uso normal el cual permite identificar anomalas con re-
proceso de monitoreo y analisis de datos del medio in- sultados optimos y con un coste computacional bajo. En
formatico para la deteccion de intrusiones como lo pre- las siguientes secciones se presentara las aportaciones de
senta [3][4] [14]. En multiples trabajos en los cuales los la propuesta y ademas todo el proceso de modelado de la
IDS centran su atencion en la tecnica de Sistema in- solucion para un IDS.
munes artificial como una optima alternativa para iden-
tificar comportamientos anomalos los presenta en [5] [6] III. Metodos y Materiales
[7] [8] . Los cuales validan que dicha tecnica la cual pro- A. Objetivo y aportaciones de la Investigacion
porciona resultados fiables y que son una gran area de
investigacion para el futuro. El objetivo principal de la investigacion es desarrollar
Es por eso que con un creciente numero de inves- un algoritmo dinamico y eficiente el cual pueda identificar
tigadores informaticos que seleccionan y estudian esta el comportamiento anomalo de un usuario o agente que
tecnica, las cuales, obtienen un gran exito como un mecan- realice tareas intrusivas en un sistema informatico. Por
ismo natural para la solucion de diversos problemas, in- otra parte las aportaciones de la investigacion al estudio
cluyendo diagnostico de fallos, la deteccion de virus y de- de IDS son:
teccion de fraude hipotecario como lo presenta [9] [10] [11] Utilizacion de datos reales de usuarios de un sistema
cual propone un algoritmo de seleccion negativa que ha el comportamiento de los usuario de forma eficiente.
demostrado ser eficaz para los problemas de deteccion de Aplicacion del algoritmo de seleccion negativa de un sis-
anomalas y que presenta una nueva estrategia en la etapa tema inmune artificial al modelo de datos para la identi-
de entrenamiento, ademas, un continuo entrenamiento ficacion de comportamientos anomalos de los usuarios.
para la reduccion de muestras self para reducir el coste Aplicacion del algoritmo KMP para la identificacion de
computacional en fase de pruebas. Este algoritmo puede comportamientos anomalos en nuevas secuencias de tar-
obtener la tasa de deteccion mas alta y una tasa mas baja eas.
de falsas alarmas en la mayora de los casos. Desarrollar una nueva forma de deteccion de intrusos
Por otro lado la investigacion realizada por [16] pre- dinamica y eficiente dirigido a sistemas informaticos.
senta un nuevo enfoque para la deteccion de anomalas En la siguiente seccion se describen los metodos y ma-
en el trafico de red utilizando detectores generados por teriales utilizados para el desarrollo del algoritmo.
un algoritmo genetico. Este trabajo utiliza el algoritmo
de seleccion negativa en un sistema inmune que puede B. Metodos
detectar patrones anomalos. Este trabajo, muestra una En esta seccion se presentan los algoritmos aplicados
comparativa con varios otros experimentos realizados con en el presente trabajo. Los algoritmos utilizados son Al-
un conjunto de datos conocidos llamado NSL-KDD. El al- goritmo de seleccion negativa (NSA)y Algoritmo Knuth
goritmo propuesto muestra resultados muy buenos en el Morris Pratt (KMP).
analisis, en comparacion con otros metodos de aprendizaje
automatico. B.1 Sistema Inmune Artificial con Seleccion Negativa
Otro trabajo muy interesante que en el cual se aplica el
sistemas inmunes con seleccion negativa, como lo presenta El algoritmo de seleccion negativa define el self medi-
[17]. El trabajo propuesto detalla los excelentes mecanis- ante la construccion de modelos de comportamiento nor-
mos de auto-aprendizaje, la capacidad de adaptacion del males de un sistema monitorizado. Este proceso genera
sistema inmunologico humano y ademas muestra los con- un numero finito de patrones aleatorios que se comparan
ceptos y las definiciones formales de antgeno, anticuerpos a cada modelo especfico de self como lo presenta [11].
y celulas de memoria en el dominio de seguridad de la
B.2 Algoritmo de Knuth Morris Pratt
red. Un aspecto muy importante de la investigacion es
como se establecen las formulaciones evolucion dinamica El objetivo principal de este problema es encontrar una
de los perfiles de deteccion (incluida la generacion de los cadena dentro otra cadena. En un patron P para cada
perfiles de deteccion, de aprendizaje dinamico, transfor- posicion i, spi(p) se dice que es la longitud del sufijo mas
macion dinamica, y la auto-organizacion dinamica), que largo de P[1; 2i], que coincide con el prefijo P. Es simi-
lograra que los perfiles de deteccion dinamica se puedan lar a navegar dentro de la cadena y que realiza sus com-
sincronizar con el entorno de red real. Este trabajo obtiene paraciones de izquierda a derecha. Tambien calcula los
resultados experimentales buenos en la cual se convierte desplazamientos maximos posibles de izquierda a derecha
en como una solucion a tener en cuenta para la deteccion para el patron P, [18].
9
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
3
C. Materiales
10
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
4
tiva, el cual a partir de un conjunto de datos del modelo Dn . Se introduce nueva sesion activa AsU para determinar
propuesto genere sesiones anomalas para poder ser com- la similitud con los detectores Dn con el algoritmo KPM.Si
paradas en el siguiente paso con una sesion activa. Este la similitud (umbral de estimulacion) Sth > 0 es igual a
paso consta de tres fases las cuales son: T RU E el detector se activa y el antgeno se clasifica como
Fase 1: Generar aleatoriamente la poblacion inicial B0 anomalo, de lo contrario, se clasifica como normal.
utilizando el modelo de datos propuesto con detectores Este paso es el que se repite de forma continua durante
r que incluya los datos espaciales con las caractersticas, el uso del sistema informatico determinando en que tarea
donde r B0 . Estos detectores se basan en las secuencias el usuario se desva a un comportamiento anomalo. La
historicas de tareas HsU , cada figura azul representa un implementacion del IDS es en una capa intermedia entre
detector. Esta fase se ilustra en la figura 2a. En la gen- la interfaz del usuario y la ejecucion de las operaciones
eracion de la poblacion inicial numero de elementos B0 en la Base de datos. Esto permite que las actividades del
se calcula con la formula B0 = pv , donde p es el numero usuario no queden bloqueadas sino solamente las tareas
de bits de posibilidades y v es la cantidad de tareas que que han sido detectadas como intrusivas, como se puede
ejecuta el usuario, este valor permite crear un numero se- apreciar en la figura 3.
siones.
Fase 2: Con los datos de entrenamiento B0 una porcion
del espacio se define como normal (itself) utilizando el
algoritmo KPM. Esta fase se ilustra en la figura 2b.El
algoritmo de busqueda local analiza cada registro de B0
buscando similitudes con los las sesiones del modelo de
datos de cada uno de los usuarios, si existe una similitud
los marca como normales, caso contrario los marca como
anomalos denominados Dn .
Fase 3: Se elimina todos los detectores que se superpo-
nen con la region definida en itself, dejando el resto como
detectores anormales Dn . Esta fase se ilustra en la figura
2c.El algoritmo de seleccion negativa obtiene detectores
de comportamiento anomalo (rojo) para el siguiente paso
del sistema de deteccion, como se muestra en la Figura
2d.
V. Resultados
En esta seccion se presentan los resultados de las prue-
bas de deteccion del IDS en fase incial, ya que para obtener
resultados definitivos es necesario tener pruebas mas ex-
tensas para tener cifras definitivas. Para estas pruebas
se utiliza la informacion diez usuarios de un sistema in-
formatico real.Durante el presente estudio se evidencio
muchas caractersticas que hacian de la propuesta tener
resultados de deteccion eficiente, una de estas es el modelo
de datos y la aplicacion de seleccion negativa del compor-
Fig. 2. Fases del sistema de inmune con seleccion negativa
tamiento normal de cada uno de los usuarios.
Los resultados de las pruebas de la aplicacion del algo-
En el siguiente paso se utilizan los detectores anomalos ritmo IDS muestran la tasa de clasificado correctamente
Dn para identificar si la sesion activa AsU es anomala o (CC), tasa clasificado incorrectamente (IC). Tambien pre-
normal. senta la deteccion tiempo promedio (segundos) para cada
usuario del estudio. Por otro lado se presentan valores de
B. Paso 2. Deteccion de Intrusos en Secuencias Activas
Verdaderos positivos (TP), Verdaderos negativos (TN),
En este ultimo paso se analiza la secuencia activa AsU Falsos positivos (FP), Falsos negativos (FN). Para valo-
y se compara con todo el conjunto de detectores anomalos rar el desempeno adecuado del IDS es necesario presentar
11
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
5
valores de Precision, Tasa de Deteccion y Tasa de Falsas tante eficientes para pruebas iniciales con una tasa clasifi-
alarmas las cuales se presentan a continuacion: cado correctamente alta y podemos ver que la precision de
La precision (PR)se refiere a la proporcion de datos 99,31%, la tasa de deteccion de 98,29%, y la tasa de falsas
clasifica un tipo preciso en total de datos, a saber, la alarmas son inferiores al 2%, lo que significa que la de-
situacion TP y TN, por tanto, la precision esta daba por teccion tiene identificacion aceptable. El coste computa-
(T P +T N )
Precision= (T P +T N +F P +F N ) 100%.
cional es uno de el factor mas importante a considerar,
Tasa de deteccion (DR) se refiere a la proporcion de tanto en el entrenamiento del algoritmo y en el proceso de
comportamiento anomalo detectado entre todos los datos la deteccion del comportamiento del usuario, como pre-
de comportamiento anomalo, es decir, la situacion de los senta la figura 4 y 5.
TP, la tasa de deteccion es por lo tanto esta dada por
Tasa de Deteccion= (T P(T+F P)
N ) 100%.
Tasa de falsas alarmas (FA) se refiere a la proporcion
que los datos de comportamiento normal se detecta fal-
samente como un comportamiento anomalo, es decir, la
situacion de la FP, por lo tanto la tasa de falsas alarmas
es
Tasa de falsas alarmas= (F PF+T P
N ) 100%.
Este analisis de deteccion de intrusos se ilustran en las
tabla 2 y 3.
Usr TP FP FN TN % PR % DR % FA
1 689 25 1 1254 98.68% 99.86% 1.95%
2 468 4 4 1365 99.57% 99.15% 0.29%
3 456 13 11 1593 98.84% 97.64% 0.81%
4 549 4 11 2014 99.42% 98.04% 0.20%
Fig. 5. Coste computacional en la deteccion del IDS
5 347 2 27 1562 98.50% 92.78% 0.13%
6 393 4 3 1664 99.66% 99.24% 0.24%
Dicho desempeno del IDS en una estacion de trabajo es
7 571 1 5 1545 99.72% 99.13% 0.06%
bajo lo que es un punto a favor a la propuesta. El tiempo
8 504 3 5 1576 99.62% 99.02% 0.19%
promedio para detectar relativamente mnimo ya que con
9 582 2 7 1636 99.60% 98.81% 0.12%
solo registros de 2 anos facilita que la la rapidez de la
10 674 5 5 1299 99.50% 99.26% 0.38% deteccion pero no se puede obtener un perfil totalmente
Media 99.31% 98.29% 0.44% eficiente. El costo del entranemiento no es un factor de
TABLA III riesgo porque el entrenamiento se realiza solo una vez en
Resultados del IDS propuesto en valores de Precision, Tasa perodos semanales o mensuales lo que hace al sistema se
de Deteccion y Tasa de Falsas Alarmas. pueda adaptar al comportamiento del usuario.
12
JNIC2015 Primera sesion: Vulnerabilidades, malware y exploits 1
6
temas inmunes artificiales implementado en un sistema [12] Hofmeyr, Steven A., and Stephanie Forrest. Architecture for
informatico, lo que permitio que el trabajo pueda de- an artificial immune system. Evolutionary computation 8.4
(2000): 443-473.
scribir de una forma aproximada la creacion de perfiles de [13] Forrest, Stephanie, and Steven A. Hofmeyr. Immunology
usuario representados por el modelo de datos. La ventaja as information processing. SANTA FE INSTITUTE STUD-
de nuestro modelo es la generacion de comportamientos IES IN THE SCIENCES OF COMPLEXITY-PROCEEDINGS
VOLUME-. Reading, Mass.; Addison-Wesley; 1998, 2001.
anomalos, aplicando seleccion negativa, a partir de com- [14] Garcia-Teodoro, Pedro, et al. Anomaly-based network intru-
portamientos normales de cada uno de los usuarios. Esto sion detection: Techniques, systems and challenges. computers
& security 28.1 (2009): 18-28.
permite que el perfil de cada usuario sea unico y dinamico. [15] Gong, Maoguo, et al. An efficient negative selection algorithm
El IDS se aplico para comprobar el analisis de sensibili- with further training for anomaly detection. Knowledge-Based
dad y definir el mejor rendimiento de parametros de de- Systems 30 (2012): 185-191.
[16] Aziz, Amira Sayed A., et al. Detectors generation using genetic
teccion. Esta forma ofrece un mejor equilibrio entre la algorithm for a negative selection inspired anomaly network
tasa de deteccion y tasa de falsas alarmas, tambien com- intrusion detection system. Computer Science and Information
prueba su adaptabilidad al comportamiento humano para Systems (FedCSIS), 2012 Federated Conference on. IEEE, 2012.
[17] Peng, Lingxi, et al. Dynamically real-time anomaly detection
la deteccion aplicando el enfoque propuesto. algorithm with immune negative selection. Applied Mathe-
Como lneas de trabajos fututos seran la imple- matics & Information Sciences 7.3 (2013): 1157-1163.
mentacion de identificacion de comportamientos anomalos [18] Mandumula, Kranthi Kumar. Knuth-Morris-Pratt Algo-
rithm. Posledn zmena 18 (2011).
en secuencias temporales de las tareas ejecutadas por el
usuario aplicando reyes bayesianas u otras tecnicas de in-
teligencia artificial. Tambien,algoritmos de optimizacion
y big data para mejorar el desempeno de las detecciones
y reducir el tiempo de procesamiento y respuesta para ser
implementado de manera online y con varios sistemas a
la vez. Ademas de realizar la aplicacion a diferentes areas
como la medicina y deteccion de problemas en sistemas
industriales.
Agradecimientos
Este trabajo ha sido parcialmente financiado por el Min-
isterio de Educacion Superior, Ciencia, Tecnologa e In-
novacion (SENESCYT) del Gobierno de la Republica del
Ecuador bajo la beca Convocatoria abierta 2011 y 2012.
Referencias
[1] Heady, Richard, et al. The architecture of a network level intru-
sion detection system. Department of Computer Science, Col-
lege of Engineering, University of New Mexico, 1990.
[2] Scarfone, Karen, and Peter Mell. Guide to intrusion detec-
tion and prevention systems (idps). NIST special publication
800.2007 (2007): 94.
[3] Bace, Rebecca, and Peter Mell. NIST special publication on
intrusion detection systems. BOOZ-ALLEN AND HAMILTON
INC MCLEAN VA, 2001.
[4] Stavroulakis, Peter, and Mark Stamp, eds. Handbook of infor-
mation and communication security. Springer Science & Busi-
ness Media, 2010.
[5] Debar, Herve, Marc Dacier, and Andreas Wespi. Towards a
taxonomy of intrusion-detection systems. Computer Networks
31.8 (1999): 805-822.
[6] Debar, Herve, Marc Dacier, and Andreas Wespi. A revised tax-
onomy for intrusion-detection systems. Annales des telecom-
munications. Vol. 55. No. 7-8. Springer-Verlag, 2000.
[7] Kumar, Vipin, Jaideep Srivastava, and Aleksandar Lazarevic,
eds. Managing cyber threats: issues, approaches, and chal-
lenges. Vol. 5. Springer Science & Business Media, 2006.
[8] Murali, Adithyavairavan, and Madhav Rao. A survey on intru-
sion detection approaches. Information and Communication
Technologies, 2005. ICICT 2005. First International Conference
on. IEEE, 2005.
[9] DasGupta, Dipankar. An overview of artificial immune systems
and their applications. Springer Berlin Heidelberg, 1999.
[10] Kephart, Jeffrey O., et al. Biologically inspired defenses
against computer viruses. IJCAI (1). 1995.
[11] Kim, Jungwon, and Peter J. Bentley. Towards an artificial im-
mune system for network intrusion detection: An investigation
of clonal selection with a negative selection operator. Evolu-
tionary Computation, 2001. Proceedings of the 2001 Congress
on. Vol. 2. IEEE, 2001.
13
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
Antonio Nappa , Richard Johnson , Leyla Bilge , Juan Caballero , Tudor Dumitras,
IMDEA Software Institute University of Maryland, College Park
Symantec Research Labs UniversidadPolitecnica de Madrid
antonio.nappa@imdea.org, rbjohns8@cs.umd.edu,
leylya yumer@symantec.com, juan.caballero@imdea.org, tdumitra@umiacs.umd.edu
The full version of this paper appears at the proceeedings at 36th IEEE Symposium on Security and Privacy
AbstractVulnerabilities in client applications (e.g., browsers, One dangerous peculiarity of client-side applications is that
multimedia players, document readers and editors) are often ex- the same host may be affected by several instances of the same
ploited in spear phishing attacks and are difficult to characterize vulnerability. This can happen if the host has installed multiple
using network vulnerability scanners. Analyzing their lifecycle instances of the same application, e.g., the default installation
is challenging because it requires observing the deployment and an older version bundled with a separate application. Mul-
of patches on hosts around the world. Using data collected
over 5 years on 8.4 million hosts, available through Symantecs
tiple instances of the vulnerable code can also occur owing to
WINE platform, we present the first systematic study of patch libraries that are shared among multiple applications (e.g., the
deployment in client-side vulnerabilities. Adobe library for playing Flash content, which is included with
Adobe Reader and Adobe Air installations). These situations
We analyze the patch deployment process of 1,593 vulner-
abilities from 10 popular client applications, and we identify
break the linear model for the vulnerability lifecycle [1], [3],
several new threats presented by multiple installations of the [12], [13], which assumes that the vulnerability is disclosed
same program and by shared libraries distributed with several publicly, then a patch released, and then vulnerable hosts get
applications. We find that the median fraction of vulnerable updated. In particular, vulnerable hosts may only patch one of
hosts patched when exploits are released is at most 14%. While the program installations and remain vulnerable, while patched
patching starts within 7 days before or after disclosure for 77% of hosts may later re-join the vulnerable population if an old
the vulnerabilities, the median time to patch half of the vulnerable version or a new application with the old code is installed. This
hosts is 45 days. For the 80 vulnerabilities in our dataset that extends the window of opportunity for attackers who seek to
affect code shared by two applications, the time between patch exploit vulnerable hosts. Moreover, the owners of those hosts
releases in the different applications is up to 118 days (with
typically believe they have already patched the vulnerability.
a median of 11 days). We demonstrate two novel attacks that
enable exploitation by invoking old versions of applications that To the best of our knowledge, we present the first system-
are used infrequently, but remain installed. Finally, we show that atic study of patch deployment for client-side vulnerabilities.
the patching rate is affected by user-specific and application- The empirical insights from this study allow us to identify sev-
specific factors; for example, hosts belonging to security analysts eral new threats presented by multiple installations and shared
and applications with an automated updating mechanism have code for patch deployment and to quantify their magnitude.
significantly lower median times to patch. We analyze the patching by 8.4 million hosts of 1,593 vulner-
abilities in 10 popular Windows client applications: 4 browsers
(Chrome, Firefox, Opera, Safari), 2 multimedia players (Adobe
I. E XTENDED A BSTRACT
Flash Player, Quicktime), an email client (Thunderbird), a
In recent years, considerable efforts have been devoted document reader (Adobe Reader), a document editor (Word),
to reducing the impact of software vulnerabilities, including and a network analysis tool (Wireshark).
efforts to speed up the creation of patches in response to
Our analysis combines telemetry collected by Symantecs
vulnerability disclosures [1]. However, vulnerability exploits
security products, running on end-hosts around the world, and
remain an important vector for malware delivery [2], [3]. Prior
data available in several public repositories. Specifically, we
measurements of patch deployment [4][7] have focused on
analyze data spanning a period of 5 years available through the
server-side vulnerabilities. Thus, the lifecycle of vulnerabil-
Worldwide Intelligence Network Environment (WINE) [14].
ities in client-side applications, such as browsers, document
This data includes information about binary executables down-
editors and readers, or media players, is not well understood.
loaded by users who opt in for Symantecs data sharing
Such client-side vulnerabilities represent an important security
program. This dataset provides a unique opportunity for study-
threat, as they are widespread (e.g., typical Windows users are
ing the patching process in client applications, which are
exposed to 297 vulnerabilities in a year [8]), and they are often
difficult to characterize using the network scanning techniques
exploited using spear-phishing as part of targeted attacks [9]
employed by prior research [4][7], [15].
[11].
14
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
The analysis is challenging because each software vendor manually. However, only 28% of the patches in our study reach
has its own software management policies, e.g., for assigning 95% of the vulnerable hosts during our observation period.
program versions, using program lines, and issuing security This suggests that there are additional factors that influence
advisories, and also by the imperfect information available the patch deployment process. In particular, users have an
in public vulnerability databases. To address these challenges important impact on the patch deployment process, as security
we have developed a generic approach to map files in a host analysts and software developers deploy patches faster than the
to vulnerable and non-vulnerable program versions, using file general user population. Most of the vulnerable hosts remain
meta-data from WINE and VirusTotal [16], and the NVD [17] exposed when exploits are released in the wild. Our findings
and OSVDB [18] public vulnerability databases. Then, we will enable system administrators and security analysts to
aggregate vulnerabilities in those databases into clusters that assess the the risks associated with vulnerabilities by taking
are patched by the same program version. Finally, using a into account the milestones in the vulnerability lifetime, such
statistical technique called survival analysis [19], we track as the patching delay and the median time-to-patch.
the global decay of the vulnerable host population for each
vulnerability cluster, as software updates are deployed. R EFERENCES
[1] S. Frei, Security Econometrics: The Dynamics of (In)Security. PhD
Using this approach we can estimate for each vulnerability thesis, ETH Zurich, 2009.
cluster the delay to issue a patch, the rate of patching, and
[2] C. Grier et al., Manufacturing compromise: the emergence of exploit-
the vulnerable population in WINE. Using exploit meta-data as-a-service, in ACM Conference on Computer and Communications
in WINE and the Exploit Database [20], we estimate the Security, (Raleigh, NC), Oct 2012.
dates when exploits become available and we determine the [3] L. Bilge and T. Dumitras, Before we knew it: an empirical study of
percentage of the host population that remains vulnerable upon zero-day attacks in the real world, in ACM Conference on Computer
exploit releases. and Communications Security, pp. 833844, ACM, 2012.
[4] D. Moore, C. Shannon, and K. C. Claffy, Code-red: a case study on
We quantify the race between exploit creators and the the spread and victims of an internet worm, in Internet Measurement
patch deployment, and we find that the median fraction of Workshop, pp. 273284, ACM, 2002.
hosts patched when exploits are released is at most 14%. [5] E. Rescorla, Security holes... who cares, in Proceedings of the 12th
All but one of the exploits detected in the wild found more USENIX Security Symposium, pp. 7590, 2003.
than 50% of the host population still vulnerable. The start [6] T. Ramos, The laws of vulnerabilities, in RSA Conference, 2006.
of patching is strongly correlated with the disclosure date, [7] Z. Durumeric, J. Kasten, D. Adrian, J. A. Halderman, M. Bailey,
and it occurs within 7 days before or after the disclosure F. Li, N. Weaver, J. Amann, J. Beekman, M. Payer, and V. Paxson,
for 77% of the vulnerabilities in our studysuggesting that The matter of Heartbleed, in Internet Measurement Conference,
(Vancouver, Canada), Nov 2014.
vendors react promptly to the vulnerability disclosures. The
[8] S. Frei and T. Kristensen, The security exposure of software portfo-
rate of patching is generally high at first: the median time lios, in RSA Conference, March 2010.
to patch half of the vulnerable hosts is 45 days. We also
[9] W. R. Marczak, J. Scott-Railton, M. Marquis-Boire, and V. Paxson,
observe important differences in the patching rate of different When governments hack opponents: A look at actors and technology,
applications: none of the applications except for Chrome in USENIX Security Symposium, 2014.
(which employs automated updates for all the versions we [10] S. Hardy, M. Crete-Nishihata, K. Kleemola, A. Senft, B. Sonne,
consider) are able to patch 90% of the vulnerable population G. Wiseman, P. Gill, and R. J. Deibert, Targeted threat index: Char-
for more than 90% of vulnerability clusters. acterizing and quantifying politically-motivated targeted malware, in
USENIX Security Symposium, 2014.
Additionally, we find that 80 vulnerabilities in our dataset [11] S. L. Blond, A. Uritesc, C. Gilbert, Z. L. Chua, P. Saxena, and E. Kirda,
affect common code shared by two applications. In these cases, A Look at Targeted Attacks through the Lense of an NGO, in USENIX
the time between patch releases in the different applications Security Symposium, August 2014.
is up to 118 days (with a median of 11 days), facilitating [12] W. A. Arbaugh, W. L. Fithen, and J. McHugh, Windows of vulnerabil-
the use of patch-based exploit generation techniques [21]. ity: A case study analysis, IEEE Computer, vol. 33, December 2000.
We demonstrate two novel attacks that enable exploitation by [13] H. Okhravi and D. Nicol, Evaluation of patch management strategies,
invoking old version of applications that are used infrequently, International Journal of Computational Intelligence: Theory and Prac-
tice, vol. 3, no. 2, pp. 109117, 2008.
but that remain installed.
[14] T. Dumitras and D. Shou, Toward a standard benchmark for computer
II. C ONCLUSION security research: The Worldwide Intelligence Network Environment
(WINE), in EuroSys BADGERS Workshop, (Salzburg, Austria), Apr
We investigate the patch deployment process for 1,593 2011.
vulnerabilities from 10 client-side applications. We analyze [15] S. Yilek, E. Rescorla, H. Shacham, B. Enright, and S. Savage, When
field data collected on 8.4 million hosts over an observation private keys are public: results from the 2008 debian openssl vulnera-
period of 5 years, made available through the WINE platform bility, in Internet Measurement Conference, pp. 1527, ACM, 2009.
from Symantec. We show two attacks made possible by the fact [16] Virustotal. http://www.virustotal.com/.
that multiple versions of the same program may be installed [17] U.s. national vulnerability database. http://nvd.nist.gov/.
on the system or that the same library may be distributed [18] Osvdb: Open sourced vulnerability database. http://osvdb.org/.
with different software. We find that the median fraction of [19] D. G. Kleinbaum and M. Klein, Survival Analysis: A Self-Learning Text.
vulnerable hosts patched when exploits are released is at most Springer, third ed., 2011.
14%. For most vulnerabilities, patching starts around the dis- [20] Exploit database. http://exploit-db.com/.
closure date, but the patch mechanism has an important impact [21] D. Brumley, P. Poosankam, D. X. Song, and J. Zheng, Automatic patch-
based exploit generation is possible: Techniques and implications, in
on the rate of patch deployment. For example, applications IEEE Symposium on Security and Privacy, (Oakland, CA), pp. 143157,
updated automatically have a median time-to-patch 1.5 times May 2008.
lower than applications that require the user to apply patches
15
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
Paper accepted in the 11th International Workshop on RFID Security (RFIDsec), 2015. A live
demo was performed relaying a payment transaction from New York to Madrid in real-time.
AbstractNear Field Communication (NFC) is a short-range add NFC capabilities into its devices: Apples iPhone 6 is the
contactless communication standard recently emerging as cash- first model integrated with an NFC chip, although is locked to
less payment technology. However, NFC has been proved vulner- work only with Apples contactless payment system [8]. As a
able to several threats, such as eavesdropping, data modification,
and relay attacks. A relay attack forwards the entire wireless recent market research states [9], this trend will keep growing
communication, thus communicating over larger distances. In up, expecting to reach more than 500 million of NFC payment
this paper, we review and discuss feasibility limitations when per- users by 2019.
forming these attacks in Googles Android OS. We also perform Unfortunately, NFC is insecure as claimed by several
an in-depth review of the Android implementation of the NFC works [10][13], where NFC security threats and solutions
stack. We show an experiment proving its feasibility using off-the-
shelf NFC-enabled Android devices (i.e., no custom firmware nor have been stated. Potential threats of NFC are eavesdropping,
root required). Thus, Android NFC-capable malicious software data modification (i.e., alteration, insertion, or destruction),
might appear before long to virtually pickpocket contactless and relay attacks. Eavesdropping can be avoided by secure
payment cards within its proximity. communication, while data modification may require advanced
skills and enough knowledge about RF transmission, as well as
I. I NTRODUCTION
ad-hoc hardware to perform the attack. A relay attack, defined
Near Field Communication (NFC) is a bidirectional short- as a forwarding of the entire wireless communication, allows
range (up to 10 cm) contactless communication technology to communicate over a large distance. A passive relay attack
based on the ISO-14443 [1] and the Sony FeLiCa [2] Radio forwards the data unaltered, unlike an active relay attack [14].
Frequency Identification (RFID) standards. It operates in the In this paper, we focus on passive relay attacks.
13.56 MHz spectrum and supports data transfer rates of 106, Relay attacks were thought to be difficult from a practical
216, and 424 kbps. perspective, mainly due to the physical constraints on the com-
NFC defines three operation modes: peer-to-peer, munication channel and the specialized hardware (or software)
read/write, and card-emulation mode. In peer-to-peer mode, needed. However, the eruption of NFC-enabled mobile phones
two NFC devices communicate directly with each other. (or devices) completely changes the threat landscape: most
This mode is commonly used to exchange business cards, NFC communication can be relayed even NFC payment
or credentials for establishing a network link. Read/write transactions with NFC-enabled devices.
mode allows an NFC device to communicate with an NFC Mobile malicious software (i.e., malware) usually target user
tag. Finally, card-emulation mode enables an NFC device data (such as user credentials or mobile device information),
to behave as a contactless smartcard, thus allowing to or perform fraud through premium-rate calls or SMS, but
communicate with an NFC reader/writer. we believe that the rise of NFC-enabled devices put NFC
Nowadays, NFC technology is widely used in a disparity in the spotlight for malware developers [15]. To the best
of applications, from ticketing, staff identification, or physical of our knowledge, to date there not exist any malware with
access control, to cashless payment. In fact, the contactless NFC capabilities although they might appear before long. To
payment sector seems the one where NFC has generated more prove if an NFC-capable malware might exist nowadays, in
interest, accordingly to market studies [3], [4]. As Fischer this paper we study the feasibility of passive relay attacks in
envisioned in 2009 [5], the confluence of NFC with smart Android. Android is used since it leads the global smartphone
phones can be the reason behind this fact since NFC is a way market [16] and provides a broad set of freely resources for
to bring cards to the mobile [6]. the developers.
To date, almost 300 different smart phones are (or will be The contribution of this paper is threefold: first, we provide
soon) available at the market [7]. Most of them are based on an in-depth review of Android implementation of the NFC
Googles Android OS (or Android for short), while other OS stack; second, we discuss the implementation alternatives
such as Apples iOS, BlackBerry OS, or Windows Phone OS to perform NFC relay attacks in Android; and third, we
are less representative. For instance, Apple has just started to show a practical implementation of these attacks using two
16
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
17
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
1
C ARONTE:
Detecting Location Leaks for
Deanonymizing Tor Hidden Services
Srdjan Matic, Platon Kotzias, and Juan Caballero
Universita degli Studi di Milano, srdjan.matic@unimi.it
IMDEA Software Institute, {platon.kotzias,juan.caballero}@imdea.org
The full version of this paper will appear in the Proceedings of the 2015 ACM SIGSAC Conference on
Computer and Communications Security.
Abstract 9, and Hydra drug markets. The operation lead to the arrest
Anonymity networks as Tor are a critical privacy-enabling technology. of at 17 people and the confiscation of $1 million in Bitcoin
Tors hidden services provide both client and server anonymity. This pa-
per presents C ARONTE, a tool to automatically identify location leaks in
and $250,000 in cash, gold, silver, and drugs [7]. In both take-
hidden services, i.e., sensitive information served by the hidden service downs the deanonymization method used by law enforcement
that discloses the servers IP address. C ARONTE implements a novel ap- to locate the hidden services remains unknown [8, 9].
proach that does not rely on flaws on the Tor protocol and assumes an
open-world, i.e., it does not require a list of candidate servers known in B. Related Work
advance. We apply C ARONTE to 1,974 hidden services, fully recovering
the IP address of 101 (5%) of them. Prior work has proposed attacks to deanonymize Tor hid-
den services through flaws on the Tor protocol [10, 11] and
I. E XTENDED ABSTRACT clock-skew fingerprinting [12, 13]. Attacks on the Tor proto-
col are promptly fixed by the Tor project. For example, the
A. Motivation attack by verlier and Syverson [10] was fixed by introducing
The increasing surveillance of communications have made guard nodes and the more recent attack by Biryukov et al. [11]
anonymity networks a critical privacy-enabling technology. has also been fixed [14]. Attacks leveraging clock-skew fin-
Tor [1] is arguably the most popular anonymity network. It pro- gerprinting assume a closed-world where a short list of pos-
vides both sender anonymity and recipient anonymity for hid- sible candidate servers is known and the fingerprinting vali-
den services. Hidden services protect the location (i.e., IP ad- dates which candidate is the hidden server. Deanonymization
dress) of the server hosting the hidden service. In addition, they attacks have also been proposed for the equivalent of hidden
further protect against network-level eavesdropping by provid- services in I2P (called eepSites) [15]. These attacks also as-
ing encryption all the way from the client to the hidden service. sume a closed-world, where the IP addresses of I2P peers are
This includes the communication between the last Tor relay and candidate servers for eepSites.
the hidden service, even when the application traffic is not en-
crypted. C. Contributions
Hidden services are used among others for storing whistle- This paper studies the problem of location leaks, i.e., in-
blowing documents that corporations or governments may formation in the content or configuration of a hidden service
want to censor and for hosting political dissident blogs. They that gives away its location. Location leaks are introduced by
are also abused for running malware command-and-control the hidden service administrators and cannot be centrally fixed
servers [24] and for hosting black markets selling any kind by the Tor project. Deanonymizing hidden services through
of goods including drugs and guns. Thus, censors and law- location leaks does not require the attacker to be part of the
enforcement agencies have great interest in deanonymizing anonymity network, but only to access the hidden services.
hidden services, i.e., finding the hidden servers IP address. Such leaks are a well-known problem for hidden services,
Once the IP address is revealed, the hidden service can be taken but their extent is currently unknown. They are also likely can-
down, its content seized, and their owners identified and possi- didates for the above takedowns. For example, the FBI claimed
bly arrested. in court that they located the server of the original Silk Road
There have been some notorious takedowns of hidden ser- through a leak of its IP address when visiting the site [16]. The
vices by law enforcement. In July 2013, law enforcement iden- FBI story has been disputed [16, 17], but researchers still be-
tified the location of the Silk Road marketplace, where prod- lieve it is likely that the takedown was due to a leak in the
ucts such as cocaine, heroin, LSD, and counterfeit currencies servers configuration [16]. Furthermore, while several drug
were traded [5]. The service was taken down, its records cap- markets were taken down in operation Onymous, other lead-
tured, $25 million in Bitcoin seized (and later auctioned), and ing hidden service drug markets (e.g., Agora, Evolution, An-
the sites administrator and at least a dozen of the top sellers ar- dromeda) as well as child pornography and financial fraud sites
rested [6]. After the Silk Road takedown other similar hidden were unaffected. This points to the problem being site-specific
services took its place. In November 2014, an international rather than a Tor protocol compromise.
law-enforcement operation codenamed Onymous, took down In this paper we propose a novel approach to deanonymize
over 400 hidden services including the Silk Road 2.0, Cloud hidden services using a subset of location leaks in an open-
18
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
2
world, i.e., without previous knowledge of a set of candidate content and configuration. C ARONTE implements a novel ap-
servers. Our approach includes two steps. First, we pro- proach to deanonymize hidden services that does not rely on
pose techniques to extract candidate Internet endpoints (i.e., flaws on the Tor protocol and assumes an open-world, i.e., it
domains and IP addresses that may correspond to the hidden does not assume a short list of candidate servers is known in ad-
server) from the content and configuration of a hidden service. vance. Instead, it implements novel techniques to identify can-
Our techniques examine endpoints and unique identifiers in the didate servers from the content and configuration of a hidden
content and the HTTPS certificates. This step allows moving service, which enable moving from an open-world to a closed-
from an open-world to a closed-world. Then we validate each world.
candidate pair hhidden service, Internet endpointi, check- Using C ARONTE we perform the first measurement study
ing if the Internet endpoint corresponds to the Web server host- on the prevalence of location leaks in hidden services. Out
ing the hidden service. Previous work that leverages leaks on of 1,974 live HTTP hidden services, C ARONTE success-
a servers clock skew [12, 13] or software version [15] assume fully deanonymizes the location of 5% of them. Of the
a closed-world and use the leaks only for validation. In con- deanonymized hidden services 21% are running on Tor relays.
trast, our approach leverages location leaks to obtain also the The remaining 79% could not be deanonymzed in a close-
candidate servers. world.
We implement our approach in a tool called C ARONTE,
which takes as input the URL of a hidden service and tries B IBLIOGRAPHY
to deanonymize it through location leaks. C ARONTE can be [1] 1 Roger Dingledine and Nick Mathewson and Paul Syverson, Tor: The
Second-generation Onion Router, Proceedings of the 13th USENIX Se-
used by hidden service administrators to check their site for curity Symposium, 2004.
a subset of content and configuration errors that can lead to [2] N. Hopper, Short Paper: Challenges in Protecting Tor Hidden Services
deanonymization. If it manages to recover the hidden services from Botnet Abuse, Proceedings of the 18thInternational Conference on
Financial Cryptography and Data Security, 2014.
IP address, it provides proof of the need to improve operational [3] Kaffeine, Guess who is back again, Cryptowall, http:
security. However, it only tests for a subset of potential leaks //malware.dontneedcoffee.com/2015/01/guess-whos-
for which we can automate validation. Thus, it cannot guaran- back-again-cryptowall-30.html, January 2015.
[4] D. H. Lipman, Mailing list post: [tor-talk] vwfws4obovm2cydl.onion?,
tee the hidden service is free of location leaks. https://lists.torproject.org/pipermail/tor-
talk/2012-June/024565.html, June 2012.
D. Evaluation [5] Nicolas Christin, Traveling the Silk Road: A measurement analysis of a
large anonymous online marketplace, Proceedings of the 22nd interna-
To test C ARONTEs effectiveness we have applied it to 1,974 tional conference on World Wide Web, pp. 213224, 2013.
live HTTP and HTTPS hidden services, of which C ARONTE [6] Kim Zetter, Wired: How the Feds Took Down the Silk Road
Drug Wonderland, http://www.wired.com/2013/11/silk-
recovers the IP address of 101 (5%). Our results can be con- road/, November 2013.
sidered the first measurement study of location leaks in Tor [7] Andy Greenberg, Wired: Global Web Crackdown Arrests 17, Seizes
hidden services. Since C ARONTE is designed to look only Hundreds Of Dark Net Domains, http://www.wired.com/
2014/11/operation-onymous-dark-web-arrests/,
for a small subset of location leaks and can only verify the November 2014.
leaks in some server configurations, its results are conserva- [8] Tor Project, Tor and the Silk Road takedown, https://blog.
torproject.org/blog/tor-and-silk-road-takedown,
tive, i.e., some services not deanonymized could still be vul- October 2013.
nerable. We cross-reference the hidden services C ARONTE [9] Tor Project, Thoughts and Concerns about Operation Onymous,
deanonymizes with the list of hidden services deanonymized https://blog.torproject.org/blog/thoughts-and-
concerns-about-operation-onymous, November 2014.
in operation Onymous [18]. We find 2 onion addresses in [10] Lasse verlier and Paul Syverson, Locating Hidden Servers, Proceed-
common and another 5 hidden services that when C ARONTE ings of the IEEE Symposium on Security and Privacy, 2006.
deanonymized them they were hosted on a different onion ad- [11] Alex Biryukov and Ivan Pustogarov and Ralf-Philipp Weinmann, Trawl-
ing for Tor Hidden Services: Detection, Measurement, Deanonymiza-
dress. While we do not know if law enforcement used location tion, Proceedings of the IEEE Symposium on Security and Privacy,
leaks to deanonymize those hidden services, we do know that 2013.
some of the deanonymized sites did not have strong operational [12] Steven J. Murdoch, Hot or Not: Revealing Hidden Services by Their
Clock Skew, Proceedings of the 13th ACM Conference on Computer
security. Those sites could have used C ARONTE to get an early and Communications Security, 2006.
warning of their problems. [13] Sebastian Zander and Steven J. Murdoch, An Improved Clock-skew
Our results also show that 21% of the deanonymized ser- Measurement Technique for Revealing Hidden Services, Proceedings
of the 17th USENIX Security Symposium, 2008.
vices are hosted on Tor relays. Hidden services on Tor relays [14] Alex Biryukov and Ivan Pustogarov and Fabrice Thill and Ralf-Philipp
can easily be deanonymized, even in the absence of location Weinmann, Content and Popularity Analysis of Tor Hidden Services,
leaks, assuming a closed-world where relays IP addresses are Proceedings of the First International Workshop on Big Data Analytics
for Security, June 2014.
candidate locations for a hidden service. It also shows the im- [15] Adrian Crenshaw, Darknets and hidden servers: Identifying the true
portance of assuming an open-world, as 79% of hidden ser- IP/network identity of I2P service hosts, Black Hat DC, 2011.
[16] Robert Graham, Reading the Silk Road configuration,
vices C ARONTE deanonymizes cannot be deanonymized under http://blog.erratasec.com/2014/10/reading-silk-
the closed-world assumption. C ARONTE also identifies 9 hid- road-configuration.html, October 2014.
den services that redirect their users to Internet sites through [17] Bryan Krebs, Silk Road Lawyers Poke Holes in FBIs Story,
http://krebsonsecurity.com/2014/10/silk-road-
HTTP, negating the benefit of encryption in the last hop. lawyers-poke-holes-in-fbis-story/, October 2014.
[18] Nik Cubrilovic, Large Number of Tor Hidden Sites Seized by the FBI
E. Conclusion in Operation Onymous were Clone or Scam Sites, https://www.
nikcub.com/posts/onymous-part1/, November 2014.
In this paper we have presented C ARONTE, a tool to
deanonymize hidden services through location leaks in their
19
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
20
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
perlbench bzip2 gcc gobmk hmmer sjeng libquantum h264ref omnetpp astar Xalan specrand
Base (s) 484.3575 763.5413 473.0578 460.8152 706.0565 634.9261 222.4177 713.5450 515.4308 534.0191 344.2357 0.4091
Pin Null 1.8491x 1.1887x 1.5895x 1.4497x 1.1325x 1.4741x 1.2951x 1.8465x 1.2059x 1.1124x 1.3941x 6.2298x 1.8140x
PROPID 1.8532x 2.0960x 4.1527x 4.1330x 1.1325x 1.4725x 1.2829x 1.8434x 1.2063x 1.1307x 11.7568x 6.2928x 3.1961x
Tabla I
S OBRECARGA INTRODUCIDA POR P IN Y PROPID.
tamente, el contador de programa). Segundo, se han Como posible trabajo futuro se plantea otro CFI
aislado las estructuras de control de la defensa de que asegure la ejecucion completa de las funciones,
las estructuras y datos propios del programa, para evitando as la ejecucion de gadgets por no pasar
evitar que una corrupcion de memoria intencionada por el punto de entrada. Para garantizar la integridad
pudiera modificar la estructura de la defensa para de las funciones, se puede usar una estructura de
evadirla. marcas LIFO, de forma que al pasar por el punto
Hemos implementado esta idea sobre la arquitec- de entrada se anadiera a la estructura una marca
tura x86 de Intel/AMD usando PIN, una herramien- unica y al final de cada funcion se verificara que
ta DBI de Intel [4]. Nuestro prototipo se denomina la ultima marca existente es correcta y se eliminara.
PROPID (Prevencion de ataques ROP en ejecucion
mediante Instrumentacion Dinamica) y es efectivo R EFERENCIAS
en la proteccion de ataques ROP verificando un [1] H. Shacham, The Geometry of Innocent Flesh on the Bone:
principio muy simple: la direccion a la que vuelve Return-into-libc Without Function Calls (on the x86), in
una instruccion RET debe coincidir con la guardada Proceedings of the 14th ACM Conference on Computer and
Communications Security (CCS). New York, NY, USA:
en el CALL correspondiente, respetando el nivel ACM, 2007, pp. 552561.
de anidacion de la llamada. Para demostrar que [2] K. Liu, H. B. K. Tan, and X. Chen, Binary Code Analysis,
la defensa funciona se ha creado una prueba de Computer, vol. 46, no. 8, pp. 6068, 2013.
[3] D. Wagner and D. Dean, Intrusion detection via static
concepto con una vulnerabilidad preparada para su analysis, in Proceedings of the 2001 IEEE Symposium on
explotacion y se ha buscado un software comercial Security and Privacy, 2001, pp. 156168.
con una vulnerabilidad conocida, VLC 0.9.6 [5]. En [4] C.-K. Luk, R. Cohn, R. Muth, H. Patil, A. Klauser, G. Low-
ney, S. Wallace, V. J. Reddi, and K. Hazelwood, Pin:
ambos casos PROPID detecta el ataque antes de la Building Customized Program Analysis Tools with Dynamic
ejecucion del primer gadget. Instrumentation, in Proceedings of the 2005 ACM SIG-
Por ultimo, hemos ejecutado el benchmark SPEC PLAN conference on Programming Language Design and
Implementation (PLDI), ser. PLDI 05. New York, NY,
CPU 2006int con dos objetivos [6]. Primero, se USA: ACM, 2005, pp. 190200.
ha comprobado que PROPID no produce falsos [5] Exploit Database, VLC Media Player < 0.9.6 - (.rt) Stack
positivos. Y segundo, se ha medido la sobrecarga Buffer Overflow Exploit, [Online], November 2008, https:
//www.exploit-db.com/exploits/7051/.
introducida por Pin y por la defensa. Los resultados [6] SPEC, SPEC CPU 2006, https://www.spec.org.
se resumen en la Tabla I. El slowdown medio o [7] G.-R. Uh, R. Cohn, B. Yadavalli, R. Peri, and R. Ayyagari,
bajada de rendimiento medio, producido por Pin sin Analyzing dynamic binary instrumentation overhead, in
WBIA Workshop at ASPLOS, 2006.
instrumentacion es de 1.81x, que coincide con los
resultados descritos en [7]. Los programas con tiem-
pos de ejecucion muy breves tienen una sobrecarga
mucho mayor por tener amortizar antes el tiem-
po consumido por Pin. Por ejemplo, el programa
specrand tarda 2.54s cuando se instrumenta con
Pin, teniendo un tiempo base de 0.4s. Las pruebas
preliminares de PROPID dan un slowdown medio
de 3.19x, con un maximo de 11.75x para Xalan.
En general consideramos que es un resultado pro-
metedor que creemos poder mejorar.
21
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
1
Resumen Apache es el servidor web mas utilizado, por ceso hijo por un nuevo valor aleatorio cuando la llamada
lo que encontrar un fallo afecta a muchos sistemas, lo que fork() es invocada.
alienta a los atacantes a explotar vulnerabilidades en estos
servidores. Volver a randomizar el canario en tiempo de ejecucion
Uno de los vectores de ataque mas explotado es el des- fue planteado por H.Marco et al. [4] como medida preven-
bordamiento de pila. Un ejemplo, es el reciente ataques tiva frente a los ataques de fuerza bruta contra el canario
llamado Offset2lib, el cual bypasea tanto el SSP como el
ASLR en menos de un segundo. Por ello, es imperativo
en ataques de desbordamiento de pila.
aplicar mecanismos de proteccion que prevengan ataques Puesto que el valor del canario que protege los datos
de este tipo. sensibles del marco de pila actual debe ser invariante al
En este trabajo se estudia la viabilidad de aplicar la inicio y la concluir la funcion (de hecho, si el canario ha
tecnica renewSSP la cual elimina todo tipo de ataques de
fuerza bruta contra el SSP en servidores Apache. Se con- sido modificado antes de retornar, el proceso se aborta),
cluye que el renewSSP puede ser aplicado de forma trans- solo se puede cambiar el valor de canario si y solo s se
parente sin necesidad de modificar el codigo de Apache y dan las siguientes condiciones:
con un sobrecarga inapreciable.
1. La funcion del proceso hijo donde se cambia el canario
nunca vuelve a la funcion llamadora, o
I. Introduccion 2. La funcion donde se cambia el canario vuelve a la
Apache es un servidor web ampliamente conocido y ac- funcion llamadora (o alguna de sus antecesoras) pero no
tualmente sigue siendo el mas utilizado [1]. Desafortu- comprueba el canario.
nadamente, esto hace que sea tambien uno de los mas Puesto que la renovacion del canario se realiza una unica
atacados. Tanto Apache como el resto de servidores de vez al inicio de la ejecucion del proceso hijo y esta con-
red deben ser a la vez robustos y rapidos. Es por ello que siste en obtener un numero aleatorio, la sobrecarga es
en general solo se utilicen tecnicas de proteccion con una practicamente inapreciable.
sobrecarga muy baja. RenewSPP es una ayuda efectiva para prevenir la in-
Uno de los vectores mas conocidos y utilizados por los feccion de sistemas frente spyware, adware y otros ame-
atacantes continua siendo el clasico desbordamiento de nazas desconocidas. Mas detalles sobre esta nueva tecnica
pila. Existen tecnicas de proteccion como el NX (Non- en [4].
eXecutable), SSP (Stack Smashing Protector) o Address
Space Layout Randomization (ASLR) que reducen en gran III. Apache 2
medida el exito de los atacantes. Desgraciadamente, to- El servidor web Apache puede ejecutarse en diferentes
dava existen ataques que logran circunvalar estas pro- modos dependiendo del grado de seguridad o rendimiento
tecciones. Un ejemplo es el reciente ataque llamado Off- que se desee. Basicamente se pueden diferenciar dos mo-
set2lib, el cual bypasea todas estas tecnicas de proteccion. dos de ejecucion: el modelo de hilos (threaded) y el modelo
Este ataque, en su version mas rapida y peligrosa, utiliza de procesos (forking). En el primer caso, cada peticion
un ataque de fuerza bruta conocido como byte-for-byte [2] es atendida por un hilo lo cual tiene mayor rendimiento y
para derrotar al SSP, lograndolo en menos de un segundo. menor consumo de memoria, pero es mas inseguro. Esto es
En este papel se presenta un breve resumen de la tecnica as por que si un hilo termina incorrectamente, la ejecucion
RenewSSP y como esta se puede utilizar en el servidor de los demas hilos, sera abortada. Como consecuencia,
Apache de dos formas diferentes: de forma transparente todas las conexiones asociadas a cada hilo de ejecucion se
sin modificar el binario de Apache (mediante la carga de cerraran, aunque estos no hayan generado error, pudiendo
una librera previa, LD PRELOAD), y por otra parte, modi- provocar una denegacion de servicio a otros usuarios.
ficando los fuentes. En forking model, cada peticion web es atendida por
un proceso, evitando as que un error (intencionado o no)
II. RenewSSP afecte a los demas clientes. Aunque el consumo de recursos
RenewSSP [3] es una modificacion de la tecnica de pro- es un poco mayor, es el modelo mas utilizado ya que se
teccion Stack Smashing Protector (SSP) la cual elimina consigue mayor grado de seguridad. Por otra parte, el
los ataques de fuerza bruta contra el canario de pila. La protocolo http es stateless lo que permite que cada peticion
tecnica consiste en renovar el valor del canario de un pro- se puede manejar de forma completamente independiente,
haciendo al modelo forking el mas recomendable. En este
Financiado por la Universitat Politecnica de Valencia 2014-4186. trabajo se considerara solo el modelo de procesos.
22
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
2
23
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
1
24
JNIC2015 Segunda sesion: Artculos cortos - Vulnerabilidades, Malware y exploits
2
{
compilar un unico programa para muchos sistemas difer- Source code
Oline
entes sin necesidad de adaptar el codigo. Como resul-
{
tado se disponen de varios ejecutables en formato ELF Crosscompiler Crosscompiler
para distintas arquitecturas, siendo estos semanticamente
...
suite 1 suite N
equivalentes.
La segunda parte de la tecnica consiste en ejecutar efi- Variant 1 Variant N
libs ... libs
cientemente estos programas. Para ello se emplea la emu-
lacion a nivel de proceso usando Qemu (Qemu usermode).
Online
Qemu dispone de dos formas de emulacion: 1) system Syscall
translator
CPU 1
emulator ... Syscall
translator
CPU N
emulator
mode y 2) usermode. En la primera como muestra la Virtualizer Virtualizer
(ROM, buses, perifericos,...). La emulacion usermode con- Monitor Consistency detector Policy
25
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
1
Resumen En este artculo se propone el uso de Sis- ofrece un compromiso entre los beneficios obtenidos al de-
temas Inmunitarios Artificiales (AIS) para la mitigacion de tectar y mitigar el ataque, frente a la mera adopcion de
ataques de Denegacion de Servicio (DoS) basados en inun-
dacion. La propuesta se basa en la construccion de redes estrategias preventivas. Esto hace que su aplicacion re-
de sensores distribuidos a lo largo del entorno protegido. sulte especialmente eficaz en el area de la seguridad de la
Estos componentes son capaces de identificar las amenazas informacion, tanto en la deteccion de malware [3] como
y reaccionar acorde al comportamiento de los mecanismos
biologicos de defensa en los seres humanos. Para ello se
en la defensa frente a ataques de denegacion de servicio
emula su reaccion ante diferentes tipos de incidencias, y [4]. Con esta motivacion, en este paper se propone una
se elabora una memoria inmunitaria. La experimentacion estrategia para la mitigacion de ataques DoS de origen
realizada demuestra su eficacia y precision al desplegarse dristribuido (DDoS) basados en inundacion. Para ello se
sobre redes de diferentes caractersticas.
introduce el despliegue de una red de sensores que integra
un AIS inspirado en los mecanismos de defensa biologicos
I. Introduccion de los seres humanos. A diferencia de propuestas simi-
lares, no se han aplicado metodos convencionales de re-
El importante aumento de los ataques de Denegacion conocimiento de patrones bioinspirados. En su lugar se
de Servicio (DoS) observado en los ultimos anos ha puesto propone una combinacion de las estrategias de detecion
sobre aviso a las principales organizaciones para la ciberse- de DDoS basadas en el estudio de variaciones en la en-
guridad. Segun informa la Agencia Europea de Seguridad tropa y la construccion de umbrales predictivos, con la
de las Redes y de la Informacion (ENISA) [1], desde el adaptacion de las reacciones inmunitarias biologicas. De
ano 2013 su capacidad de inundacion de redes ha exper- este modo es posible la aplicacion en tiempo real de con-
imentado un crecimiento promedio del 70% respecto al tramedidas, y la elaboracion de una memoria inmunitaria.
del ano 2013. La mayor parte de los ataques DoS iden- El resto del artculo esta estructurado de la siguiente
tificados se han basado en la inundacion por medio de la manera: en la seccion 2 se describen los trabajos relaciona-
inyeccion de un gran volumen de trafico, cuyo nivel de dos con la denegacion de servicio, el sistema inmunitario
congestion mas alto ha superado un 240% al observado en humano, y sistemas artificiales inmunitarios. En la seccion
2013 (agotando un ancho de banda de 325 Gbps). Esto es 3 se propone un AIS para la mitigacion de ataques DDoS.
debido principalmente a la mejora de su capacidad de re- En la seccion 4 se describe la experimentacion realizada y
flexion, la sofisticacion de las botnets a partir de las cuales se discuten sus resultados. Finalmente, en la seccion 5 se
son ejecutados, su cada vez menor dependencia de ellas, presentan las conclusiones.
la eficacia de los nuevos metodos para la evasion de sis-
temas de deteccion y el crecimiento de las estrategias de II. Trabajos relacionados
ocultacion de su rastro. En consecuencia, la comunidad
investigadora se ha volcado en el estudio de esta amenaza y A. Denegacion de Servicio
el desarrollo de contramedidas [2]. Sin embargo, y dado el En [2] se recopilan las principales tendencias de la de-
continuo crecimiento de estas intrusiones, es evidente que fensa frente amenazas de denegacion de servicio, y son
todava esta muy por detras de los atacantes. Este hecho agrupadas considerando diferentes ejes de clasificacion.
lleva a la necesidad de plantear enfoques innovadores, que Uno de los mas recurrentes es su manera de actuar. En
sean capaces de abrir futuras lneas de trabajo, abarcando base a esto, los esquemas defensivos son divididos en tres
las principales carencias de la bibliografa. categoras: deteccion, mitigacion e identificacion del ori-
De entre estas soluciones destacan los Sistemas Inmu- gen.
nitarios Artificiales (AIS). Los AIS son aproximaciones a La deteccion de los ataques de denegacion de servi-
problemas de computacion inspirados en los principios y cio a menudo desencadena el resto de tareas defensivas.
procesos, involucrados en las defensas biologicas de los or- Con este fin, en los ultimos anos ha sido propuesta una
ganismos vertebrados. Su implementacion habitualmente gran cantidad de estrategias, como modelos de Markov
26
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
2
[5], matrices de correlacion [6], teora del Caos [7], mode- cargados de reconocer al antgeno, y de su eliminacion. En
los predictivos y CUSUM sobre series temporales [8], vi- la reaccion humoral, los anticuerpos Ac detectan y elimi-
sualizacion [9] o logica difusa [10]. Uno de los metodos nan la amenaza por deglucion. Los restos de este proceso
de mayor proyeccion en la actualidad es el analisis basado son capturados por linfocitos Th , y estos estimulan a los
en la observacion de variaciones en la entropa del trafico. linfocitos Tb para generar una cantidad aun mayor de Ac
En [11] se demuestra que ofrece mejor precision que las especializada en reconocer esa amenaza. Sin embargo, en
otras tecnicas al procesar datos procedentes de redes con la respuesta celular los propios linfocitos Th detectan la
caractersticas muy heterogeneas, tal y como sucede en intrusion. Entonces atraen a citotoxinas Tc para su elim-
las redes actuales. En [12] se recopilan diferentes aproxi- inacion. Al igual que en el caso anterior, los restos es-
maciones relacionadas con la aplicacion de la entropa en timulan su generacion, especializandolas contra la nueva
este tipo de problemas y se discuten posibles metodos de amenaza. Los nuevos linfocitos podran identificar y de-
evasion. tectar directamente el antgeno.
Las propuestas para la mitigacion de los ataques de En ambas reacciones, el incremento de las medidas de-
denegacion de servicio tienen como objetivo la reduccion fensivas es temporal. Pasado un periodo de cuarentena,
total o parcial del dano causado por la intrusion. De el sistema se regula mediante la eliminacion del exceso
entre los temas de mayor candencia destacan el uso de de efectivos. Estos estan programados para desapare-
puzles para el reconocimiento de usuarios no humanos cer mediante apoptosis o muerte celular. La inmunidad
[13], trampas y senuelos [14], ampliacion del ancho de adquirida es la base de la vacunacion en los seres humanos.
banda, filtrado y protocolos de seguridad [15]. Los tres Al detectarse muestras de un antgeno es posible desarrol-
ultimos tambien pueden ser desplegados como herramien- lar contramedidas temporales y especficas para su elim-
tas de accion preventiva. Por otro lado, la identificacion inacion. De este modo la respuesta es mas rapida y mas
del origen trata de desenmascarar la ruta que ha seguido efectiva.
el ataque con el fin de llegar hasta su autor. Es una labor
que en los ultimos anos ha ganado complejidad, dado el C. AIS en la Ciberseguridad
crecimiento de los metodos de ocultacion de rastros. En La adaptacion de las defensas biologicas a la seguri-
[16] se discute este problema, se recopila una gran canti- dad de la informacion habitualmente se lleva a cabo me-
dad de aproximaciones actuales, y se introduce un nuevo diante el despliegue de sistemas multiagente [18], y la em-
esquema de seguimiento uniforme. En [17] se estudia la ulacion de la actividad en las celulas inmunitarias. Estas
influencia de las caractersticas de la topologa de la red a menudo aplican cuatro tipos de algoritmos: seleccion
en la eficacia de las estrategias de marcados de paquetes. negativa, seleccion clonal, redes inmunitarias artificiales y
teora del peligro (DT).
B. El Sistema Inmunitario Humano
La seleccion negativa es el proceso mediante el cual los
Las distintas especies han desarrollado multiples mecan- agentes inmunitarios aprenden a distinguir antgenos del
ismos inmunitarios, destacando entre ellos, y por su nivel resto de celulas del propio organismo. En aproximaciones
de sofisticacion, los de las especies vertebradas. Dichos como [19] se aplica en la deteccion de anomalas. Pero tal y
sistemas constan de muchos tipos de protenas, celulas, como apuntan sus autores, es una metodologa que tiende
organos y tejidos, los cuales se relacionan en una red elab- a la generacion de altas tasas de falsos positivos, situacion
orada y dinamica. Como parte de esta respuesta inmu- que frecuentemente lleva a su complementacion mediante
nitaria mas compleja, el sistema inmunitario humano se algoritmos de seleccion clonal [20]. Estos parten de asumir
adapta con el tiempo para reconocer antgenos especficos que cada linfocito en su etapa de crecimiento debe de ser
de manera mas eficaz. A este proceso de adaptacion se capaz de reaccionar contra un antgeno concreto antes
le llama inmunidad adaptativa. A los mecanismos de de- de ser liberado en el organismo. La seleccion clonal es
fensa no adquiridos se les llama inmunidad innata, y ha- una solucion eficaz a problemas de reconocimiento y opti-
bitualmente constituyen su primera lnea de defensa. En mizacion [21]. En propuestas como [22] tambien se aplica
la inmunidad innata cada agente es capaz de reconocer a la identificacion de malware.
y eliminar diferentes tipos de antgenos. Las reacciones Las redes inmunitarias parten de las bases de la se-
inmunitarias innatas son de rechazo, y se llevan a cabo leccion clonal, extendidas al ambito de redes. Suele uti-
por barreras externas fsicas como la piel o mucosas, y de lizarse para que los distintos actores de los AIS interactuen
elementos defensivos internos, como fagocitos o celulas as- entre s. Por ejemplo, en [23] se usa para relacionar agentes
esinas naturales NK (del ingles Natural Killers). Carecen que implementan tecnicas de seleccion negativa, mientras
de memoria inmunitaria, y unicamente es efectiva contra que en [24] se combina con la teora del peligro.
patogenos conocidos a priori. La teora del peligro tiene en cuenta los ultimos avances
Por otro lado, la inmunidad adaptativa presenta especi- de la investigacion medica. En consecuencia, y al contrario
ficidad, es decir, tras aprender a rechazar un antgeno, que sus predecesores, rechaza la idea de que los organis-
el conocimiento adquirido permite reaccionar con mayor mos tengan capacidad de distinguir entre celulas propias
contundencia contra el. Las celulas mas importantes de y antgenos. En su lugar postula que la activacion de
este proceso son los linfocitos y las celulas presentadoras. las reacciones inmunitarias tiene su origen en senales de
Existe dos tipos de reacciones inmunitarias adaptativas: alerta procedentes de tejidos en contacto con la amenaza.
humorales y celulares. En ambas participan agentes en- Se trata de uno de los algoritmos mas frecuentes en la bib-
27
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
3
liografa. Las bases para su adaptacion a la deteccion de nuevos ataques y participan en la elaboracion de la memo-
intrusiones son propuestas en [25]. En [26] se aplica en la ria inmunitaria. Finalmente los DA tienen la capacidad de
deteccion de intrusiones mediante el estudio de llamadas detectar y mitigar ataques previamente identificados por
al sistema. los DH . Sus comunicaciones internas se llevan a cabo en
No todos los AIS se basan en procesos concretos de los un canal diferente del protegido, con el fin de fortalecer al
esquemas inmunitarios. Algunas aproximaciones imitan sistema de ser inutilizado y reducir su impacto en la cal-
las caractersticas de las reacciones inmunitarias innatas idad de servicio de la red. El AIS actua en las siguientes
y adaptativas de los seres vertebrados. En [27] esto se etapas:
aplica a la deteccion de anomalas en el trafico de redes. 1. Inicialmente los DH analizan el trafico que fluye a
Su respuesta inmunitaria adaptativa implica la clonacion traves de ellos. Los DA permanecen en inactividad
de un mayor numero de agentes anticuerpos en las regiones hasta ser activados. Cuando los DH identifican ame-
amenazadas. En [28] los anticuerpos son agentes moviles nazas procedentes de un nodo intermedio, bloquean su
que recorren una red en busca de indicios de dano. conexion (respuesta innata). A continuacion envan
senales a los DA de las proximidades para proceder a
III. AIS para la defensa frente a DDoS su activacion frente a esa amenaza (respuesta adapta-
A. Caractersticas del Diseno tiva).
2. Cuando los DA son activados, analizan el trafico proce-
Las principales caractersticas del sistema inmunitario dente del atacante. A diferencia de DH , el nivel de
biologico han sido asumidas, y adaptadas a la defensa restriccion de su umbral de decision es incrementado
frente a DDoS de la siguiente manera: proporcionalmente a las caractersticas del ataque.
Respuesta innata y adquirida. la propuesta tiene ca- Tambien bloquean las amenazas identificadas. De este
pacidad de reaccion frente a ataques DDoS no recono- modo, si el ataque sigue rutas alternativas tambien es
cidos con anterioridad. Una vez detectados, fortalece mitigado.
las medidas defensivas contra futuras replicas. 3. Cuando diferentes DH emiten senales de activacion
Especificidad. En la naturaleza cada celula inmuni- para contrarrestar un ataque, los DA tienen en cuenta
taria reacciona contra un unico tipo de antgeno. En la mas restrictiva. Los DA se desactivan unicamente
esta aproximacion, la respuesta innata es comun ante cuando ha pasado un periodo de tiempo de cuarentena,
cualquier tipo de amenaza detectada. Sin embargo, la o no han recibido senales de activacion. Los DH per-
reaccion inmunitaria unicamente afecta a la deteccion manecen continuamente en estado de monitorizacion.
del ataque de inundacion que la ha desencadenado. En Fig. 1 se muestra un ejemplo del comportamiento
Clonalidad. Al detectarse un antgeno desconocido, la
del AIS frente a un ataque DDoS. Este parte de la
respuesta adaptativa biologica clona las celulas que han situacion mostrada en Fig. 1(a), donde S es el nodo ori-
sido capaces de reconocerlo. De este modo aumentan las gen, T el nodo destino y Ni el nodo i intermedio. En
posibilidades de identificar sus replicas. En esta aprox- el caso de que el sensor DH no sea capaz de reconocer
imacion sucede lo mismo al detectarse ataques DDoS la amenaza, se propagara a lo largo de la red protegida,
desconocidos. debido a sus polticas de balanceo de carga (Fig. 1(b)).
Memoria inmunitaria. Tanto en la naturaleza como en
Pero si el ataque es detectado con exito, DH reacciona
la propuesta, al detectarse una amenaza las contrame- de manera innata, descartando el trafico procedente del
didas adoptadas son conservadas durante un periodo origen, y alertando a los DA vecinos (Fig. 1(c)). Estos
de tiempo. Esto permite reaccionar con mayor eficacia activaran su respuesta adaptativa cada vez que el ataque
ante futuras replicas. intente trazar caminos alternativos (Fig. 1(d)), mitigando
Autorregulacion. Tras la respuesta adaptativa, el sis-
completamente la amenaza.
tema inmunitario humano es regulado por la apoptosis
A pesar de su sencillez, este esquema presenta una se-
de gran parte las nuevas celulas. En esta propuesta, las
rie de ventajas muy efectivas. En primer lugar, permite
nuevas medidas defensivas tambien son reducidas tras
aumentar las medidas defensivas al reconocerse una ame-
pasar un determinado periodo de tiempo sin detectarse
naza. Esto hace que su sobrecarga sea proporcional al
replicas de la misma amenaza.
nivel de riesgo de la red. Ademas, la propiedad de especi-
Autonoma. En ambos casos las entidades del esquema
ficidad de los sistemas biologicos hace que solo se apliquen
defensivo operan sin un control centralizado.
en conexiones concretas, sin afectar al analisis del resto del
Diversidad. El conjunto de agentes inmunitarios debe
trafico. Por otro lado, la presencia de dos tipos de agentes
de ser capaz de detectar cualquier tipo de antgeno.
permite adaptar el despliegue defensivo al entorno de mon-
Por lo tanto, el diseno debe de ser capaz de identificar
itorizacion. Los sensores con mayor capacidad de computo
cualquier tipo de DDoS basada en inundacion.
actuaran como DH y el resto como DA . Notese que un
mismo nodo podra desempenar ambas funciones. Final-
B. Comportamiento del Sistema
mente, el nivel de restriccion del sistema se autorregula
Se han considerado dos tipos de agentes: detectores H por medio de la desactivacion de los sensores pasado un
o DH y detectores A o DA . Los DH se involucran tanto tiempo de cuarentena. Mientras la activacion frente a una
en la respuesta inmunitaria innata como en la adaptativa. amenaza concreta pertenezca activa, esta formara parte
En consecuencia permiten la deteccion y el bloqueo de de la memoria inmunitaria.
28
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
4
S S
St = (Ht Bt ) + (1 )Btn (4)
29
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
5
1 1
TPR H
0.8 0.8 TPR A
FPR H
FPR A
0.6 0.6
TPR H
0.4 0.4
TPR A
FPR H
0.2 FPR A 0.2
0 0
0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1
Fig. 2 Fig. 4
Eficacia en funcion la localizacion de los agentes. Eficacia en funcion la congestion de la red.
1 1
TPR H
0.8 TPR A 0.8
0.6 0.6
0.4 0.4
Fig. 3 Fig. 5
Eficacia en funcion la potencia del ataque. Eficacia de la propuesta en funcion la longitud del ataque
30
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
6
ren. Cuando actua unicamente la respuesta innata, se ha [10] P.A.R. Kumar, S. Selvakumar, Detection of distributed denial
bloqueado el 81.4% de los ataques. Sin embargo, la re- of service attacks using an ensemble of adaptive and hybrid
neuro-fuzzy systems, Computer Communications, vol. 36, no.
spuesta adaptativa ha sido capaz de evitar el 95.5% de 3, pp. 303-319, 2013.
ellos, es decir, ha mejorado su eficacia un 14.1%. De la [11] M.H. Bhuyan, D.K. Bhattacharyya, J.K. Kalita, An empirical
grafica tambien se deduce que a mayor numero de conex- evaluation of information metrics for low-rate and high-rate
DDoS attack detection, Pattern Recognition Letters, vol. 51,
iones, mayor es la probabilidad de exito del ataque. no. 1, pp. 1-7, 2014.
[12] I. Ozcelik, R.R. Brooks, Deceiving entropy based DoS detec-
V. Conclusiones tion, Computers & Security, vol. 48, no. 1, pp. 234-245, 2015.
[13] B.B. Zhu, J. Yan, G. Bao, M. Yang, N. Xu, Captcha as Graph-
En este artculo se ha propuesto una nueva estrategia de ical Passwords-A New Security Primitive Based on Hard AI
defensa frente a ataques de denegacion de servicio basa- Problems, IEEE Transactions on Information Forensics and
Security, vol. 19, no. 6, pp. 891-904, 2014.
dos en inundacion. Para ello se ha emulado el compor- [14] K.E. Heckman, M.J. Walsh, F.J. Stech, T.A. OBoyle, S.R.
tamiento de las reacciones inmunitarias de los organismos DiCato, A.F. Herber, Active cyber defense with denial and
vertebrados, por medio del despliegue de un sistema inmu- deception: A cyber-wargame experiment, Computers & Secu-
rity, vol. 37, pp. 72-77, 2013.
nitario artificial. Cada uno de sus agentes ha combinado [15] S. Khanna, S.S. Venkatesh, O. Fatemieh, F. Khan, C.A.
sus funciones basicas, con estrategias de procesamiento de Gunter, Adaptive selective verification: an efficient adaptive
informacion propias de la deteccion y mitigacion de este countermeasure to thwart DoS attacks, IEEE/ACM Transac-
tions on Netwowking, vol. 20, no. 3, pp. 715-728, 2012.
tipo de amenazas; en concreto, mediante el estudio de la [16] N.M. Alenezi, M.J. Reed, Uniform DoS traceback, Comput-
entropa del trafico de la red, y la deteccion de anomalas ers & Security, vol. 45, no. 1, pp. 17-26, 2014.
capaces de sobrepasar sus umbrales de prediccion. [17] A.R. Kiremire, M.R. Brust, V.V. Phoha, Using network motifs
to investigate the influence of network topology on PPM-based
El sistema ha sido evaluado en un entorno de ex- IP traceback schemes, Computer Networks, vol. 72, no. 1, pp.
perimentacion simulado, que ha implicado diferentes 14-32, 2014.
topologas de red, congestion y ataques. Los resulta- [18] C.M Ou, Host-based intrusion detection systems adapted from
agent-based artificial immune systems, Neurocomputing, vol.
dos han demostrado una importante mejora al considerar 88, no. 1, pp. 78-86, 2012.
mecanismos de reaccion adaptativos, frente a considerar [19] P. Mostardinha, B.F. Faria , A. Zuquete, F.V. Abreu, A
Negative Selection Approach to Intrusion Detection, in Proc.
solo respuestas innatas (de manera similar a las propuestas 11th International Conference on Artificial Immune Systems
convencionales). Las lneas de investigacion futuras estu- (ICARIS), Taormina, Italy, 2012. Lecture Notes in Computer
diaran su comportamiento en entornos reales, y aplicaran Science, vol. 7597, pp. 178-190, 2012.
[20] R. Ligeiro, Monitoring applications: An immune inspired al-
diferentes estrategias de modelado del trafico, lo que per- gorithm for software-fault detection, Applied Soft Computing,
mitira sustituir el parametro de ajuste de la restrictividad vol. 24, pp. 1095-1104, 2014.
de los sensores DA , por metodos mas precisos. [21] L.N. Castro, F.J.V. Zuben, Learning and Optimization Using
the Clonal Selection Principle, IEEE Transactions on Evolu-
tionary Computation, vol. 6, no. 3, pp. 239-251, 2002.
Agradecimientos [22] K.A. Sheshtawi, H.M. Abdul-Kader, N.A. Ismail, Artificial
Los autores agradecen el apoyo brindado por el Pro- Immune Clonal Selection Classification Algorithms for Classify-
ing Malware and Benign Processes Using API Call Sequences,
grama de Financiacion de Grupos de Investigacion UCM International Journal of Computer Science and Network Secu-
validados de la Universidad Complutense de Madrid - rity, vol. 10, no. 4, pp. 31-39, 2010.
Banco Santander. [23] N.A. Seresht, R. Azmi, MAIS-IDS: A distributed intrusion
detection system using multi-agent AIS approach, Engineer-
ing Applications of Artificial Intelligence, vol. 25, pp. 286-298,
Referencias 2014.
[1] L. Marinos, A. Sfakianakis, ENISA (2015), Threat Landscape [24] H. Yang, J. Guo, F. Deng, Collaborative RFID intrusion de-
2014. Available: https://www.enisa.europa.eu/ tection with an artificial immune system, Journal of Intelli-
[2] S.T. Zargar, J. Joshi, D. Tipper, A Survey of Defense Mecha- gent Information Systems, vol. 36, no. 1, pp. 1-26, 2011.
nisms Against Distributed Denial of Service (DDoS) Flooding [25] U. Aickelin, P. Bentley, S. Cayzer, J. Kim., J. McLeod, Danger
Attacks, IEEE Communications Surveys & Tutorials, vol. 15, Theory: The Link between AIS and IDS, in Proc. 2nd Inter-
no. 4, pp. 2046-2069, 2013. national Conference on Artificial Immune Systems (ICARIS),
[3] C. Zheng, D.C. Sicker, A survey on biologically inspired algo- Edinburgh, UK, 2013. Lecture Notes in Computer Science, vol.
rithms for computer networking, IEEE Communications Sur- 2787, pp. 147-155, 2003.
veys & Tutorials, vol. 15, no. 3, pp. 1132-1191, 2013. [26] R. Azmi, B. Pishgoo, SHADuDT:secure hypervisor-based
[4] N.B.I. Al-Dabagh, I.A. Ali, Design and implementation of ar- anomaly detection based on danger theory, Computers & Se-
tificial immune system for detecting flooding attacks, in Pro- curity, vol. 39, part B, pp. 268-288, 2013.
ceedings of the International Conference on High Performance [27] A. Boukerche, R.B. Machado, K.R.L. Juca, J.B.M. Sobral,
Computing and Simulation (HPCS), Istanbul, Turkey, 2011, M.S.M.A. Notare, An agent based and biological inspired real-
pp. 381-390. time intrusion detection and security model for computer net-
[5] S. Shin, S. Lee, H. Kim, S. Kim, Advanced probabilistic ap- work operations, International Journal of Computer Commu-
proach for network intrusion forecasting and detection, Expert nications, vol. 30, pp. 2649-2660, 2007.
Systems with Applications, vol. 40, no. 1, pp. 315-322, 2013. [28] B.Chen, Agent-based artificial immune system approach for
[6] S.M. Lee, D.S. Kim, J.H. Lee, J.S. Park, Detection of DDoS adaptive damage detection in monitoring networks, Journal
attacks using optimized traffic matrix, Computers & Mathe- of Network and Computer Applications, vol. 33, no. 6, pp. 633-
matics with Applications, vol. 63, no. 2, pp. 501-510, 2012. 645, 2010.
[7] Y. Chen, X. Ma, X. Wu, A Rank Correlation Based Detection [29] S. Gelper, R. Fried, C. Croux, Robust forecasting with expo-
against Distributed Reflection DoS Attacks, IEEE Communi- nential and Holt-Winters smoothing, Journal of Forecasting,
cations Letters, vol. 17, no. 5, pp. 1052-1054, 2013. vol. 29, no. 3, pp. 285-300, 2010.
[8] C. Callegari, S. Giordano, M. Pagano, T. Pepe, WAVE- [30] S. Bhatia, D. Schmidt, G. Mohay, A. Tickle, A framework
CUSUM: improving cusum performance in network anomaly for generating realistic traffic for Distributed Denial-of-Service
detection by means of wavelet analysis, Computers & Secu- attacks and Flash Events, Computers & Security, vol. 40, no.
rity, vol. 31, no. 5, pp. 727-735, 2012. 1, pp. 95-107, 2013.
[9] Y. Cai, R.M. Franco, M. Garca-Herranz, Visual latency-based
interactive visualization for digital forensics, Journal of Com-
putational Science, vol. 1, no. 2, pp. 115-120, 2010.
31
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
yaiza_rv@hotmail.com y felixbrezo@gmail.com
Resumen-Las herramientas para la investigacin sobre perfiles orientadas a la identificacin de usuarios. Su funcionalidad
presentes en la red surgen como resultado de la utilizacin masiva principal consiste en la posibilidad de realizar bsquedas de
de la red por parte de los usuarios. Partiendo de la premisa de que usuarios en ms de 200 plataformas diferentes.
gran parte de los usuarios comparten alias en diferentes
plataformas, OSRFramework es una herramienta de software libre Palabras clave- fuentes abiertas, herramientas de investigacin,
que integra diferentes utilidades de investigacin en fuentes abiertas perfilado de usuarios, redes sociales
32
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
33
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
de que el perfil no existe o un 404. La ventaja que algunos sistemas puede ser necesario, bien incluir entre las
ofrece esta aproximacin es que, como se ver ms variables de entorno la ruta a un intrprete de Python 2.7, bien
adelante, la creacin de mdulos que consulten en establecer un enlace simblico a la ubicacin real de la
nuevas plataformas no es compleja. instalacin de Python 2.7 o bien ejecutar dichos comandos
Adems, para agilizar el trmite, en usufy.py se cuenta como python2.7 en lugar de solamente como python. A
con una opcin2 que, a partir de un dominio y en base efectos de este documento, se asumir en adelante una
a las frmulas ms empleadas en otras plataformas, se instalacin de Python que reconozca por defecto la versin 2.7.
comprueba si existe o no la posibilidad de generar una Tras descomprimir la carpeta y realizar la instalacin, se
URL vlida a partir de un alias. puede comprobar que esta se ha hecho correctamente
ejecutando:
En ambos casos, se podr procesar cada perfil para la
extraccin de atributos concretos de la pgina, incluso en python c import osrframework
plataformas y otros foros que no cuentan con API de consulta, Si no aparece ningn error, las aplicaciones y libreras
de los que se podr extraer con expresiones regulares algunos contenidas en el framework podrn ser utilizadas tanto desde
atributos de cada perfil. Como se ha visto, cada aproximacin otros programas como dentro de la carpeta osrframework. La
tiene sus ventajas e inconvenientes tal y como se recoge en la estructura de dicha carpeta es la siguiente:
Tabla I. patterns. Directorio que recoge los mdulos de
Tabla I. Ventajas e inconvenientes de las dos aproximaciones para investigar
expresiones regulares utilizados por la aplicacin de
perfiles de usuario en la red. extraccin de entidades entify.py.
Ventajas Inconvenientes thirdparties. Directorio que recoge las llamadas a
- Bsqueda avanzada sobre
- Importante capacidad de aplicaciones de terceros. En dicha carpeta se recogen
User miles de perfiles
almacenamiento tambin scripts que pueden ejecutarse de forma
enumeration - Seguimiento de la actividad
- Tiempo requerido para independiente y que realizan consultas sobre dichas
del perfil hacia atrs
realizar un ciclo completo de API.
monitorizacin
transforms. Directorio en el que se definen las
- Cliente ligero
- Sin posibilidad de hacer transformadas de Maltego y los ficheros de
- Almacenaje requerido
Usufy seguimiento previo a la configuracin necesarios para su ejecucin.
limitado
- Resultados inmediatos
investigacin utils. Directorio en la que se encuentran distintas
mdulos necesarios para el resto de aplicaciones.
III. INSTALACIN Y CONFIGURACIN DE LA HERRAMIENTA wrappers. Directorio en la que se encuentran las clases
Para poder utilizar la herramienta es necesario contar con la en las que se definen las operaciones de bsqueda en
versin de Python 2.7 instalada en el equipo 3. Opcionalmente, las plataformas.
si se quiere contar con la interfaz grfica de Maltego ser entify.py. Aplicacin para identificar entidades con
necesario contar con dicha plataforma. La versin Community expresiones regulares en texto y archivos.
se puede descargar desde la pgina de Paterva [3]. El resto de mailfy.py. Aplicacin para verificar la existencia o no
dependencias sern gestionadas por el propio script de de un correo electrnico.
instalacin.
phonefy.py. Aplicacin para identificar la vinculacin
A. Instalacin de la aplicacin de un nmero de telfono con llamadas de spam
telefnico.
La herramienta puede descargarse desde la pgina del
proyecto en Github [4]. Tras descomprimir el fichero, la searchfy.py. Aplicacin para realizar bsquedas en
instalacin tanto en sistemas Windows como en Linux requiere distintas plataformas, tanto de la web de superficie
la ejecucin de los siguientes comandos desde la carpeta raz como de redes annimas.
del proyecto: usufy.py. Aplicacin para la identificacin de la
python setup.py build existencia de usuarios.
python setup.py install B. Creacin de nuevos wrappers
Se asumir en todos los casos de este documento que el El proceso de creacin de nuevos wrappers para la
comando python asume un intrprete de Python 2.7. En herramienta de usufy.py se enumera a continuacin:
2
Paso 1. Identificar la direccin URL genrica de la
Ejemplo de ejecucin: python usufy.py fuzz ejemplo.txt. En donde
ejemplo.txt ser un archivo en el que la primera columna (separadas entre s
plataforma que se quiere aadir y si requiere de
por un tabulador) de cada fila ser el dominio a analizar y la segunda el alias de credenciales o no para realizar la consulta.
un usuario que se sabe que existe en la plataforma. Paso 2. Identificar el mensaje de error que aparece
3
Las versiones de Python 3.0 y posteriores no son vlidas por cuestiones de
incompatibilidad de algunas libreras. cuando el usuario no existe. Este texto ser el que se trate
34
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
35
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
ms amplias. Posteriormente, se propondr una primera Los resultados obtenidos generan entidades del mismo tipo que
aproximacin de anlisis de la informacin recuperada y se las entidades de usufy.py que se pueden integrar en los mismos
integrar dicha informacin con la extrada de otras ficheros de salida y pueden venir determinados por la bsqueda
herramientas utilizando como elemento de representacin una de nombres y apellidos junto con otros trminos.
herramienta como Maltego. D. Exportacin y anlisis preliminar de la informacin obtenida
A. Generacin de alias candidatos a partir de informacin conocida Al margen de las capacidades de visualizacin de
En determinadas situaciones, puede no contarse con un alias informacin implementadas a partir de transformadas de
concreto al disponer solamente de algunos datos del perfil Maltego y que se comentan en el apartado G de esta seccin, se
objeto de estudio. Para dichos casos, se ha configurado un cuenta con la posibilidad de, adems de visualizar los
script que genera una lista de posibles alias a partir de la resultados por consola, exportar los resultados obtenidos en
informacin suministrada por el usuario y empleando una serie diferentes formatos.
de transformaciones observadas en el proceso de generacin de Formato JSON. Utilizado ampliamente en los
nuevos alias. En este caso, para lanzar su ejecucin en modo formatos de respuesta a llamadas a API, es til para la
interactivo bastara con escribir: representacin de informacin estructurada y,
python alias_generator.py especialmente, por la facilidad de mapear la
informacin en estructuras de diccionario en
Este modo de empleo preguntar a continuacin datos del
diferentes lenguajes de programacin.
usuario objeto de estudio y almacenar los resultados en un
fichero cuya localizacin se puede especificar utilizando el Formatos tabulares: CSV, ODS, XLS. La utilizacin
parmetro opcional -o. de estos formatos viene dada por la facilidad que
ofrecen los paquetes ofimticos para interactuar con
B. Identificar la existencia de otros perfiles con el mismo alias formatos tabulares en forma de tablas dinmicas y
En el caso de disponer de un alias o lista de ellos , se puede filtros. Esta sencillez permitir al analista la
consultar la existencia de perfiles que los utilicen en todas las realizacin de un filtrado de informacin interactivo
plataformas integradas. Se puede utilizar para ello la empleando estas herramientas as como la agrupacin
herramienta usufy.py de diferentes formas. Existen diferentes de los datos obtenidos entre otras operaciones.
formas de interactuar con la misma, algunas de las cuales, E. Identificacin de informacin adicional de entidades presentes en
aunque no de forma extensiva se recogen a continuacin: recursos web
Para identificar la utilizacin del usuario test_user en
Paralelamente a las capacidades de deteccin, en el
todas las plataformas:
framework se han desarrollado aplicaciones destinadas a la
python usufy.py n test_user p all identificacin de informacin adicional que complemente los
Para identificar la utilizacin de dos o ms usuarios se datos recabados de los perfiles.
puede configurar a travs de la misma lnea de Utilizando el script entify.py, se ha facilitado la
comandos: extraccin de entidades a partir de expresiones
python usufy.py n test_user1 test_user2 p all regulares conocidas. Los mdulos generados se
incluyen en la carpeta osrframework/patterns. Un
Para identificar usuarios incluidos en un fichero de
ejemplo de ejecucin sera el siguiente:
texto:
python entify.py r all w http://i3visio.com
python usufy.py l fichero_nicks.txt p all
Aunque se pueden configurar nuevas expresiones tanto por
Adems, la aplicacin concibe la posibilidad de configurar
lnea de comandos como a modo de extensiones, el framework
opciones de exportacin, seleccin de bsquedas en
trae consigo definidas las, siguientes expresiones regulares a
plataformas concretas, eleccin por tags o configuracin del
extraer integradas: bitcoinaddress, dni, dogecoinaddress, email,
nmero de hilos lanzados de forma simultnea.
ipv4, litecoinaddress, md5, namecoinaddress, peercoinaddress,
C. Identificar la existencia de perfiles asociados a determinadas sha1, sha256 y uri.
bsquedas Identificar la existencia de un correo electrnico
Utilizando el script searchfy.py, se pueden realizar consultas asociado a un alias o un correo electrnico a partir del
contra los servicios de bsqueda de usuarios de diferentes script mailfy.py4. Existe la posibilidad de verificar la
plataformas. Esta funcionalidad extiende la capacidad de existencia de un determinado alias en distintas
usufy.py al permitir aglutinar la existencia de perfiles en plataformas, as como verificar la existencia o no de
diferentes buscadores bajo una misma consulta. Un ejemplo de un correo dado.
ejecucin sera el siguiente:
4
Por razones derivadas de la utilizacin de la librera de terceros python-
python searchfy.py p all -q <name> <surname> emailahoy [5], la funcionalidad de esta aplicacin solamente se ha podido
confirmar en sistemas bajo Linux.
36
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
37
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
38
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
Abstract- The architecture for an Automated Intrusion Current AIRSs have a fixed approach to response metrics, so
Response System (AIRS) has been proposed in the RECLAMO that the metric cannot be dynamically chosen. We propose a
project. This system infers the most appropriate response for a
given attack, taking into account the attack type, context security architecture to be able to dynamically select the most
information, and the trust of reports from IDSs. Also, it is appropriate response. It takes into account factors such as the
necessary to evaluate the result of previous responses, in order to systems context, cost of responses, importance of resources,
get feedback for following inferences. This paper defines an and efficiency of responses.
algorithm to determine the level of success of the inferred In this scope, the RECLAMO project (Virtual and
response. The objective is the design of a system with adaptive
and self-learning capabilities. Neural Networks are able to Collaborative Honeynets based on Trust Management and
provide machine learning in order to get responses classification. Autonomous Systems applied to Intrusion Management), an
R&D project funded by the Spanish Ministry of Science and
Innovation, defines an AIRS able to dynamically interpret
I. INTRODUCTION metrics. In particular, it is achieved with an adaptive
Security is an important issue for any corporation. They have autonomous system based on assessment of the harm caused
to keep their systems safe from external attacks to maintain the for the intrusion and the cost of the responses.
service levels. Also, they must provide to costumers inside The autonomous system is developed based on information
information and correct operation of applications. formal models defined by ontologies [6]. It is used to represent
As the number of security incidents increases, becoming intrusion information, parameters of self-evaluation,
more sophisticated and widespread [1], Intrusion Detection confidence and reputation of IDSs, and others. The security
Systems (IDSs) [2] have evolved rapidly and there are now metrics use this information to infer the most appropriate
very mature tools based on different paradigms (statistical response. These metrics are represented in the formal language
anomaly-based [3], signature-based and hybrids [4]) with a SWRL (Semantic Web Rule Language) [7].
high level of reliability. IPSs (Intrusion Prevention Systems) IDMEF-based Ontologies (Intrusion Detection Message
have also been developed by combining IDS with a basic Exchange Format) [8] are used to homogenize information.
reactive response, such as resetting a connection. IRSs IDMEF format provides a common language to generate alerts
(Intrusion Response Systems) leverage the concept of IPSs and about suspicious events and are stored in Ontology classes [9].
provide the means to achieve specific responses according to The Ontology have been defined using OWL (Web Ontology
some predefined rules. Language) [10]. It takes advantages of Semantic Web, such as
Nowadays, IRSs are playing an important role in the security information inference.
architecture. These systems mitigate the impact of attacks in Our goal is to analyze the response efficiency triggered after
order to keep integrity, confidentiality and availability of the the arrival of an intrusion. Moreover, we want the AIRS to
resources. Automated Intrusion Response Systems (AIRS) automatically learn from previous responses. Specifically, we
provide the best possible defense, as well as shortening or propose the use of Neural Networks for this task.
eliminating the delay before administrators come into play. Artificial Neural Networks are a branch of Artificial
AIRSs are security technologies with the goal of choosing Intelligence called Machine Learning. In this group, there are a
and triggering automated responses against intrusions detected lot of learning techniques [11]. The purpose of our algorithm is
by IDSs, in order to mitigate them or reduce their impact [5]. to classify the success of the triggered response. Thus, the
Metrics are defined to measure different parameters AIRS is able to accomplish a self-learning process through a
necessary for response selection, such as the IDS confidence, response rate for future incidences of same kind.
the network activity level, the reliability of intrusion reports, The remainder of this paper is organized as follows. Section
and the importance of network components. Also, it is very II outlines the current state of the art in evaluation response and
relevant taking into account the complexity, severity, cost and Neural Network. The architecture of the AIRS is presented in
efficiency of responses. section III. Section IV gives an overview of the inference
process of the response system. The Neural Network proposed
is shown in section V along with its topology and parameters.
39
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
40
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
3. Optimal response according to the importance of the real values and not using thresholds, so that after calculating
asset committed is selected. For significant and the total satisfaction of the response, the AIRS makes the
critical assets, we consider the response efficiency decision of whether or not the response is good enough.
measured with the values given by neural network in
previous executions of the response. A. Topology
The generic topology of a multi-layer neural network is
V. NEURAL NETWORK represented in Fig. 2. Neural Networks always have an input
layer and an output layer with one or more neurons per layer.
Artificial Neural Networks are interconnected networks in In this figure, the input layer has five neurons, taking into
parallel with a hierarchical organization. These Neural account the bias neuron and the output layer has one neuron.
Networks attempt to interact with real world objects in the The subsection B explains the input layer for our goal. The
same ways as nervous system does [19]. output layer has one neuron to represent response efficiency.
Neurons are interconnected by their synapses, allowing Furthermore, the number of hidden layers and neurons should
transmission of information. The connections are not all equal, be chosen considering the total number of neurons, the
generalization error and the overfitting, as explained below.
The relationship between number of parameters and patterns
must be within 10% or 20% so that we need enough patterns
for generalization. Therefore, we must take into account this
relationship to select the number of neurons in the hidden layer
(or several hidden layers):
- Few neurons in the hidden layer will lead to higher
training and generalization error due to underfitting.
- In contrast, if there are many neurons in the hidden
layer then a low training error is obtained, but it has a
high generalization error due to overfitting.
The number of hidden layers should be taken in account,
since increasing the layers number can greatly increase the
so you have to assign weights to the connections, (Wi,j,k). number of parameters. In addition, most problems can be
Fig. 2. Multi-layer topology of Artificial Neural Networks solved optimally with one or two hidden layers.
Thus normally, the optimal neurons number in the hidden
The weights obtained after the learning phase determine the
layer is 2/3 of total neurons corresponding to sum of neurons in
network output so they become the memory of neural
both input and output layers.
networks.
The implementation of a Neural Network is parameterized in
Neural networks are particularly useful to solve problems
numbers of neurons and layers to find the best topology. This
that cannot be expressed as step by step problems, such as
analysis will be realized in an initial training phase.
pattern recognition and classification. In our case, it will be
used for intrusions response classification.
In particular, a Backpropagation algorithm is used to B. Input parameters
evaluate the response selected by the AIRS. This algorithm The input parameters could be the system and network
solves our problem because it determines the satisfaction of the context, but normal context depends on the device or system.
response for any system or intrusion. Therefore, the selected input parameters correspond to the
Moreover, we propose the use of a Backpropagation anomaly degree of system and network context. This allows
algorithm, as it is possible to have a training set. Supervised the algorithm to be independent and it can be installed on all
learning provides the following benefits: hosts. Anomaly degree corresponds to system and network
context after executing a response compared to normal
- The network converges faster than using an
context. Context Anomaly Degree is calculated by entropy
unsupervised algorithm.
variance based on Shannons Information Theory.
- Learning is based on previous observations collected The context parameters taken into account in our algorithm
by a set of instances classified during experimentation are: Status, latency, CPU usage, disk space, number of active
on a test system. processes, number of users, number of zombie processes and
A trained neural network takes input samples and sorts them network assessment.
into groups. These can be fuzzy, i.e. the boundaries are not It is necessary to normalize the results of entropy variance
clearly defined, or with defined borders if thresholds are calculated for use it in the Backpropagation algorithm, since
selected. The proposed system is evaluating the response with very high values may impair algorithm effectiveness.
41
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
C. Transfer function
A sigmoid function will be used as activation function and
VI. LEARNING ALGORITHM
thus to determine the level of success of the inferred response.
Specifically, we use bipolar functions to achieve faster Backpropagation algorithm is based on gradient descent
stabilization error. method to approach the Mean Square Error.
We will prove two sigmoid functions:
- Bipolar logistic sigmoid function: !" + 1 = !" + !" (6)
!" = ! ! (7)
2
= 1 (3)
1 + !!
Where ! is the propagated error, ! is the input value and
is the learning factor.
- Hyperbolic tangent function: However, the error function usually has many local minima.
! !! Synaptic weights may depend on the mean gradient of the
= (4) environment points, rather than relying on a single point, to
! + !!
avoid getting trapped on a local minimum. But this
modification requires a large computational effort and is not
D. Stop condition efficient. Therefore, we have implemented two improvements
Stop condition is determined from Mean Square Error of the algorithm to prevent local minimum: adaptive learning
(MSE): factor and backpropagation with momentum [20].
= (!"# !" )! (5)
42
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
43
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
44
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
1
Abstract Spam capture and analysis via spam honeypots II. Software utilizado Spam Traps
on cloud servers. The present document exposes the detai-
led architecture and configuration of cloud servers which A. Shiva Spam Honeypot
purpose is capture spam. This purpose was arranged deplo-
ying three servers and capturing spam for a month. Some Shiva es una honeypot programada en lenguaje Python
of the data obtained is presented in this paper, more than cuyo proyecto se encuentra liberado bajo licencia GNU ge-
32 millions of email addresses and 32.800.820 spam mails neral public license, lo que permite realizar modificaciones
has been logged in this period of time.
del codigo.
Keywords Spam, Honeynet, Shiva, Modern Honey Net-
work(MHN), Snort, Cloud
Al instalar y configurar Shiva se habilita un servidor de
correo. En nuestro caso este servidor SMTP se ha dejado
sin autenticacion y en el puerto por defecto, el 25.
I. Introduccion En el caso de que se enve un correo a traves de nuestro
La finalidad de este trabajo es el estudio de las cam- servidor con Shiva se almacenara la informacion en una
panas de spam actuales para su posterior analisis. Esto base de datos, pudiendose mantener en local o remoto, es-
puede servir para detectar nuevas campanas de phishing te proceso se llevara a cabo mediante el modulo Reciever
o malware, as como los patrones usados para tal proposi- de Shiva. El propio Shiva analiza los correos recibidos ob-
to, permitiendo posteriormente su estudio. teniendo los archivos adjuntos y el texto enviado. Shiva
Actualmente existen dos aproximaciones para el estu- compara los mensajes nuevos con los existentes mediante
dio de las campanas de spam mediante spam traps. Una fuzzy hashing, de modo que si existe una similitud ma-
primera aproximacion consiste en la creacion de diversas yor al 85 % en la comparacion de dos mensajes se tomara
cuentas de correo en diferentes dominios, esperando co- el mensaje como el mismo, de esta parte se encargara el
rreos de spam para capturarlos, pudiendo existir dos ver- modulo Analyzer de Shiva.
tientes de esta aproximacion:
Spam traps puras: en este caso las cuentas de co- B. Snort
rreo se crean explcitamente para la captura de spam, Snort es un sistema de deteccion de intrusos (IDS), un
de forma que la direccion se pueda obtener por utili- proyecto de software libre que permite analizar trafico en
zar nombres comunes (i.e. pedroperez@email.com, jose- tiempo real.
garcia@email.com...). Estas cuentas no deberan ser filtra- El uso de este IDS permite enviar datos a un servidor
das, ni deberan enviar correos o recibirlos, de modo que central ya que Snort soporta hpfeeds gracias a un proyecto
todo lo que llegue a ellas solo sera spam, producido por la realizado por la empresa Threatstream [4].
inferencia del nombre de la cuenta para el envo de spam. Snort tambien permite crear nuevas reglas y alertas res-
Spam traps recicladas: consiste en utilizar cuentas de co- pecto al trafico que pasa a traves del servidor. En este caso
rreo que ya han sido usadas para envo y recibo de correos se han creado y aplicado reglas asociadas a detectar trafico
electronicos o que han podido ser filtradas en Internet, en el puerto 25.
como ocurre con muchas cuentas filtradas en paginas de
pastes como la conocida PasteBin. C. Modern Honey Network
En este trabajo se ha optado por una segunda aproxi-
Modern Honey Network (MHN) es un proyecto de soft-
macion basada en honeypots habilitados como servidores
ware libre que permite desplegar una honeynet de forma
SMTP. Para la captura de spam se han desplegado varias
sencilla y rapida. Consta de un servidor central, el cual re-
spam honeypots en la nube y de esta forma poder com-
cibira informacion de los multiples honeypots que se des-
probar la viabilidad del proyecto. Una spam honeypot no
plieguen.
deja de ser un tipo de honeypot que tiene como finalidad
La informacion de cada honeypot es recibida a traves de
la captura de spam.
hpfeeds [5] y se guardara en una base de datos MongoDB.
Por un lado tendremos Shiva [1] como servidor de correo
MHN tambien dispone de una REST API a traves de
SMTP abierto para recibir y analizar mensajes, junto con
la cual podemos acceder a los datos obtenidos y permi-
Shiva se ha desplegado un sistema de deteccion de intru-
te su integracion con Honeymap [6] para ver los ataques
siones SNORT [2] para detectar escaneos y ataques. Como
realizados a las maquinas en directo.
panel de control y centralizacion de datos se ha utilizado
La arquitectura puede verse esquematicamente en Fig.
Modern Honey Network [3]. Ademas para almacenar los
11 .
datos obtenidos de correos spam se ha optado por el uso
de una base de datos MySQL. 1 Imagen obtenida de http://threatstream.github.io/mhn/
45
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
2
46
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
3
1 wget h t t p : / /X.X.X.X/ a p i / s c r i p t /? t e x t=t r u e& Tras estos pasos sera necesario modificar el fichero de
s c r i p t i d =8 O d e p l o y . sh && sudo bash configura.cion shiva.conf que se encuentra en la carpeta
d e p l o y . sh h t t p : / /X.X.X.X tLGQ77cf
Shiva generada por el script install.sh.
Si se ejecuta este comando en el servidor en el cual que Los campos a modificar de forma imprescindible seran:
se pretende instalar Snort, se instalara el sistema de de- listenhost: IP del servidor que va a crear un servidor
Con esto se creara una base de datos temporal, en la User y password: Tambien se deben indicar las creden-
que almacenar de manera inmediata el spam, y otra base ciales a la base de datos.
de datos principal, en la que se introduciran datos desde 1 u s e r : userExample
la base de datos temporal. 2 password : 1234 Example
Tras introducirse datos en la base de datos temporal, El resto de opciones se podran dejar por defecto.
estos se comparan con los datos almacenados en la base Llegados a este punto solo quedara arrancar Shiva. En
de datos principal. Si hay datos nuevos se agregaran a la la primera ejecucion sera necesario arrancar exim, que per-
base de datos principal y si no son nuevos se actualizaran mite enviar el correo entrante:
los valores. 1 . / s e t u p e x i m 4 . sh
47
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
4
Para el proceso de arrancado es facil crear un script que Obtener los ataques detectados por Snort en las ultimas
automatice todo el proceso. X horas.
Llegados a este punto se tendra un servidor SMTP ope- 1 X.X.X.X/ a p i / f e e d /? a p i k e y=KEY&c h a n n e l=s n o r t .
rativo sin autenticacion que cada dos horas enva los datos a l e r t s&h o u r s a g o=X
capturados a una base de datos MySQL. Ataques contra una spam honeypot las ultimas X horas.
E.1 Bug Inodes en Shiva 1 X.X.X.X/ a p i / s e s s i o n /? a p i k e y=KEY&h o u r s a g o=X&
hostname=drogon
Se ha comprobado que debido al uso intensivo del ser-
vidor de correo el volumen de archivos generado en la car- Las respuestas que proporciona MHN son en formato
peta /queue/new de Shiva se dispara. JSON.
Este problema se materializa en la necesidad de limpiar 1 {
2 data : [
periodicamente esta carpeta ya que, aunque tengamos es- 3 {
pacio en disco, podemos llegar a quedarnos sin inodes. 4 i d : 55 b217db3018557366476ca9 ,
Situandonos en la ruta anteriormente mencionada po- 5 d e s t i n a t i o n i p : X.X.X.X ,
6 d e s t i n a t i o n p o r t : 25 ,
dremos eliminar los archivos de la cola mediante el coman- 7 honeypot : s n o r t ,
do: 8 i d e n t i f i e r : b6376a8c 308b11e5a1b5
04015 f 2 2 c 4 0 1 ,
1 f i n d . t y p e f p r i n t d e l e t e 9 p r o t o c o l : TCP ,
10 source ip : 111.243.57.232 ,
11 s o u r c e p o r t : 1915 ,
V. Consulta de los Datos 12 timestamp : 20150724T10
:47:53.978000
A. HoneyMap 13 },
MHN despliega un mapa donde es posible ver los ata- 14 }
ques. Gracias a esto se consigue tener una monitorizacion Tambien es posible consultar estos datos desde la inter-
en tiempo real de los ataques recibidos, ya que Snort esta faz web que proporciona MHN. Desde el panel web sera
monitorizando las conexiones. posible ver una enumeracion de los ataques y payloads
En nuestro caso el mapa es totalmente accesible desde mostrandose los pases de origen de los ataques y sus IPs,
http://46.101.24.221:3000/. los puertos utilizados para realizar el ataque o el patron
de ataque que se detecta a traves del IDS.
B. MySQL Server
La consulta de los datos podra realizarse desde cual- VI. Analisis de Datos Obtenidos
quier dispositivo con algun gestor para bases de datos, Tras la instalacion de los servidores se ha podido com-
como pueden ser MySQL Workbench, HeidiSQL o desde probar que, en un plazo menor a 48 horas de tener en fun-
consola, mediante autenticacion a la base de datos remota. cionamiento los mismos, se han empezado a enviar mensa-
En la base de datos temporal se almacenaran los datos jes de spam desde IPs provenientes de Taiwan. Este caso
relativos a: tan rapido se dio en un servidor y sorprendio que esta
Archivos adjuntos maquina se localizara tan rapido, sin haber sido detecta-
Enlaces del mensaje do por Shodan [11] en esos momentos.
Spam honeypot del que proceden los datos Sin embargo, si se piensa en las nuevas herramientas
La base de datos temporal tambien cuenta con una tabla que existen para el escaneo de puertos como Zmap [12]
con datos pertenecientes al spam detectado, con un identi- o Masscan [13], es factible encontrar rapidamente nuevos
ficador y el fuzzy hash (basado en ssdeep), que identificara servidores con puertos abiertos. Estos nuevos escaneres
el mensaje segun el contenido del mismo entre otros datos. pueden mandar 10 millones de paquetes por segundo, pu-
En la base de datos principal los datos que mas interes diendo escanear todo el rango de direcciones IPv4 en 5
suscitan para su estudio seran: minutos.
Archivos adjuntos Semanas despues las otras dos spam honeypots empeza-
Direcciones IP ron a ser usadas por los mismos Taiwaneses, lo que implica
Spam honeypot del que proceden los datos la constante monitorizacion de Internet por parte de este
Direcciones de correo de los destinatarios grupo, o al menos de servidores con el puerto 25 abierto.
Direccion de correo que enva estos correos Este grupo, tras comprobar que el servidor SMTP fun-
Mensaje enviado ciona, inicia agresivas campanas de spam teniendo como
objetivo cuentas de correo con dominio localizado en Tai-
C. MHN API wan en su mayor parte.
MHN mantiene una base de datos MongoDB donde se En un mes se han detectado 32.800.820 intentos de envo
almacenan los ataques detectados por Snort. Esta base de de spam. No todas las peticiones de envo de correo se
datos es accesible a traves de una API REST. envan finalmente con objeto de no saturar al servidor.
Se pueden hacer peticiones para saber las IPs que mas Se han enviado 34.797 correos, lo que supone un 010 %
han atacado en las ultimas X horas: del total.
1 X.X.X.X/ a p i / t o p a t t a c k e r s /? a p i k e y=KEY& El email mas enviado ha sido uno cuyo contenido es
h o u r s a g o=X codigo HTML con los hipervnculos mostrados en Fig. 3.
48
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
5
TABLA I
Dominios de correo a los que fue enviado Spam.
49
JNIC2015 Tercera sesion: Seguridad, ataques y contramedidas
6
Referencias
[1] Rahul Binjve (2015). Spam Honeypot with Intelligent Vir-
tual Analyzer (Shiva). Disponible en: https://github.com/
shiva-spampot/shiva
[2] Martin Roesch (2015). Snort NIDS. Disponible en: https://
www.snort.org/
[3] ThreatStream (2015). Modern Honey Network. Disponible en:
https://github.com/threatstream/mhn
[4] ThreatStream (2014). Snort hpfeeds, collector for shipping
snort alerts using hpfeeds. Disponible en: https://github.com/
threatstream/snort_hpfeeds
[5] Mark Schloesser (2015). Hpfeeds, Honeynet Project generic aut-
henticated datafeed protocol. Disponible en: https://github.
com/rep/hpfeeds
[6] Florian Weingarten(2013). Web application which visualizes a
live stream of GPS locations on a SVG world map. Disponible
en: https://github.com/fw42/honeymap
[7] Digital Ocean Guide (2014). How To Migrate
Droplets Using Snapshots. Disponible en: https:
//www.digitalocean.com/community/tutorials/
how-to-migrate-droplets-using-snapshots
[8] Amazon(n.d). Capa gratuita de Amazon RDS. Disponible en:
http://aws.amazon.com/es/rds/free/
[9] Digital Ocean Guide (2013). How To Protect SSH
With Two-Factor Authentication. Disponible en:
https://www.digitalocean.com/community/tutorials/
how-to-protect-ssh-with-two-factor-authentication
[10] Emerging Threats (2015). Snort Open Rules 2.9.0. Disponible
en: http://rules.emergingthreats.net/open/snort-2.9.0/
[11] John Matherly (2015). First search engine for Internet-
connected devices(Shodan) Disponible en: https://www.
shodan.io/
[12] University of Michigan (2015). Open-source network scanner
(Zmap) Disponible en: https://zmap.io/
[13] Robert David Graham (2015). MASSCAN: Mass IP port scan-
ner. Disponible en: https://github.com/robertdavidgraham/
masscan
50
JNIC2015 Cuarta sesion: Seguridad en redes
AbstractThis paper presents the European Defence Agency The RACUN project was funded by the national ministries
project Robust Acoustic Communications in Underwater Net- of defense of the participating nations as a key area of
works (RACUN), aimed at demonstrating underwater acoustic the European Defence Agency (EDA)s Unmanned Maritime
communications and networking for tactical and security-related
scenarios such as intelligence, mine counter-measures, and anti- Systems (UMS) program, which aims to deliver advanced
submarine warfare. The project involved communications among maritime mine counter-measures (MCM) and related tech-
static and mobile underwater nodes deployed at different depths, nologies by 2020. The partnership involved companies and
acoustic/radio gateways, as well as ships. We describe the research institutions from Germany, Italy, the Netherlands,
hardware employed in the project, outline the selected physical- Norway and Sweden. RACUN contributed to explore the
layer schemes and networking protocols, and present results from
the final RACUN sea trial. The RACUN project demonstrated theoretical background for the development and advance the
a working underwater network of heterogeneous nodes, both maturity level of robust underwater networking, especially
static and mobile, in typical tactical scenarios, and laid solid with respect to end-to-end communications. A survey of
foundations for the networking of underwater assets in Europe. existing physical layer (PHY) and networking technologies
Index TermsUnderwater acoustic networks; tactical mis- has been performed and related to the envisaged development
sions; channel soundings; channel simulations; modulation targets. A number of gaps between the project objectives
schemes; network protocols; network simulations; heterogeneous and the available technologies were identified and bridged
networks; sea trials; RACUN project; EDA. via a combination of theoretical studies, simulation studies,
and several sea trials. Suitable physical-layer methods and
I. T HE RACUN P ROJECT networking protocols have been developed and implemented
Many navies across Europe see effectively networked un- in programmable modems, which were integrated into AUVs,
derwater communications as an enabling technology to make gateway buoys, and bottom/moored nodes.
progress in security-related and tactical scenarios encompass- Simulation proved to be an invaluable tool to reduce the
ing at-sea environments. The RACUN project answers this number of sea trials required when developing new sys-
need via the design of rapidly deployable underwater networks tems [1], [2]. Candidate PHY methods, network protocols and
of autonomous sensors and underwater vehicles (AUVs). A combinations thereof have been thoroughly evaluated thanks to
consortium of partners from five European nations developed acoustic channel models aided by channel measurements taken
and demonstrated the capability to establish a robust underwa- during the first RACUN sea trial campaign in diverse European
ter multi-purpose acoustic network with moving and stationary coastal waters (Sea Trial 1), and by a discrete-event simulation
nodes, as well as its operational value in tactical scenarios. package fed with statistical representations of physical-layer
performance. An intermediate sea trial campaign in the Nether-
Paolo Casari (corresponding author) is with IMDEA Networks Institute, lands coastal waters (North Sea; Sea Trial 2) with an integrated
Spain, and with Consorzio Futuro in Ricerca (CFR), Italy. Joerg Kalwa is system was used to test and confirm the work done in the
with ATLAS Elektronik (ATLAS), Germany. Michele Zorzi is with CFR,
Italy. Stefano Nasta is with Centro di Supporto e Sperimentazione Navale project up to that time, and provided experience to improve
(CSSN), Italy. Sabrina Schreiber is with L-3 Communications ELAC Nautik the system further. In a final sea trial in Italian coastal waters
(ELAC), Germany, Roald Otnes and Paul van Walree are with the Norwegian (Mediterranean Sea; Sea Trial 3), the full RACUN system has
Defence Research Establishment (FFI). Michael Goetz is with Fraunhofer
Institute for Communication Information Processing and Ergonomics (FKIE). been demonstrated and evaluated against criteria defined early
Arwid Komulainen, Bernt Nilsson, Jan Nilsson and Tommy Oberg are with in the project.
the Swedish Defence Research Agency (FOI). Ivor Nissen is with the German The project was organized through five workpackages
Research Department for Underwater Acoustics and Marine Geophysics
(WTD71/FWG) Henrik Strandberg is with Saab Dynamics (SAAB). Henry (WPs) and many sea trial preparation camps. Different partners
Dol is with the Netherlands Organization for Applied Scientific Research focused on different aspects of the physical, network (NET)
(TNO). Geert Leus is with the Delft University of Technology (TUD). and application (APP) layers. Most of the PHY and APP
Francesco Pacini is with Whitehead Sistemi Subacquei (WASS).
The work described in this publication was done under a multi-national software was integrated into the wet end of the modems.
four-year project with the name Robust Acoustic Communications in Un- Additional flexibility was provided for the NET layer, which
derwater Networks (RACUN) under the EDA Project Arrangement No. B- could be run as a stand-alone piece of software, or by
0386-ESM1-GC. The authors are indebted with all collaborators from all
participating institutions whose work and dedication made the RACUN project reusing simulation code written for the ns2 software and the
a success. The co-authors are sorted by their affiliation (short names). DESERT Underwater framework [3], via a hardware-in-the-
51
JNIC2015 Cuarta sesion: Seguridad en redes
Figure 1. The hardware employed in the RACUN projects Sea Trial 3 (ST3). (a) NILUS nodes (FFI, Norway); (b) gateway buoy (ELAC, Germany); (c)
moored nodes (SAAB, Sweden); (d) SeaCat AUV (ATLAS, Germany); and (e) NEREUS node (FWG, Germany).
loop configuration. A new Generic UnderWater Application HAM.Base [5]. The HAM.Base is a low-energy underwater
Language (GUWAL) [4] was applied to support the creation modem that can be exploited in commercial applications or
and execution of relevant underwater applications via data reprogrammed to support scientific research. The architecture
requests, data replies, command and control and text mes- makes it possible to also run stand-alone C code implementing
saging functions. Finally, a methodology for simulation and other functionalities, e.g., the networking (NET) and error
experiment analysis was developed to evaluate results and control (EC) layers, and was designed to be installed in
measure the robustness of the network. Overall, the RACUN underwater nodes of limited size. This made it possible to
project developed and successfully demonstrated several new equip Develogic modems in all RACUN nodes, except the
physical-layer schemes and ad hoc network protocols running SAAB nodes (see Section II-B), which included a different
on heterogeneous hardware platforms, and employed such software-defined modem.
assets to carry out operations in intelligence, surveillance, and
reconnaissance (ISR) as well as MCM scenarios of tactical
B. SAAB modem and node
relevance.
In the remainder of this paper, we will outline the ma- The SAAB modem design approach aimed at providing
jor components of RACUN: the hardware (Section II), the research project partners and national research establishments
physical-layer schemes (Section III), and the network pro- with a (generic) reconfigurable platform, as opposed to com-
tocols (Section IV). Section V summarizes results from mercial modems which are usually not available for firmware
RACUNs final demonstration sea trial, and Section VI draws customization and (embedded) reprogramming. A founding
our conclusions. principle of the SAAB modem is the lack of processing in
the wet-end unit: processing is delegated to a PC unit in
II. AVAILABLE H ARDWARE AND ACOUSTIC M ODEMS the dry-end part, which communicates with the wet end via
a cable comprising Ethernet data and power links. The PC
We start by describing the design and functionalities pro-
unit carries out all signal processing phases. All software
vided by the main hardware employed in the RACUN project
components run in the SAAB software-defined framework.
(see Fig. 1). Given the scope and objectives of the RACUN
The wet end contains electronics and modules for performing
project, the chosen communications band is 48 kHz.
analog/digital/analog conversions. During the RACUN sea
trials, the SAAB modem was deployed on two moored nodes
A. Develogic modem and one ship node. For the moored node configuration, a
Acoustic communications in RACUN were mainly delivered battery/PC buoy was developed. A real-time reconfiguration
by the software-defined Develogic Hydro-Acoustic Modem capability via a separate acoustic signaling channel was im-
52
JNIC2015 Cuarta sesion: Seguridad en redes
plemented to avoid recovering and redeploying the nodes to RACUN sea trial (see also Section V). The other schemes
change physical-layer schemes and networking protocols. (Section III-B and Section III-C) could be incorporated only in
the more versatile architecture of the SAAB modems, limiting
C. NILUS and NEREUS bottom nodes the maximum network size to three nodes when using these
schemes, due to hardware availability reasons.
Networked InteLligent Underwater Sensors (NILUS) is a
demonstrator system developed by FFI prior to RACUN, for
the concept of easily deployable underwater sensor networks. A. Filtered Multi-Tone (FMT)
A NILUS bottom node contains, among other things, passive A multi-carrier format named Filtered Multi-Tone (FMT)
acoustic and magnetic sensors, onboard signal processing was designed by WTD71/FWG as a part of the Transient
on an embedded Linux computer, and an acoustic modem. UnderWater Communication System (TUWACS) project [6],
For RACUN, two NILUS nodes were fitted with Develogic and adapted to the requirements of RACUN. The main idea
modems and an extra Gumstix processor board to run addi- behind FMT is to transmit only one symbol, so that the scheme
tional networking software. Two other NILUS nodes were used becomes robust to inter-symbol-interference. In RACUN, 128
only to record acoustic data. bits per symbol were transmitted. The real-time detection of
Four NEREUS (NEtworked REconfigurable Underwater FMT symbols is achieved via two subsequent synchronization
Sensor) bottom nodes, with similar functionality as the steps and iterative turbo decoding of both pilots and data [7].
NILUS, were provided by WTD71/FWG. One difference from During the RACUN sea trials, FMT was implemented in the
NILUS is that NEREUS uses an embedded Windows com- hardware of all nodes and achieved a data rate of 340 bps.
puter, which could only run network protocols as standalone
applications. WTD71/FWG also provided one Develogic Bot-
tomLander bottom node, which for RACUN was fit with the B. Single-Carrier Turbo Equalization (SCTE)
same Gumstix processor board as NILUS and could hence run FOI designed a single-carrier modulation scheme, stemming
network protocols either standalone or under ns2/DESERT. from the need to exploit the rich multipath of the underwater
channel without feedback from the receiver and employing
D. Atlas SeaCat AUV turbo equalization to compensate for signal distortions [8].
Training sequences are used to obtain estimates of the channel
Atlas Elektronik provided the AUV SeaCat to represent a impulse response. The main Doppler shift is eliminated via
mobile node. The SeaCat is a system capable of carrying a resampling. After that, the channel estimate is completed with
variety of payloads in a fully flooded nose section. A compact additional details using the decoded symbols as reference. In
NetDCU9 processor board had been integrated to host the RACUN, a 4-QAM format was employed at a data rate of
networking software and application layer. The latter was 1.4 kbps, reduced to 624 bps due to limitations in the RACUN
responsible to work as an interface between the communi- bitstream format.
cation systems and the AUVs capabilities, which included
an automatic detection of objects and reactive behavior to
commands issued through the underwater network. C. OFDMR
TNO and TUD contributed two modulations to the RACUN
E. ELAC gateway buoy project, a wideband single-carrier modulation scheme employ-
L-3 Communications ELAC Nautik provided a smart gate- ing a multi-scale multi-lag (MSML) method with adaptive
way buoy as a node in the underwater network. The general turbo-equalization [9], and a multiband OFDM method [10],
mechanical and electrical structure of the buoy were developed adapted to RACUNs higher data-rate requirements via a dif-
by AquaDrohne and extended with control and communication ferent turbo-coding algorithm. During the RACUN sea trials,
equipment by ELAC. The buoy supported a through-air radio two configurations of the resulting OFDMR method (where the
link as well as an underwater acoustic communication link, R stands for RACUN) were used for two different message
and could therefore establish a gateway between the two lengths and data rates, namely OFDMR1 (256 bits, 205 bps)
communications mediums. Among other things, this enabled and OFDMR2 (128 bits, 120 bps).
commands and reports to be sent to and from ship computers,
across the air/water interface. The developed RACUN network D. Structure of channel sounding and benchmarking opera-
protocols and the buoy-specific RACUN application software tions
(based on the GUWAL specifications) were implemented on A comprehensive set of physical-layer simulations was
the controller board of the buoy. carried out based on in-situ channel measurements. At an early
stage of the project (Sea Trial 1), the time-varying impulse
III. P HYSICAL LAYERS AND BENCHMARK response was measured at relevant locations and for various
Several modulation schemes have been designed in ranges. These measurements have been collected in a channel
RACUN. Given the different development stages, only one of archive that reveals a formidable diversity of propagation
the methods summarized below (FMT, Section III-A) could be conditions [11]. A channel-replay simulator [12], driven by
incorporated in both the Develogic and the SAAB modems, the archived channels, was used to benchmark the RACUN
and thereby be employed over a full-sized network in the final modulation schemes. Replay is a realistic, ultra-wideband
53
JNIC2015 Cuarta sesion: Seguridad en redes
Figure 2. PER lookup tables for FMT, SCTE and OFDMR2. (top pane) Relationship between PER and noise. (bottom panes) Checkerboards reporting PER
in case of collisions, as a function of the signal-to-interference ratio (SIR) and of the overlap between the desired and colliding packets.
54
JNIC2015 Cuarta sesion: Seguridad en redes
Figure 3. Connectivity map used in pre-trial simulations for the final RACUN demonstration trial (left), and example of connectivity map actually experienced
during the trial (right), where asymmetric links are indicated by one line for each direction between two nodes. The thickness and shade of each link are
proportional to its robustness. For an explanation of the node names, refer to Fig. 4.
achieved by exploiting information that the nodes get from candidates for sea trial testing, with GUWMANET achiev-
overhearing other nodes transmissions. In Dflood, a hop ing better performance in particular when the FMT physical
counter is included in the packet header [14]. A node will layer was used. This was partly because GUWMANET was
refrain from forwarding a packet if enough duplicates of that designed for FMT and could send each 128-bit packet as
packet are received with a higher hop count. Forwarding is one FMT burst. Conversely, to get room for the required
also stopped by a neighbor of the destination if it receives a header information, Dflood had to send each packet as two
Receive notification from the destination. Dflood employs FMT bursts with some seconds of silence in between. With
a CSMA MAC protocol. Each node applies a tunable back- other physical layers, such fragmentation was not required for
off time before forwarding a copy of an incoming packet. Dflood and the performance of Dflood and GUWMANET was
This back-off time is adaptively increased each time the closer, except that GUWMANET showed better scalability
node overhears a copy of the same packet. The predefined with increasing network size.
maximum number of duplicates that need to be heard before Prior to the final RACUN sea trial (Sea Trial 3, ST3),
the forwarding is cancelled can also be tuned. In the basic network simulations were performed using the planned geo-
version of the Dflood protocol, no topology information is metrical layout. Lookup tables based on measurements in the
used, no additional control traffic is required besides the same environment two years before resulted in a connectivity
Receive notification, and nodes forward a packet only once. map as shown in Fig. 3 (left), in which simulated end-to-
Retransmissions can be configured for robustness by schedul- end (E2E) packet delivery ratios close to 100% could be
ing the transmission of a copy of a packet packet after some achieved with both GUWMANET and Dflood when the traffic
delay. In large networks, topology information is delivered via load was moderate. However, the link performances actually
sink probes which help understand how many hops every node experienced in the final trial were much worse even though the
and its nearest neighbors are from the sink. This mechanism distances were shorter than in simulations, as shown in Fig. 3
helps reduce unnecessary retransmissions. (right), where the discrepancy is mostly due to the empirical
In simulations, both regular Dflood, regular Dflood with SNR modelling.
retransmissions, and Dflood with sink packets were tested. In
the sea trials, where the number of nodes was relatively small, V. S EA T RIAL 3: D EMONSTRATION D ETAILS AND
regular Dflood with one retransmission was employed. R ESULTS
The RACUN projects final sea trial (ST3) took place
in May 2014 and had the objective to demonstrate real-
C. Simulation software structure time capabilities of the network to manage ISR and MCM
Since sea trials are expensive and prone to mishaps and poor scenarios at sea, to test specific network features, and to
reproducibility, simulations were extensively used in RACUN collect experimental data for understanding the performance
to compare different protocols and decide what to use in sea of physical-layer schemes and network protocols.
trials [2]. For network simulations, ns2 with the MIRACLE
and DESERT extensions [3] was applied. RACUN applied the A. Experiment area, support assets and deployment setup
LUT-based physical-layer model described in Section III-D, The Italian Navy (ITN) selected a trial area near the Italian
where the LUTs contain PER in real-world environments coast of approx. 1010 nmi2 , with minimum water depth
vs. SNR, range, and interference. Extensive network simu- 20 m, close to the Italian Naval Base of La Spezia. The nodes
lations using scenarios defined at the beginning of RACUN were deployed in the area shown in Fig. 4. The inter-node
indicated that both Dflood and GUWMANET were viable distances are in the range of 563 m to 8610 m.
55
JNIC2015 Cuarta sesion: Seguridad en redes
Figure 4. The RACUN ST3 area, off La Spezia, Italy (left); zoom on the deployment area, with deployment locations (right). In the node names, the first
letter represents the nation providing the hardware (G = Germany, N = Norway, S = Sweden), the second letter the node type (B = Bottom node, G = Gateway
buoy, S = ship node, R = passive recorder, W = Waverider buoy), whereas the number is a unique identifier.
The network was composed of: 2 NILUS bottom nodes plus up to 5 nmi; mobile nodes cruising at up to 8 knots; all-
2 NILUS passive recording stations; 2 moored nodes plus 1 weather operational conditions. The main data packet class
ship node from SAAB; up to 5 NEREUS bottom nodes plus employed in ST3 contains 128 bits, which must be delivered
1 ship node; 1 gateway buoy from ELAC; 1 SeaCat AUV with a success rate of 90% within a maximum E2E delay
from ATLAS plus additional equipment such as 1 Waverider of 5 minutes. These constraints reflect the importance of the
buoy in the second week. Typically, the bottom nodes were information conveyed by the packets, and accommodate some
left at sea during the night, while the other network elements time for retransmissions if required.
were deployed and recovered every day. The network was In ST3, the capabilities of the underwater network were
configured to operate one of the PHY/network protocol pairs demonstrated via the reproduction of ISR and MCM scenarios.
FMT/GUWMANET or FMT/Dflood. The ATLAS AUV was used as a mobile communication node;
After one week of tests, the demonstration of ISR and in the ISR scenario, the AUV took over the role of an intruder
MCM scenarios was successfully carried out (albeit only that crossed the network and induced detection reports to be
once because of bad weather conditions). A first conclusion sent by the bottom nodes and forwarded to the ships; during
is that the physical-layer performance experienced in ST3 the MCM scenario, the AUV was used as mine hunter using its
was inferior to that predicted by the lookup tables based side-scan sonar. Both scenarios were repeated with both the
on measurements in the same area two years earlier. Given GUWMANET and the Dflood network protocols to collect
environmental measurements, it seemed likely that the main comparable results for the final evaluation. At the beginning
reasons for the discrepancy may be unfavorable sound-speed of each scenario, the network was initialized with a GUWAL
profiles, ship/buoy/AUV movement (due to waves), and poorer message followed by a broadcast status request, both sent
SNR compared to that predicted by empirical modeling. Fu- by one of the ships. After this, the AUV was commanded
ture endeavors will consider more complex empirical models, to start its mission, depending on the respective scenario.
which take water depth and bottom type as additional inputs. During these missions, events like intruder or mine detections
were collected at the ship. Additionally, the bottom nodes
B. Description of ST3 ISR / MCM scenario and experiments sent out periodic status messages and the AUV communicated
The Ministries of Defense of the countries participating its position roughly every five minutes. After one hour, the
to RACUN set network performance requirements tied to mission was completed and the AUV surfaced back.
specific environments and tactical scenarios. Littoral waters The configuration and results related to the tactical ISR
of different kinds were specifically considered, with depths up and MCM scenario demonstrations are summarized in Table I.
to 200 m, offering challenging propagationtions for acoustic The results confirm that both scenarios could be successfully
signals across almost the whole year. Also according to the demonstrated to the ST3 observers and national defense rep-
Navy requirements, the networks should be composed of static resentatives with both the GUWMANET and Dflood network
and/or mobile nodes on the bottom, at the surface, and in protocols, despite the often adverse sea trial conditions that
the water volume, cooperating to detect, classify and collect even led to some equipment damage. The network operated in
information. A gateway buoy should be included to extend a fully ad hoc manner without predefined routes, and encom-
the communication over larger distances through the air. The passed static, mobile as well as surface nodes. GUWMANET
network should exhibit a desired level of effectiveness in achieved a packet delivery ratio (PDR) of about 90% and
all weather conditions. The operational definition of the test Dflood of about 70% with an average E2E delay well below 5
scenario implies: a 1010 nmi2 area; intra node distance minutes, albeit at an average intra-node distance below 5 nmi.
56
JNIC2015 Cuarta sesion: Seguridad en redes
TABLE I
C ONFIGURATION AND RESULTS OBTAINED FOR THE ISR AND MCM SCENARIOS AT RACUN S FINAL DEMONSTRATION DURING S EA T RIAL 3 (ST3).
Configuration
ISR scenario MCM scenario
The main reason for the higher PDR of GUWMANET is of many communication schemes used in medium-to-long
the lower network overhead, which allowed the transmission range communications; the setup of an ad hoc underwater
of a packet within a single FMT burst, whereas Dflood had network encompassing very heterogeneous assets, including
to resort to fragmentation. The lower PDR that resulted was mobile nodes; the ability to reuse network simulation software
compensated for via retransmissions, which explain the larger directly in sea trials; the demonstration of the feasibility of
E2E delay of Dflood compared to GUWMANET. Table I also the RACUN communications and networking technologies in
includes per-node energy consumption figures, which are also tactical scenarios; a thorough scoring system to rank heteroge-
higher for Dflood due to the same fragmentation and retrans- neous communications and networking solutions on a common
mission issues. Notably, the results above are in line with basis with respect to the requirements of the Navies.
those obtained from the simulations [2], and thereby prove Finally, the involvement of the RACUN management board
the feasibility and accuracy of the full-rounded simulation in guidelines that could be traced back to national interests
approach followed in RACUN. of the respective nations ensured that the project transferred
scientific results into requirements and mission goals agreed
VI. S UMMARY OF ACHIEVEMENTS AND C ONCLUSIONS by national authorities. Therefore, the results of the project
Security is of primal importance in tactical scenarios at form a solid foundation to build upon in order to develop the
sea, and effectively networked underwater communications are future capabilities of European navies.
seen as the enabling technology to achieve the next generation
of autonomous tactical systems off shore. In this paper, we
summarized the workflow, context and achievements of the R EFERENCES
European Defence Agencys Robust Acoustic Communica- [1] R. Otnes and P. van Walree, Validation of replay-based underwater
tions in Underwater Networks (RACUN) project, which was acoustic communication channel simulation, IEEE J. Ocean. Eng.,
able to demonstrate a working ad hoc underwater network vol. 38, no. 4, pp. 689700, Oct. 2013.
[2] C. Tapparello, P. Casari, G. Toso, I. Calabrese, R. Otnes, P. van
of static and mobile nodes in typical tactical scenarios. This Walree, M. Goetz, I. Nissen, and M. Zorzi, Performance evaluation of
was achieved with the diverse hardware and equipment that forwarding protocols for the RACUN network, in Proc. ACM WUWNet,
was made available to (or adapted for) the RACUN project, Kaohsiung, Taiwan, Nov. 2013.
resulting in a heterogeneous network. [3] P. Casari et al., Open-source suites for the underwater networking com-
munity: WOSS and DESERT Underwater, IEEE Network, special issue
The main technical and scientific results of RACUN in- on Open Source for Networking: Development and Experimentation,
clude: a fully developed workflow for the characterization vol. 28, no. 5, pp. 3846, Sep. 2014.
of underwater acoustic communications and networks, from [4] I. Nissen and M. Goetz, Generic underwater application language
(GUWAL) specification of tactical instant messaging in underwa-
channel soundings and characterization to the modeling of ter networks, WTD71/FWG, Kiel, Germany, Tech. Rep. WTD71-
complex network protocols; the development and advancement 0070/2012 FR, Dec. 2012.
57
JNIC2015 Cuarta sesion: Seguridad en redes
[5] F. Berning, T. Radtke, S. Rautenberg, M. Motz, and I. Nissen, A [10] G. Leus and P. van Walree, Multiband OFDM for covert acoustic
realization of the software defined radio concept in an underwater communications, IEEE J. Sel. Areas Commun., vol. 26, no. 9, pp. 1662
communication modem, in Proc. UCOMMS, Sestri Levante, Italy, Sep. 1673, Dec. 2008.
2014. [11] P. van Walree, Propagation and scattering effects in underwater acoustic
[6] I. Nissen, Alternativer ansatz zur verratsarmen unterwasserkommu- communication channels, IEEE J. Ocean. Eng., vol. 38, no. 4, pp. 614
nikation durch verwendung eines transienten im kontext von IFS und 631, Oct. 2013.
JUWEL, WTD71/FWG, Kiel, Germany, Tech. Rep., Jan. 2009. [12] R. Otnes, P. van Walree, H. Buen, and H. Song, Underwater acoustic
[7] , A new and simple blind channel CSI cancellation calculus, in network simulation with lookup tables from physical-layer replay, IEEE
Proc. DAGA2011/174, Dusseldorf, Germany, 2011. J. Ocean. Eng., 2015, accepted.
[8] I. Karasalo, T. Oberg, B. Nilsson, and S. Ivansson, Validation of replay- [13] M. Goetz and I. Nissen, GUWMANET multicast routing in under-
based underwater acoustic communication channel simulation, IEEE J. water acoustic networks, in Proc. MCC, Gdansk, Poland, Oct. 2012.
Ocean. Eng., vol. 38, no. 4, pp. 666677, Oct. 2013. [14] R. Otnes and S. Haavik, Duplicate reduction with adaptive backoff
[9] L. Cannelli, G. Leus, H. Dol, and P. van Walree, Adaptive turbo equal- for a flooding-based underwater network protocol, in Proc. MTS/IEEE
ization for underwater acoustic communication, in Proc. MTS/IEEE OCEANS, Bergen, Norway, Jun. 2013.
OCEANS, Bergen, Norway, Jun. 2013.
58
JNIC2015 Cuarta sesion: Seguridad en redes
1
Resumen Los sistemas de control industrial son el con- gar a tener un ataque exitoso, desde perdidas economicas,
junto de elementos especializados que monitorizan y con- a danos medioambientales o incluso perdida de vidas hu-
trolan procesos fsicos. Estos sistemas estan generalmente
interconectados en entornos conocidos como redes indus- manas [4]. El avance reciente de las Amenazas Persistentes
triales. Las particularidades de este tipo de redes desacon- Avanzadas (APTs por sus siglas en ingles) como Stuxnet
seja el uso de herramientas de seguridad utilizadas en re- [5], Night Dragon [6] o Havex [7] que tienen como objetivo
des tradicionales de computadoras, mientras que a la vez
permiten la utilizacion de estrategias de seguridad no ex-
las redes industriales, bien para sabotearlas o para el robo
trapolables a redes de computadoras. El uso de listas blan- de de informacion, hace aun mas necesaria la proteccion
cas ha sido probado como un enfoque valido para asegurar de estos sistemas.
redes industriales. En este artculo presentamos un sis- Aunque las redes industriales y las redes de ordenadores
tema visual de monitorizacion y deteccion de anomalas de
flujo que utiliza listas blancas y diagramas de cuerdas para tradicionales comparten tecnologas en gran medida, la
mostrar el estado de la red. Por ultimo se utilizan datos distinta naturaleza de las redes requiere que las soluciones
de una red industrial real para probar la efectividad del de seguridad que se aplican en una u otra tengan que ser
sistema.
disenadas para adecuarse al tipo de red. Las diferencias
entre los dos tipos de red y el impacto que ello supone a la
I. Introduccion hora de disenar soluciones de seguridad es analizado por
Cheminod et al [8].
Los Sistemas de Control Industrial (SCIs) son el con-
Cuando se comparan las redes industriales con redes
junto de elementos especializados que monitorizan y con-
tradicionales de ordenadores, se puede apreciar que la
trolan procesos fsicos [1]. Como tal, son los responsables
topologa de de la red industrial es estatica, a la vez que
de controlar y automatizar una gran variedad de procesos,
el trafico de red cuenta con unos patrones de compor-
tanto en diferentes sectores industriales o en Infraestruc-
tamiento muy definidos ya que la mayora del trafico de
turas Crticas (ICs) [2], generalmente en entornos conec-
red lo crean procesos automaticos [8], [9].
tados conocidos como redes industriales. El Consejo de la
Teniendo en cuenta estos rasgos de las redes industri-
Union Europea [3] define los ICs como el elemento, sis-
ales, se puede hacer uso de ellas para disenar soluciones de
tema o parte de este (. . . ) que es esencial para el manten-
seguridad, que aunque validas para las redes industriales,
imiento de funciones sociales vitales, la salud, la integridad
podran no ser eficientes en otros tipos de red. Especifi-
fsica, la seguridad, y el bienestar social y economico de
camente, la practica del whitelisting o listas blancas1 ha
la poblacion y cuya perturbacion o destruccion afectara
sido defendido por la industria como un metodo efectivo
gravemente a un Estado miembro al no poder mantener
de asegurar redes industriales [2], [10], hecho que fue de-
esas funciones;. Ejemplos de infraestructuras crticas in-
mostrado por Barbosa et al. [9].
cluyen la generacion y transporte de energa, el suministro
de agua, sistemas de transporte o plantas de fabricacion
A. Contribucion y organizacion del artculo
crticas.
Tradicionalmente, las redes industriales han formado En este artculo proponemos un sistema novedoso de
entornos aislados, con protocolos de red, software y hard- monitorizacion visual de redes industriales a gran escala
ware propietarios. Sin embargo, los SCIs han ido evolu- para monitorizar flujos de red y detectar anomalas rela-
cionando hacia la utilizacion de sistemas de software y red cionadas. Para ello nos valemos de listas blancas y diagra-
estandares, y hoy en da las redes industriales comparten mas de cuerdas. Nuestra principal contribucion consiste
importantes similitudes con redes de computadoras tradi- en la creacion de listas blancas temporales y la utilizacion
cionales y estan cada vez mas conectadas a ellas. Esto de diagramas de cuerdas para la visualizacion de flujos
significa que el aislamiento tradicional en el cual las redes de red industriales y sus anomalas. En consecuencia,
industriales se han basado para su proteccion ya no es tal; este artculo pretende cubrir el vaco actual en sistemas
las redes industriales no estan tan aisladas. Por ello, la de monitorizacion para la seguridad visuales en redes in-
superficie de ataque a estas redes ha aumentado. 1 Es la practica de registrar una serie de flujos de red permitidos
Los incidentes de seguridad relacionados con redes in- y no permitir ninguna otra conexion o notificar mediante una alerta
dustriales han mostrado el gran impacto que puede lle- cuando se produce una conexion no permitida
59
JNIC2015 Cuarta sesion: Seguridad en redes
2
60
JNIC2015 Cuarta sesion: Seguridad en redes
3
Paquetes
de flujo
Fase de
Datos de flujos Fase de deteccin visualizacin
Paquetes
de flujo
En lnea
Fuera de lnea Fase de aprendizaje
Listas blancas
cuenta el puerto del cliente, ya que se asigna de man- los datos de la lista blanca y se crea un diagrama de red
era aleatoria y etiquetar flujos validos como anomalos con la informacion por cada red.
por tener un numero de puerto cliente distinto dara fal- 2. Se crean varias listas blancas por cada red, donde cada
sos positivos. Barbosa et al. [9] no tienen en cuenta lista blanca tiene una duracion diferente. Todos los datos
el numero de paquetes para la elaboracion de la lista de flujos entrantes se recogen, y dependiendo de la lista
blanca, sin embargo, este sistema s lo contempla. Con- blanca con la que se quiere comparar se dividen en pedazos
sideramos el numero de paquetes un atributo importante de duracion diferentes. Los ultimos pedazos de cada du-
por dos razones: en primer lugar, para poder utilizar este racion se compara con su lista blanca correspondiente. Se
numero como una metrica a de visualizacion (as ayudara crea un diagrama de cuerdas por cada pedazo de duracion
a mostrar visualmente flujos mas y menos activos); y en diferente.
segundo lugar, puede ayudar a detectar anomalas de flujo La segunda es una opcion mas deseable, ya que ofrece
relativas al tamano (ataques de denegacion de servicio, o mas granularidad, dando la oportunidad de monitorizar
la cada de un dispositivo). diferentes ventanas de tiempo y de detectar anomalas que
pueden ser clasificadas como falsos negativos cuando se
A.1 Listas blancas con datos de flujo temporales utiliza una unica lista blanca. Por ejemplo, si un disposi-
Sin embargo, la utilizacion del numero de paquetes exis- tivo de red esta programado para enviar un gran numero
tente en un flujo complica la utilizacon de las listas blan- de paquetes de manera estacional durante periodos cortos,
cas. El numero de paquetes detectado en el flujo es un pero debido a un fallo ese envo no cesa, las listas blan-
dato temporal, es decir, dependiente de la duracion de cas de corta duracion permitiran el trafico, ya que esta
la captura (cuanto mayor sea el tiempo monitorizado del registrado que el dispositivo enva ese trafico por periodos
flujo, mayor sera el numero de paquetes que aparecen en cortos. Sin embargo, las listas blancas de mayor duracion
el). Por ello, es necesario establecer una validez de un es- registraran que a largo plazo no es un trafico legtimo.
pacio de tiempo a cada lista blanca, en la cual puede ser Por ello, proponemos un sistema que utiliza listas blan-
utilizada. En otras palabras, una lista blanca es solo rele- cas con datos de red correspondiente a diferentes periodos
vante si el tiempo de captura que se ha utilizado para su de tiempo. Sin embargo, el numero optimo de listas blan-
elaboracion es de la misma duracion que los datos de flujo cas a utilizar, as como la duracion de la monitorizacion
capturados con los que se compara. Por ejemplo, si una de cada lista es un atributo que depende del proceso y
lista blanca registra la actividad de una red los primeros debera estudiarse para cada caso. No obstante, es im-
diez minutos de una red industrial, es necesario que las portante recalcar que a mayores tiempos de aprendizaje
capturas de flujos posteriores tengan tambien la misma para construir las listas blancas, mayor es la probabili-
duracion para poder comparar correctamente el numero dad de registrar trafico malicioso o anomalo en la red y
de paquetes registrado en el flujo. etiquetarlo como legtimo en la lista blanca.
Hay dos formas diferentes de abordar esta cuestion:
B. Fase de deteccion
1. Se crea una unica lista blanca por red, con los datos re-
gistrados de una duracion unica. Todos los datos de flujos En esta fase, se utilizan las listas blancas creadas en la
entrantes se recogen, y mas tarde, al realizar las consul- fase anterior para evaluar los datos de flujo entrantes. Los
tas, estos datos recogidos se dividen en pedazos donde la datos de flujos se obtienen mediante consultas al servidor
duracion de la captura de cada pedazo es la misma que la de flujos. Periodicamente se obtienen los datos de flujos de
de la lista blanca. El pedazo mas reciente se compara con red correspondientes a los diferentes periodos de tiempo
61
JNIC2015 Cuarta sesion: Seguridad en redes
4
para los que se haya creado una lista blanca. Despues, se tado. Esta informacion etiquetada se utiliza en la siguiente
comparan los datos de flujo de cada duracion con su lista fase (la de visualizacion) para construir el diagrama de
blanca correspondiente. cuerdas que muestra los flujos de red con sus anomalas
Por cada flujo detectado, el detector comprueba si los detectadas.
datos del flujo estan registrados en la lista blanca. En el
caso de las direcciones origen y destino, puerto del servidor C. Fase de visualizacion
y protocolo utilizado, la informacion de ambos flujos debe En esta fase, cada uno de los conjuntos etiquetados de
ser exacta. En el caso del numero de paquetes registrados flujos de red es mostrado en forma de un diagrama de
hay una excepcion: los numeros de la lista blanca y del cuerdas.
flujo detectado no tienen que ser exactamente iguales, pero En primer lugar, cada uno de los dispositivos activos en
tampoco pueden muy diferentes. El detector da la posibil- la red obtiene una seccion de la circunferencia que forma
idad de establecer un umbral en forma de porcentaje que el exterior del diagrama de cuerdas. La longitud de arco
indica la tolerancia del detector a la diferencia del numero es proporcional al porcentaje de paquetes que el host ha
de paquetes registrado. Flujos que difieren del flujo reg- enviado en el periodo que ha durado la captura; los dis-
istrado en la lista blanca por un margen mayor que el positivos que envan mas paquetes ocupan una longitud de
porcentaje establecido, son etiquetados como anomalos, arco mayor. Una vez que los dispositivos han sido colo-
mientras que los que quedan dentro de los lmites del um- cados en el diagrama, es necesario representar los flujos
bral se consideran legtimos. entre ellos.
Si el flujo detectado es considerado valido, el flujo se eti- Para ello se utilizan las cuerdas: cada flujo de red bidi-
queta como legtimo y no se lanza ninguna alerta. Sin em- reccional esta representado con una cuerda que une dos
bargo, si se detecta un flujo que no ha sido registrado en la dispositivos diferentes. Si dos dispositivos se comunican
lista blanca, el detector etiqueta ese flujo como anomalo y con diferentes flujos (conexiones a puertos diferentes, uso
lanza una alerta. Ademas, el sistema tambien comprueba de protocolos distintos), se sigue visualizando una unica
si los flujos registrados en la lista blanca han sido detec- cuerda que aglutina los flujos entre los mismos disposi-
tados en la red durante ese periodo de tiempo. Si un flujo tivos.
registrado en la lista blanca no ha sido detectado, el flujo La anchura en los bordes de la cuerda, viene dado
se anade al grupo de flujos etiquetados como ausente y se tambien por el numero de paquetes que enva. Por ejem-
lanza una alerta. De esta forma se puede detectar cuando plo, si en un flujo dado el Dispositivo A manda mas pa-
hay problemas de conectividad en la red. quetes que el Dispostivo B, la anchura sera mayor en el
Se han creado las siguientes etiquetas en el detector, borde del lado del Dispositivo A. De manera similar, los
basadas en las comparaciones entre las listas blancas y los flujos mas activos estaran representados con cuerdas mas
flujos registrados: anchas, ya que los actores mas activos tendran bordes mas
Flujo legtimo El flujo es legtimo segun la informacion anchos. El diagrama es interactivo, cuando el usuario pasa
contenida en la lista blanca. el raton por encima de un flujo, el diagrama muestra in-
Flujo anomalo Dos dispositivos se comunican entre s, formacion basica acerca del flujo: nombre de los dispos-
pero segun la lista blanca no deberan de hacerlo. Todos itivos implicados, numero de paquetes enviados en cada
los flujos relativos a un dispositivo desconocido se etique- direccion. . .
tan como tal. La figura 2 muestra un diagrama de cuerdas completo
Puerto incorrecto Un dispositivo trata de conectarse a un donde todos los flujos detectados en su periodo de tiempo
puerto diferente del habitual de un dispositivo con el que han sido etiquetados como legtimos. Se puede apreciar
tiene permitido comunicarse. como la anchura de las cuerdas y sus bordes vara de un
Protocolo incorrecto Un dispositivo trata de conectarse a flujo a otro dependiendo de la actividad del flujo.
un dispositivo con el que puede comunicarse utilizando un En el caso de flujos de red no legtimos, se rellena de
protocolo distinto del habitual. color rojo, como se muestra en la figura 3. Por un lado
Flujo ausente Un flujo registrado en la lista blanca no ha la figura 3a representa como el color rojo destaca entre
sido detectado en el periodo de tiempo correspondiente a el resto de colores de los flujos legtimos. Por otro lado,
la captura. la figura 3b muestra la interactividad del grafico: el dia-
Tamano de flujo anomalo El numero de paquetes de un grama filtra los flujos relevantes de un dispositivo y mues-
flujo registrado en la lista blanca y el flujo detectado vara tra el aviso acerca de la razon por la que el flujo ha sido
mas que el umbral establecido. etiquetado como no legtimo, cuando el usuario selecciona
Cada etiqueta se utiliza para dar informacion acerca de el flujo. Como se ha comentado anteriormente, esta infor-
la razon por la que el flujo se considera no legtimo, tanto macion adicional se toma de la etiqueta que ha asignado el
en la alerta lanzada como en la visualizacion mostrada. detector. En este caso, la lista blanca no permite ningun
Una vez que todos los flujos han sido etiquetados, el de- trafico entre los dispositivos PLC 1 y HMI 2.
tector traduce todas las direcciones IP de los dispositivos Con la excepcion de los flujos con la etiqueta de Flujo
a nombres de dispositivo para facilitar la comprension de ausente, todos los flujos no legtimos se tinen de rojo
los datos de flujo al usuario. para que destaquen entre el resto de flujos. Sin embargo,
Finalmente, despues de la traduccion de nombres, el debido a la naturaleza diferente de los flujos etiquetados
sistema tiene un conjunto de flujos completamente etique- como ausentes, estos flujos son representados tenidos de
62
JNIC2015 Cuarta sesion: Seguridad en redes
5
(a) Flujo prohibido entre PLC 1 y HMI 2. (b) Detalle del flujo anomalo
Switch 2
Switch 1 Gateway
63
JNIC2015 Cuarta sesion: Seguridad en redes
6
utiliza NetFlow de Cisco, version 5 para el envo de la ambos dispositivos esta permitida, sobrepasa el numero
informacion de flujo. Ademas el Switch 1 es ademas el de paquetes permitidos. Al ser el numero de paquetes en-
servidor DNS de la red. viados mayor, el HMI 3 ocupa una mayor seccion del arco
Hay tres controladores logicos programables (PLCs) en y la cuerda del flujo anomalo es mas ancha en su lado.
la red, que son los responsables del control de proceso in-
dustrial. Dos servidores de control extraen la informacion
del proceso a los tres PLCs simultaneamente. La comu-
nicacion entre los servidores y los controladores se realiza
mediante el protocolo Modbus/TCP
Tambien hay tres interfaces maquina-humano (HMIs)
en la red, que permite que los operadores puedan super-
visar el proceso y sus variables de una manera visual y
accesible. HMI 1 recoge los datos del Servidor 1, el HMI
2, del Servidor 2 y, por ultimo, el HMI 3 recoge datos de
ambos servidores. La comunicacion entre los HMIs y los
servidores es mediante el protocolo OPC.
Una puerta de enlace o gateway conecta la red industrial
con redes exteriores, donde se encuentra en este caso el
recolector de flujos.
64
JNIC2015 Cuarta sesion: Seguridad en redes
7
A. Trabajos futuros
La informacion relativa a los puertos y protocolos es
utilizada para la deteccion de anomalas, pero en la visu-
alizacion no muestra la informacion relativa a ellas. La
inclusion de estas caractersticas aumentara la cantidad
de informacion que el operador recibe de manera visual,
pero tambien aumenta el riesgo de complicar las visual-
izaciones demasiado, hasta el punto de no poder cumplir
su cometido.
Las listas blancas se crean al principio de la recoleccion
de flujos y no son directamente editables desde la inter-
faz visual. Sin embargo, es interesante ofrecer al usuario
esta opcion de editar las listas blancas para poder permi-
tir flujos marcados como ilegtimos si el operador puede
determinar su legitimidad y no ha sido detectado en la
fase de aprendizaje.
65
JNIC2015 Cuarta sesion: Seguridad en redes
8
66
JNIC2015 Cuarta sesion: Seguridad en redes
1
Resumen En este trabajo se presenta un marco para la del trafico que circula por una red, en busca de contenidos
correlacion de alertas emitidas por sistemas de deteccion anomalos. Su elaboracion ha sido motivada por la necesi-
de anomalas en redes basados en el analisis estadstico de
la carga util del trafico. La estrategia propuesta tiene en dad de complementar la herramienta de deteccion APAP
cuenta las caractersticas de los modelos construidos du- desarrollada por nuestro grupo de investigacion [4]. En
rante el entrenamiento de los sensores. Las alertas son base a esto se propone un marco para correlacionar inci-
analizadas de manera individual y en grupo, en dos niveles
de procesamiento relacionados entre s. El primero ofrece
dencias, adaptado a sensores de caractersticas similares.
respuestas rapidas a nivel de paquete; el segundo facilita La propuesta gestiona las alertas en un esquema multi-
la reconstruccion de escenarios de ataques. Para su evalu- nivel, que permite su analisis individual y en grupos. Su
acion se ha procesado trafico real de la Universidad Com- eficacia ha sido demostrada en un caso de uso real, con
plutense de Madrid.
trafico de la Universidad Complutense de Madrid (UCM).
El resto del artculo esta estructurado de la siguiente
I. Introduccion manera: en la seccion 2 se describen los trabajos relaciona-
dos. En la seccion 3 se propone un marco para correla-
En los ultimos anos el malware ha experimentado un
cionar sus alertas. En la seccion 4 se describe el escenario
importante crecimiento. Segun la Agencia Europea de
de evaluacion. En la seccion 5 se discuten los resultados
Seguridad de las Redes y de la Informacion (ENISA), el
obtenidos. Finalmente, en la seccion 6 se presentan las
software malicioso se ha convertido en la principal ame-
conclusiones.
naza para las tecnologas de la informacion actuales [1].
Esto es debido a que cada vez mas usuarios se apoyan
en estos servicios para llevar a cabo actividades de es- II. Trabajos Relacionados
pecial sensibilidad, como comercio electronico o accesos Recientemente se han publicado diferentes estados del
a informacion confidencial. Ademas el malware es mu- arte relacionados con la gestion de las alertas emitidas
cho mas sofisticado, habiendo adquirido mayor capacidad por sistemas de deteccion de intrusiones. Algunos de el-
de propagacion, infeccion y elusion de mecanismos defen- los ofrecen una vision general, como es el caso de [2],
sivos. En consecuencia, asegurar la eficacia de los sistemas [3]. Sin embargo otros hacen hincapie en aspectos mas
de deteccion convencionales a menudo requiere de su com- especficos, como en la colaboracion entre sensores [5], o
plementacion por medio de otras herramientas, de entre la reduccion de su tasa de falsos positivos [6]. A lo largo
las que destacan los sistemas de correlacion de alertas. de la bibliografa, los sistemas de correlacion de alertas
Los sistemas de correlacion de alertas facilitan la gestion han sido agrupados de manera muy similar a la propuesta
de las alertas emitidas por los sistemas de deteccion de en [2], donde su eje de clasificacion esta determinado por
intrusiones, mejorando as la decision de las contramedidas los metodos de correlacion. En base a este criterio se dis-
a aplicar [2]. En la ultima decada se ha publicado una tinguen tres grandes grupos: estrategias basadas en simil-
gran cantidad de propuestas al respecto. Pero a pesar de itud, metodos secuenciales o casos.
ser un problema ampliamente estudiado, la mayor parte La correlacion basada en similitud habitualmente se
de los esfuerzos realizados abordan soluciones de ambito centra en la agrupacion y reduccion de las alertas emi-
general, que a menudo son inefectivos en casos de uso tidas. Para ello se tienen en cuenta diferentes atributos
reales. Algunas de las principales causas de este problema o caractersticas, que abarcan desde las direcciones IP y
se enumeran en [3], destacando el crecimiento del volumen puertos relacionados con la intrusion, hasta la frecuencia
de informacion a tratar, la gestion de una mayor cantidad de aparicion de ciertos patrones en su contenido. En [7]
de alertas o su heterogeneidad. se observa un claro ejemplo, donde ademas de estos atrib-
La propuesta realizada se centra en el problema de la utos, son considerados otros rasgos, como su protocolo o
correlacion de alertas en sistemas de deteccion de intru- prioridad de tratamiento. En [8] se aplican caractersticas
siones basados en el analisis estadstico de la carga util parecidas al tratamiento de eventos de redes moviles. La
67
JNIC2015 Cuarta sesion: Seguridad en redes
2
correlacion basada en similitud a menudo tambien tiene entrenamiento de los sensores es posible inferir las
en consideracion las relaciones espacio-temporales de las propiedades del malware.
incidencias. Un ejemplo de ello se encuentra [9], donde Cuando la carga util de un paquete satisface ciertas
a partir de estas caractersticas es posible inferir el esce- propiedades definidas en el entrenamiento, se emite una
nario del ataque. Otras propuestas toman como referencia alerta. Tambien se emiten alertas cuando la carga
atributos propios del sistema de deteccion. Este es el caso util difiere considerablemente de los modelos de uso
de [10], donde la correlacion se realiza a partir de una legtimo.
version comprimida del conjunto de muestras que ha par- Una amenaza puede llegar a la vctima repartida en
ticipado en el entrenamiento del sensor. diferentes paquetes. Ademas es frecuente que cada uno
El analisis secuencial de alertas tiene en cuenta las rela- de ellos desencadene una accion intrusiva diferente, pero
ciones de causalidad de los incidentes, y se basa en el es- necesaria para que actue la siguiente.
tudio de sus precondiciones y postcondiciones. Se definen Los sistemas de deteccion robustos frente a metodos de
como precondiciones al conjunto de requisitos necesarios evasion a menudo operan de manera no determinista
para desencadenar una amenaza. Las postcondiciones son para evitar ser enumerados. Tambien permiten recono-
las consecuencias de su ejecucion. En [11] se muestra un cer algunas tecnicas de ocultacion basadas en oligomor-
claro ejemplo de esta metodologa, donde mediante el en- fismo y metamorfismo, por medio de la identificacion
lace de prerrequisitos y postcondiciones de diferentes aler- de la parte invariante de su vector de infeccion.
tas, es posible la construccion de escenarios de ataques. En el marco propuesto se analiza la informacion ofrecida
En [12] esto se lleva a cabo mediante la elaboracion de ma- por las alertas en base a las caractersticas extradas por el
trices de correlacion causal. Otra representacion comun propio sensor, y una base del conocimiento. Por lo tanto
son los grafos. En [13] se profundiza en esta tendencia, ambas herramientas deben compartir metricas y estrate-
y se propone la aplicacion de grafos de incidencias gen- gias de modelado. Esto dificulta su escalabilidad, pero
eralizados basados en las relaciones de dependencia en- tiene en cuenta que los sistemas de deteccion basados en
tre alertas. La construccion del escenario del ataque a anomalas a menudo ofrecen informacion muy especfica,
menudo involucra la aplicacion de diferentes estrategias, la cual tiene que ver con distancias entre modelos y reglas
como sucede en [14] mediante el uso de gramaticas, o en de activacion, adaptandose de este modo mucho mejor a
[15] con algoritmos de minera de datos, haciendo especial los casos de uso reales.
hincapie en la logica difusa.
Los metodos basados en casos se fundamentan en bases
del conocimiento, denominadas en este contexto como A. Arquitectura
bases de casos. Por lo tanto, dependen de algoritmos
La aproximacion propuesta gestiona las incidencias en
encargados de reconocer los patrones especficos de com-
base a dos criterios: la diferencia de la observacion con
portamiento representados en ellas. Un ejemplo de ello
los modelos de uso legtimo de la red, y su naturaleza.
se observa en [16], donde los escenarios de ataques que
Eso permite establecer dos componentes de analisis. El
integran la base de casos son construidos a partir de agru-
primero lleva a cabo la correlacion en funcion del grado
paciones de incidencias. La propuesta infiere futuras ame-
de anomala que muestran las observaciones que han cau-
nazas, lo que permite actualizar la base del conocimiento
sado alertas. Ha sido denominado componente de Di-
con nuevas intrusiones. En [17] se introduce una aprox-
agnostico por Anomala (DA). El otro componente las
imacion similar, centrada en la actualizacion automatica
agrupa tomando como eje de clasificacion su naturaleza.
de grafos de dependencias. En [18] se aplican algoritmos
Ha sido denominado componente de Diagnostico por Nat-
de agrupamiento para clasificar las incidencias en funcion
uraleza (DN). La arquitectura de la propuesta consta de
de la base de casos, con el fin de priorizar su tratamiento.
dos niveles de tratamiento de informacion, tal y como se
muestra en Fig. 1. El primero de ellos se encarga de
III. Marco para la Correlacion de Alertas
correlacionar incidencias individuales a nivel de paquetes.
El marco propuesto para la gestion de incidencias se En el participan los componentes DA y DN, y se proponen
adapta a las particularidades de las herramientas de de- los objetivos de agrupar, priorizar y distinguir las inciden-
teccion de malware basadas en anomalas. En consecuen- cias desencadenadas por falsos positivos. El segundo nivel
cia, han sido consideradas las siguientes asunciones: trata de identificar conjuntos de alertas relacionadas entre
Los sensores a complementar presentan arquitec- s, derivadas de amenazas ejecutadas en diferentes pasos.
tura centralizada. Existen pocas contribuciones que Por lo tanto depende de las caractersticas extradas en
planteen esquemas colaborativos. Ademas, el analisis el nivel anterior. Para asociar las incidencias se considera
centralizado predomina en las publicaciones de mayor una variante del componente DN que aplica una base del
relevancia. conocimiento relacionada con amenazas en multiples pa-
Los sensores analizan el trafico paquete a paquete. El sos. A pesar de su relacion, el resultado del analisis llevado
modelado de la red se basa en el estudio de su carga a cabo en cada nivel debe interpretarse de manera inde-
util, por ser el campo que contiene el codigo malicioso. pendiente. Esto es debido a que cada uno de ellos cubre
Las peculiaridades de los sensores determinan las car- un caso de uso especfico. Ademas es recomendable su im-
actersticas que permiten establecer los modelos de uso. plementacion mediante metodos de clasificacion no deter-
A partir de las caractersticas de la carga util y del ministas, que dificulten posibles intentos de enumeracion.
68
JNIC2015 Cuarta sesion: Seguridad en redes
3
las posibles clasificaciones que realiza. Tiene lugar du- clasificacion de secuencias es similar a la que se lleva a
rante el entrenamiento de los sensores, donde a partir de cabo a nivel de alertas. Esta parte de la informacion
L se genera una representacion del modo de uso habitual inicial, provista por el etiquetado realizado en el paso
del entorno protegido, cuyas caractersticas mas represen- anterior para cada una de las alertas que integran la
tativas son M L = {ml1 , , mlp } tal que 0 < p. En la secuencia. En este componente tambien se construye
definicion de grupos participa el modelo M L, y en oca- una base del conocimiento, solo que en esta ocasion las
siones el conjunto A; esto ultimo dependera de su numero caractersticas que activan las reglas son las etiquetas
de clases. del nivel de correlacion anterior, y las reglas son las
En el caso de considerar unicamente muestras legtimas, posibles secuencias que ha presentado la amenaza en
es decir si |A| es poco representativo, los grupos se con- su entrenamiento
struyen en funcion de la distancia de las observaciones re-
IV. Escenario de Pruebas
specto a los umbrales que determinan si seran etiquetadas
como anomalas o legtimas. Sin embargo, cuando |A| es El sistema de deteccion complementado ha sido APAP
representativa, sus muestras tambien pueden tomar parte [4]. A continuacion se describe la implementacion de cada
del proceso de decision de grupos. A diferencia del caso componente y la coleccion de muestras aplicada:
anterior, en esta situacion los algoritmos de agrupamiento Componente DA. A partir del modelado realizado por
solo consideran las distancias de las muestras maliciosas APAP se establecen las caractersticas de la carga util
respecto del umbral de decision. Se trata de un esquema del trafico que circula por la red protegida. Los val-
habitualmente mas preciso, ya que las alertas emitidas por ores centrales de los grupos en que se etiquetan las
los sensores siempre superan dichos margenes. De este anomalas se generan considerando las distancias en-
modo, y a diferencia del primer caso, los valores centrales tre los umbrales de decision del sensor y las carac-
de los grupos siempre los superan. tersticas que presenta el conjunto de trafico malicioso.
69
JNIC2015 Cuarta sesion: Seguridad en redes
4
El agrupamiento se ha realizado mediante el algoritmo torizados, software con accesos no autorizados, spyware I,
K-medias. Al recibir alertas, el sistema de correlacion spyware II, anomala desconocida.
las asigna al grupo de mayor similitud. Las secuencias de alertas pueden inferir 9 tipos de clasi-
Componente DN para Alertas. El componente DN ficaciones: botnet I, malware ofuscado, gusano, drive-by,
para la correlacion de alertas ha sido implementado Adware, spyware, virus, botnet/troyano II, anomala de-
mediante una red neuronal artificial. Dicha red consta sconocida. El 80% de las trazas disponibles han sido em-
de n = 32 entradas, correspondientes con el total de pleadas en el entrenamiento del sistema y el 20% restante
caractersticas que componen la metrica en que se basa para su evaluacion.
APAP para la construccion de modelos. La red neu-
ronal presenta 3 capas (de las cuales una es oculta), V. Resultados
funcion de activacion Elliot y tolerancia a error del
0.001. Ha sido entrenada con las reglas construidas Durante la etapa de entrenamiento de APAP, en el com-
por el sensor, tras su entrenamiento con cada tipo de ponente DA se generaron 5 grupos de alertas. En funcion
amenaza y su salida asociada. Esto permite relacionar de su proximidad con el umbral de decision han sido eti-
las reglas inferidas por la emision de cada alerta, con quetadas con riesgos muy alto, alto, moderado, bajo y muy
su naturaleza. bajo. Se han realizado dos pruebas con dicho componente.
Componente DN para Secuencias de Alertas. Con el La primera de ellas sirve para decidir la capacidad del sis-
fin de generar clasificaciones no deterministas, el com- tema de identificar falsos positivos, e involucra el analisis
ponente DN ha sido implementado mediante un algo- de las trazas legtimas etiquetadas erroneamente como in-
ritmo genetico basico. Durante el entrenamiento de trusiones. Por otro lado se han correlacionado las alertas
APAP se ha establecido una tabla que asocia cada se- correspondientes a verdaderos ataques.
cuencia de alertas tratada, con el tipo de intrusion que En Fig. 2 se muestran los resultados. El 95,7% de
la desencadena. En el algoritmo genetico, el genotipo las muestras legtimas analizadas han sido clasificadas ex-
de cada individuo es un vector que contiene las clasi- itosamente en los grupos de menor riesgo (muy bajo y
ficaciones de todas las alertas de una secuencia de bajo). El 83,82% de las alertas por ataques verdaderos han
ataques. De esta manera las etiquetas que mas aparez- sido ubicadas correctamente en su grado de riesgo origi-
can en ella tendran mayor representacion. Cada vez nal. Los mayores errores han significado su asignacion al
que APAP genera una secuencia de alertas, el algo- grupo mas proximo del correcto. Esto permite una cierta
ritmo genetico construye una poblacion inicial de tra- tolerancia a fallos. El tiempo de procesamiento medio por
bajo a partir de su genotipo. Los individuos son gen- muestra de APAP ha sido de 171,104 ms; al anadirle el
erados a partir de mutaciones arbitrarias sobre este. componente DA el analisis tarda 173,127 ms en los ca-
A continuacion, realiza iteraciones que involucran las sos peores. Por lo tanto, la sobrecarga causada sobre el
operaciones de cruce y mutacion propias de este tipo de sistema es inferior al 1%.
algoritmos, hasta que alcanza su condicion de parada. La distribucion de las clasificaciones de las alertas emi-
Esto sucede cuando se alcanza un numero maximo de tidas por APAP, en base a su naturaleza, se muestra en
iteraciones o cuando un subconjunto representativo de Fig. 3 Al comparar la precision obtenida con la del CPD
los individuos ha alcanzado la aptitud optima (este es se ha obtenido una tasa de acierto del 99,512%. La pe-
el caso en que la funcion de aptitud devuelve el valor nalizacion sobre el tiempo de procesamiento del sensor es
0). La funcion de aptitud viene dada por la mejor del 2,3% (175,135 ms por muestra en los casos peores). Al
distancia Levenshtein entre el genotipo del individuo y combinar este etiquetado con el emitido por DA se obtiene
las configuraciones presentes en la tabla. la pareja riesgo,naturaleza, correspondiente con la salida
Al concluir el algoritmo, la secuencia es clasificada del nivel de procesamiento a nivel de paquetes. Dado que
como perteneciente a aquellas intrusiones cuyos genoti- ambas se calculan en paralelo, la sobrecarga a nivel de
pos asociados hayan aparecido en la poblacion de tra- paquetes ha sido la mayor de ellas: 2,3%.
bajo. La probabilidad de que se trate de la etiqueta
Los resultados de la correlacion de secuencias de alertas
correcta coincide con la probabilidad asociada a su fre-
se muestran en Fig. 4 En ella se indica la frecuencia de
cuencia de aparicion en la poblacion.
aparicion de cada etiqueta tras el proceso de correlacion,
y la del etiquetado correcto en la primera opcion del con-
A. Coleccion de Muestras
junto de soluciones propuesto por el algoritmo genetico.
Para la evaluacion del sistema se ha empleado una La precision de la etiqueta mas probable propuesta por
coleccion de capturas de trafico etiquetadas por el Cen- DN ha sido del 75,124%, mientras que el 24,876% restante
tro de Procesamiento de Datos (CPD) de la Universidad se ha dado en la segunda opcion mas representativa. Por
Complutense de Madrid, tomadas a lo largo del ano 2011 lo tanto, todas de las amenazas han sido agrupadas correc-
en la subred de la facultad de informatica. tamente considerando las dos primeras opciones emitidas.
Las posibles alertas han sido divididas en 16 categoras: En este caso el tiempo de procesamiento ha sido peor y
troyano, escalada de privilegios, codigo ejecutable, dene- asciende a 221,362 ms, lo que supone un incremento de la
gacion de servicio, software privativo, enumeracion I, enu- sobrecarga del 20,88% tras considerar el retardo del DA y
meracion II, virus, exploit, software privativo espa, accion el del DN (debido principalmente al uso de un algoritmo
de control remoto, software privativo con accesos no au- genetico).
70
0,00380625
0,01358725
JNIC2015 0,00567021 Cuarta sesion: Seguridad en redes
0,11796354
0,00380625
0,163631
0,01358725 5
0,137609
0,00567021
60,0% 0,247923
0,11796354 Agradecimientos
50,2% Legtimo
50,0% 45,5%0,0000975
0,163631
43,8% Malicioso Los autores agradecen el apoyo brindado por el Pro-
0,00015
0,137609
40,0% grama de Financiacion de Grupos de Investigacion UCM
0,09660625
0,247923
30,0% validados de la Universidad Complutense de Madrid -
0,00344625
0,0000975
20,0%
Banco Santander.
0,00626275
12,6%0,0001514,8% 15,4%
10,4%
10,0% 0,09660625 Referencias
0,00026 4,3%
0,0%
0,00344625 [1] L. Marinos, A. Sfakianakis, ENISA (2015), Threat Landscape
Muy Bajo0,002509
0,00626275Bajo Medio Alto Muy Alto 2014. Available: https://www.enisa.europa.eu/
0,004394 [2] S. Salah, G. Macia-Fernandez, J.E. Daz-Verdejo, A model-
0,00026 Fig. 2 based survey of alert correlation techniques, Computer Net-
0 works, vol. 57, no. 5, pp. 1289-1317, 2013.
Resultados en correlacion basada en anomalas.
0,002509 [3] S. A. Mirheidari, S. Arshad, R. Jalili, Alert Correlation Al-
0,004394 gorithms: A Survey and Taxonomy, in Proceedings of the 5th
Total 0,80010975 International Symposium on Cyberspace Safety and Security
0 (CSS), Zhangjiajie, China, 2013. Lecture Notes in Computer
Troyano 0,381% Science, vol. 8300, pp. 183-197, 2013.
Esc. privilegios 1,359%
[4] L.J.G. Villalba, A.L. Sandoval Orozco, J. Maestre Vidal, Mal-
Cd. ejecutable 0,567%
Total DoS 0,80010975 11,796% ware Detection System by Payload Analysis of Network Traf-
Sfw. privativo 16,363% fic, IEEE Latin America Transactions, vol. 13, no. 3, pp. 850-
Troyano 0,381%
Enumeracin I 13,761% 855, 2015.
Esc. privilegios 1,359% [5] H.T. Elshoush, I.M. Osman, Alert correlation in collaborative
Enumeracin II
Cd. ejecutable 0,567% 24,792%
Virus
DoS 0,010% 11,796% intelligent intrusion detection systems-A survey, Applied Soft
Exploit
Sfw. privativo 0,015% 16,363% Computing, vol. 11, no. 7, pp. 4349-4365, 2011.
Sfw. Priv./spy I
Enumeracin I 9,661% 13,761% [6] N. Hubballi, V. Suryanarayanan, False alarm minimization
Control remoto
Enumeracin II 0,345% 24,792% techniques in signature-based intrusion detection systems: A
Swr priv. restrict.
Virus 0,626%
0,010% survey, Computer Communications, vol. 49, pp. 1-17, 2014.
Swr. acc. no aut. 0,026%
0,015%
Exploit
Spyware I 0,251%
[7] G.C. Tjhai, S.M. Furnell, M.Papadaki, N.L. Clarke, A pre-
Sfw. Priv./spy I
Spyware II 0,439% 9,661% liminary two-stage alarm correlation and filtering system using
Control remoto 0,345% SOM neural network and K means algorithm, Computers &
Swr priv. restrict. 0,626% Security, vol. 9, no. 6, pp. 712-723, 2010.
Swr. acc. no aut. 0,026% Fig. 3 [8] H.Cam, P.A. Mouallem, R.E. Pino, Alert Data Aggregation
Spyware I 0,251%
Distribuci
Spyware IIon de
Distribucin
correlacion de
0,439% Acierto en primera
alertas poropcin
naturaleza. and Transmission Prioritization over Mobile Networks, Network
Botnet 0,91% Science and Cybersecurity, Advances in Information Security,
89,10% vol. 55, pp. 205-220, 2014.
Ofuscado 0,14%
73,10% [9] A.A. Amaral, B.B. Zarpelao, L.S. Mendez, J.J.P.C. Rodrigues,
Gusano 1,6%
Distribucin Acierto en primera opcin 94,40% M.L.P. Junior, Inference of network anomaly propagation us-
Driver by 23,18% ing spatio-temporal correlation, Journal of Network and Com-
Botnet 0,91% 83,70%
89,10%
Adware 30% puter Applications, vol. 35, no. 6, pp. 1781-1792, 2012.
73,10% 91,20%
Ofuscado 0,14%
Spyware 43,2% [10] T. Chen, X. Zhang, S. Jin, O. Kim, Efficient classification us-
Gusano 1,6% 71,30% 94,40% ing parallel and scalable compressed model and its application
Virus 0,24%
Driver by 23,18% 83,10%
83,70% on intrusion detection, Expert Systems with Applications, vol.
Troyano 0,73%
Adware 30% 94,50% 41, no. 13, pp. 5972-5983, 2014.
91,20%
Spyware 43,2% [11] L. Zhaowen, L. Shan, M. Yan, Real-Time Intrusion Alert Cor-
71,30% relation System Based on Prerequisites and Consequences,
Virus 0,24%
83,10% in Proceedings of the 6th International Conference on Wire-
Troyano 0,73%
94,50% less Communications Networking and Mobile Computing
(WiCOM), Chengdu, China, 2010, pp. 1-5.
[12] A.A. Ramaki, M. Amini, R.E. Atani, RTECA: Real time
Fig. 4 episode correlation algorithm for multi-step attack scenarios
Distribucion de correlacion de secuencias. detection, Computers & Security, vol. 49, pp. 206-219, 2015.
[13] M. Albanese, S. Jajodia, A. Pugliese, V.S. Subrahmanian,
Scalable Analysis of Attack Scenarios, in Proceedings of the
16th European Symposium on Research in Computer Security
(ESORICS), Leuven, Belgium, 2011. Lecture Notes in Com-
VI. Conclusiones puter Science, vol. 6879, pp. 416-433, 2011.
[14] S.O. Al-Mamory, H. Zhang, IDS alerts correlation using
Se ha introducido un marco para la correlacion de aler- grammar-based approach, Journal in Computer Virology, vol.
5, no. 4, pp. 271-282, 2008.
tas emitidas por sistemas de deteccion de malware en re- [15] K. Alsubhi, I. Aib, R. Boutaba, FuzMet: a fuzzy logic based
des basados en la identificacion de anomalas en su carga alert prioritization engine for intrusion detection systems, In-
ternational Journal of Network Managment, vol. 22, no. 4, pp.
util. En el se integran las estrategias de analisis y mod- 263-284, 2012.
elado del sensor a complementar. Su eficacia ha sido de- [16] H.T. Elshoush, I.M. Osman, Intrusion Alert Correlation
mostrada al correlacionar alertas emitidas tras el analisis Framework: An Innovative Approach, in Proceedings of the
IAENG World Congress on Engineering, London, U.K, 2012.
de trafico real de la UCM. Pero a pesar de los buenos Lecture Notes in Electrical Engineering, vol. 229, pp. 405-420,
resultados, su precision y rendimiento presentan mucha 2013.
dependencia de las caractersticas de su instanciacion (tal [17] S.H. Ahmadinejad, S. Jalili, M. Abadi, A hybrid model for
correlating alerts of known and unknown attack scenarios and
y como sucedio con la sobrecarga del sistema al desplegar updating attack graphs, Computer Networks, vol. 55, no. 9,
un algoritmo genetico en su ultimo nivel). Ademas es un pp. 2221-2240, 2011.
marco que integra parte de la estrategia de analisis del [18] R. Shittu, A. Healing, R. Ghanea-Hercock, R. Bloomfield, M.
Rajarajan, Intrusion alert prioritisation and attack detection
sensor que complementa, situacion que dificulta su escal- using post-correlation analysis, Computers & Security, vol. 50,
abilidad. Consecuentemente, el futuro trabajo se centrara pp. 1-15, 2015.
en optimizar las tecnicas de clasificacion aplicadas.
71
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
In theory, one can get rid of timing side channels by Our starting point is an existing upper bound for the amount
avoiding the use of secret-dependent control flow and of of information contained in n timing measurements, when the
performance-enhancing features of the hardware architecture, execution time is discretized [7]. The technical challenge we
such as caches and branch prediction units. However, this face is to turn this bound into a guarantee against an adversary
defensive approach comes at the price of a performance that can mount a combined timing/algebraic attack. We identify
penalty. In practice, one is hence faced with the problem of unpredictability entropy [3] as a suitable tool for this task. In
striking a balance between performance and security against particular, unpredictability entropy satisfies a chain rule [8],
timing attacks. which limits the extent to which bounded leakage can decrease
the hardness of a computational problem. We then cast Shoups
lower bound for computing discrete logs in generic groups [9]
II. Resolving Security vs. Performance Trade-Offs in terms of the unpredictability entropy w.r.t. an adversary
In this paper we present a game-theoretic approach for who can perform m group operations. Finally, we connect the
solving this problem. The key novelty of our approach is a leakage bound with the bound for the discrete log to obtain
simple and practical model of the side-channel adversary as the desired bound (in terms of n and m) for combined side
a player that can distribute the available resources between channel/algebraic adversaries.
timing measurements and offline search for the secret. Our
approach is focused in that we consider only cryptosystems
based on discrete logarithms and input blinding as a coun- III. Case Study
termeasure, yet it is comprehensive in that it goes all the way
from formal modeling to identifying the optimal protection for We put our approach to work in a case study where we
a library implementation of ElGamal. A highlight of our results seek to optimally configure countermeasures against timing
is that we are the first to formally justify the use of a fast but attacks in the libgcrypt 1.6.1 ElGamal implementation. Ex-
(slightly) leaky implementation over a defensive constant-time perimentally, we identify optimal choices of key lengths and
implementation, for some parameter ranges. countermeasure configurations that guarantee the same degree
of security as a constant-time implementation using a reference
The full version of this paper was published in the Proceedings of the 28th key size. We do this for realistic server configurations, and
IEEE Computer Security Foundations Simposium, 2015 [2]. target commonly used key lengths. In the course of our
72
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
experiments we observe that the time of deployment of a key, implementation allowing two distinct running times (which
or the number allowed connections per second (which we call we call buckets). In both figures, a cheaper implementation
access rate) can influence which configuration is optimal: the constitutes the defenders optimal protection strategy for a set
defensive, constant-time implementation with a short key, or of parameter configurations.
the more aggressively tuned and leaky implementation with a
longer key. The variation in the cost of the two-bucket implemen-
tations is explained in the following. When increasing the
key deployment time, the adversary has more opportunities
1.15
to make timing measurements, which leads to an increased
1.1 timing leak; as the defender requires a fixed level of security,
1.05 he compensates for this higher leak by increasing the key size,
# instructions 108
Fig. 1: Average cost (in number of CPU instructions) of IV. Summary of Contributions
ElGamal decryption, for varying key deployment time (in In summary, our contributions are conceptual and practical.
days). The results are given for a reference key size of 1024 Conceptually, we combine game theory with novel, quanti-
bits, and access rate of 100 accesses per second. tative security guarantees to tackle the problem of system-
atically choosing the optimal balance between security and
performance. Practically, we perform a case-study on a realistic
ElGamal implementation, where we illustrate how our tech-
7
niques can be used to identify cost-effective countermeasure
6.5 configurations.
# instructions 108
6
5.5 References
5
[1] D. Brumley and D. Boneh. Remote timing attacks are practical.
4.5 Computer Networks, 48(5):701716, 2005.
4 constant time
[2] G. Doychev and B. Kopf. Rational Protection Against Timing Attacks. In
Proc. 28th IEEE Computer Security Foundations Symposium (CSF15).
3.5 2 buckets
IEEE, 2015.
3 [3] C.-Y. Hsiao, C.-J. Lu, and L. Reyzin. Conditional computational
1 year 4 year 7 years 10 years 13 years entropy, or toward separating pseudoentropy from compressibility. In
key deployment time EUROCRYPT, pages 169186. Springer, 2007.
[4] S. Jana and V. Shmatikov. Memento: Learning secrets from process
Fig. 2: Average cost (in number of CPU instructions) of footprints. In SSP, pages 143157. IEEE, 2012.
ElGamal decryption, for varying key deployment time (in [5] P. Kocher. Timing Attacks on Implementations of Diffie-Hellman, RSA,
days). The results are given for a reference key size of 2048 DSS, and Other Systems. In CRYPTO, pages 104113. Springer, 1996.
bit, and access rate of 10 accesses per second. [6] P. Kocher, J. Jaffe, and B. Jun. Differential power analysis. In CRYPTO,
pages 388397. Springer, 1999.
[7] B. Kopf and M. Durmuth. A provably secure and efficient countermea-
Examples of our practical findings are shown in Figure 1 sure against timing attacks. In CSF, pages 324335. IEEE, 2009.
and Figure 2, which give the cost (i.e., running time mea- [8] S. Krenn, K. Pietrzak, A. Campus, A. Wadia, and D. Wichs. A
sured in number of CPU instructions) of ElGamal decryption, counterexample to the chain rule for conditional hill entropy. 2014.
when varying the key deployment time. We compare two [9] V. Shoup. Lower bounds for discrete logarithms and related problems.
implementations: a constant-time implementation and a leaky In EUROCRYPT, pages 256266. Springer, 1997.
73
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
1
The problem of detection of P2P botnets has been de- ing shared should be short, due to the fact that this file is
nounced as one of the most difficult ones, and this is even directly pointing to all the members of the botnet, expos-
sounder when botnets use existing P2P networks infras- ing them to known detection systems [3] [4].
tructure (parasite P2P botnets). The main intuition be- These two rules imply that, during the first phase of
hind our proposal1 of detecting P2P parasite botnet re- a botnet resource sharing, a high level of popularity is
sources is the fact that resources shared by legitimate users expected and after that all the bots will stop sharing the
in a P2P network (legitimate resources) will be accessed in botnet resource in a short period of time.
a different way than resources shared by nodes belonging
to a botnet (botnet resources). For this reason, we are in- Resource-based Botnet Detection: Architecture and Oper-
terested in building models for both legitimate and botnet ation
resources. Then, we will suggest a detection architecture The architecture of our proposal for a resource-based
that relies on these models to detect botnet resources in botnet detection system is shown in Fig. 1. The data
P2P networks. from a resource monitoring system for Mainline network
Our models are based on the evolution of the number of is feeded into our system, where the three typical stages
P2P nodes that share a specific resource over time. This are considered:
way, let nr (k) be the number of nodes sharing a resource
r during a period of time of duration which ends at Preprocessing
k , k = 1, ..., K.
Based on the behavior of nr (k) for legitimate popular Both the training and detection processes require a pre-
P2P resources, our main hypothesis is that nr (k) will dif- vious common stage to preprocess the data given by the
fer substantially from these patterns when r represents resources monitoring system. We obtain nr , which rep-
a botnet resource. This means that the detection of po- resents a low pass filtering of the time series evolution of
tential botnet resources would be possible by monitoring the number of peers sharing r.
nr (k) and detecting deviations from the expected tempo-
Training
ral sharing behavior.
The key problem to verify this hypothesis is that it is First, a normality model is built to represent the shar-
not possible to use experimental traces from botnet re- ing evolution of legitimate resources in the monitored P2P
sources. To the best of our knowledge, nowadays there network. As we are interested in identifying those re-
are no real active parasite botnets reported, possibly due sources that exhibit a high fall in the number of peers
to the fact that it is extremely difficult to detect them by that share them and present a reduce sharing duration,
existing methods. For this reason, our strategy is to build we extract the fall threshold and the sharing duration of
a theoretical model for the sharing evolution of botnet the system.
resources, assuming that botmasters must follow certain
rules to maintain and operate their botnets. Here, it is Detection
important to consider two properties that could not be cir- Once the model is obtained, every resource shared in the
cumvented by botmasters without degrading botnets be- P2P network is analyzed, in order to determine potential
havior or exposing them to active detection mechanisms: deviations with respect to the expected behavior. In such
1. Botnet resources must be popular resources. a case, an alarm is triggered indicating the detection of
Botnets can be composed of a large number of infected a malicious, botnet resource. The core of the detection
machines (boots) [2]. When botmasters update the bot system corresponds to the module of abnormal fall and
code or send commands, all the bots must download a duration detection.
given botnet resource which contains those commands or
updates. This implies that a large number of downloads I. Experimental Evaluation
will be observed for that botnet resource.
In order to make the training, we collect the evolution
2. Botnet resources must have a short life-time.
of 34,075 resources in the Mainline network and we se-
The period of time during which a botnet resource is be-
lect 14,869 of them which are corroborated as legitimate.
1 This work is a brief summary of the paper [1]. Additionally, 42,000 synthetic bot resources following our
74
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
2
=0.07; =0.15
100 Discovering Botnet Patterns
=0.12; =0.28
3
and the number of peers is really significative (436,963).
2 These behaviors are really suspicious of being due to bot-
net resources sharing, as they follow the expected behavior
1
regarding abrupt falling and short-duration in sharing.
0
0 10 20 30 40
k (hours) Acknowledgments
This work has been partially supported by Spanish Gov-
Fig. 3: Time evolution of the three resources detected as
ernment through project TIN2014-60346-R.
abnormal.
Referencias
[1] R. A. Rodrguez-Gomez, G. Macia-Fernandez, P. Garca-
Teodoro, M. Steiner, and D. Balzarotti, Resource monitoring
for the detection of parasite {P2P} botnets, Computer Net-
model based on popularity and short-life time are gen- works, vol. 70, no. 0, pp. 302 311, 2014.
erated. The existence of both legitimate and botnet re- [2] M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis, My botnet
sources allows to obtain a ROC curve representing the is bigger than yours (maybe, better than yours): why size esti-
mates remain challenging, in Proceedings of the first conference
performance of our detection system (see Fig. 2). We ob- on First Workshop on Hot Topics in Understanding Botnets.
tain this ROC by varying and which are the factor to USENIX Association, 2007.
calculate the fall threshold, Fth , and the duration thresh- [3] S. Shin, Z. Xu, and G. Gu, EFFORT: Efficient and Effec-
tive Bot Malware Detection, in Proceedings of the 31th An-
old, Dth . nual IEEE Conference on Computer Communications (INFO-
COM12), 2012.
From these results, we select a value of equal to 1.2 [4] J. Zhang, R. Perdisci, W. Lee, U. Sarfraz, and X. Luo, Detect-
and a value of equal to 3.7, which obtain false positive ing stealthy P2P botnets using statistical traffic fingerprints, in
Dependable Systems & Networks (DSN), 2011 IEEE/IFIP 41st
rates equal to zero, in order to minimize the number of International Conference on. IEEE, 2011, pp. 121132.
alarms while being sure about the malicious nature of the
events detected.
75
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
76
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
77
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
78
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
RED LGICA
HMI
HTTP MAC.C
VLAN.Z
RED LGICA
SAMPLE VALUE
SV MAC.B
MU
VLAN.X
RED LGICA
GOOSE
GOOSE IED Y MAC.A
VLAN.Y
RED LGICA
GOOSE
GOOSE IED X MAC.A
VLAN.X
INFRAESTRUCTURA
cuando este excede el umbral predeterminado (100 paquetes
FSICA
IP por segundo en este caso).
Fig. 2: Ejemplo de segmentacion de red basado en
IV. CONCLUSIONES Y L INEAS FUTURAS
direccionamiento MAC y VLAN.
El modelo Smart Grid es un claro ejemplo de
infraestructura crtica en la que la gestion de la seguridad
en direccionamiento MAC. Ademas, en caso de usar VLAN es esencial para asegurar las prestaciones de la red. Para
(IEEE 802.1Q), los identificadores de cada red virtual pueden disenar y mantener subestaciones electricas es necesario
reutilizarse. La Figura 2 muestra un diagrama de ejemplo proveer polticas de seguridad y diferenciacion del trafico
donde un red es segmentada en diferentes redes logicas de datos. Con dicho objetivo, una plataforma basada en
basados en diferentes flujos que tienen lugar en subestaciones tecnologas SDN permite configurar los elementos de red a
IEC 61850. As, dicha tecnica de aislamiento es un efectivo traves de una interfaz comun. La arquitectura propuesta se
complemento a la segregacion del trafico basado en VLAN. beneficia de la programabilidad de las SDN, automatizando la
configuracion de recursos y aportando tecnicas de diagnostico
Firewall y control de spoofing de las condiciones de red.
Al no tener que implementar mecanismos de autenticacion Dado que las funcionalidades presentadas estan basadas en
y encriptado para las tramas SV y GOOSE, diferentes estudios filtrados de flujos estaticos (stateless), como acciones futuras
[9,10] han demostrado como la seguridad de un sistema IEC se plantea la incorporacion de reglas de filtrado de paquetes
61850 puede estar comprometida. En particular, los autores con estado.
coinciden en proponer ataques de tipo MAC spoofing. Con el AGRADECIMIENTOS
proposito de solventar tales problemas, el modulo Firewall de El trabajo descrito ha sido posible gracias al programa
Floodlight es usado para limitar el trafico entrante de acuerdo ZABALDUZ, habiendose producido en la Unidad de
a la direccion MAC origen, puerto y switch. Por tanto, la Formacion e Investigacion UFI11/16 financiada por la
plataforma permite establecer Listas de Control de Acceso Universidad del Pas Vasco (UPV/EHU).
(ACL) estaticamente. Ademas, haciendo uso del modulo
Device Manager, el controlador restringe continuamente la R EFERENCIAS
conexion de dispositivos con direcciones MAC unvocas (la [1] International Electrotechnical Commission TC57, Communication
networks and systems for power utility automation, IEC 61850. 2011.
primera en conectarse), lo que favorece la proteccion contra [2] E. Molina, E. Jacob, J. Matias, N. Moreira, and A. Astarloa, Using
ataques de spoofing y otros problemas tradicionales que Software Defined Networking to manage and control IEC 61850-based
pudieran ocurrir con direccionamiento duplicado. systems, Computers Electrical Engineering, 2014.
[3] Open Networking Foundation (ONF), OpenFlow Switch Specification,
version 1.5.0, Open Networking Foundation (ONF), Diciembre 2014.
Deteccion de anomalas [4] B. S. Networks. Floodlight openflow controller. [Online]. Available:
http://www.projectfloodlight.org/floodlight/
En la arquitectura propuesta el colector sFlow puede [5] P. Phaal, S. Panchen, and N. McKee, InMon Corporations sFlow: A
detectar que un umbral este siendo sobrepasado. Lo cual es Method for Monitoring Traffic in Switched and Routed Networks, RFC
comunicado al controlador OpenFlow para que este establezca 3176, IETF, Sep. 2001.
las acciones pertinentes. As, la plataforma permite establecer [6] B. Pfaff and B. Davie, The Open vSwitch Database Management
Protocol, RFC 7047, IETF, 2013.
flujos (definidos por Ethertype, direcciones MAC/IP, VLAN, [7] IEC TC57, Power systems management and associated information
puertos de TCP/UDP, etcetera) y determinar umbrales de exchange - Data and communications security - Part 6: Security for
IEC 61850, IEC TS 62351-6 ed.
monitorizacion asociados a tales flujos. Por consiguiente, [8] T. Janca, Utility ethernet network architecture: Networked electrical
los diferentes nodos de la red pueden ser protegidos contra exchange topology-next, in Sarnoff Symposium (SARNOFF), 2012 35th
ataques de denegacion de servicio (DoS) desde uno o varios IEEE, May 2012, pp. 16.
orgenes (DoS distribuido). [9] J. Hoyos, M. Dehus, and T. Brown, Exploiting the goose protocol: A
practical attack on cyber-infrastructure, in Globecom Workshops (GC
La Figura 3 ejemplifica una situacion en la que se detecta un Wkshps), 2012 IEEE, Dic 2012, pp. 15081513.
ataque DoS, donde un nodo es saturado con paquetes ICMP [10] N. Kush, E. Ahmed, M. Branagan, and E. Foo, Poisoned goose:
Exploiting the goose protocol, in Twelfth Australasian Information
del tipo Echo Request (ping flood). Puede observarse una Security Conference (AISC 2014), ser. CRPIT, U. Parampalli and
primera fase en la que el control de DoS esta deshabilitado y I. Welch, Eds., vol. 149. Auckland, New Zealand: ACS, 2014, pp.
una segunda en la que el controlador limita el trafico entrante 1722.
79
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
1
Resumen Los sistemas SIEM tienen como finalidad la and Technology en sus versiones de 2012 y 2013, organi-
agregacion y analisis de datos procedentes de los diversos zados por la Visual Analytics Community.
mecanismos de seguridad desplegados en un entorno de red,
a fin de gestionar potenciales incidentes. Entre los retos Centrandonos en las caractersticas especficas de la de-
que deben afrontar los SIEM actuales podemos destacar teccion de anomalas en red, para el empleo eficiente de un
el manejo de grandes volumenes de datos y multiples y sistema SIEM, as como para poder extender su estrategia
heterogeneas fuentes de informacion. Tomando como base
resultados previos de los autores, en este trabajo se pro-
de seguridad a distintos entornos de redes (p.ej. redes cor-
pone una metodologa jerarquica de analisis multivariante porativas, redes inalambricas, redes celulares) y modelos
para su integracion en un SIEM, de modo que se consiga de negocio actuales (p.ej. la nube, Bring Your Own De-
el manejo de mayores cantidades de datos sin afectar las vice), podemos establecer los siguientes retos principales:
prestaciones de la deteccion.
1. Fusion efectiva de distintas fuentes de informacion, que
incluye la parametrizacion o parsing de los datos captura-
I. Seguridad en Red y Analtica Visual dos por los sensores.
Los sistemas de gestion de la informacion de seguridad 2. Mantenimiento de una alta capacidad de deteccion de
y eventos en red, o SIEM (del ingles Security Informa- anomalas evitando la tpica tendencia a presentar un alto
tion & Event Management) [1], constituyen una de las numero de falsos positivos.
herramientas actuales mas adoptadas en la lucha contra 3. Capacidad de analisis de grandes cantidades de datos
ataques a la seguridad en entornos de red. Entre los retos a altas velocidades.
que deben afrontar los SIEM actuales podemos destacar 4. Reduccion del volumen de trafico asociado a la seguri-
el manejo de grandes volumenes de datos registrados a dad ante el elevado volumen de trafico generado entre sen-
altas velocidades y la integracion de informacion proce- sores y SIEM.
dente de multiples fuentes de gran heterogeneidad (p.ej., 5. Combinacion de fuentes de informacion de seguridad
trazas de cortafuegos, trafico en red, alertas de IDS, etc.). asociada a sistemas finales (alarmas de antivirus, registros
Adicionalmente, los datos deben ser pre-procesados, agre- de aplicaciones y SO, cortafuegos de dispositivos, etc.)
gados y presentados al administrador de forma que este con los sensores de la red (cortafuegos de red, sniffers de
pueda comprenderlos y gestionarlos facilmente. Este pro- trafico, IDS, etc.).
blema coincide con la definicion dada en la literatura de En este contexto, las tecnicas basadas en el analisis
un problema Big Data, donde es necesario gestionar las estadstico multivariante para el analisis exploratorio de
conocidas cuatro Vs: variedad, volumen, velocidad y ve- datos o EDA (del ingles Exploratory Data Analysis) [6] y
racidad [2]. el control estadstico de procesos o SPC (del ingles Statis-
El emergente campo de la analtica visual (visual ana- tical Process Control) [7] pueden resultar extremadamente
lytics) trata de abordar las necesidades de descubrimiento utiles. Si bien la capacidad de deteccion de anomalas del
exploratorio en grandes volumenes de datos (Big Data) analisis multivariante es bien conocida en el area de moni-
[3], [4], [5]. Para ello, combina tecnicas de analisis au- torizacion de procesos industriales [8], [9], su aplicacion
tomatizado con visualizaciones interactivas para una efi- en seguridad en redes, aunque existente [10], es mas li-
caz comprension, razonamiento y toma de decisiones sobre mitada y presenta un menor desarrollo. Es precisamente
la base de conjuntos de datos muy grandes y complejos. en este marco que los autores han llevado a cabo algunos
La aplicacion de este tipo de tecnologas al campo de la desarrollos de deteccion de anomalas en redes basados
(ciber)seguridad es cada vez mayor, ejemplos de lo cual en tecnicas multivariantes, los cuales han evidenciado una
son el simposio VizSec (Visualization for Cyber Security, alta potencialidad [11].
http://www.vizsec.org/), dentro del prestigioso congreso
de visualizacion IEEE VIS (http://ieeevis.org/), as como II. VERITAS: Hipotesis y Objetivos
la seleccion de la ciberseguridad como tema central para La metodologa desarrollada en [11] ofrece una solucion
los retos del IEEE Symposium on Visual Analytics Science prometedora para los tres primeros retos de los sis-
80
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
2
81
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
Abstract- The digital signature solves partially the problem of This work has been previously published:
the validation of veracity of the digital resources because it
provides the characteristics of authentication, integrity and non- De la Prieta, F., Corredera, L. E., Snchez-Martin, A. J., &
repudiation. However, it has weakness in terms of availability, Demazeau, Y. (2014, January). An Agent-Based Cloud
confidentiality and changes control, besides the complexity on its Platform for Security Services. In PAAMS (Workshops) (pp.
usage. This paper presents the project DoyFE.es that is an agent- 333-343).
based platform deployed over a cloud system that provides cloud-
based services to guarantee the veracity of the communications
(email, web content and photographs).
I. INTRODUCTION the integration with the cloud platform and the MAS. Finally,
last section contains the conclusions.
Nowadays, there are many trials where evidences are based
II. CLOUD-BASED SECURITY SERVICES
on electronic documents (files, information, emails,
photographs, etc.). The majority of these documents have not Under the frame of DoyFe.es project, a set of services has
been digitally signed, so it is difficult to validate their been developed in order to guarantee the authentication,
truthfulness. In these cases, it is necessary to validate the integrity and non-repudiation, but also other open issues such
veracity of these evidences by means of forensic computer as availability, confidentiality and change control. To do so,
science techniques [1]. This process not only delays the trials, three main services have been created:
but also increases considerably their costs. These problems can Transmission and signed backup of emails. An active
be partially addressed by the users through the use of the inbox model is used to facilitate the usability of the
digital signature. Besides the electronic communications system. The process is very easy, because the end-user
advantages, digital signed documents have many advantages sends the email normally and only has to put in copy a
facing to non-electronic one (i.e. authentication, integrity and special email of the platform (doyfe@doyfe.es). The
non repudiation). processing includes the signing, timestamped and the
Despite the use of digital signature, there still are some storage of the email data (content, dates, addresses,
weaknesses in terms of (i) Availability, it depends directly on headers, attachments, images, etc.).
the end-users because they are on charge of the backup of the Transmission and signed backup of web content. The
signed document along the time; (ii) Confidentiality, it is not process of tracking (signing and storage) of web content
possible to monitor access to the signed files, so everyone is more complex because the web pages usually include
would be able to see their content; and finally (iii), the Change related contents (i.e. images, style sheets, scripts, etc.).
Control, because when a signed document is changed, it is not So, it is needed not only to process the main content, but
possible to know what what were the changes. also al related content and all exchanges of request and
This study presents the platform DoyFe.es1 that deals with responses.
these open issues. To do so, DoyFe platform exposes three Sign of photographs. The process of tracking
cloud-based services for secure communication of information photographs is different because it is not only necessary
exchanges and electronic transactions. DoyFe is based on to sign the taken photography by a mobile phone, but also
Cloud Computing (CC) [2][3], which improves the geolocalize it. A second photography with the frontal
commercialization following a payment model based on the camera is taken in order to know who is the person that
usage [4]. The core of DoyFe is a multiagent system (MAS) takes the photography. To do so, the user has to install a
based on virtual organization (VO) [5] that allows the specific APP. In this case they are signed into the mobile
interaction both with the underlying cloud platform and with phone. To do so, it is necessary to exchange information
the end-user. between the cloud platform and the phone about the
This work is organized as follow, next section presents the security certificate because the photograph is signed on
three main developed services, while section 3 is focused on the smartphone.
1
http://www.doyfe.es/
82
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
services at PaaS level represent the Digital Repository where Signing Global
Service
Organization
the signed documents are stored. But also, +Cloud provides a Evidence
Organization
Manager Supervisor
(needed for signing) is taken from the virtual machines where Manager Digital
Repository
(FSS&OSS)
Service
Monitor
Service
Manager
Signing y Certification
iMap Control MAS
timestamping authority
Security Communication Services Fig. 2. Organizations of agents in DoyFe.es y +Cloud
Digital Repositories
Infrastructure
Control Files Documents IV. CONCLUSIONS
PaaS
Environment The main advantage of DoyFE.es is related with the fact of it
Are Storage
Network
Documental
database is deployed over a CC platform. Moreover, the end user has a
perspective of a single system, however, the reality is that the
MAS
Adaptive
Algorithms
Load
balancing
Security users make use of the services of DoyFE and the computational
power of CC. Moreover, it is possible to use DoyFE within the
Virtualization Layer legal frame in order to validate the genuineness of the
Physical Layer electronic evidences by a third party using an innovative
Environment perspective and traditional tools such as digital signature and
Internal Layer
service.
Fig. 1. Components diagram of DoyFE.es
Acknowledgements. This work has been supported by the
+Cloud platform uses VO to manage the system resources SOHA+C project (Ref. SA213U13) funded by Junta de
(Fig. 2). MAS can be perfectly adapted to solve this problem, Castilla y Leon.
as it allows making decisions in an open environment where REFERENCIAS
the availability of information is limited and agents are thereby
[1] Casey, E. (2011). Digital evidence and computer crime: Forensic
required to make decisions, amidst great uncertainty, that affect science, computers, and the internet. Academic press.
the entire system. The core of +Cloud is based on two virtual [2] De la Prieta, F., Rodrguez, S., Bajo, J., & Corchado, J. M. (2013). A
organizations as follow: Multiagent System for Resource Distribution into a Cloud Computing
Environment. In Advances on Practical Applications of Agents and
Resource Organization. This agent organization is charge Multi-Agent Systems (pp. 37-48). Springer Berlin Heidelberg.
of managing both the physical and virtual system resources. [3] Heras, S., De la Prieta, F., Julian, V., Rodrguez, S., Botti, V., Bajo, J.,
Its main goal is to maximize the use of resources. & Corchado, J. M. (2012). Agreement technologies and their use in
cloud computing environments. Progress in Artificial Intelligence, 1(4),
Consumer Organization. The services encompassed by 277-290.
this organization will, therefore use the system resources [4] Buyya, R. Market-Oriented Cloud Computing: Vision, Hype, and
according to existing demand. Its main goal is to maximize Reality for Delivering IT Services as Computing Utilities. 10th IEEE
International Conference on High Performance Computing and
the quality of service. Communications, 2008. HPCC '08. Pages. 5-13
DoyFe incorporates an additional organization (Fig. 2) in [5] Rodrguez, S., de Paz, Y., Bajo, J., Corchado, JM. Social-based planning
order to manage the evidences, this organization include three model for multiagent systems. Expert Systems with Applications 38
(10), 13005-13023. 2011.
main roles:
83
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
1
Abstract We introduce the notion of Asymmetric Pro- functions (asymmetric PHFs) which modifies the original
grammable Hash Functions (APHFs), which adapts Pro- notion of PHFs [1] in two main ways. First, an asymmetric
grammable Hash Functions, introduced by Hofheinz and
Kiltz at Crypto 2008. We show that APHFs are surpris- PHF H maps inputs into a bilinear group G and is only
ingly powerful objects. Using them we indeed obtain: secretly computable. At the same time, an isomorphic copy
(1) the first linearly-homomorphic signature (in the stan- of H can be publicly computed in the target group GT , i.e.,
dard model) whose public key is sub-linear in both the
anyone can compute e(H(X), g).1 Second, when generated
dataset size and the dimension of the signed vectors; (2)
short signatures (in the standard model) whose public key in trapdoor mode, for two given group elements g, h G
is shorter than those by Hofheinz-Jager-Kiltz from Asi- such that h = g z , the trapdoor allows one to write every
acrypt 2011, and essentially the same as those by Yamada, H(X) as g cX (z) for a degree-d polynomial cX (z).
Hannoka, Kunihiro, (CT-RSA 2012).
We define two main programmability properties of
asymmetric PHFs. The first one is an adaptation of
I. Introduction the original programmability notion, and it says that H
Programmable Hash Functions (PHFs) were introduced is (m, n, d)-programmable if it is (m, n)-programmable as
by Hofheinz and Kiltz [1] as an information theoretic before except that, instead of looking at the probability
tool to mimic the behavior of a random oracle in fi- that aX = 0, one now looks at whether cX,0 = 0, where
nite groups. In a nutshell, a PHF H is an efficiently com- cX,0 is the coefficient of the degree-0 term of the polyno-
putable function that maps suitable inputs (e.g., binary mial cX () obtained using the trapdoor.2 The second pro-
strings) into a group G, and can be generated in two dif- grammability property is new and is called programmable
ferent, indistinguishable, ways. In the standard modal- pseudo-randomness. Roughly speaking, programmable
ity, H hashes inputs X into group elements H(X) G. pseudo-randomness says that one can program H so that
When generated in trapdoor mode, a trapdoor allows one the values g cX,0 look random to any polynomially-bounded
to express every output in terms of two (user-specified) el- adversary who observes the public hash key and the out-
ements g, h G, i.e., one can compute two integers aX , bX puts of H on a set of adaptively chosen inputs.
such that H(X) = g aX hbX . Finally, H is programmable in Applications. In principle, secretly computable PHFs
the sense that it is possible to program the behavior of H seem less versatile than regular PHFs. In this work, how-
so that its outputs contain (or not) g with a certain proba- ever, we show that, for applications such as digital sig-
bility. More precisely, H is said (m, n)-programmable if for natures, asymmetric PHFs turn out to be more powerful
all disjoint sets of inputs {X1 , . . . , Xm } and {Z1 , . . . , Zn }, than their publicly computable counterparts. Specifically:
the joint probability that i, aXi = 0 and j, aZj 6= 0 is we obtain the first linearly homomorphic signature
significant (e.g., 1/poly()). Programmability turns out scheme, secure in the standard model, achieving a pub-
to be particularly useful in several security proofs. For lic key which is sub-linear in both the dataset size and
instance, consider a security proof where a signature on the dimension of the signed vectors;
H(X) can be simulated as long as aX = 0 (i.e., g does not we obtain regular signature schemes, matching the effi-
appear) while a forgery on H(Z) can be successfully used ciency of the ones in [2], thus providing the shortest sig-
if aZ 6= 0 (i.e., g does appear). Then one could rely on an natures in the standard model with a public key shorter
(m, 1)-programmability of H to hope that all the queried than in [3].
messages X1 , . . . , Xm are simulatable, i.e., i, aXi = 0,
In the following paragraphs we elaborate more on the
while the forgery message Z is not, i.e., aZ 6= 0. PHFs
fist contribution, while we refer to the full version of the
essentially provide a nice abstraction of the so-called par-
paper [4] for more details on the second contribution.
titioning technique used in many cryptographic proofs.
Linearly-Homomorphic Signatures with Short
II. Our Contribution Public Key in the Standard Model. Imagine a
user Alice stores one or more datasets D1 , D2 , . . . , D` on
Asymmetric Programmable Hash Functions. We a cloud server. Imagine also that some other user, Bob,
introduce the notion of asymmetric programmable hash
1 Because of such asymmetric behavior we call these functions
84
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
2
is allowed to perform queries over Alices datasets, i.e., to homomorphic signature scheme based on bilinear maps
compute one or more functions F1 , . . . , Fm over any Di . that can sign datasets, each consisting of up to N vectors
The crucial requirement here is that Bob wants to be en- of dimension T . The public key of our scheme mainly con-
sured about the correctness of the computations results sists of the public hash keys of two asymmetric PHFs. By
Fj (Di ), even if the server is not trusted. An obvious way instantiating these using (one of) our concrete realizations
to do this (reliably) is to ask Alice to sign all her data we obtain a linearly-homomorphic
signature with a public
(i) (i) key of length O( N + T ). We stress that ours is also
Di = m1 , . . . , mN . Later, Bob can check the validity of
the computation by (1) downloading the full dataset lo- the first linearly-homomorphic scheme where the public
cally, (2) checking all the signatures and (3) redoing the key is sub-linear in the dimension T of the signed vectors.
computation from scratch. Efficiency-wise, this solution Concretely, if one considers applications with datasets of
is clearly undesirable in terms of bandwidth, storage (Bob 1 million of elements and a security parameter of 128bits,
has to download and store potentially large amount of previous solutions (e.g., [9], [11]) require a public key of
data) and computation (Bob has to recompute everything at least 32 MB, whereas our solution simply works with a
on his own). public key below 100 KB.
A much better solution comes from the notion of homo-
References
morphic signatures [5]. These allow to overcome the first
[1] D. Hofheinz and E. Kiltz, Programmable hash functions and
issue (bandwidth) in a very elegant way. Using such a their applications, in CRYPTO 2008, ser. LNCS, D. Wagner,
scheme, Alice can sign m1 , . . . , mN , thus producing signa- Ed., vol. 5157. Springer, Aug. 2008, pp. 2138.
tures 1 , . . . , N , which can be verified exactly as ordinary [2] S. Yamada, G. Hanaoka, and N. Kunihiro, Two-dimensional
representation of cover free families and its applications: Short
signatures. In addition, the homomorphic property pro- signatures and more, in CT-RSA 2012, ser. LNCS, O. Dunkel-
vides the extra feature that, given 1 , . . . , N and some man, Ed., vol. 7178. Springer, Feb. / Mar. 2012, pp. 260277.
function F : MN M, one can compute a signature [3] D. Hofheinz, T. Jager, and E. Kiltz, Short signatures from
weaker assumptions, in ASIACRYPT 2011, ser. LNCS, D. H.
F,y on the value y = F (m1 , . . . , mN ) without knowledge Lee and X. Wang, Eds., vol. 7073. Springer, Dec. 2011, pp.
of the secret signing key sk. In other words, for a set 647666.
of signed messages and any function F , it is possible to [4] D. Catalano, D. Fiore, and L. Nizzardo, Programmable hash
functions go private: Constructions and applications to (ho-
provide y = F (m1 , . . . , mN ) along with a signature F,y momorphic) signatures with shorter public keys, in CRYPTO
vouching for the correctness of y. The security of homo- 2015. Springer, 2015, to appear.
morphic signatures guarantees that creating a signature [5] D. Boneh and D. M. Freeman, Homomorphic signatures for
polynomial functions, in EUROCRYPT 2011, ser. LNCS,
F,y for a y 6= F (m1 , . . . , mN ) is computationally hard, K. G. Paterson, Ed., vol. 6632. Springer, May 2011, pp. 149
unless one knows sk. 168.
[6] D. Catalano, D. Fiore, and B. Warinschi, Homomorphic sig-
To solve the second issue and allow Bob to verify ef- natures with efficient verification for polynomial functions, in
ficiently such signatures (i.e., by spending less time than CRYPTO 2014, Part I, ser. LNCS, J. A. Garay and R. Gen-
that required to compute F ), one can use homomorphic naro, Eds., vol. 8616. Springer, Aug. 2014, pp. 371389.
[7] N. Attrapadung and B. Libert, Homomorphic network coding
signatures with efficient verification [6]. signatures in the standard model, in PKC 2011, ser. LNCS,
D. Catalano, N. Fazio, R. Gennaro, and A. Nicolosi, Eds., vol.
Despite the significant research work in the area, it 6571. Springer, Mar. 2011, pp. 1734.
is striking that all the existing homomorphic signature [8] D. Catalano, D. Fiore, and B. Warinschi, Adaptive pseudo-free
schemes that are proven secure in the standard model groups and applications, in EUROCRYPT 2011, ser. LNCS,
K. G. Paterson, Ed., vol. 6632. Springer, May 2011, pp. 207
(e.g., [7], [8], [9], [10], [11], [12], [6], [13]) suffer from a 223.
public key that is at least linear in the size N of the [9] , Efficient network coding signatures in the standard
model, in PKC 2012, ser. LNCS, M. Fischlin, J. Buchmann,
signed datasets. On one hand, the cost of storing such and M. Manulis, Eds., vol. 7293. Springer, May 2012, pp.
large public key can be, in principle, amortized since the 680696.
key can be re-used for multiple datasets. On the other [10] D. M. Freeman, Improved security for linearly homomorphic
signatures: A generic framework, in PKC 2012, ser. LNCS,
hand, this limitation still represents a challenging open M. Fischlin, J. Buchmann, and M. Manulis, Eds., vol. 7293.
question from both a theoretical and a practical point of Springer, May 2012, pp. 697714.
view. From a practical perspective, a linear public key [11] N. Attrapadung, B. Libert, and T. Peters, Computing on au-
thenticated data: New privacy definitions and constructions,
might be simply unaffordable by a user Bob who has lim- in ASIACRYPT 2012, ser. LNCS, X. Wang and K. Sako, Eds.,
ited storage capacity. From a theoretical point of view, vol. 7658. Springer, Dec. 2012, pp. 367385.
considered the state-of-the-art, it seems unclear whether [12] , Efficient completely context-hiding quotable and lin-
early homomorphic signatures, in PKC 2013, ser. LNCS,
achieving a standard-model scheme with a key of length K. Kurosawa and G. Hanaoka, Eds., vol. 7778. Springer,
o(N ) is possible at all. Technically speaking, indeed, all Feb. / Mar. 2013, pp. 386404.
these schemes in the standard model somehow rely on a [13] S. Gorbunov, V. Vaikuntanathan, and D. Wichs, Leveled fully
homomorphic signatures from standard lattices, in 47th ACM
public key as large as one dataset for simulation purposes. STOC. ACM Press, 2015, to appear.
85
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
platon.kotzias@imdea.org, srdjan.matic@unimi.it,
richard.rivera@imdea.org, juan.caballero@imdea.org
The full version of this paper will appear in the Proceedings of the 2015 ACM SIGSAC Conference on Computer and
Communications Security.
AbstractCode signing is a solution to verify the integrity it requires providing the publishers identity to the CA and
of software and its publishers identity, but it can be abused paying a fee ($60$500 for 1-year certificates). Furthermore,
by malware to look benign. This work performs a systematic when malicious software is observed in the wild signed with
analysis of Windows Authenticode code signing abuse, evaluating a valid certificate, the CA that issued the certificate should
the effectiveness of existing defenses by certification authorities. swiftly revoke it. However, it is not clear how well defenses
We build an infrastructure that automatically analyzes signed
such as identity checks and revocation work. Prior work in
malware, classifies it into operations, and produces a blacklist of
malicious certificates. We evaluate it on 350 K malware samples 2010 by two AV vendors [8], [9] showed that signed samples
from 2006-2015. were not uncommon in malware datasets. But, there has been
no systematic study analyzing the extent to which malware
Our analysis shows the constant increase of signed malware
over time and that CA defenses such as identity checks and (e.g., bots, trojans) and PUP (e.g., adware, bundles) are abusing
revocation are not currently effective. Up to 97% of the signed code signing and how well defenses such as identity validation
malware uses CA-issued certificates and only 15% of those and revocation work.
certificates are revoked. Our generated blacklist is 9x larger than In this work we perform a systematic study on abuse of the
current ones. We analyze the code signing infrastructure of the Windows Authenticode [6] code signing solution by malicious
largest operations and show how they evolve over time, using software. We build an infrastructure that takes as input a large
multiple identities and leveraging the lack of CA synchronization
number of potentially malicious samples, filters out benign
to move from one CA to another. We also identify a design issue
in Authenticode where timestamped signed malware successfully samples and those that are not signed, and thoroughly analyzes
validates even after the revocation of their code signing certificate. signed samples including their digital signatures, certificate
We propose hard revocations as a solution. chains, certificate revocation, and file timestamping (i.e., third-
party certification of the time they saw some signed code). It
also classifies signed samples into operations. Our infrastruc-
I. I NTRODUCTION ture automatically builds a blacklist of malicious certificates,
Malicious software (i.e., malware) is software that most which can be used as input by CAs to perform revocation, or
users will not want to install consciously on their computers. It users can embed it into the Windows untrusted certificate store
includes clearly malicious software (e.g., trojans, ransomware, to block malicious code.
keyloggers) as well as potentially unwanted programs (PUP) Using our infrastructure we analyze over 350 K malware
such as adware and spyware. Publishers of malicious software samples distributed between 2006 and Februrary 2015, of
are always looking for ways to make their code look benign which 141 K (42%) are signed. This process outputs a blacklist
in order to convince the user to install it and avoid detection. of over 2,900 malicious code certificates, 9x larger than exist-
One such way is code signing, where the software is distributed ing blacklists [1]. Our analysis uncovers that signed malware is
with a digital signature which, if valid, certifies the integrity on the rise since 2010, e.g., 87% of the malware in our corpus
of the software and the identity of the publisher. Signed code first seen in 2014 is signed. Up to 97% of signed malware
looks more benign and is often assigned higher reputation by uses a valid code signing certificate, showing limitations of the
security products, e.g., reputation engines [7]. In Windows, identification procedures used by CAs. Even more worrying,
properly signed application code avoids scary warnings when only 15% of the malicious code signing certificates in our
a user executes it and is assigned higher reputation when blacklist have been revoked and the best CA revokes merely
downloaded through Internet Explorer. Furthermore, kernel- 43% of the malicious certificates it issues.
mode code is required to be signed. Aware of these benefits
attackers are increasingly leveraging signed code for their We identify a problematic interaction between revocation
goals, e.g., for launching notorious targeted attacks [2][4]. and timestamping in Authenticode, where timestamped signed
malware still validates even if their code signing certificate
To sign Windows-based malware, publishers need to obtain is revoked. To address this issue CAs need to perform hard
a valid code signing certificate from a Certification Authority revocations that invalidate all malware signed by a certificate.
(CA). This should pose a barrier for malicious software, since
86
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
II. C ONCLUSION
We have performed a systematic analysis of Windows
Authenticode code signing abuse by building an infrastructure
that automatically analyzes signed malware, classifies it into
operations, and produces a blacklist of malicious certificates.
We have identified a design issue in Authenticode where
timestamped signed malware successfully validates even after
the revocation of their code signing certificate. We have
proposed hard revocations as a solution. We have evaluated our
infrastructure on 350 K malware samples. Our analysis shows
that CA defenses such as identity checks and revocation are
not currently effective. Up to 97% of the signed malware uses
CA-issued certificates and only 15% of those certificates are
revoked. Our generated blacklist is 9x larger than current ones.
We have analyzed the code signing infrastructure of the largest
operations and show how they evolve over time, using multiple
identities and leveraging the lack of CA synchronization to
move from one CA to another. We have also used timestamped
malware to evaluate the speed with which the VirusTotal online
service collects malware.
R EFERENCES
[1] Ccss forum: Common computing security standards. http://www.
ccssforum.org/.
[2] Malware Analysis Report - W64/Regin, Stage 1. https://www.f-secure.
com/documents/996508/1030745/w64 regin stage 1.pdf.
[3] Stuxnet Under the Microscope. http://www.eset.com/us/resources/
white-papers/Stuxnet Under the Microscope.pdf.
[4] Unveiling Careto - The Masked APT. http://kasperskycontenthub.com/
wp-content/uploads/sites/43/vlpdfs/unveilingthemask v1.0.pdf.
[5] Virustotal- free online virus, malware and url scanner. http://www.
virustotal.com/.
[6] Microsoft. Windows authenticode portable executable signature for-
mat, Mar. 21 2008. http://download.microsoft.com/download/9/c/5/
9c5b2167-8017-4bae-9fde-d599bac8184a/Authenticode PE.docx.
[7] MSDN. Stranger Danger - Introducing SmartScreen Appli-
cation Reputation. http://blogs.msdn.com/b/ie/archive/2010/10/13/
stranger-danger-introducing-smartscreen-application-reputation.aspx.
[8] J. Niemala. Its signed, therefore its clean, right?, May 2010. Presenta-
tion at the CARO 2010 Workshop.
[9] M. Wood. Want my autograph? The use and abuse of digital signatures
by malware. In Virus Bulletin Conference, 2010.
87
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
Resumen-La comparticin de informacin sobre eventos de es imprescindible que todas las partes nombren los eventos de
ciberseguridad presenta mltiples retos. Uno de ellos es la seguridad de forma unvoca. En concreto se han propuesto
ocultacin de la informacin transmitida, de forma que pase
inadvertida a un observador. Adems de la esteganografa, se han algunos formatos unificados para nombrar los eventos de
propuesto mecanismos de cifrado que persiguen un fin similar. ciberseguridad. En esta seccin se revisan brevemente dos
Uno de ellos es el cifrado con preservacin del formato (format formatos representativos. El uso de formatos bien definidos es
preserving encryption). En este artculo se describe el trabajo en la base fundamental para la aplicacin del FPE.
curso sobre su uso en el contexto de la ciberseguridad.
A. Recomendacin ITU-T X.1520
I. INTRODUCCIN
La recomendacin X.1520 de la ITU-T persigue
El ciberespacio juega un papel fundamental en las
proporcionar una forma estructurada de intercambio global de
sociedades modernas. Sin embargo, la Estrategia Nacional de
informacin pblicamente conocida sobre vulnerabilidades y
Seguridad pone de manifiesto que el ciberespacio es un entorno
exposiciones maduras [5]. Para ello, determina el correcto uso de
muy accesible y de difcil control [1].
los CVE (Common Vulnerabilities and Exposures). Dichos
Para responder adecuadamente a estas amenazas es crtico
CVE aglutinan las diferentes vulnerabilidades de diversos
que las organizaciones cooperen entre s. Un pilar esencial de
programas y plataformas.
dicha cooperacin es la comparticin de informacin de
ciberseguridad sobre vulnerabilidades, amenazas, actores, B. STIX
tcticas, incidentes en curso, contramedidas, etc. [2]. STIX (Structured Threat Information Expression) es una
Este trabajo se centra en la proteccin de la informacin iniciativa de la corporacin MITRE para estructurar esta
intercambiada acerca de eventos de ciberseguridad. Se define informacin [6]. En dicho lenguaje se definen numerosos
un evento de seguridad como un fallo o problema que conceptos: ciber-observable, indicadores,
compromete los sistemas de informacin, los servicios o la red, tctica/tcnica/procedimiento de ataque, plataforma objetivo,
es decir, indica que una poltica de seguridad ha sido violada o tipo de atacante, etc. Por ejemplo, en la Figura 1 se muestra
que una salvaguarda ha fallado [7]. parte del indicador de un ataque de phishing. Se describe el
Un problema abierto en este entorno es que la propia ttulo, el tipo de ataque, cmo ha ocurrido y la fecha del
existencia de la comunicacin revela cierta informacin a un mismo.
observador. Por ejemplo, si dos entidades cooperantes
intercambian datos en un momento determinado, es posible que
una de ellas haya sufrido un evento de seguridad. Es necesario
proporcionar algn mecanismo que impida esta circunstancia.
En este artculo se describe el trabajo en curso para la
aplicacin de una tcnica de cifrado en este contexto.
Particularmente, la tcnica considerada es el cifrado con
preservacin del formato (en adelante FPE, del ingls Format Fig. 1 Indicador (porcin) de un ataque de phising utilizando STIX [11].
Preserving Encryption) [3].
III. CIFRADO CON PRESERVACIN DEL FORMATO (FPE)
II. NOMBRADO DE EVENTOS DE CIBERSEGURIDAD Los sistemas de cifrado FPE se basan en que el formato del
texto cifrado sea equivalente al del texto en claro. Este trmino
El foco de este trabajo se sita en posibilitar la comparticin
fue acuado por Terence Spies [12, 13] proponiendo distintas
de forma inadvertida para un tercero. Como paso previo, es
aplicaciones, entre las que destacan el cifrado de nmeros de la
necesario explorar las herramientas existentes para una
seguridad social o nmeros de tarjetas de crdito (Figura 2).
comparticin efectiva. FPE hace uso de una clave simtrica K utilizada para cifrar
En los ltimos tiempos, se han propuesto numerosos un texto X de un formato N descrito en el conjunto finito N,
mecanismos para intercambiar esta informacin [4]. Adems, donde N se corresponde con todos los posibles espacios de los
88
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
mensajes, es decir, con los posibles valores de textos en claro y informacin. Este tipo de primitivas podra inspirarse en las de
cifrados. Para cifrar X N se realiza la llamada a un algoritmo la criptografa ligera (lightweight cryptography) [9].
de cifrado proporcionando la clave K y el texto X. Esto Por otro lado, una cuestin importante es aplicar esta tcnica
producir un texto cifrado Y = EK(X) manteniendo que Y N. de forma que los resultados pudiesen correlarse. La correlacin
El proceso de descifrado, DK(Y), proporcionar nuevamente el permite conocer el ataque que se padece o el grado de avance
texto X. Adems, EK() ha de corresponderse con una del mismo [10]. Esto tendra un elevado potencial disuasorio
permutacin aleatoria en el espacio de mensajes N. para el observador, quien no podra establecer si est
En base a la descripcin realizada, un buen sistema FPE es visualizando los eventos reales o el resultado de cifrarlos.
aquel en el que un adversario no es capaz de distinguir un texto La aleatoriedad de los resultados es tambin crtica en este
cifrado con una permutacin EK() y ese mismo texto cifrado entorno. Los eventos de seguridad pueden repetirse con gran
con una permutacin K().
frecuencia, lo que podra dar lugar a ataques de texto claro
escogido que permitiesen revelar la clave. Se necesita, por
tanto, que los resultados sean impredecibles.
V. CONCLUSIONES
La comparticin de informacin sobre eventos de
ciberseguridad ha recibido gran atencin por parte de la
Fig. 2. Esquema de cifrado con preservacin de formato comunidad investigadora en los ltimos tiempos. Entre los
numerosos retos que sta plantea, este artculo ha presentado el
A. Aproximacin propuesta para eventos de ciberseguridad trabajo en curso para la proteccin de dicho intercambio.
Para utilizar FPE en relacin con eventos de seguridad se Particularmente, se propone desarrollar una aproximacin
pueden distinguir los siguientes pasos: basada en el cifrado con preservacin del formato (FPE).
1. Establecer qu formato se va a considerar. Gracias a FPE, el observador no es capaz de distinguir si
2. Determinar el espacio de mensajes N. Se cifran los visualiza el mensaje en claro o su resultado cifrado, en tanto
datos del tipo de ataque, acciones a emprender, etc. o que ambos mantienen la misma estructura.
slo un dato concreto, por ejemplo el elemento
AGRADECIMIENTOS
observado?
3. Realizar anlisis de los sistemas FPE existentes y Este trabajo ha sido financiado a travs del proyecto
escoger el ms apropiado en su caso, modificndolo o CIBERDINE (S2013/ICE-3095), otorgado por la Comunidad
desarrollando uno que satisfaga las necesidades. Autnoma de Madrid, y del proyecto SPINY (TIN2013-46469-
Asumiendo que N es el espacio de mensajes compuesto R), otorgado por el MINECO.
por los caracteres del alfabeto y los nmeros, se podra
REFERENCIAS
estudiar la posibilidad de utilizar el algoritmo
presentado en [14]. As se conseguira el cifrado de [1] Espaa, Estrategia Nacional de Seguridad, 2013.
[2] E. Gal-or y A. Ghose, The economic incentives for sharing security
caracteres en base a su cdigo binario mediante un information. Information Systems Research, 2005, vol. 16, p. 186-208.
cifrador de bloque basado en una estructura Feistel. [3] M. Bellare, et al., Format-preserving encryption.
En relacin con el ejemplo presentado en la Figura 1, un https://eprint.iacr.org/2009/251.pdf (ltimo acceso Julio 2015).
[4] L. Dandurand, Cyber Defense Data Exchange and Collaboration
cifrado FPE se muestra en la Figura 3 (enmarcado en rojo). En Infrastructure (CDXI). ITU-T Workshop, 2010
este caso, por ejemplo, el cifrado de Malicious E-mail se [5] ITU-T, X.1520: Vulnerabilidades y estados comunes, 2014.
corresponde con Malicious Docume, as como la fecha de [6] S. Barnum, Standardizing Cyber Threat Intelligence Information with
the STIX, disponible en http://stixproject.github.io/getting-
comienzo, 2012-12-01, que puede cifrarse como 2013-02- started/whitepaper/ (ltimo acceso Julio 2015).
12. [7] ISO, ISO27001-Glosario, disponibles en http://www.praxiom.com/iso-
27001-definitions.htm (ltimo acceso Julio 2015).
[8] M. Brightwell and H. Smith. Using datatype-preserving encryption to
enhance data warehouse security. 20th NISSC Proc., pp. 141149, 1997
[9] T. Eisenbarth, A survey of lightweight-cryptography
implementations. IEEE Design & Test of Computers, 2007, p. 522-533.
[10] F. Cuppens, A. Miege, Alert correlation in a cooperative intrusion
detection framework.. Security and Privacy, 2002. Proceedings. 2002
IEEE Symposium on. IEEE, 2002. p. 202-215.
[11] Ejemplos de STIX, disponible en:
http://stix.mitre.org/about/example_phishing.html (lt. acceso Julio 2015)
Fig 3. Cifrado FPE de indicador de phishing [12] Spies, Terence. "Format preserving encryption." Unpublished white
paper, www. voltage. com Database and Network Journal. 2008.
IV. LNEAS DE TRABAJO EN CURSO [13] Black, John, and Phillip Rogaway. "Ciphers with arbitrary finite
domains." Topics in CryptologyCT-RSA 2002. Springer Berlin
En esta lnea de trabajo existen numerosos aspectos que Heidelberg, 2002. 114-130
merecen atencin investigadora. En primer lugar, el desarrollo [14] Li, Min, et al. "Format-preserving encryption for character data." Journal
of Networks 7.8 (2012): 1239-1244.
de tcnicas FPE ligeras permitira un intercambio gil de
89
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
1
ResumenWhen a group key exchange protocol is executed, the session values that cannot be computed from long-term secret keys or
key is typically extracted from some ephemeral values generated during other values received/computed previously in the session.
the execution. The leakage of this so-called ephemeral keys has been exten- s
termi i shows if the execution has terminated;
sively analyzed in the two party case, yet very few works are concerned si
with it in the group setting. We augment previous security models to cap- sidi denotes a session identifier;
ture the adversarial ability to retrieve long-term and ephemeral keys of s s
pidi i stores the set of identities of those users that i i aims
users, with the sole restriction of not getting both secret values from the
same user (during or after the protocol execution). We further tune up our
at establishing a key withincluding Ui himself;
s
model so that it can also be applied to the (much less studied) certificateless acci i indicates if the user accepted the session key;
si s
setting. ski stores the session key once it is accepted by i i .
Adversarial capabilities. We restrict to ppt adversaries. The
I. I NTRODUCTION capabilities of an adversary A are made explicit through a num-
ber of oracles allowing A to communicate with protocol in-
Group key establishment protocols are a fundamental cryp- stances run by the users:
tographic building block allowing n 2 participants to agree Send(Ui , si , M ); sends message M to the instance i i and
s
upon a common secret key. It is usually assumed that these par- returns the reply generated by this instance.
ticipants hold both long-term secrets, which are typically used su su
Execute({u11 , . . . , u }); executes a complete protocol
for authentication and ephemeral secrets, which are session- run among the specified unused instances.
specific randomly generated values that provide enough en- s
Reveal(Ui , si ); yields the session key ski i .
tropy for the key to be indistinguishable from random in some Test(Ui , si ) Only one query of this form is allowed for an
sense. Different security models have tried to capture accord- active adversary A. Provided that sksi i is defined, A can exe-
ingly the effect of leaking long-term keys, ephemeral keys or cute this oracle query at any time when being activated. Then
values related to them ([2], [9], [10]). In this paper we adapt with probability 1/2 the session key sksi i and with probability
the two-party model from [1] to the group setting, arguing why 1/2 a uniformly chosen random session key is returned.
our model is strictly stronger than previously proposed ones. s
RevealRand(Ui , si ); returns the value stored in randi i .
For the certificateless case we propose a security model for Corrupt(Ui ); returns the long term key hold by Ui .
the group setting, based on the two-party model from [13] and Note that we dont grant the adversary access to the full state
compare it to the previous proposal from [15]. of an oracle, as done in the two party setting by Cremers [7].
II. S TRONG SECURITY FOR GROUP KEY EXCHANGE Before we define correctness and key privacy, we introduce
partnering to express which instances are associated in a com-
We sketch here our augmented security model which is a
mon protocol session.
modification of the model of Bohli et al [6], which in turns s
Partnering. We refer to instances si i , j j as being partnered
builds in previous models [3], [4], [5], [11]. Our model differs si sj si sj si s
from previous ones in that it treats separately the session state if sidi = sidj , pidi = pidj and acci = accj j = true.
(state) and the session ephemeral keys (rand) from a given ses- Correctness. We call a group key establishment protocol P
sion, following the rationale from [7]. correct, if in the presence of a passive adversary Ai. e., A
At this, users are modeled as probabilistic polynomial time must not use the Send oraclethe following holds: for all i, j
s s s
(ppt) Turing machines. Each user U U may execute a poly- with sidsi i = sidj j , pidsi i = pidj j and accsi i = accj j = true,
si sj
nomial number of protocol instances in parallel. To refer to we have ski = skj 6=NULL.
instance si of a user Ui U we use the notation si i (i N). Freshness. A Test-query should only be allowed to those in-
Protocol instances. A single instance si i can be taken for stances holding a key that is not for trivial reasons known to the
a process executed by Ui . To each instance we assign seven adversary. To this aim, an instance si i is called fresh if
s
variables , informally described next : acci i = true
s sj
s A never called Reveal(Uj , sj ) with i i and j being part-
usedi i indicates whether this instance is or has been used for
a protocol run; nered.
s sj
s If i i and j are partnered and A called Corrupt(Uj ), then
statei i keeps the internal state of the Turing machine that
s
executes the protocol; any message sent to si i on behalf of j j must indeed come
s sj si
randi i keeps the session-specific atomic secret values from j intended to i .
typically values generated uniformly at random which will A never called both Corrupt(Uj ) and RevealRand(Uj , sj )
s
be referred to as ephemeral keys. More precisely, these are any with si i and j j being partnered.
90
JNIC2015 Quinta sesion: Artculos cortos - Seguridad en Redes, ataques, contramedidas y criptografa
2
Key Privacy We say a group key establishment achieves key The model proposed by Teng and Wu [15] is weaker than the
privacy, if the advantage AdvA (`) of a ppt adversary A in at- model above, since it does not allow leakage of ephemeral keys
tacking protocol P is a negligible function in the security pa- of any party from the target session. In fact, if ephemeral keys
rameter, where the advantage is defined as are revealed, the session key established with their protocol can
be fully determined.
AdvA := |2 Succ 1|. If we restrict our model to the two party case, it is also
stronger than the models in [13] and [14], since they only con-
Here Succ is the probability that the adversary queries Test on sider passive adversaries. Actually, an active adversary sending
a fresh instance si i and guesses correctly the bit b used by the a message (rA P, xA P ), can determine the key computed with
Test oracle in a moment when si i is still fresh. the proposal in [13] after revealing both long-term keys at the
It is easy to see that our new model outperforms the pro- end of the execution without violating freshness.
posal from [16], where the EphemeralKeyReveal calls only
retrieve the ephemeral Diffie-Hellman exponents generated on Acknowledgements
each session (and does not involve the random nonces ki that M.I. Gonzalez Vasco and Adriana Suarez Corona are par-
actually fully determine the session key). Furthermore, other tially supported by MINECO research projects MTM2013-41426-
security properties such as KCIR (Key Compromise Imperson- R and MTM2013-45588-C3-1-P respectively.
ation Resilience, first defined in [9]) are also captured by our
freshness definition. In a full version of this work, we will R EFERENCIAS
ellaborate on how a group key exchange protocol that can ac- [1] F. Bergsma and T. Jager and J. Schwenk, One-Round Key Exchange with
tually be proven secure in this stronger sense can be derived. Strong Security: An Efficient and Generic Construction in the Standard
Model, Public-Key Cryptography PKC 2015, Lecture Notes in Com-
III. C ERTIFICATELESS GROUP KEY EXCHANGE puter Science, vol. 9020, 2015 pp.477494.
[2] E. Bresson and M. Manulis, Securing Group Key Exchange Against
When protocols are based on certificateless public key cryp- Strong Corruptions and Key Registration Attacks, in Int. J. Appl. Cryp-
tol.,vol. 1,n. 2, 2008, pp.91107.
tography, the long-term key is comprised of two distinguished [3] M. Bellare and P. Rogaway, Entity Authentication and Key Distribution,
values. The security model we propose, based on [13], is as in Advances in CryptologyCRYPTO 93, Lecture Notes in Computer
above except for the following: Science, Vol 773, 1993, pp. 232249.
[4] M. Bellare and P. Rogaway, Provably Secure Session Key Distribution
Adversarial capabilities. Now, we include oracles modelling The Three Party Case, in Proceedings of the 27th Annual ACM Sympo-
the leakage of the long-term keys separately. Thus, the oracle sium on Theory of Computing, STOC95, ACM Press, 1995, 5766.
Corrupt is replaced by the following oracles: [5] M. Bellare, D. Pointcheval and P. Rogaway, Authenticated Key Exchange
Secure Against Dictionary Attacks, in Advances in Cryptology EU-
RevealIDBasedSecret(Ui ) Returns the ID-based long term ROCRYPT00, Lecture Notes in Computer Science, Vol 1807, 2000, pp.
key hold by Ui . 139155.
[6] J.M. Bohli, M.I. Gonzalez Vasco and R. Steinwandt, Secure Group Key
RevealSecretValue(Ui ) Yields the long term secret value
Stablishment Revisited, International Journal of Information Security,
generated by Ui corresponding to its certificateless public key. 2007, vol. 6, n. 4, pp. 243254.
Moreover, to consider the corruption of the key generation [7] C. Cremers, Session-state Reveal is stronger than Ephemeral Key Reveal:
Attacking the NAXOS Authenticated Key Exchange Protocol, in Applied
center we also include the following oracle: Cryptography and Network Security. Springer Berlin Heidelberg, 2009.
RevealMasterKey Returns the master secret key. pp. 2033.
The adversary is also allowed to replace certificateless public [8] C. Cremers and M. Feltz, Beyond eCK: perfect forward secrecy under ac-
tor compromise and ephemeral-key reveal, in Designs, Codes and Cryp-
keys, which we model as follows: tography, vol. 74, n. 1, 2015, pp. 183218.
ReplacePublicKey(Ui , pk) This replaces users certificate- [9] M. C. Gorantla and C. Boyd and J.M. Gonzalez Nieto, Modeling Key
Compromise Impersonation Attacks on Group Key Exchange Protocols,
less public key by pk chosen by the adversary. This new public in Public Key Cryptography PKC 2009, Lecture Notes in Computer Sci-
key will be used for future communication and computations. ence, vol. 5443, 2009, pp. 105123.
Freshness. We require a certificateless key establishment [10] M. C. Gorantla and C. Boyd and J.M. Gonzalez Nieto and M. Manulis,
Generic One Round Group Key Exchange in the Standard Model, in In-
scheme to be secure as long as each party involved in a ses- formation, Security and Cryptology ICISC 2009, Lecture Notes in Com-
sion has at least one uncompromised secret. To define fresh- puter Science, vol. 5984, 2010, pp. 115.
ness in this setting we divide the queries regarding the secrets [11] J. Katz and M. Yung, Scalable Protocols for Authenticated Group Key
Exchange in Advances in Cryptology CRYPTO03, Lecture Notes in
into three types: Computer Science, Vol 2729, 2003, pp. 110125.
queries on the ID-based part of the scheme: RevealMasterKey [12] B. LaMacchia and K. Lauter and A. Mityagin, Stronger Security of
and RevealIDBasedSecret. Authenticated Key Exchange, in Provable SecurityProvSec07, Lecture
Notes in Computer Science, vol. 4784, 2007, pp. 116.
queries on the public key part of the scheme: RevealSecretValue[13] G. Lippold and C. Boyd and J. M. Gonzalez Nieto, Strongly Secure
and ReplacePublicKey. Certificateless Key Agreement, in Pairing-Based CryptographyPairing
queries on the keys of a particular session: RevealRand.
2009, Lecture Notes in Computer Sciences, vol. 5671 , 2009, pp. 206
230.
For a session to be fresh in this setting, the last two condi- [14] C. Swanson and D. Jao, A Study of Two-Party Certificateless Au-
tions in the freshness definition above are replaced by: thenticated Key-Agreement Protocols, in Progress in Cryptology
s sj INDOCRYPT 2009, Lecture Notes in Computer Sciences, 2009, pp. 57
If i i and j are partnered and A called queries on both
71.
sj
the ID-based part and the public key part of j , then any mes- [15] J. Teng and C. Wu, A provable authenticated certificateless group key
s s agreement with constant rounds, in Journal of Communications and Net-
sage sent to si i on behalf of j j must indeed come from j j works, vol 14, n. 1, 2012, pp. 104110.
si
intended to i . [16] J. Zhao, G. Gu and M.C. Gorantla, Stronger Security Model of Group
sj si Key Agreement, in Proceedings of the 6th ACM Symposium on Informa-
no session U partnered with U has been asked all three
j i tion, Computer and Communications Security. ACM, 2011. pp. 435440.
types of reveal queries (is fully corrupt);
91
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
Resumen- La deteccin de vulnerabilidades software es una Por el otro lado, nos encontramos con el software no libre. La
temtica de gran complejidad en la que se ha invertido, y se invierte, FSF define el software privativo (software no libre) como aquel
gran cantidad de esfuerzos. Por desgracia, ningn software es 100% que limita la libertad del usuario para usar, estudiar, distribuir o
seguro y a nivel particular o empresarial se ejecuta software de mejorar el mismo. Este tipo de software est distribuido bajo
procedencias diversas cuya garanta debe ser cuestionada. En nuestra una licencia ms restrictiva que reserva la mayora de los
investigacin centramos la atencin en la deteccin de funciones
peligrosas en repositorios de software libre, particularizando en los
derechos de modificacin, duplicacin y redistribucin para el
paquetes por defecto de Ubuntu. Analizados 45.153 paquetes es dueo del copyright. En la prctica, existen zonas grises en
posible afirmar la existencia de funciones inseguras en paquetes estas definiciones y en funcin de nuestras necesidades es
oficiales, algunas de las cuales introducen vulnerabilidades en los posible que se obtengan ms ventajas que inconvenientes en
sistemas Linux que las instalen. una u otra filosofa. Por ejemplo, ciertos usuarios pueden pensar
que el software privativo, entindase en este ejemplo como
Keywords - software inseguro, Ubuntu, vulnerabilidades, software propietario que vende una empresa y no permite
repositorio, deteccin acceso a su cdigo, debera tener un cdigo ms trabajado,
como resultado de un equipo profesional detrs, y permitir
I. SOFTWARE LIBRE VS SOFTWARE PRIVATIVO mantenimiento continuado y actualizacin del mismo de una
forma profesional/empresarial. Sin embargo, este software por
En las ltimas dcadas multitud de esfuerzos se han destinado su definicin es menos flexible ya que puede que la empresa
a analizar y detectar vulnerabilidades en programas software. que lo genera no cree las variantes adecuadas para adaptarse a
En ocasiones, quizs de forma interesada por una u otra parte, las necesidades concretas de un particular o empresa.
se intenta argumentar sobre la calidad del software en funcin
de su naturaleza y el proceso de revisin del cdigo, ms abierto Adicionalmente a todas las cuestiones tcnicas, que podran
a cualquier usuario o ms restringido en funcin de diversas indicar que software es ms o menos fiable y seguro, existen
polticas. En este escenario es habitual encontrarse grandes todas una serie de implicaciones econmico-polticas que
defensores y detractores de la calidad del software en funcin complican an ms la decisin de qu tipo de software utilizar.
de si se define como software libre o por el contrario es software Tradicionalmente el negocio detrs del software libre se ha
privativo. Se entiende por software libre, segn la definicin caracterizado por la oferta de servicios adicionales al software
establecida por Richard Stallman y la Free Software Foundation (tradicionalmente gratuito) como la personalizacin y el
(FSF), su principal impulsora, como aquel software que puede mantenimiento. Por ejemplo, la traduccin del software a un
ser usado, copiado, estudiado, modificado y redistribuido idioma concreto que posiblemente no fuera rentable
libremente de varias formas. Una ventaja habitual que se le comercialmente para una gran empresa. Adicionalmente, tiene
otorga a este tipo de filosofa es la posibilidad de que cualquier una caracterstica social importante, puesto que el software
usuario pueda analizar el cdigo fuente del software. En libre permite el libre uso, modificacin y redistribucin, a
principio, lo anterior debera ayudar a generar software ms menudo encuentra un hogar entre usuarios para los cuales el
fiable y seguro ya que potencialmente cualquier usuario de coste del software no libre es a veces prohibitivo, o cmo
Internet podra corregir o sugerir mejoras. Es importante alternativa a la piratera. Se defiende con firmeza el ahorro que
recordar que en funcin de la licencia software utilizada, puede puede obtenerse con este tipo de software frente al software
que se permita analizar el cdigo fuente, pero no estemos privativo y especialmente limitar la dependencia que un usuario
hablando de software libre si no de software de cdigo abierto. o empresa tiene de una corporacin concreta que desarrolla ese
Ejemplos de licencias son: LGPL, AGPL, LBSD, MPL, etc. De software. Existe una fuerte tendencia a la defensa de su uso en
hecho, en la prctica el software de cdigo abierto y el software sectores estratgicos y administracin pblica a lo largo del
libre comparten muchas de sus licencias, si bien es cierto que planeta. En paralelo, en el modelo de negocio del software de
difieren en el objetivo del mismo. Por un lado, la Open Source cdigo cerrado predomina la venta de licencias por su uso,
Initiative (OSI), fundada en 1998 por Eric S. Raymond y Bruce opcionalmente con servicios de actualizacin y mantenimiento.
Perens, busca darle mayor relevancia a los beneficios prcticos
de compartir el cdigo fuente, e interesar a las principales casas
En resumen, en funcin de las necesidades concretas de un
de software y otras empresas de la industria, mientras que la
usuario o empresa y del software necesario a utilizar, sea
FSF prefieren plantear el asunto en trminos ticos.
92
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
software libre o no, existen ventajas e inconvenientes a analizar. como el ao negro del Open Source debido a vulnerabilidades
No necesariamente el software libre tiene porqu ser ms tan mediticas como Heartbleed [2] o Shellshock [3]. En
seguro/fiable y resolver los problemas concretos de una resumidas cuentas, el software libre o de cdigo abierto no es
organizacin. En cualquier caso, en esta investigacin se necesariamente ms seguro que el software privativo aunque es
focaliza el esfuerzo, como aportacin a la mejora del cdigo mucho ms flexible para ser analizado y modificado. Ante esta
libre disponible a la comunidad de Internet, en el anlisis de situacin solo cabe preguntarse una cuestin: Qu
aspectos de seguridad relacionado con software real disponible herramientas de software libre o de cdigo abierto utilizar?
en los repositorios de software libre, con la intencin de Cmo se agrupan? Son algunas ms fiables que otras?
responder unas cuestiones bsicas: Es posible detectar de
forma sencilla fallos de seguridad en herramientas que deberan
Sin duda, uno de los problemas relacionados con el software
ser auditadas por la comunidad? Son fiables los repositorios
libre/cdigo abierto es la gran dispersin entre distribuciones y
de software libre?
repositorios software (donde descargarse programas). Por
II. REPOSITORIOS DE SOFTWARE LIBRE. SON ejemplo, existen distribuciones que estn soportadas
CONFIABLES? comercialmente, como Fedora (Red Hat), openSUSE (Novell),
En la ltima dcada muchas lneas se han escrito sobre la Ubuntu (Canonical Ltd.) y Mandriva; distribuciones
relacin entre software libre y software seguro. En la prctica mantenidas por la comunidad, como Debian y Gentoo; y
la gran mayora de estas estn relacionadas con la posibilidad distribuciones que no estn relacionadas con ninguna empresa
de revisar el cdigo fuente y en funcin de los cambios o comunidad, como es el caso de Slackware. Todas las
necesarios poder modificarlo y distribuirlo. Sin duda, existen distribuciones son igual de fiables? Existen alguna poltica
ventajas tcnicas claras de utilizar este tipo de software que adicional de revisin de cdigo en cada una de estas
influyen en el mundo de la seguridad informtica: distribuciones? Son confiables?
a) El anlisis del cdigo fuente puede ser auditado por cualquier No es sencillo responder a las cuestiones anteriores de manera
persona con los conocimientos suficientes. generalista. Por este motivo, se ve interesante centrar nuestro
inters en una de las distribuciones Linux ms populares a nivel
b) El cdigo puede ser modificado y distribuido. Esto puede mundial (Ubuntu), y analizar cmo funciona su repositorio y el
provocar mejoras o parches que corrijan problemas detectados. cdigo fuente de las herramientas que alberga. Antes de esto
Adicionalmente, las organizaciones pueden adaptar el software entendamos un poco mejor como funciona esta distribucin y
a sus necesidades eliminando funcionalidades que no necesitan, el proceso de publicacin y verificacin de aplicaciones.
lo cual necesariamente reducir problemas a futuro (poltica de
recursos mnimos). El sistema operativo Ubuntu est basado en GNU/Linux
(Debian) y se distribuye como software libre. Su patrocinador,
c) El coste del software libre (se distribuye sin cargo) permite Canonical, es una compaa britnica propiedad del empresario
difundir tecnologa de seguridad informtica (parches, sudafricano Mark Shuttleworth. Ofrece el sistema de manera
cortafuegos, IDS, etc.) que facilita crear un ecosistema de gratuita, y se financia por medio de servicios vinculados al
comunicaciones y procesamiento de datos ms seguro. En sistema operativo y vendiendo soporte tcnico. Cada seis meses
general, estas modificaciones no estn sujetas a criterios se publica una nueva versin de Ubuntu. Esta recibe soporte por
comerciales tpicos como el time to market y los aspectos parte de Canonical durante nueve meses por medio de
tcnicos suelen prevalecer frente a otros criterios. actualizaciones de seguridad, parches para bugs crticos y
actualizaciones menores de programas. Las versiones LTS
En este escenario idlico la tendencia a utilizar software libre, o (Long Term Support), que se liberan cada dos aos, reciben
al menos de cdigo abierto, debera ser clara. Aunque, quizs, soporte durante cinco aos en los sistemas de escritorio y de
la asuncin de que el cdigo fuente es revisado servidor. Ubuntu internamente divide todo el software en cuatro
concienzudamente por la comunidad de usuarios debera secciones, llamadas componentes, para mostrar diferencias en
ponerse en cuarentena y optar por una poltica ms activa en licencias y la prioridad con la que se atienden los problemas que
este sentido. De hecho, en los ltimos aos diferentes sucesos informen los usuarios. Estos componentes son: main,
graves han puesto esto de manifiesto. Por ejemplo, uno de los restricted, universe y multiverse. Por defecto se instalan
sucesos ms significativos fue la vulnerabilidad encontrada en paquetes de los componentes main y restricted. Los paquetes
uno de los paquetes software ms famosos a nivel mundial del componente universe de Ubuntu generalmente se basan en
(OpenSSL/Debian) y por tanto se asume que ms revisados. los paquetes de la rama inestable (Sid) y en el repositorio
Despus de una modificacin del cdigo, se introdujo por error experimental de Debian.
un cambio que minimiz la seguridad del generador de nmeros
aleatorios que utiliza este software, permitiendo ataques Conocida esta informacin se plantea la implementacin de un
prcticos a procesos criptogrficos, falsificar certificados X.509 sistema automatizado con el objetivo de intentar detectar de
o atacar claves SSH. Esta vulnerabilidad estuvo presente en el forma continua la introduccin de funciones inseguras en
software durante 2 aos [1]. De hecho, esto est empezando a repositorios Linux. Esta tarea es compleja, por este motivo se
ser ms comn de lo deseable. El ao pasado (2014) se defini habilita un mecanismo de plugins para ir aadiendo diferentes
93
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
anlisis. En los siguientes apartados se particularizar el uso de Actualmente la plataforma solo permite almacenar los
esta plataforma en la deteccin de funciones inseguras y la resultados en una base de datos PostgreSQL, almacenndose
deteccin de software vulnerable presente en el repositorio del informacin relativa a la vulnerabilidad detectada y el fichero
sistema operativo Ubuntu. donde est presente ese cdigo fuente para facilitar bsquedas
avanzadas.
III. PLATAFORMA PARA LA DETECCIN DE
FUNCIONES INSEGURAS EN REPOSITORIOS LINUX - Bsqueda de patrones e inteligencia
94
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
- La funcin gets() 12.523 paquetes software (27,73% del total del repositorio)
tienen presentes en alguno de los ficheros que conforman su
Esta funcin permite leer de la entrada estndar un flujo de cdigo fuente alguna funcin sprintf. De hecho, estos 12.523
bytes y los almacenarlos en un array de bytes. El uso de esta paquetes software tienen un total de 265.809 ficheros de cdigo
funcin puede producir un desbordamiento de buffer o buffer fuente que contienen al menos el uso de una funcin sprintf. En
overflow si dicho array es ms pequeo que la fuente de entrada. realidad, el nmero total de funciones sprintf detectadas son
1.333.925. Lo que hace una media de 5,01 funciones sprintf por
- La funcin scanf() paquete software. En funcin de cmo se utilice esta funcin
podra introducir un problema de seguridad. Por ejemplo, un
Esta funcin permite leer la entrada estndar y clasificarla en mal uso de esta funcin sera el siguiente:
funcin de un formato especfico que es indicado por el usuario.
Si el usuario especifica %s, se leern los caracteres del flujo de char buffer[10];
entrada en un buffer hasta que se llegue a un carcter no-ASCII. sprintf(buffer, %s, longitud mayor que 10);
Esta situacin puede provocar un desbordamiento de buffer.
En este ejemplo de cdigo se producir un desbordamiento de
- La funcin strcpy() buffer al copiar una cadena (string origen) de mayor tamao a
un buffer destino de menor tamao. Dependiendo de dnde y
Esta funcin permite realizar una copia de un buffer a otro. Esta cmo se ejecute un ejemplo conceptualmente parecido a este se
situacin provoca que si el buffer de origen es mayor que el podra o no ejecuta cdigo arbitrario.
buffer de destino se desemboque un desbordamiento del buffer
destino. La explotacin de este tipo de vulnerabilidades puede - Funcin scanf
provocar la ejecucin de cdigo arbitrario por parte de un
usuario malicioso. 1780 paquetes software (3,94% del total del repositorio) tienen
presentes en alguno de los ficheros que conforman su cdigo
- La funcin sprintf() fuente alguna funcin scanf. De hecho, estos 1.780 paquetes
software tienen un total de 5.737 ficheros de cdigo fuente que
Esta funcin permite imprimir de manera formateada un buffer. contienen al menos el uso de una funcin scanf. En realidad, el
Si el buffer de destino es menor que el de origen se provocar nmero total de funciones scanf detectadas son 24348. Lo que
un desbordamiento de buffer. hace una media de 5,01 funciones sprintf por paquete software.
En funcin de cmo se utilice esta funcin podra introducir un
En algunas situaciones el uso inapropiado de las funciones problema de seguridad. Por ejemplo, un mal uso de esta funcin
anteriores puede provocar que otras funciones desemboquen en sera el siguiente:
situaciones de riesgo para el usuario dando lugar a otras
vulnerabilidades como puede ser la denominada Use After char buffer[10];
Free. scanf(" Content-Type: %s ", buffer);
95
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
La funcin scanf lee de la entrada estndar los caracteres funciones strcpy que reciben como parmetro de entrada el
correspondientes al formato que se le especifica. En el cdigo valor obtenido de getenv (contenido en 408 paquetes).
de ejemplo se puede visualizar como se declara un buffer de
tamao 10 octetos. Al utilizar la funcin scanf se leer de la Por ejemplo, los siguientes paquetes tienen en su cdigo la
entrada estndar un flujo de bytes esperando una cadena, es siguiente instruccin:
decir, una cadena que acabe con un byte \0. Si el flujo de bytes
es mayor de 10 octetos se provocar un buffer overflow, ya que strcpy(disp_buf, getenv( "DISPLAY"))
la funcin no controla el tamao de informacin que se recoge
de la entrada estndar. En funcin de dnde y cmo se ejecute Paquetes: cnee.txt, gnee.txt, libxnee-dbg.txt, libxnee-dev.txt,
este ejemplo se podra o no ejecutar cdigo arbitrario. libxnee0.txt, xnee.txt, xnee-doc.txt, etc.
945 paquetes software (2,09% del total del repositorio) tienen ./xnee-3.19/libxnee/test/disp.c
presentes en alguno de los ficheros que conforman su cdigo 38: strcpy(disp_buf, getenv("DISPLAY"));
fuente alguna funcin gets. En funcin de cmo se utilice esta
funcin podra introducir un problema de seguridad. Por En el caso de argv, un ejemplo podra ser:
ejemplo, un mal uso de esta funcin sera el siguiente:
strcpy(host, argv[1])
char s[8];
printf(Introduce tu nombre, por favor: ); encontrndose en paquetes del estilo a: apcupsd.txt, apcupsd-
gets(s); cgi.txt, apcupsd-doc.txt, libpgpool-dev.txt, libpgpool0.txt,
libxpa-dev.txt, libxpa1.txt, pgpool2.txt, python-pyds9.txt, tcl-
En el caso de que la variable s reciba un tamao de octetos xpa.txt, xpa-tools.txt
superior al buffer que tiene reservado, en este ejemplo 8 octetos,
se producir un desbordamiento. En funcin de dnde y cmo Conocido esto se est recurriendo a diversos procedimientos y
se ejecute este ejemplo se podra o no ejecutar cdigo arbitrario. tecnologas, proceso en definicin y en curso, para aadir
mayor grado de certeza de si los paquetes detectados introducen
V. DETECTANDO APLICACIONES VULNERABLES o no funciones finalmente vulnerables, antes de proceder a un
EN UBUNTU anlisis manual ms exhaustivo.
En el apartado anterior se ha dejado de manifiesto que la En cualquier caso, en este punto se ve interesante documentar
presencia de funciones no recomendadas es, por desgracia, ms algunos de los paquetes ya analizados y verificados
habitual de lo deseable. No obstante, que una funcin sea manualmente.
potencialmente insegura no implica necesariamente que el
software que la contenga tenga una vulnerabilidad que pueda CASO 1: Chemtool. Aplicacin grfica
ser explotada, quizs validaciones previas contrarrestan los
posibles inconvenientes de usar dicha funciones. Por este Una de las vulnerabilidades encontradas con la plataforma de
motivo, en este apartado, dentro de esta investigacin en curso, deteccin de funciones potencialmente inseguras es un Memory
se va analizar si entre ese enorme nmero de funciones no Corruption en la aplicacin Chemtool 1.6.14. La aplicacin
recomendables puede detectarse alguna que facilite la permite realizar ecuaciones qumicas orgnicas de forma
explotacin. En nuestra investigacin, entendemos por grfica. La plataforma detect el uso de la funcin insegura
explotacin alguna vulnerabilidad que afecte al funcionamiento strcpy() y la concatenacin con el uso del paso de parmetros
habitual del programa, por ejemplo, denegacin de servicio, o argv[x] sin chequear dicho uso. Durante la etapa de
ejecucin de cdigo arbitrario. comprobacin de posible vulnerabilidad se instal la aplicacin
en una mquina de prueba con la versin de GNU/Linux
En este artculo se centran los esfuerzos en la funcin no Ubuntu 14.10.
recomendable strcpy, su uso es masivo con 899.500 llamadas,
y la posibilidad de detectar fallos tan tpicos como buffer Esta vulnerabilidad denominada Memory Corruption permite a
overflow. De hecho, existen algunas casusticas del uso de la un atacante crashear la aplicacin introduciendo una entrada
funcin strcpy que podra, si no existen validaciones maliciosa. Este hecho puede provocar tras un anlisis
adicionales, establecer un vector de ataque para cualquier exhaustivo que un atacante podra ejecutar cdigo arbitrario
ante un desbordamiento de buffer. En este caso particular un
usuario con conocimientos mnimos de explotacin de
atacante solo puede explotar esta vulnerabilidad de forma local.
vulnerabilidades. Por ejemplo, se pueden observar 13.880
funciones strcpy que reciben como parmetro argv[], es
El anlisis realizado refleja dos vas de explotacin. La primera
decir se introduce el parmetro desde teclado a la funcin de ellas introduciendo un valor grande como parmetro 1 de la
strcpy, estas funciones se concentran en 2.923 paquetes, o 1347 aplicacin, el cual provoca que la copia de este flujo de entrada
96
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
a un buffer interno se desborde. De esta forma se consigue el provocar un buffer overflow, en este caso insertando 900
crasheo de la aplicacin por buffer overflow. Para octetos. La Figura 3. se demuestra cmo Ubuntu, si tiene
ejemplificar este hecho se indica la lnea a ejecutar $chemtool configurado polticas de prevencin con el uso de DEP, podra
$(perl -e 'print "A"x900'). Durante el anlisis exhaustivo se mitigar malos hbitos de programacin.
descubri que se utilizaba la misma funcin para analizar el
contenido que se carga en un fichero desde la aplicacin, vase
Figura 2. Se prepar un pequeo cdigo que genera un archivo
malicioso con el objetivo de forzar un comportamiento anmalo
de la aplicacin y poder detectar en qu direccin de memoria
se provoca la prdida del flujo correcto de la aplicacin. La
prdida del flujo normal provoca que sta comience a ejecutar
otras posibles instrucciones. En este instante se ha detectado un
vector para cambiar el flujo para el que la aplicacin fue
desarrollada originalmente. En el caso de Chemtool se provoca
Figura 3. Ataque de buffer overflow a un paquete y mitigacin por parte de
una denegacin de servicio a la aplicacin, ya que no se Ubuntu
controla el flujo por el atacante, sino que solamente se cambia
ste, pero sin control alguno, por lo que se provoca el crash
de la aplicacin. Si, por el contrario, el atacante consiguiese VI. CONCLUSIONES
controlar qu instrucciones se ejecutan despus de cambiar el Esta investigacin presenta la plataforma diseada e
flujo nos encontraramos ante un escenario de ejecucin de implementada para el anlisis del cdigo fuente de los paquetes
cdigo arbitrario. Esto indica que un atacante podra ejecutar
software presente en repositorios Linux. En este artculo se
cdigo arbitrario a travs de dicha vulnerabilidad.
analizan los detalles centrando el uso de la plataforma en los
repositorios configurados por defecto en Ubuntu 14.10, una de
#/usr/bin/ruby
las distribuciones de usuarios ms difundida.
buf = "a"*3000
filename = "crash.png"
Se demuestra la facilidad para detectar funciones
file = open(filename,'w')
file.write(buf) potencialmente inseguras, en el estado actual las funciones ms
file.close sencillas y tpicas. De todas las funciones detectadas, por
puts "file created!" cuestin de tiempo, se centran los esfuerzos en una de ellas,
Figura 2. Ejemplo de explotacin basada en fichero malicioso. strcpy, y se intenta analizar si son vulnerables centrndonos en
un tipo de explotacin concreta (la ms popular), los ataques
Tras realizar un responsable disclosure de la vulnerabilidad se por buffer overflow.
obtuvo un identificador del tipo OSVDB
(http://osvdb.org/show/osvdb/118250) y otro identificador Nuestra investigacin destaca que sin recurrir a procedimientos
EDB (https://www.exploit-db.com/exploits/36024/), estando de anlisis complejos es posible demostrar que hasta las
en trmite la asignacin de un CVE. cuestiones ms sencillas de codificacin segura no son
analizadas mnimamente por la comunidad Ubuntu. Se
CASO 2: Mltiples aplicaciones facilitan ataques de buffer demuestra que existen actualmente aplicaciones que facilitan
overflow usando strcpy vulnerable. introducir fallos de seguridad al sistema operativo por defecto
(los fallos de seguridad sern realmente explotados en funcin
Como se justific en apartados anteriores se estn detectando de las contramedidas que se establezcan en cada sistema
mltiples aplicaciones donde se puede provocar ataques de operativo). El escenario ms bsico sera fallos de negacin de
buffer overflow. Algunos ejemplos son: servicio y el ms grave, si se puede aprovechar el buffer
overflow, ejecucin de cdigo.
- flasm
- bibcursed
- dnsmasq -> dhcp_release
Actualmente se est trabajando en analizar y probar, uno a uno,
- bwbasic los paquetes sospechosos, documentando y registrando (CVE,
- acedb-other-belvu OSVDB, etc.) los hallazgos mediante una poltica de
- abcmidi-yaps responsable disclosure que facilite a la comunidad Ubuntu
- mejorar la calidad del software desarrollado. Del mismo modo
se est verificando si los fallos descubiertos se mantienen y
La generacin de un ataque de buffer overflow a todas estas consumen, por reutilizacin de cdigo, en otros sistemas
aplicaciones comparte gran similitud en el procedimiento, operativos Unix/Linux. De momento, y en el caso particular del
pudiendo diferenciarse en pequeos detalles en funcin de los sistema operativo Ubuntu, no se ha detectado ninguna
parmetros que el analista pueda modificar. Por ejemplo, si se herramienta que permita ejecucin de cdigo arbitrario evitado
selecciona el programa abcmidi-yaps (converts an abc file to a la configuracin por defecto de mitigacin de Ubuntu (DEP
PostScript file) una vez detectado que existe una funcin strcpy Data Execution Prevention).
que recibe parmetros de entrada de teclado sin validar es trivial
97
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
REFERENCIAS
[1] Bello, L. Debian Security Advisory. DSA-1571-1 openssl predictable
random number generator. https://www.debian.org/security/2008/dsa-
1571
98
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
I. INTRODUCCIN
La ingeniera inversa [1] estudia un producto, terminado o
con cierto grado de completitud, con el fin de obtener detalles
acerca de su diseo y/o funcionamiento, al contrario que el
proceso clsico de ingeniera o ingeniera directa.
Por tanto, es un proceso que funciona hacia atrs, pudiendo
analizar software y productos electrnicos sobre todo, aunque
tambin se puede utilizar como herramienta de anlisis sobre
cualquier otro producto de ingeniera.
Hay que destacar que en el proceso de ingeniera inversa el
sistema o producto analizado no debe cambiar, sino que se
produce informacin acerca de su funcionalidad.
99
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
II. TCNICAS cadenas con patrones que pueden ser una clave del producto. Si
A la hora de desbloquear un programa, se puede optar por hay muchas cadenas (algo que ocurre con bastante asiduidad)
parchear el cdigo, de forma que no se haga la comprobacin lo que se hace es ir avanzando en el programa con el depurador
pertinente de la clave, o conseguir una clave vlida que se para ver qu cadena es la que finalmente se compara al valor
verifique en el programa. En este captulo se van a ver estas que introduce el usuario y qu operaciones se hacen sobre ella.
tcnicas [1], aunque hay muchas ms.
C. Elaboracin De Generador De Claves
A. Parches En la seccin anterior, el programa tena una nica clave,
Una de las tcnicas ms utilizadas para superar la proteccin igual para todos los usuarios. En este caso, el problema es que
de algunos programas es el uso de parches de cdigo. Su la clave para cada uno de los usuarios es distinta o hay multitud
principal objetivo es cambiar el cdigo del programa para de claves vlidas, existiendo un algoritmo de claves que se
variar su flujo natural de ejecucin, con el fin de que ciertas encarga de verificarlas en el programa. Por lo tanto, es posible
comprobaciones u operaciones no se lleven a cabo. crear un generador de claves o keygen mediante un algoritmo
La manera de llevar a cabo un parche es el cambio de que fabrique claves correctas.
instrucciones del cdigo original. La forma ms habitual de Para conseguir crear este algoritmo que pueda generar claves
hacerlo es utilizar un depurador como OllyDbg. Sin entrar en vlidas hay que realizar un estudio de ingeniera inversa puro,
mucho detalle, ya que se ver el depurador en el prximo para ver cmo se va comprobando y testando el nmero o
captulo, es un tipo de software que permite controlar la cadena de texto de registro introducido en el programa. Hay
ejecucin del programa objetivo, viendo las instrucciones que una gran variedad de algoritmos utilizados para generar claves,
se ejecutan y el estado de las principales variables. cuya complejidad es diferente en cada caso, dependiendo del
Los cambios que se suelen llevar a cabo son modificaciones, nmero de operaciones.
antes o despus de comparaciones o test que se hacen en el Los algoritmos que se aplican pueden ser totalmente
programa original o variaciones de los tipos de saltos a independientes del usuario, como por ejemplo utilizar nmeros
subrutinas (o insertando otros nuevos) que se dan en el cdigo. que sean mltiplos de otro o que mantengan cualquier otro tipo
Los mtodos frecuentes para saber en qu lugar aplicar estos de relacin entre ellos, mientras que hay otros algoritmos que
cambios es mediante la bsqueda de cadenas que puedan ser la utilizan algn dato especfico de cada usuario como parte del
clave o la comprobacin de APIs que ofrecen las bibliotecas, clculo del nmero o cadena de registro, como puede ser el
operaciones que suelen ser las encargadas de verificaciones. nombre de este usuario o algn dato nico, como el nmero de
Estos cambios que se hacen son permanentes y se mantendrn identificacin.
siempre que se ejecute el programa.
Otra opcin para realizar cambios pasajeros en los III. HERRAMIENTAS
programas es mediante el uso de Loaders, programas que Para llevar a cabo las tcnicas anteriores, en todas se tiene
cargan ejecutables en memoria para poder realizar cambios en algo en comn: es necesario conocer el cdigo del programa
ejecucin, volviendo el programa al estado original al finalizar porque hay que estudiarlo.
la ejecucin. Sin embargo, los programas que se intentan desproteger son
programas de los que solo se tiene un ejecutable compilado y
B. Obtencin De Clave listo para funcionar, por lo que no se tiene acceso al cdigo de
Como se ha mencionado antes, en numerosas ocasiones los forma directa.
programas que se adquieren en el mercado estn protegidos Debido a ello, entran en juego las herramientas de ingeniera
con una clave de uso que hay que introducir al iniciar el inversa [3], que ayudan a obtener y estudiar el cdigo de estos
programa, ya sea al principio de su uso o despus de un ejecutables compilados.
perodo de tiempo si este tiene una versin de prueba. Hay diferentes herramientas que se pueden utilizar en el
En algunas situaciones, esta solicitud de clave se puede campo de la ingeniera inversa, algunas muy especficas, como
parchear. Por ejemplo, las versiones con un perodo de prueba las herramientas CASE [4] o herramientas de insercin de
suelen utilizar ciertas APIs de chequeo del sistema como son fallos, y otras ms generales, como los desensambladores.
GetLocalTime o GetSystemTime, entre otras. Con ellas se Para el caso de obtencin de claves para desbloquear
llevan a cabo las comprobaciones de cunto tiempo lleva el programas, hay dos herramientas que marcan la diferencia
usuario utilizando el programa y ver si se ha cumplido ya el respecto a las dems y que son las ms usadas para este tema:
tiempo de prueba del mismo. Buscando en el cdigo estas el desensamblador y el depurador. A continuacin se van a
APIs, es posible cambiar el flujo para que no se haga la estudiar estas dos herramientas fundamentales.
comprobacin o para que se haga de forma incorrecta.
Sin embargo, esto no siempre es posible, es muy complicado A. Desensamblador
o simplemente se quiere obtener la clave o serial para no tener Como su propio nombre indica, los desensambladores son
que parchear el programa, que en el futuro puede tener algn herramientas destinadas a convertir cdigo mquina en
problema. Por todo ello, en muchas ocasiones se estudia el lenguaje ensamblador, un lenguaje legible para analizar, y as
cdigo del programa mediante un depurador como OllyDbg revelar las instrucciones que son usadas en el cdigo del
para hallar la clave o serial. Esto es un nmero o texto (una programa. Este cdigo mquina es especfico para cada
cadena) que es idntico para todos los usuarios y que arquitectura de hardware.
normalmente tiene que ir embebido en el propio cdigo. Cualquier desensamblador debe hacer ciertas suposiciones a
Para encontrarlo, lo normal es buscar en el cdigo las fin de presentar el cdigo que se intenta desensamblar de
100
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
manera clara. Estas suposiciones que se hacen pueden variar el avanzar por las instrucciones del programa. Cuando se hace
cdigo obtenido, ya que no es algo trivial el orden de step-over, lo que en realidad se est haciendo es un bypass.
desensamblado. Para entenderlo mejor, si se lleva a cabo un step-over sobre una
Hay principalmente dos tipos de algoritmos para hacer un funcin, la siguiente instruccin que se ver en el depurador es
desensamblador: linear (lineal) y flow-oriented (orientado a la posterior al return de la funcin referida anteriormente.
flujo). El algoritmo lineal es ms fcil de implementar, pero En cambio, si se hace un step-into sobre esa funcin, hara
tambin es ms propenso a errores. que se analizaran todas sus instrucciones, por lo que la
La principal diferencia entre los algoritmos anteriores es que instruccin que aparecer en el depurador despus de la
mientras que el mtodo lineal analiza cdigo de manera llamada a la funcin ser la primera instruccin de esta.
secuencial en la memoria sin importar de que tipo sean las Para llevar a cabo el anlisis, el usuario del depurador activa
instrucciones, el algoritmo orientado a flujo estudia el tipo de puntos de parada o breakpoints en el programa ejecutado. Un
cada instruccin para hacer supuestos y examinar mejor el breakpoint es una instruccin que permite al depurador parar la
cdigo. ejecucin del programa cuando cierta condicin se cumpla. Por
Esta diferencia puede entenderse mejor con los saltos ejemplo, cuando un programa accede a cierta variable, o llama
condicionales. Cuando el algoritmo lineal se encuentra con una a cierta funcin, el depurador puede parar la ejecucin en ese
instruccin que es un salto condicional, este algoritmo suele momento. Estos puntos de parada se pueden realizar de distinta
analizar la rama falso, de forma que hara como si el salto no se manera y se detalla en los siguientes prrafos
fuese a cumplir, y seguir desensamblando linealmente. Por defecto, los depuradores ms usados utilizan breakpoints
Sin embargo, el algoritmo orientado a flujo se comportara basados en software, que son implementados introduciendo
de otra forma. Al llegar al salto condicional, tambin se una INT 3 (se ver con ms detalle en siguientes secciones)
seguira la rama falso. Sin embargo, antes de saltar a otra modificando el primer byte de esa instruccin. Se pueden
subrutina por encontrar un salto incondicional, por ejemplo, se aadir de manera ilimitada, ya que el gasto de memoria para
volvera a la instruccin anterior del salto condicional para guardar los cambios es mnimo.
desensamblar la otra rama. Por tanto, este algoritmo es mucho Por otro lado, tambin se pueden implementar puntos de
ms completo. parada llevados a cabo por hardware, en los que se compara,
cada vez que se ejecuta una instruccin, si el puntero de la
B. Depurador instruccin es igual que la direccin del breakpoint. Una
Los depuradores son herramientas que se utilizan para ventaja que tiene sobre los breakpoints por software es que se
controlar la ejecucin de otros programas. Permiten avanzar pueden hacer respecto a una determinada direccin de
paso a paso por el cdigo, rastrear fallos, establecer puntos de memoria, sin importar lo que se haga en ese lugar de la
control y observar las variables y el estado de la memoria en un memoria ni el cdigo que se est ejecutando. Sin embargo,
momento dado del programa que se est analizando tienen una clara desventaja respecto a los anteriores: solo se
(depurando). Son muy valiosos a la hora de determinar el flujo puede disponer de un nmero limitado de breakpoints hechos
de procesamiento del programa. por hardware.
Los depuradores avanzados suelen incorporar de serie un Por ltimo, otro tipo de breakpoints utilizados son los puntos
desensamblador, opciones de reensamblado o edicin de parada condicionales, que solo se producen si se dan ciertas
hexadecimal, dado que el software a analizar, como se ha dicho condiciones. Son breakpoints implementados por software, por
anteriormente, es ya un programa compilado (normalmente) y, lo que el depurador, cuando llega al punto de parada, examina
por tanto, no se tiene acceso al cdigo fuente. Los depuradores las condiciones y si no se cumplen, sigue con la ejecucin
permiten, de forma general: normal.
El uso de breakpoints lleva consigo un retardo considerable
- Ejecutar instruccin a instruccin un programa. respecto a la instruccin original, con lo que no es
- Detener la ejecucin temporalmente en una instruccin recomendable utilizar breakpoints en una instruccin o funcin
concreta o bajo determinadas condiciones de ejecucin. que es llamada con mucha frecuencia. Estos cambios y paradas
- Visualizar el contenido de las variables en un determinado hechos sobre la ejecucin de un determinado programa sirven
momento de la ejecucin. para comprobar su ejecucin, pero a su vez, el uso de un
- Cambiar el valor del entorno de ejecucin para poder ver depurador puede afectar al modo de ejecucin. De hecho, el
el efecto de una correccin en el programa. software a menudo se ejecuta de manera distinta en un
- Cambiar el orden de ejecucin de un programa. depurador, debido a los cambios que este realiza sobre la
temporizacin, lo que hace difcil en ocasiones seguir algunos
Generalmente, cuando se est analizando un programa, la errores.
preocupacin o el objetivo principal es saber qu hace, por lo Por otro lado, la funcionalidad que tiene un depurador se
que, en condiciones normales, no es necesario conocer el puede utilizar como herramienta de cracking para evitar la
propsito de cada una de las llamadas dentro del programa a proteccin anticopia, gestin de derechos digitales y otro tipo
analizar. Esto sucede, por ejemplo, cuando dentro de un de protecciones que tiene el software, lo que le hace ser una de
programa se carga una librera y no se quiere conocer cada uno las herramientas ms usadas para ingeniera inversa.
de sus detalles, lo que ahorra una gran cantidad de tiempo a la Como se ha explicado antes, ciertos programas requieren
hora de realizar el anlisis. una clave de entrada que se introduce al arrancar el ejecutable.
Para llevar a cabo este ahorro de instrucciones hay que Sin poseer esa clave, no se puede acceder a las utilidades del
diferenciar entre las opciones de step-over o step-into para programa, ya sea total o parcialmente. Una tcnica para
101
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
averiguarla es utilizar ingeniera inversa para analizar el inicio instrucciones puede tener diferentes representaciones al
del ejecutable, en el momento en el que se introduce la clave desensamblar, algunas de ellas invlidas, que hacen que el
para su posterior verificacin. trabajo sea mucho ms difcil.
Un depurador, como por ejemplo OllyDbg, ofrece un Por tanto, las tcnicas de anti-desensamblado buscan
desensamblado del cdigo y una vista de los principales aprovechar eso, crear secuencias de cdigo que pueden
registros durante la ejecucin, que ayuda a consultar el estado engaar al desensamblador.
del programa. Para obtener la clave hay que analizar el La mayora de los desensambladores tienen problemas
ejecutable mediante depurador. Dependiendo de la forma en cuando tienen que hacer ciertas suposiciones en bifurcaciones,
que est hecho, ser ms fcil o difcil, o habr que mirar unas como con saltos condicionales. Precisamente esto es lo que se
secciones de cdigo u otras. puede aprovechar para hacer la tarea ms difcil al
Lo primero que hay que hacer es ejecutar el programa para desensamblador.
ver cmo funciona. En principio, la estructura bsica de estos Una posibilidad es poner dos instrucciones de salto
programas es sacar algn tipo de pantalla de bienvenida que te condicionales seguidas con el mismo objetivo. Si se ponen dos
solicita, directa o indirectamente, la clave del programa. Tras instrucciones de salto seguidas con el mismo objetivo y se
insertarla, normalmente saldr un mensaje de verificacin o selecciona de manera oportuna el tipo de saltos, se puede
bienvenida al programa o de negacin de uso, en el caso de que confundir al desensamblador. Por ejemplo, si se utiliza el salto
sea incorrecta. condicional jz (que salta si es igual o si es cero), seguido de un
Por tanto, la estrategia bsica es ejecutar el programa con jnz (que salta si no es igual o si no es cero), ambos con el
puntos de parada en los momentos clave, como son la insercin mismo destino, lo que en realidad se est realizando es un salto
de la clave y la verificacin. Para ello se insertan breakpoints incondicional. Sin embargo, el desensamblador no es capaz de
en la funcin que recoge la clave insertada y la funcin que interpretar esto como un salto incondicional, ya que no puede
saca el mensaje final por pantalla. Los depuradores, y en este interpretar ms de una instruccin a la vez. Esto implica que en
caso concreto OllyDbg [5], posee una utilidad que permite ver el proceso de desensamblado se analizarn las dos
qu funciones se estn usando en el programa y aadir un instrucciones por separado y, como se ha visto anteriormente,
punto de parada en cada una de las veces que esa funcin es se analiza primero (normalmente) la rama falso de los saltos
utilizada en el cdigo. condicionales. Por tanto, se analizar el cdigo pasando por los
Una vez aadidos los breakpoints se procede a ejecutar el dos saltos condicionales en la condicin de falso, cuando en la
programa bajo el depurador. Esto har que se tenga que ejecucin del cdigo es imposible, ya que las dos instrucciones
introducir una clave de programa a modo de prueba para que el juntas son iguales a un salto incondicional.
programa siga la ejecucin. Esta clave de prueba puede ser una Otra posibilidad es utilizar un salto condicional con una
gran ayuda a la hora de estudiar el programa, ya que se puede condicin interpuesta anteriormente que siempre se cumpla.
seguir lo que se hace con ella en la ejecucin, como Sigue el mismo principio anterior, ya que en realidad la
comparaciones u otras operaciones, y as averiguar la clave. construccin es un salto incondicional tambin, pero el
desensamblador no es capaz de interpretarlo as, por lo que se
IV. MTODOS ANTI-REVERSING analizar la rama falso.
Los procesos de ingeniera inversa pueden llegar a ofrecer Hay muchas ms tcnicas y construcciones especiales para
muchos detalles sobre un programa. Si el anlisis se hace de realizar anti-desensamblado. Por ejemplo, los manejadores de
una forma correcta y el software objeto de estudio no tiene excepciones tambin suelen suponer algunas dificultades a los
cierta proteccin, la obtencin de informacin est garantizada, desensambladores, ya que no saben interpretarlos.
como se ha visto para obtener una clave de programa.
Para que esto no suceda con tanta facilidad, existen los B. Anti-Depurado
llamados mtodos anti-reversing [6], [7] y [8]. El reversing es El anti-depurado es una de las tcnicas ms usadas a la hora
la obtencin de cdigo de un programa, y por tanto, estos de impedir los procesos de ingeniera inversa. Se basan
mtodos, como su propio nombre indica, son procedimientos a principalmente en hacer que el software sepa que est
la hora de construir el cdigo que hacen que sea ms difcil ejecutndose bajo un depurador.
conseguir el cdigo fuente de un programa. Desde el momento en que eso ocurre, el programa puede
Es decir, aadir obstculos a la hora de obtener el cdigo variar su flujo natural de ejecucin y as esconder parte de su
mediante el uso de las herramientas anteriormente descritas. A funcionalidad, provocar errores o hacer creer que el programa
continuacin se vern distintos tipos de mtodos anti-reversing funciona correctamente cuando en realidad se est ejecutando
para las herramientas anteriormente descritas. de otra manera, que hace el proceso de ingeniera inversa ms
tedioso.
A. Anti-Desensamblado Hay dos maneras principales de efectuarlas: detectar que el
El anti-desensamblado se basa en utilizar cdigo o depurador est funcionando, y as cambiar el modo de
estructuras de datos diseadas en un programa para hacer que funcionamiento, o el estudio del comportamiento de un
los desensambladores funcionen de manera incorrecta. programa en el depurador. A continuacin se expondrn
De esta forma, el cdigo se descompone en instrucciones algunos de los mtodos ms utilizados en la prctica.
incorrectas o en desorden. Esta tcnica se puede llevar a cabo Hay APIs que incluyen funciones que pueden ser usadas por
con herramientas en el momento de construccin del software un programa para determinar si est corriendo bajo un
o bien directamente sobre el cdigo de forma manual. Adems, depurador o no. Estas funciones, como IsDebuggerPresent o
el desensamblado no es algo simple. Una secuencia de CheckRemoteDebuggerPresent (entre otras) permiten consultar
102
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
la informacin de la cabecera de los procesos del programa las instrucciones irrelevantes y restaurar la estructura del
para saber si la ejecucin se est llevando a cabo bajo un cdigo original.
depurador. Cabe destacar que estas comprobaciones tambin se Adems, una ofuscacin de cdigo suele tener un coste que
pueden efectuar manualmente sin hacer uso de las funciones va asociado a la transformacin. Este coste puede ser tener un
anteriores. cdigo ms grande que el original, tiempos de ejecucin ms
Por otro lado, en cuanto a estudiar el comportamiento del altos o el aumento de consumo de memoria durante el tiempo
programa dentro del depurador, hay varias opciones. Una de de ejecucin.
ellas es la bsqueda de interrupciones en el cdigo. La INT 3 La mayora de estas transformaciones se pueden hacer
es la interrupcin de software ms usada en los depuradores automticamente mediante la ejecucin de un ofuscador para
para reemplazar, de manera temporal, una instruccin del un programa ya terminado y compilado. Sin embargo, muchas
programa en ejecucin. Es la forma bsica de crear un de estas transformaciones se pueden aplicar manualmente.
breakpoint. El cdigo de operacin de la INT 3 es 0xCC, de La ofuscacin automtica es, obviamente, mucho ms
manera que al crear un breakpoint en el depurador, en el cdigo eficaz, ya que permite introducir confusiones en el programa
se inserta 0xCC. De esta manera, si un programa quiere evitar entero y no solo en pequeas partes de l. Adems, la
estas interrupciones, no tiene ms que buscar ese cdigo ofuscacin automtica se realiza normalmente despus de que
durante la ejecucin y si lo encuentra, desviar el flujo de el programa sea compilado, lo que significa que el cdigo
control del programa hacia un cdigo incorrecto para no poder fuente original no se hace menos legible, mientras que si se
usar de forma adecuada el depurador. hace manualmente el cdigo original ser menos comprensible.
Otra tcnica es realizar checksums en el cdigo. Parecido al Unos de los ofuscadores ms utilizados son aquellos que
mtodo anterior, solo que en vez de realizar una bsqueda de transforman el cdigo en ByteCode de lenguajes como Java,
cdigos de la interrupcin INT 3, se hace una comprobacin dado que llevar a cabo la descompilacin de sus ejecutables es
con CRC (cyclic redundancy check) o MD5 checksum. Es un sencilla.
mtodo menos utilizado que el anterior, pero es igual de
efectivo, ya que se basan los dos en el mismo principio. V. EJEMPLO DE CDIGO OFUSCADO
La comprobacin de tiempos es otro mtodo muy utilizado Una opcin bastante til es usar la ofuscacin con lenguajes
tambin. Basado en que la ejecucin de un programa, en cuyo cdigo se puede sacar a travs de descompiladores. Un
presencia de un depurador, es siempre ms lenta, por ejemplo descompilador es una herramienta que devuelve el cdigo del
cuando se ejecuta instruccin a instruccin. Hay dos opciones ejecutable en lenguaje de alto nivel, como por ejemplo Java,
(frecuentes) a la hora de realizar esta comprobacin: realizar pero que necesita que se incluyan muchos metadatos en el
un timestamp cuando se lleven a cabo un par de operaciones y cdigo para poder llevar a cabo la descompilacin.
luego tomar otro valor y compararlos para ver si hay lag o En el caso de Java, al correr sobre mquina virtual (JVM,
tomar un timestamp antes de la lanzar una excepcin y otro Java Virtual Machine), utiliza un lenguaje intermedio que
despus. Si el programa no est siendo depurado, la excepcin incluye mucha informacin que un descompilador puede usar
ser manejada de forma rpida y viceversa. para obtener el cdigo del ejecutable. Hay ms lenguajes a
Por ltimo, se puede interferir en el depurador haciendo que parte de Java que tienen estas caractersticas.
se ejecute cdigo antes del punto de entrada que aparece en el Esto hace que, por ejemplo, sacar el cdigo en claro de un
depurador o aprovechando posibles vulnerabilidades del ejecutable .jar sea muy sencillo, ya que con el simple uso de un
depurador que lo hagan funcionar de manera incorrecta. descompilador se tiene acceso a l.
Es por eso que, en este caso, el uso de la ofuscacin sera
C. Cdigo Ofuscado una gran idea para impedir llevar a cabo un estudio del cdigo
Las tcnicas anti-reversing vistas anteriormente son buenas mediante ingeniera inversa, ya que el cdigo siempre se va a
para retrasar al analista que est tratando de hacer ingeniera poder obtener. Pero si sobre ese cdigo se pasa un ofuscador,
inversa para obtener el cdigo. Sin embargo, esta tcnica no de manera que cambie los valores de las variables, mtodos,
har mas difcil la obtencin del cdigo, sino que lo que har etc., a la vez que se aaden ms variables, se aade dificultad.
ser hacer el cdigo menos comprensible para el analista. De esta forma, despus de ofuscar un ejecutable .jar, si se
La ofuscacin de cdigo se basa en complicar el cdigo con descompila de nuevo para comparar el cdigo obtenido
el fin de que no se entienda bien. Se aaden variables y despus de la ofuscacin con el de antes de la ofuscacin. el
operaciones que no se utilizan en nuestro cdigo inicial y que resultado es distinto. Ahora el cdigo que se obtiene, si bien es
hace que el analista obtenga mucha informacin, pero poco el mismo en la forma, no es igual en el contenido, ya que los
relevante acerca de nuestro cdigo. Esta complejidad que se nombres de variables y dems han sido cambiados de forma
aade al cdigo se puede medir y se denomina potencia de aleatoria, por ejemplo.
ofuscacin. Es decir, cuando se ofusca un cdigo, este se obtiene, pero
Ms all de la complejidad adicional introducida, la solo se tiene la informacin de sus operaciones, no de los
ofuscacin producida debe ser (o debe intentar ser) una nombres de los elementos que tiene el programa, lo que hace
transformacin que no se pueda deshacer fcilmente, ya que es mucho ms difcil la obtencin de informacin.
posible crear desofuscadores. Un ejemplo de esto se puede encontrar en [9], donde se
Un desofuscador es un programa que implementa varios desarrolla un caso prctico en el que se ofusca un archivo .jar
flujos de datos y algoritmos de anlisis en un programa y, posteriormente, se descompila el ejecutable (que mantiene su
ofuscado que, a veces, le permiten separar la informacin funcionalidad despus de la ofuscacin) para ver el resultado,
importante de la prescindible y automticamente eliminar todas
103
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
que se recoge en la Fig. 3. Por tanto, si se quiere dificultar o imposibilitar que se pueda
obtener la clave (o cualquier otro mtodo de burlar la seguridad
de un programa) mediante ingeniera inversa, aparte de mejorar
el algoritmo de claves, se pueden aadir mtodos anti-
reversing que dificulten el uso de las herramienta de ingeniera
inversa, sobre todo del depurador.
Por supuesto, el tiempo que se tarda en obtener el cdigo es
proporcional al tiempo que se tarda en protegerlo. Si se toman
pocas (o ninguna) medidas anti-reversing, el cdigo fuente se
obtendr de manera lo suficientemente limpia para poder
trabajar con l y obtener la clave.
Por otro lado, si se usan muchas de las tcnicas anti-
reversing analizadas, de manera conjunta, se puede lograr que
cueste mucho esfuerzo y tiempo conseguir un cdigo para
poder analizarlo.
En definitiva, cuantos mas mtodos anti-reversing se usen a
la hora de construir el programa, ms seguro se estar frente a
cualquier ataque que quiera desproteger el programa.
REFERENCIAS
Figura 3. Ejemplo de ofuscacin
[1] Ricardo Rodrguez, Introduccin a la ingeniera inversa,
Universidad de Zaragoza, 2011. webdiis.unizar.es/~ftricas/
Como se puede observar, los nombres de las clases han Asignaturas/seguridadD/Transparencias/RicardoRodriguez.pdf
cambiado por letras de manera aleatoria, y adems los nombres [2] Ingeniera inversa. http://www.programacion.com.py/varios/
de variables, mtodos, etc. tambin estn cambiados dentro de ingenieria-inversa
cada clase, por lo que la informacin obtenida ha sido reducida [3] Slideshare, Ingeniera inversa y reingeniera de software.
http://es.slideshare.net/moimedinaq/ingeniera-inversa-y-
de forma destacada. reingeniera-de-software
Al cambiar solo nombres de variables, mtodos, etc, no [4] Herramientas CASE. http://www.monografias.com/trabajos14/
conlleva un coste de ejecucin superior, ya que las operaciones herramicase/herramicase.shtml
son las mismas en ambos casos y, por tanto, la ejecucin es la [5] OllyDbg. http://www.ollydbg.de/
misma. [6] Michael Sikorski y Andrew Honig. Practical Malware Analysis:
The Hands-On Guide to Dissecting Malicious Software. Edicin
A su vez, si se hubieran introducido operaciones adicionales 2012, editorial No Starch Press.
para dificultar la comprensin del programa, s que habra un [7] Eldad Eilam. Reversing: Secrets of Reverse Engineering.
coste de ejecucin aadido, ya que el programa tendra ms Edicin 2015, editorial John Wiley & Sons.
instrucciones. [8] Dennis Yurichev. Reverse Engineering for Begginers. Edicin
2015, licencia Creative Commons.
[9] Alberto Garca Moro. Trabajo Fin de Grado Anlisis de tcnicas
VI. CONCLUSIONES de ingeniera inversa del software, Universidad Politcnica de
El uso de claves en los programas para permitir su uso es Madrid, 2015.
una prctica extendida. Los desarrolladores ponen una clave
que los usuarios tienen que adquirir por algn tipo de proceso
comercial que hace que se puedan sufragar los gastos que
conlleva el desarrollo del software. Por otro lado, tambin hay
muchas otras tcnicas para proteger los programas, como el
cifrado y descifrado del cdigo.
En este documento se han visto una serie de tcnicas y
herramientas que se pueden usar para salvar la clave de los
programas y tener acceso a su uso, a la vez que otra serie de
formas de desprotegerlos. La herramienta ms til en este
aspecto es, sin duda, el depurador. Un depurador permite
analizar y estudiar un programa en ejecucin, sin tener que leer
todo el cdigo que se puede obtener, por ejemplo, en un
desensamblador.
Adems, permite parar la ejecucin del programa y estudiar
los momentos ms importantes del programa, como la
insercin de la clave, de una manera sencilla. De esta forma, la
obtencin de la clave o del algoritmo generador de claves es
posible. Su obtencin depender de las operaciones y
comparaciones que se lleven a cabo con la clave introducida, lo
que puede complicar su consecucin, o si la clave est en claro
dentro del cdigo, lo que facilita su obtencin.
104
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
ResumenSe presenta un trabajo en curso para el desarrollo analoga de un modo adaptativo. Ante una aplicacion a analizar
de un prototipo de marco generico para el analisis y deteccion de se decide, en base a las experiencias previas, cual es el analisis
aplicaciones maliciosas (malware) sobre la plataforma Android. mas convenientes para ser aplicado sobre ella. Una vez incor-
La aproximacion seguida emplea un esquema de razonamiento
basado en casos (CBR, Case Based Reasoning) adaptativo, que porada esta nueva informacion, se repite el proceso para tomar
enriquece la representacion de las muestras analizadas mediante una nueva decision sobre la muestra, bien para identificarla
el uso de modo iterativo de diversos extractores de caractersti- como maligna, benigna o indeterminada, o bien para decidir
cas. El esquema CBR implementado hace uso de herramientas aplicar un nuevo analisis que anada informacion adicional
habituales en el campo de la Recuperacion de Informacion para que enriquezca la representacion de la muestra analizada.
hacer posible el soporte de grandes colecciones de muestras.
La intuicion detras de este esquema es que sera el propio
sistema quien, en base a su experiencia anterior, decida como
I. I NTRODUCCI ON ir analizando las muestras estudiadas y que nueva informacion
El analisis y deteccion de software malicioso (malware) es debe incorporar a la representacion de la misma para facilitar
un area de investigacion muy activa, especialmente en el caso su categorizacion final. Esta intuicion se corresponde tambien
de la plataforma Android, donde, debido a la abundancia de con la idea de que es conveniente afrontar la tarea de deteccion
dispositivos y aplicaciones disponibles, existe un gran numero de malware desde distintas dimensiones, manejando diferentes
de aproximaciones y tecnicas descritas en la bibliografa. fuentes de informacion y evidencias.
De un modo general se diferencian dos grandes aproxi- En la seccion II esbozamos los fundamentos del metodo
maciones a la hora de enfrentar el problema del analisis de de deteccion de malware desarrollado, para, a continuacion
malware [5]. En primer lugar estan las tecnicas basadas en el presentar en la seccion III la arquitectura general y los
analisis estatico de determinadas caractersticas de la propia componentes que conforman nuestra propuesta. Por ultimo,
aplicacion bajo estudio, bien en forma de codigo ejecutable o en la seccion IV detallamos los experimentos de validacion y
de su codigo fuente original. En el otro gran grupo estan las evaluacion de la herramienta y las lneas de trabajo futuras.
tecnicas de analisis dinamico, o basado en el comportamiento,
que extraen informacion mediante la monitorizacion de la II. F UNDAMENTOS DE S ISTEMA DE A N ALISIS
aplicacion y su contexto, durante su ejecucion en un entorno D ESARROLLADO
controlado. Por otra parte, en cuanto a la deteccion de malware Los fundamentos de nuestro prototipo de analizador de
propiamente dicha, tambien hay dos grandes familias de malware se asientan sobre dos campos de investigacion bien
metodos. Los metodos basados en firmas emplean una base de conocidos y estudiados: el Razonamiento Basado en Casos y
datos con muestras especficas de malware conocido a modo los sistemas de Recuperacion de Informacion.
de firmas identificativa. Los metodos heursticos o basados
en anomalas, emplean un modelo, normalmente construido
mediante tecnicas estadstica y/o de aprendizaje automatico, II-A. Razonamiento basado en casos
capaz de definir y diferenciar el comportamiento benigno y El Razonamiento Basado en Casos (Case Based Reasoning,
aislarlo del malicioso. CBR) es un paradigma para la construccion de sistemas
La propuesta de marco de analisis y deteccion de malware inteligentes basados en el conocimiento. Emplea la analoga
en la que estamos trabajando puede englobarse en este segundo como principio basico para dar soporte al razonamiento y al
tipo, aunque presenta ciertas caractersticas que la aproximan aprendizaje o incorporacion de nuevo conocimiento. De un
a los metodos basados en firmas. Nuestro sistema emplea un modo general, los sistemas CBR manejan el concepto de Caso,
esquema de razonamiento y aprendizaje basado en la analoga, una representacion del problema que se pretende resolver, que
denominado Razonamiento Basado en Casos [6]. Sobre esta incluye una representacion de la solucion correcta a dicho
base conformamos un marco donde se pueden integrar de problema. Normalmente se trata de la solucion propuesta por
forma conveniente diversas tecnicas de analisis, tanto estaticas el sistema, junto con una indicacion de si esta se considero
como dinamicas, que usa este esquema de razonamiento por exitosa o no por parte de un supervisor externo. El nucleo
105
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
de los sistemas CBR es la Base de Casos, una coleccion de como un vector numerico. Los valores de este vector se
Casos etiquetados, normalmente estructurada e indexada, que corresponden con el peso 1 o importancia que para dicho
aglutina todo el conocimiento que el sistema posee sobre un documento tiene cada uno de los terminos de indexacion que
dominio de aplicacion concreto. lo componen. En el caso de documentos textuales los terminos
Sobre esa Base de Casos, la operacion de los sistemas CBR de indexacion son los tokens o palabras que lo constituyen. En
para procesar un nuevo Caso a Resolver se organiza en cuatro nuestro caso estos terminos seran las caractersticas extradas
etapas: por los analizadores aplicados sobre la aplicacion Android
Recuperar. Donde se consulta la Base de Casos para vinculada a cada Caso.
obtener la lista de Casos Similares mas parecidos al Caso En tiempo de consulta, a cada termino de indexacion
que se presente resolver, de acuerdo a una metrica de presente en la consulta original se le asigna un peso y se
similaridad entre casos especfica de cada dominio. recuperan los documentos cuyos vectores sean mas similares
Reutilizar. Donde se explota la informacion presente en al vector consulta. En nuestro sistema las consultas sobre el
los Casos Similares (previamente resueltos) para propo- ndice Lucene se emplean durante la fase Recuperar para
ner una solucion para el Caso a Resolver. Habitualmente identificar los Casos mas proximos a uno dado. Para construir
esta solucion combinara la experiencia codificada en las la consulta a lanzar sobre Lucene se utilizan como terminos
soluciones dadas a los Casos Similares. En los esquemas de busqueda el conjunto de caractersticas descriptivas de
mas simples se trata de una simple votacion, de modo dicho Caso, unidos por un operador OR global. En esencia,
similar al funcionamiento de los metodos de aprendizaje lo que hacemos es utilizar el ndice Lucene para realizar
basados en proximidad (k nearest neighbours), pero es una busqueda por contenido que devolvera un ranking de los
posible emplear modelos mas complejos y potentes. documentos/casos mas parecidos al usado como muestra. A
Revisar. Se evalua la bondad de la solucion propuesta la hora de consultar el ndice para recuperar la lista de Casos
para el Caso a Resolver, normalmente con la intervencion Similares, los distintos tipos de caractersticas extradas del
de informacion experta externa, bien un usuario real u Caso actual por los respectivos analizadores, se ponderan de
otro tipo de supervision precodificada. Tambien se anota forma distinta, atendiendo al grado de credibilidad vinculado
si la solucion propuesta fue adecuada o no, corrigiendola al analizador que las genero. De nuevo, este parametro es
si es necesario. dinamico y se ajusta en cada iteracion en funcion de los pesos
Retener. Una vez completado el ciclo de un Caso a que ese analizador tuviera asignados en el conjunto de Casos
Resolver, se decide si es relevante incorporarlo a la Base Similares recuperados en la iteracion anterior. Dichos casos
de Casos para que la experiencia encapsulada en este caso fueron los responsables de la decision de incorporar ese tipo de
concreto pueda tomar parte en la resolucion de futuros analisis en la representacion del Caso utilizada en la iteracion
Casos similares. actual.
En nuestra propuesta, empleamos un ciclo CBR ligeramente
distinto. Las muestras de aplicaciones Android analizadas III. A RQUITECTURA DEL A NALIZADOR DE M ALWARE
pasan a traves de este ciclo de forma iterativa. En cada pasada Haciendo uso del esquema esbozado en la seccion anterior,
se decide que nueva informacion es conveniente incorporar al la arquitectura de nuestro prototipo de analizador de malware
Caso que representa a la aplicacion Android analizada, con para Android se estructura en tres grandes componentes:
la finalidad de mejorar su posterior categorizacion. De hecho, Motor de analisis basado en CBR. Es el elemento
desde el punto de vista de las tecnicas de aprendizaje au- responsable de coordinar el ciclo CBR iterativo que
tomatico, este comportamiento puede verse como una especie gobierna el proceso de analisis de las aplicaciones An-
de seleccion de caractersticas (feature selection) previa a la droid. Consulta el repositorio de muestras analizadas para
clasificacion final de la aplicacion analizada. extraer los Casos Similares y, en funcion de ellos, decidir
si detener el ciclo CBR actual y proponer una categori-
II-B. Recuperacion de informacion zacion o seleccionar un nuevo analizador a aplicar sobre
la muestra considerada con la finalidad de enriquecer
En nuestro sistema hacemos uso de tecnicas y herramientas
su descripcion. En caso de decidir aplicar un nuevo
tomadas del campo de la Recuperacion de Informacion (RI),
analizador, las caractersticas obtenidas se utilizan en la
en concreto el Modelo Vectorial [7] de RI, para manejar de
siguiente iteracion del ciclo CBR.
forma eficiente la Base de Casos de nuestro sistema CBR. En
Repositorio de muestras analizadas. Se corresponde
concreto, utilizamos un motor de indexacion de codigo abierto,
con la Base de Casos y consiste esencialmente en un
Apache Lucene [2], para dar soporte a la fase de Recuperacion
ndice Lucene que almacena las representaciones de las
del ciclo CBR. Con ello pretendemos que sea posible trabajar
aplicaciones analizadas. Tambien incluye al conjunto de
con grandes colecciones de muestras de aplicaciones Android,
archivos binarios originales y a los metadatos vinculados
previamente analizadas segun el ciclo CBR iterativo descrito,
anotadas y, finalmente, indexadas. 1 En RI existen diferentes esquemas de asignacion de pesos, siendo unos de
En el Modelo Vectorial de RI, cada documento, que en los mas utilizados los esquemas TF - IDF y BM 25. En ambos se combinan dos
nuestro sistema se corresponden con un Caso, que a su vez aspectos: la importancia del termino en el documento concreto (cuantificado
a partir de su frecuencia de aparicion en ese documento) y una media de
almacenan el conjunto de representaciones extradas de una la exclusividad o especificidad de dicho termino, que tiene en cuenta el
muestra de una aplicacion Android bajo estudio, se representa numero de documentos en los este aparece.
106
JNIC2015 Sexta sesion: Vulnerabilidades, malware y exploits 2
a cada aplicacion Android, almacenados en documentos para Android desarrollado. El trabajo realizado hasta el mo-
JSON. mento ha sido fundamentalmente de desarrollo y validacion
En el ndice Lucene cada documento se corresponde de la herramienta, no habiendose realizado aun pruebas de
con una aplicacion Android y posee tantos campos 2 rendimiento exhaustivas sobre colecciones de aplicaciones
como analizadores hayan sido empleados para generar Android de referencia. Tampoco se ha realizado un ajuste
su representacion actual. de parametros (numero maximo de casos similares a consi-
Coleccion de analizadores. Se trata de un conjunto de derar, esquema de ponderacion a utilizar en Lucene [tf-idf vs.
analizadores que reciben una muestra de una aplicacion BM25], analizadores semilla con los que inicializar el ciclo
Android y generan, o bien una representacion susceptible CBR, etc), ni su comparacion con otras propuestas en el campo
de ser incorporada en el ndice Lucene (es decir, un del analisis de malware en Android.
conjunto de terminos de indexacion) y que sera utilizada En el proceso de validacion ha hecho uso de la coleccion
en las consultas de similaridad (analizadores extractores de muestras de malware Android recopiladas por el equipo del
de caractersticas), o bien una indicacion del grado de Android Malware Genome Project) [8], junto con un conjunto
peligrosidad de la muestra analizada (analizadores eva- de alrededor de 180 muestras de aplicaciones legtimas recopi-
luadores), o bien ambas cosas (analizadores mixtos). ladas por los autores. Las pruebas se han centrado en compro-
En la version actual del prototipo casi todos los anali- bar el efecto de los distintos analizadores en la categorizacion
zadores son de tipo estatico, aunque la plataforma esta de las muestras, pero no son suficientemente exhaustivas, ni
abierta a incorporar herramientas de analisis dinamico.
La mayor parte de estos analizadores hacen uso de la li- comparables con los resultados de otros sistemas, dado que el
brera de ingeniera inversa para Android Androguard [1]. conjunto de datos no es totalmente estandar.
n-gramas de codigos de operacion. Extrae la lista de El trabajo futuro inmediato es realizar el estudio y ajuste
bigramas y trigramas a partir de las secuencias de codigos de los parametros del sistema y evaluar su rendimiento en
de operacion extradas de los bytecodes de la muestra comparacion con los sistemas que conforman el estado del
analizada. Dado que estos n-gramas seran posteriormente arte actual en la investigacion sobre deteccion de malware en
indexados, el esquema resultante es hasta cierto punto
similar al descrito en [4], aunque de un modo mucho mas Android. A medio plazo, se pretende incorporar analizadores
simple y limitado. que empleen aproximaciones dinamicas, con la intencion de
permisos solicitados. Es un analizador mixto que extrae emplearlos en los casos donde los analisis estaticos actuales
la lista de permisos solicitados en el manifiesto de la no sean capaces de concluir una categorizacion definitiva con
aplicacion Android. Adicionalmente, tambien valora la suficiente credibilidad.
peligrosidad de los mismos en base a una tabla de riesgo
estatica.
permisos utilizados. Es otro analizador mixto similar R EFERENCIAS
al anterior, que se alimenta de los permisos vinculados a [1] Androguard, Reverse engineering, Malware and goodware analysis of
las llamadas al API de Android que se realizan desde el Android applications, en lnea, https://github.com/androguard/androguard,
codigo de la aplicacion. (ultimo acceso 9/7/2015)
cadenas de texto. Extrae las cadenas de texto (mensajes, [2] Apache Lucene, en lnea, https://lucene.apache.org/, (ultimo acceso
errores, etc) presentes en el codigo de la muestra. 9/7/2015)
llamadas al API. Extrae los nombres de las clases y [3] Virus Total, en lnea, https://www.virustotal.com/, (ultimo acceso
metodos del API de Android invocados desde la aplicacion 9/7/2015)
analizada. [4] I. Santos, X. Ugarte-Pedrero, F. Brezo, P. G. Bringas, NOA: An in-
nombres de clases. Extrae los nombres completos de las formation retrieval based malware detection system, Computing and
Informatics, vol. 32, pp. 1001-1030, 2013
clases que conforman la aplicacion analizada. [5] M. Egele, T. Scholte, E. Kirda, and C. Kruegel, A survey on automated
Adicionalmente, se incluye a modo de muestra un anali- dynamic malware-analysis techniques and tools, ACM Computing Sur-
veys, vol. 44, no. 2, pp. 6:16:42, 2012.
zador mixto que hace uso de la API publica del servicio [6] A. Aamodt, E. Plaza. Case-Based Reasoning: Foundational Issues, Met-
VirtusTotal [3]. Este analizador cuantifica el nivel de hodological Variations, and System Approaches, Artificial Intelligence
peligrosidad de la muestra a partir de los resultados Communications vol. 7, no. 1, 39-52, 1994.
[7] G. Salton , A. Wong , C. S. Yang,A vector space model for automatic
devueltos por esta API y caracteriza la muestra de cara indexing, Communications of the ACM, v.18 n.11, pp. 613-620, 1975
a su indexacion tomando nota los antivirus que declaran [8] Y. Zhou, X. Jiang, Dissecting Android Malware: Characterization and
a la muestra como malware y el tipo de malware que Evolution, Proc. of the 33rd IEEE Symposium on Security and Privacy.
San Francisco, CA, 2012
le vinculan. Idealmente, este analizador sera el ultimo
recurso en caso de que el ciclo CBR iterativo no llegara a
alcanzar un decision concluyente, dado que la invocacion
remota de la API de VirusTotal lo hace muy costoso.
107
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
1
Abstract Middleboxes play an important role in the ing solution approach. We exemplify next the efficiency of
modern Internet ecosystem. They perform advanced func- our methodology in the case of evaluating the feasibility
tions, but they can turn net into a hostile ecosystem for
innovation. It is therefore essential, when designing a new of pervasive encryption in the modern Internet ecosystem.
protocol, to first understand its interaction with the ele- In other words, we need to establish at this point
ments of the path. We show how to make informed proto- whether using encryption in traditionally unsecured ports
col design choices by using a crowdsourcing platform. We
consider a specific use case, namely the case of pervasive
is even possible in todays Internet. In this paper, we at-
encryption in the modern Internet. We perform large- tempt to initiate TLS connections in 68 different ports
scale TLS measurements to advance our understanding on that normally do not use any form of encryption and ana-
whether wide adoption of encryption is possible in todays lyze the success of the connection. This is a first necessary
Internet.
step towards a full comprehension of the behavior of mid-
dleboxes relative to pervasive encryption.
I. Introduction
The indisputable success of the Internet and, conse- II. Methodology
quently, the increasing demand from end-users for more In this section, we describe the measurements method-
secure and faster access to the online services drives the ology we employ to assess the potential success of deploy-
need for continuous innovation. Modern networks of- ing secure protocols in the Internet using crowdsourcing.
ten rely on dedicated hardware components generically We try to establish TLS connections from a large num-
dubbed middleboxes to perform advanced processing func- ber of vantage points (from now on, measurement agents
tions like, for example, enhancing application perfor- (MAs)) to a large number of ports, which traditionally do
mance, traffic shaping, optimizing the usage of IPv4 ad- not use TLS in a target server (from now on, measurement
dress space or security. server (MS)), using crowdsourcing based measurements.
One major criticism of middleboxes is that they might Crowdsourcing platforms connect employers and workers
filter traffic that does not conform to expected behaviors, from around the world. The employer is the one who cre-
thus ossifying the Internet and rendering it as a hostile ates the task (or the micro-job) for workers and specifies
environment for innovation [3]. the parameters of its campaign, e.g., the size of the set of
This does not mean that it is impossible to deploy new users performing the task or their geographical location
protocols, but that in order to ensure success it is imper- at country level.
ative to first understand the interaction of the proposed We argue that this approach can become an important
solutions with the middleboxes active along the path. Re- tool for evaluating innovation solutions, primarily due to
cent studies [5],[4] on middleboxes behavior attempt to the large number of accessible and diverse measurement
provide such information. However, the existing measure- vantage points. Additionally, we can benefit from the free-
ments use only a very small number of vantage points, dom of deploying our own custom-designed measurement
e.g., in [5] only 142 measurement points are used. tests.
Until recently, large-scale Internet measurement infras- We recruit users through the Microworkers crowdsourc-
tructures necessary to perform this type of analysis were ing platform to complete measurements on the feasibility
available only to large Internet players, such as Google, of pervasive encryption in the current Internet ecosystem.
Akamai and large ISPs. Consequently, the lack of public To capture how effective would pervasive encryption ac-
access to such resources makes it hard to repeat or verify tually be if deployed in todays Internet, we collect and
their results. analyze the results from more than 2,000 MAs that try
The emerging sea of crowdsourcing (such as the Amazon to establish TLS connections in a large number of ports
Mechanical Turk, Microworkers and others) can provide which normally do not use TLS.
an accessible alternative to perform large scale Internet The MAs attempt to establish both HTTP and TLS
measurements. By expanding the traditional crowdsourc- connections to 68 different ports, namely 10 well-known
ing focus from the human element to use a diverse and ports, 56 registered ports and 2 ephemeral ports. We use
numerous group of end-user devices as measurement van- the success rate of the HTTP connections as the bench-
tage points [2] we can leverage on crowdsourcing platforms mark against which we compare the number of TLS suc-
to run Internet wide measurements. cessful connections. We establish then the success rate of
In this paper, we show how to make informed protocol the TLS connection by contrasting the result against the
design choices by using a novel methodology for perform- status of an unencrypted HTTP connection established in
ing large scale Internet measurements, using a crowdsourc- the same port. We also store and analyze in detail the
108
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
2
Aggregated 16,5 5,8 We observe that in the case of proxies, 90% of the SYN
Fixed 9 6,95
Mobile 25 4,54 packets are missing. While this may seem non causal at
Proxy
Non-proxy
70
10
4,23
6,8 first (as the SYN packet is forwarded before the middle
box actually knows whether this is a regular HTTP con-
nection or a TLS connection), proxies usually wait until
TABLE 2: Packets analysis they receive the GET from the client to establish the con-
table nection to the server in order to apply their policies. This
Fixed Line Mobile
Analysis
All
SYN(%) NO SYN(%)
96,8 3,2
SYN(%) NO SYN(%)
36 64
explains why in the case of TLS, we miss a high number
Port 80 88,3 11,7 27,7 72,3 of SYN packets.
Proxy 22,2 77,8
Non-proxy 12,7 87,3 We also try to understand if the filtering of TLS is con-
Proxy (80) 9,6 90,4
Non-proxy (80) 36,4 63,6 sistent across the different ports for a given MA. In other
words, if the TLS connection fails in a given port, how
likely is that it will fail in other ports. In order to quan-
server side packet exchanges. tify this, we estimate the conditional probability of failure
The procedure is as follows. First, we start by asking in a given port X given that the TLS connection in port
the user to connect using a HTTP connection in port 80 80 has failed. We choose the port 80 as it is in general
to a webpage we provide. Meanwhile, in the background, a port with high failure rate. We estimate the aforemen-
HTTP and HTTPS connections are performed from the tioned conditional probability for the case of fixed line and
measurement devices to our servers in all the other 67 for the case of mobile network without proxies. We can
ports. In this case, data about the performance are col- see that the estimated conditional probability is around
lected in the MS. 90% in both cases (slightly higher in the fixed line case),
Second, the webpage we provide contains a short form implying that when the TLS connection fails in port 80,
asking for additional input about the type of Internet ac- it is very likely that it will fail in the other ports.
cess they are using. Finally, on the server side, we also
collect and store metadata on each of the MAs that con- IV. Conclusion
nect to our servers, such as the IP address, the user agent In this paper we describe an experimental model for us-
type, the language, and any other information included in ing crowdsourcing platforms to perform large-scale Inter-
the HTTP header. net measurements. Our research efforts expand the tradi-
III. Results tional crowdsourcing focus from the human element to use
a diverse and numerous group of end-user devices as mea-
In the campaigns for fixed lines, we recruit 1,165 work- surement vantage points. We demonstrate the described
ers from 53 different countries. The MAs are hosted in approach while assessing the feasibility of deploying en-
286 ASes overall. cryption by default in the Internet. We focus our crowd-
For the mobile case study, we recruit 956 workers, from sourcing campaigns on building a representative dataset to
45 different countries and 183 ASes. show the potential success of widespread adoption of TLS
Considering that each MA performs 68 connections to encryption for existing protocols in their native ports.
our MS, we build a complex dataset for a total of 114,228 We find that in average the failure rate of TLS over
connections 1 . different ports is near the 6%. We also find that in the case
Table 1 refers to the results obtained from aggregated of mobile networks where proxies are used, the failure rate
results, for both fixed line and mobile network (label Ag- can be as high as 70%. We conclude that it is probably
gregated ), the results from users that use a fixed line and feasible to roll out TLS protection for most ports except
from users connected to a cellular network (labels Fixed, for port 80, assuming a low failure rate (6%).
Mobile). We also compare the rate of successful TLS con- We believe that our results can serve as a lower bound
nections for users we detect using a proxy and for users for the failure rate for using protocols other than expected
that do not (labels Proxy, Non-proxy) in mobile network in different ports.
scenario. To better understand how proxies or other mid-
dleboxes behavior impacts the performance of the TLS References
protocol in unconventional ports, we focus on the packet [1] A. Bittau et al. The case for ubiquitous transport-level encryp-
analysis, splitting the analysis for fixed line, mobile and tion. In USENIX, 2010.
[2] A. Doan et al. Crowdsourcing systems on the world-wide web.
for users that use or not a proxy. ACM, 2011.
Table 2 refers to the percentage of SYN we receive when [3] M. Handley. Why the internet only just works. BT Technology
Journal, 2006.
users try to establish a TLS connection to our MS from [4] B. Hesmans et al. Are TCP extensions middlebox-proof? In
fixed line use case and from mobile network, considering Workshop on Hot topics in middleboxes and network function
all port and particularizing the analysis for port 80 (labels virtualization. ACM, 2013.
[5] M. Honda et al. Is it still possible to extend TCP? In ACM
1 The IMC, 2011.
data set is freely available on
http://it.uc3m.es/amandala/dataset.php
109
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
1
ResumenEn esta contribucion se introducen las tecnicas to, su utilizacion no permite garantizar el cumplimiento
de cifrado con preservacion del formato, las cuales tienen de un requisito que, aunque parezca secundario, en de-
una importancia fundamental en el cifrado de bases de da-
tos en las que, por motivos de compatibilidad, no se desea terminados entornos es fundamental: la preservacion del
realizar modificaciones en el formato de los tipos de datos. formato de los datos.
De manera adicional, se presentan los detalles de implemen- En el mundo empresarial y de las administraciones
tacion de uno de los algoritmos mas conocidos sobre este
tema, aportando un ejemplo completo de cifrado y descifra- publicas existen circunstancias en las que, ademas de ser
do que permitira comprobar sus propias implementaciones necesario cifrar los datos, estos deben mantener el mismo
al lector interesado. formato que los datos originales. Ello se debe principal-
mente a la necesidad de asegurar la compatibilidad con
I. Introduccion las bases de datos y aplicaciones ya existentes, y que fue-
ron disenadas para gestionar ciertos tipos de datos con
El uso de las Tecnologas de la Informacion y de la Co- formatos predefinidos.
municacion (TIC) se ha generalizado en el da a da de em- Obviamente, sera posible modificar dichas bases de da-
presas y usuarios de internet. Esta situacion, aunque por tos y aplicaciones para que manejaran los datos cifrados
un lado facilita el intercambio de grandes volumenes de in- mediante, por ejemplo, el algoritmo AES, pero el coste
formacion, conlleva al mismo tiempo importantes riesgos economico y los plazos de modificacion para realizar tales
y amenazas [1]. cambios aconsejan la busqueda de soluciones alternativas.
Uno de los pilares basicos de cualquier estrategia de ci- Y precisamente la mejor alternativa en esas situacion lo
berseguridad lo constituyen las tecnicas de cifrado, que tie- constituye lo que en ingles se conoce como Format Pre-
nen como objetivo principal asegurar la confidencialidad serving Encryption (FPE), o cifrado con preservacion del
de la informacion, de manera que un atacante no pueda formato.
acceder a los datos originales. Utilizando las tecnicas de FPE es posible, por ejemplo,
Dentro de esas tecnicas, se encuentran las de clave cifrar numeros de tarjetas de credito de manera que el
simetrica, donde los dos extremos de la comunicacion utili- dato cifrado tambien sea un numero de tarjeta de credito,
zan la misma clave (mencionada habitualmente como clave o cifrar identificadores de DNIe de forma que el resultado
secreta), y las de clave asimetrica, que utilizan durante su sea un DNIe distinto. Esto permite almacenar los datos
ejecucion un par de claves (a las que se suele denominar cifrados en bases de datos sin modificar su formato de
clave publica y privada) [2]. En ambos casos, el resultado manera que, aunque su contenido sea hecho publico, los
de cifrar cualquier tipo de informacion es una secuencia datos verdaderos no sean conocidos.
binaria aparentemente aleatoria y cuya longitud depen- El presente trabajo tiene como primer objetivo realizar
dera del algoritmo utilizado. una introduccion a las tecnicas de cifrado con preserva-
Los algoritmos de clave simetrica tienen como venta- cion del formato, la cual esta recogida en la Seccion II.
ja sobre los de clave asimetrica su mejor rendimiento y La Seccion III describe los procesos de estandarizacion en
menor longitud de clave, debido principalmente a que las este campo, mientras que la Seccion IV proporciona los
operaciones matematicas empleadas en ese caso son mas detalles de implementacion de uno de los algoritmos pro-
sencillas que las equivalentes utilizadas en los algoritmos puestos para su estandarizacion. Por su parte, la Seccion
de clave asimetrica. En cuanto a los principales algoritmos V incluye un ejemplo completo de cifrado y descifrado
y funciones de clave simetrica, los mas conocidos son DES utilizando una implementacion Java del algoritmo ante-
y su sucesor AES [3]. riormente mencionado. Finalmente, la Seccion VI contiene
La especificacion de AES describe como cifrar bloques nuestras conclusiones junto con la identificacion de algu-
de 128 bits empleando claves de 128, 192 o 256 bits, obte- nos potenciales problemas cuya solucion, al igual que la
niendo como resultado un bloque cifrado de 128 bits [4]. implementacion del algoritmo en dispositivos con recursos
Aunque empleando AES con cualquiera de los modos de limitados, constituye un reto para los investigadores en el
operacion recomendados [5] es posible cifrar cualquier da- campo de la ciberseguridad.
110
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
2
II. Cifrado con preservacion del formato dada la siguiente secuencia (representada en la Fig. 1), el
resultado de cifrar el numero 2 sera el valor 9.
Los orgenes de las tecnicas FPE pueden situarse en
1981, cuando se publico la norma FIPS 74 [6] que con- c1 = EK (2) = 6 + 7 = 13 13 mod 17
tena un procedimiento basado en DES que permita que
el alfabeto de los mensajes en claro y los mensajes ci- c2 = EK (13) = 39 + 7 = 46 12 mod 17
frados fuera el mismo. Posteriormente, en 1997, Smith y c3 = EK (12) = 36 + 7 = 43 9 mod 17
Brightwell [7] ahondaron en la misma idea, refiriendose a
este concepto como datatype-preserving encryption debi-
do a su utilizacion para preservar los tipos en las bases de
datos.
A pesar de la novedad que representaron esos documen-
tos, en los dos casos mencionados el tratamiento no era
lo suficientemente profundo, por lo que suele considerar-
se que la primera contribucion consistente en este campo
fue la de Black y Rogaway [8], quienes se centraron en
como cifrar un entero del rango {0, N 1} de manera que
Fig. 1: Ejemplo de cifrados sucesivos
el mensaje cifrado representara otro numero del mismo
(fuente: www.di-mgt.com.au).
rango.
Para resolver este problema, Black y Rogaway propu-
sieron tres soluciones. El primer metodo, descrito por los El tercer metodo, denominado generalized-Feistel cip-
autores como prefix cipher, consista en realizar una per- her por los autores, permita una mayor flexibilidad en
mutacion de los numeros enteros del rango entre 0 y N 1. el proceso de cifrado mediante el empleo de un esquema
Para ello, sugeran utilizar una funcion de cifrado simetri- Feistel. En este metodo, el numero a cifrar (presumible-
co con una clave secreta aleatoria, de manera que se pro- mente de muchas cifras) se descompona en dos numeros
cesaran todos los numeros del rango y se ordenaran los de aproximadamente el mismo tamano, procediendose a
resultados (es decir, los mensajes cifrados) por orden al- continuacion a realizar varias rondas hasta obtener un va-
fabetico. lor final. En cada ronda (ver Fig. 2) se utilizara una clave
Por ejemplo, dados los numeros del 0 al 9, empleando Ki derivada de un elemento que podra ser hecho publico,
por sencillez en la explicacion la funcion resumen SHA- 1 y que habitualmente se denomina tweek. En caso de que
en lugar de una funcion de cifrado simetrico con una clave el elemento cifrado estuviera fuera del rango permitido,
aleatoria, la ordenacion alfabetica de los resumenes gene- se podra utilizar este metodo junto con el anteriormente
rara la secuencia 9, 4, 1, 3, 7, 5, 0, 6, 2 y 8, tal como expuesto.
puede comprobarse con los resumenes mostrados a conti-
nuacion, donde el prefijo 0x indica que la cadena situada
a continuacion esta representada en formato hexadecimal.
0:0xB6589FC6AB0DC82CF12099D1C2D40AB994E8410C
1:0x356A192B7913B04C54574D18C28D46E6395428AB
2:0xDA4B9237BACCCDF19C0760CAB7AEC4A8359010B0
3:0x77DE68DAECD823BABBB58EDB1C8E14D7106E83BB
4:0x1B6453892473A467D07372D45EB05ABC2031647A
5:0xAC3478D69A3C81FA62E60F5C3696165A4E5E6AC4
6:0xC1DFD96EEA8CC2B62785275BCA38AC261256E278 Fig. 2: Esquema de una ronda Feistel
7:0x902BA3CDA1883801594B6E1B452790CC53948FDA (fuente: Wikimedia Commons).
8:0xFE5DBBCEA5CE7E2988B8C69BCFDFDE8904AABC1F
9:0x0ADE7C2CF97F75D009975F4D720D1FA6C19F4897 Aunque las tres propuestas estaban bien argumentadas,
y su seguridad fue objeto de estudio en [8], no estaban
Con ello, al realizar una operacion de cifrado el numero exentas de limitaciones.
0 se transformara en el 6, el 1 en el 2, y as sucesivamente. Debido a la necesidad de generar (y almacenar de forma
El segundo metodo, denominado por los autores cycle- segura) la ordenacion de los elementos, el primer metodo
walking cipher, consista en utilizar una funcion de cifrado solo estaba indicado para rangos de valores pequenos. Por
simetrico cuyo dominio fuera mayor que el conjunto de ele- su parte, el segundo metodo presenta como inconvenien-
mentos a cifrar, realizando tantas operaciones de cifrado te el hecho de que, si la diferencia entre el dominio de
como fuera necesario hasta obtener un mensaje cifrado la funcion de cifrado y el cardinal del conjunto a cifrar es
que perteneciera al conjunto de numeros validos. grande, cada proceso de cifrado necesitara un valor poten-
Por ejemplo, dados de nuevo los numeros del 0 al 9, si cialmente elevado de operaciones de cifrado simetrico, por
tuvieramos una funcion de cifrado del tipo (ax + b) mod n lo que su uso estaba recomendado para valores cuya lon-
y seleccionaramos los valores a = 3, b = 7 y n = 17, gitud en bits no difiriera mucho del tamano de bloque de
111
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
3
112
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
4
En cuanto al proceso de descifrado, que basicamente Los datos iniciales, calculados antes de ejecutar las 10
consiste en repetir los mismos pasos pero en orden in- rondas, son A = 12345678, B = 90123456, n = 16, u = 8,
verso, dada una cadena de caracteres X de longitud n v = 8, b = 4, d = 8, P = 0x01020100000A0A0800000010
representada en la base radix, una cadena de bytes T de 0000000A y T = 0x39383736353433323130. A continua-
longitud t y una clave de cifrado K, esta compuesto por cion, las Tablas 2 a la 11 muestran los datos intermedios
los siguientes pasos: obtenidos en cada ronda, donde el elemento m toma siem-
pre el valor 8.
1. Calcular los valores u = n/2 y v = n u.
2. Obtener los elementos A = X[1 . . . u] y B = X[u + Q 0x393837363534333231300000055F2CC0
1 . . . n]. R 0xA63A9DBAAAB229E8CC093726AF2CFAB8
3. Calcular los valores b = v log2 (radix )/8 y d = S 0xA63A9DBAAAB229E8
4b/4 + 4. y 11978059583998536168
4. Generar el elemento P = [1]1 ||[2]1 ||[1]1 ||[radix ]3 ||[10]1 ||
c 10881846
[u mod 256]1 ||[n]4 ||[t]4 .
A 90123456
5. Comenzando con i = 9, repetir los siguientes pasos
B 10881846
mientras i > 0, decrementando en cada iteracion el valor
de i en una unidad: Tabla 2: Ronda 0 del proceso de cifrado.
a) Generar el elemento Q = T ||[0]tb1 mod 16 ||[i]1 ||
[numradix (A)]b .
b) Obtener el elemento R = PRF(P ||Q). Q 0x39383736353433323130000100A60B36
c) Identificar el elemento S como los primeros d bytes R 0xB145E2726676AC58DF76B53984E55C29
de la cadena R||AESK (R [1]16 )||AESK (R [2]16 )|| . . . || S 0xB145E2726676AC58
AESK (R [d/16 1]16 ). y 12773864899079482456
d ) Calcular el valor y = num2 (S). c 69605912
e) Realizar la asignacion m = u si el valor de i es par, A 10881846
en caso contrario hacer m = v. B 69605912
f ) Calcular el valor c = (numradix (B) + y) mod radix m .
g) Generar el elemento C = STRm Tabla 3: Ronda 1 del proceso de cifrado.
radix (c).
h) Realizar las asignaciones B = A y A = C, en ese
orden.
6. Devolver A||B. Q 0x39383736353433323130000204261A18
R 0x44A46670E32AB291F7BBBF5CAB2C2864
Es importante senalar que, tal como esta descrita la S 0x44A46670E32AB291
operativa de descifrado en [12], esta contiene varios errores y 4946190925793243793
de transcripcion (mas concretamente, en los pasos 5-(a), c 4125639
5-(f) y 5-(h)). A 69605912
La implementacion del algoritmo FFX[Radix] se ha B 04125639
realizado utilizando el lenguaje de programacion Java
Tabla 4: Ronda 2 del proceso de cifrado.
Standard Edition 8. Para ello, se ha empleado la clase
BigInteger [19], que permite operar con numero enteros
de cualquier longitud, superando de esta manera las limi-
Q 0x393837363534333231300003003EF3C7
taciones de los tipos primitivos int y long [20].
R 0xF2987448C3DE1143C7391C098CA2408E
V. Ejemplo S 0xF2987448C3DE1143
y 17480849809511158083
Con el fin de demostrar la aplicabilidad de esta tecnica c 80763995
al campo del comercio electronico, y puesto que ninguno A 04125639
de los cinco vectores de test incluidos en [18] se refiere B 80763995
al cifrado de una cadena de 16 dgitos, que es el caso de
los numeros de las tarjetas de credito, en los siguientes Tabla 5: Ronda 3 del proceso de cifrado.
apartados se muestra un ejemplo de cifrado y descifrado
obtenido mediante nuestra implementacion Java.
Q 0x39383736353433323130000404D05C5B
A. Cifrado R 0xE68B9CF4E1D79BE885B6C4C2C1321FDE
S 0xE68B9CF4E1D79BE8
A continuacion se incluyen los datos del ejem- y 16612544226061163496
plo de cifrado para la cadena 1234567890123456 c 65289135
(con representacion decimal), para lo cual se ha A 80763995
empleado la cadena tweak 9876543210 y la clave B 65289135
0x2B7E151628AED2A6ABF7158809CF4F3C a utilizar por el
algoritmo AES. Tabla 6: Ronda 4 del proceso de cifrado.
113
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
5
114
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
6
Otra lnea de investigacion resultante del trabajo reali- [4] National Institute of Standards and Technology, Advanced
zado consiste en el estudio de la posibilidad de implemen- Encryption Standard, NIST FIPS 197, 2001.
[5] National Institute of Standards and Technology, Recommenda-
tar el mismo esquema en dispositivos con caractersticas tion for Block Cipher Modes of Operation: Methods and Tech-
computacionales limitadas, como por ejemplo las tarjetas niques, NIST SP 800-38A, 2001.
inteligentes. Este tipo de dispositivos se caracteriza por su [6] National Institute of Standards and Technology, Guides for
Implementing and Using the NBS Data Encryption Standard,
portabilidad y elevado nivel de seguridad, caractersticas NIST FIPS 74, 1981.
requeridas en algunos escenarios reales de implantacion [7] M. Brightwell y H. Smith, Using Datatype-Preserving Encry-
ption to Enchance Data Warehouse Security, en 20th NISSC
comercial [21]. Proceedings, pp. 141149, 1997.
Como es sabido [22], el lenguaje Java Card tienen por [8] J. Black y P. Rogaway, Ciphers with Arbitrary Finite Do-
definicion algunas limitaciones comparado con el lenguaje mains, Lecture Notes in Computer Science, vol. 2271, pp. 114
130, 2002.
Java utilizado en ordenadores personales y servidores, co- [9] T. Spies, Format Preserving Encryption, inedito, 2011.
mo por ejemplo la imposibilidad de utilizar elementos de [10] M. Bellare et al., Format-Preserving Encryption, Lecture No-
tipo long, String o BigInteger. tes in Computer Science, vol. 5867, pp. 295312, 2009.
[11] M. Bellare et al., The FFX Mode of Operation for Format-
Aunque es cierto que en su version 2.2.2 Java Card Preserving Encryption, propuesta enviada al NIST, 2010.
presento la clase BigNumber [23], la cual permite rea- [12] National Institute of Standards and Technology, Recommen-
dation for Block Cipher Modes of Operation: Methods for
lizar sumas y restas con numeros enteros de longitud Format-Preserving Encryption, NIST SP 800-38G, 2013.
arbitraria, en la practica existen varias limitaciones en [13] M. Bellare et al., Addendum to The FFX Mode of Operation
su uso. Para empezar, el paquete al que pertenece, for Format-Preserving Encryption, propuesta enviada al NIST,
2010.
javacardx.framework.math, es opcional, por lo que no [14] J. Vance et al., VAES3 Scheme for FFX, propuesta enviada
se encuentra implementado en muchas de las tarjetas dis- al NIST, 2011.
ponibles comercialmente. Ademas, la especificacion Java [15] E. Brier et al., BPS: a Format-Preserving Encryption Propo-
sal, propuesta enviada al NIST, 2010.
Card indica que, en caso de ser implementada la clase [16] National Institute of Standards and Technology, Analysis of
BigNumber, el numero mnimo de bytes en los que alma- VAES3 (FF2), comentarios al borrador SP 800-38G, 2014.
cenar el numero entero con el que se deseen realizar los [17] American National Standards Institute, Retail Financial Ser-
vices - Requirements for Protection of Sensitive Payment Card
calculos es 8 [24], por que lo el correcto funcionamiento Data - Part 1: Using Encryption Methods, ANSI X9.119, 2013.
de esta clase con numeros que requieran un mayor espa- [18] Voltage Security, AES FFX Test Vector Data version 1.0,
cio de almacenamiento no esta garantizado. Por ultimo, la documento enviado al NIST, 2011.
[19] Oracle Corporation, BigInteger (Java Platform SE 8), 2014.
clase BigNumber no incluye ningun metodo para realizar Disponible en: http://docs.oracle.com/javase/8/docs/api/
reducciones modulares [24] (como las necesarias en el paso java/math/BigInteger.html.
5-f de los algoritmos de cifrado y descifrado presentados [20] H. Schildt, Java: The Complete Reference (9 ed.). Nueva York:
Mcgraw-Hill Osborne Media, 2014.
en la Seccion IV), por lo que dichas operaciones tendran [21] W. Rankl y W. Effing , Smart Card Handbook (4 ed.). West
que implementarse mediante sucesivas operaciones de sus- Sussex: John Wiley & Sons, 2010.
traccion, lo que desde el punto de vista de la eficiencia [22] V. Gayoso Martnez et al., Java Card implementation of
ECIES using prime and binary finite fields, en 4th Interna-
computacional constituye una opcion demasiado costosa. tional Conference on Computational Intelligence in Security for
Por todo ello, implementar el algoritmo FFX[Radix] en Information Systems (CISIS 2011), pp. 160167, 2011.
[23] Oracle Corporation, Release Notes - Java Card
tarjetas Java Card constituye un reto cuya consecucion Specifications - Version 2.2.2, 2006. Disponible en:
permitira expandir las posibilidades de utilizacion de las http://www.oracle.com/technetwork/java/javacard/
tecnicas FPE. Con el fin de conseguir una implementa- documentation/releasenotes-jcspecspw-2-2-2-142671.html.
[24] Oracle Corporation, Application Programming Interface - Java
cion que fuera valida en cualquier tarjeta Java Card, sera Card Platform - Version 2.2.2, 2006. Disponible en: http://www.
necesario desarrollar una clase equivalente a BigInteger oracle.com/technetwork/java/javacard/specs-138637.html.
a partir de los tipos numericos disponibles en Java Card,
que permitiera operar con numeros de longitud variable
(pero con representaciones mayores de 8 bytes) y que im-
plementara de manera eficiente operaciones de aritmetica
modular.
Agradecimientos
Este trabajo ha sido parcialmente subvencionado por
la Comunidad de Madrid (Espana) bajo el proyecto
S2013/ICE-3095-CM (CIBERDINE) y por el Ministerio
de Economa y Competitividad (Espana) bajo el proyecto
TIN2014-55325-C2-1-R (ProCriCiS).
Referencias
[1] Departamento de Seguridad Nacional, Estrategia de cibersegu-
ridad nacional, Presidencia del Gobierno, 2013.
[2] A. Fuster Sabater et al., Tecnicas criptograficas de proteccion
de datos (3 ed.). Madrid: RA-MA, 2004.
[3] A. Fuster Sabater et al., Criptografa, proteccion de datos y apli-
caciones. Madrid: RA-MA, 2012.
115
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
1
Resumen Es bien sabido que los codigos cclicos son practicas ya que pueden ser codificados con registros de
muy utiles en aplicaciones en general y a los criptosistemas desplazamiento.
en particular, ya que no resultan costosos desde un punto
de vista computacional, ademas estos codigos alcanzan la Sea p sea un numero primo, q = pk para un cierto
mayor distancia mnima posible de acuerdo a su longitud k 1. Un codigo monomial q-ario de longitud n, se
y dimension. Por otra parte, es bien conocida la relacion
existente entre los codigos cclicos y los subespacios invari-
puede definir a traves de una n n-matriz generado-
antes. En este trabajo se presenta una generalizacion de ra con la propiedad de que cada fila (salvo la ultima)
esta relacion considerando codigos monomiales sobre un (c1 , c2 , . . . , cn ), ci GF (q), define la siguiente fila como
cuerpo finito F y subespacios hiperinvariantes de Fn con re- (an cn , a1 c1 , a2 c2 , . . . , an1 cn1 ), donde a1 , . . ., an son
specto una apropiada aplicacion lineal. Usando tecnicas de
Algebra Lineal es posible deducir ciertas propiedades para ciertos elementos fijos de GF (q)\{0}. Los codigos cclicos
este tipo particular de codigos, generalizando resultados (a1 = . . . = an = 1) y los codigos constacclicos (a1 =
conocidos sobre codigos cclicos. . . . = an1 = 1) son subclases especiales de los codigos
monomiales de GF (q)n . De forma similar, los codigos
I. Introduccion monomials pueden ser descritos en terminos de algebra lin-
eal. Este artculo esta dedicado al estudio de estos codigos,
Es bien sabido que los codigos correctores de errores y utilizando algebra lineal,. Nuestro punto de partida sera
los sistemas criptograficos tienen objetivos opuestos, ya el polinomio caracterstico del endomorfismo de GF (q)n
que con los codigos se trata de proteger la informacion cuya matriz en la base canonica es la que representa al
de los errores ocasionales consecuencia de su manipu- codigo monomial.
lacion es cecir, los que intentan resolver las dificultades
planteadas por falta de fiabilidad del canal y en los sis- Recordemos que, dado un endomorfismo de un espacio
temas criptograficos tambien llamados codigos secretos, vectorial E sobre el cuerpo F, un subespacio V E -
se trata de garantizar su confidencialidad, integridad y invariante es hiperinvariante si es invariante por todas las
seguridad. Sin embargo tambien tienen objetivos com- aplicaciones lineales que conmutan con .
plementarios. La dificultad para descodificar los codigos
correctores de errores se ha aprovechado para construir II. Subespacios invariantes por aplicaciones
sistemas criptograficos a partir de dichos codigos. Entre monomiales
dichos sistemas se encuentra el ya conocido de McEliece
para clave publica. En tal sistema la clave privada de cada Sea p un numero primo, q = pk para algun k 1 y F =
usuario constituye la matriz generatriz G de un codigo li- GF (q). Consideremos el n-dimensional espacio vectorial
neal C sobre un cuerpo finito Fq junto con un algoritmo de Fn sobre el cuerpo F.
descodficacion. La matriz G se enmascara mediante una Sea a = (a1 , . . . an ) un conjunto de n parametros de F
matriz de permutacion obteniendo as la clave publica, [1], y consideremos la siguiente aplicacion lineal
[2], [3].
Paralelamente el empleo de la criptografa para prote-
a : Fn Fn
ger las comunicaciones, esta la tecnica conocida como es- (1)
(x1 , . . . , xn ) (an xn , a1 x1 , . . . , an1 xn1 )
teganografacuyo uso va en aumento y que consiste en el
disimulo de informacion y que se utiliza con el fin de pro-
teger alguna informacion en un soporte numerico anodino cuya matriz asociada con respecto la base canonica {e1 =
y es el soporte que es enviado sobre un canal publico de (1, 0, . . . , 0), e2 = (0, 1, . . . , 0), en = (0, 0, . . . , 1)} es:
transmision. Estas tecnicas de disimulo de informacion
estan basadas en los codigos cclicos sobre el anillo Z4 , 0 0 ... 0 an
[4],[5]. Posiblemente se pueda mejorar la eficacia en el dis- a1 0 ... 0 0
imulo utilizando una generalizacion de los codigos cclicos 0
Aa = 0 a2 ... 0 . (2)
como pueden ser los codgos monomiales. .. .. .. .. ..
. . . . .
Una primera generalizacion de los codigos cclicos
fueron los codigos constacclicos introducidos por E. R. 0 0 . . . an1 0
Berlekamp en [6]. Una mas amplia generalizacion es la de
codigos monomiales y una primera aproximacion usando Esta matriz recibe el nombre de matriz monomial. Obser-
algebra lineal para estudiar este tipo de codigos fue intro- vamos que esta matriz se puede escribir como producto de
ducido en [7]. los codigos monomiales tienen aplicaciones una matriz diagonal diag (an , a1 , . . . , an1 ) y una matriz
116
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
2
= v
con
Qn
0 0 ... 0 i=1 ai con = xn + xn1 + x2 2 + . . . + x2 n2 + x1 n1 F.
a1 0 ... 0 0
S =0 a1 a2 ... 0 0 Proposicion 5: Sea F un subespacio invariante de Aa .
.. .. .. .. ..
. . . . . Entonces F es hiperinvariante.
Qn1 Demostracion: Basta con observar que, para todo Ya
0 0 ... i=1 ai 0
C(Aa ),
SXa S 1 = xn I + xn1 Aa + xn2 Aa2 + . . . + x1 An1
a .
En esta seccion probamos que los subespacios a -
invariantes son tambien a -hiperinvariantes, (aquellos que
son invariantes por todas las aplicaciones lineales que con-
mutan con a ), (Ver [8] y [9] para mas informacion acerca Por lo tanto, tenemos que en este caso el retculo de
de estos subespacios). subespacios invariantes coincide con el retculo de sube-
Necesitamos calcular el centralizador de Aa , para ello spacios hiperinvariantes.
primero calculamos el centralizador de la matriz Aa .
Proposicion 2 ([7]) El centralizador C(Aa ) es el con- Hinv (Aa ) = Inv (Aa ).
junto de las matrices Xa de la forma:
Definicion 1: i) Sea u = (u1 , . . . , un ) y v = (v1 , . . . , vn )
x
n ax ax1 ax . . . ax
2 3ax n2 n1 dos vectores in Fn . Definimos un producto interno sobre
xn1 xn ax1 abx2 ... axn3 axn2
F de la manera siguiente:
.. .. ..
. . .
Xa = .. .. .. < u, v >= u1 v1 + . . . + un vn .
. . .
x x4 x5 x6 ... ax1
ax2
3 ii) Dos vectores u, v de Fn son ortogonales si, y solo si
x2 x3 x4 x5 ... xn ax1
x1 x2 x3 x4 ... xn1 xn < u, v >= 0.
117
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
3
118
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
4
Los subespacios Ker paij (Aa ) son minimales puesto que IV. Matrices de paridad de codigos monomiales
los polinomios pai (s) son irreducibles. Sea F[1 , . . . , n ] la extension algebraica considerada en
Ahora, definimos pbi (s) = pa (s)/pai (s). Teniendo en la seccion II.
cuenta que Consideremos la base v = (v1 , . . . , vn ) vectores propios
mcd(b p1 (s), . . . , pbr (s)) = 1, de a . Del corolario 1 y con respecto a esta base tenemos
existen polinomios q1 (s), . . . , qr (s) tales que que c C si, y solo si g(Aa )c = 0.
Puesto que Da es una matriz diagonal, la matriz g(Da )
q1 (s)b
p1 (s) + . . . + qr (s)b
pr (s) = 1. es tambien diagonal y
119
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
5
120
JNIC2015 Septima sesion: Privacidad, Criptografa y autentificacion
6
121
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Abstract- The information security management is more and authenticity, integrity, confidentiality, availability and
more carried out by means of business processes although traceability.
disregarding the quality of management enough. In order to
improve that quality, we propose to carry out the automation of the The question is how to propose the automatic integration of
information security governance. To achieve a high maturity level in both competencies with the idea to reach the level of maturity
the information security management, the integration of processes in the security management according to the business goals.
for good governance is needed, which enables to ensure the maturity This vision is being carried out for the ISG/ISM in the area of
level 4: Qualitatively Controlled, such as ISO/IEC 21827:2008 development of projects of R&D in the Research Group
proposed. This level allows establishing measurable quality goals
and objectively managing performance. This work enables to reach Tecnologas Inteligentes y de Seguridad en Sistemas de
these levels by using business process management systems to Informacin which belongs to Foundation for Investigation
implement a good information security governance, combined with and Development of Information Technologies of Andalusia
the integration of business processes for the information security (FIDETIA) and has been certified in the standard ISO/IEC
management. 27001:2013 [3] in the last years.
The rest of the paper is structured as follows: Section II
I. INTRODUCTION
show an overview of ISG by means of introducing the basis
Nowadays, Information has become in a corner stone in the and the framework followed; Section III brings both
information society. Information is a crucial asset to any automation and business processes up for a good ISG; Section
business therefore it must be correctly protected. Currently, it IV shows a successfully case study where processes and
is common to find organizations that offer and consume mechanisms to automate ISG are shown in practice; in Section
services and processes over the Internet. These services and V conclusions are drawn and future work is proposed.
processes consume a wide range of information (social II. INFORMATION SECURITY GOVERNANCE
network opinions, news feeds, financial data, etc.) that is
probably used for decision-making processes. For this reason It is widely accepted that Information Security Governance
information assurance is an essential factor that has to be (ISG) is a subset of corporate or enterprise governance. The IT
ensured in the IT systems for the organizations. Since, an Governance Institute (2001) defines enterprise governance as
information leakage can suppose terrible consequences [1] the set of responsibilities and practices exercised by the board
such as lack of reputation or privacy loss among others. and executive management with the goal of providing
strategic direction, ensuring that objectives are achieved,
Organizations are using business processes as core for the
ascertaining that risks are managed appropriately and verifying
business enterprise management. According to this idea,
that the enterprises resources are used responsibly. Then by
business processes are being created to the Information
extending this definition, ISG could include: security
Security Management (ISM). In the majority of cases a Good responsibilities and processes, risk assessment and
Governance of the IS is left out instead of becoming to a management, compliance with security policies, rules,
strategic asset in the last years. For instance, Small and regulations and legislation, monitoring and control of security
Medium Enterprises (SME) composed almost the 98 percent of activities. Our proposal is focused in the automation of ISG
the business landscape in Spain. Indeed, the 19.5 percent of with computational tools.
Spanish enterprises are currently breaking security regulations The framework followed; such as shown in Fig. 1,
like LOPD or LSSI [2] because of an incorrect way of directing implements three main processes:
Information Security Governance (ISG). Direct where Security Governance can establish
The Governance and Management of the IS in conjunction policies and define a pack of metrics to be measured in an
allows protecting the information provided by processes that interactive and step by step way.
comply with the security requirements related to the
122
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Monitor where measurements are gathered during the practical guidance for information security professionals and
processes are enacted. Monitoring requires to include other interested parties at all levels of the enterprise.
pieces of software at the processes (imperceptible for But all this theory of these standards is necessary to put in
customers) that enable to collect information about the practice furthermore integrating it within information security
metrics. management.
Evaluation which enables the Security Governance to
analyse the different metrics in order to decide whether new III. AUTOMATIC INFORMATION SECURITY GOVERNANCE
countermeasures should be applied. This process can be USING BPMS
carried out manually when governance needs or a report
can be obtained regularly. To accomplish the objectives previously set for the ISG, we
propose to automate those processes by means of Business
Process Management Systems (BPMS). This kind of systems
enables to align the processes of good ISG with the
Automated Security Governance
information security management (ISO 27001/2013) and also
carry out the main tasks for the ISG: Direct, Evaluate and
Policies Bussiness Monitor. In order to do that, we propose to integrate together
rules
the processes already established for the Information Security
Constraints Management and the processes for ISG. Therefore the
Direct
following items must be defined in those systems:
The organizational structure which governs the
information security in which information security
Monitor Evaluate
management must be integrated.
The business processes of ISG which has to be
integrated with the management processes in such a
Logs
KPI Analysis way which enables to carry out the governances task
from the task in the information security management.
The business rules established by the direction that
Trails
Diagnosis
have to be included in the business processes of the IS
Governance.
123
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
In this case study we show how to automate the ISG by Project R+D
The case study focuses on an entity which needs to implement Information Management Team
Human
an adequate identity management procedure to accomplish Security
Govern
of Information
Security
Resources
Staff
124
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
new policy or Check a KPI. In this case, a specific policy Analysis Daily
wants to be established and a web form is given to establish the Frequency
policy such as shown in Fig. 8. The form is prepared to pick up Reporting On demand of ISG team.
all the parameters required in the control. Once Send button Frequency
is clicked on all those values are stated in a database of
policies. This database is used as the basis to check the C. Monitor process
decision criteria of compliance or non-compliance during the Monitoring of KPI implies to include an imperceptible piece
registration process. of software (BonitaSoft connectors) in the processes that
allows collecting information during the execution of
Table 1: Example of KPI formalization processes. For instance, regarding the time of registration of a
KPI new, two timestamps are logged: the first check-point is
Name LDAP and HR database discrepancies released when a registration process is initiated, and the second
ID KPI-003 check-point is released when the user has received a response
Purpose To assess the quality of the authorized users from Human Resource (HR) Department and LDAP. This
Goal Check whether users registration process in the information is dumped in a database prepared for KPIs. On the
organization is conform to Control Objective A.9.2.6 in other hand, regarding the quality of passwords a validation
ISO 27001:2013 script is prepared to be performed through all users
Measurement Specification registration. An example of Groovy script is shown in the Fig.
Objects of 1. LDAP database 3. This piece of script shows a mechanism to write the log
Measurement 2. HR database registration time.
Attributes 1. Number of users in LDAP database
2. Number of users in HR database Long end = System.currentTimeMillis();
3. Id. of users that are not in LDAP database File file = new File("LogregisterTimes.log");
4. Id. of users that are not in HR database
FileWriter writer;
Basic measures 1. Registration in LDAP
2. Registration in HR writer = new FileWriter(file, false);
Method 1. Check for each entry in LDAP database whether it is
Long second = (end-start) / 1000;
contained in HR database.
2. Check for each entry in HR database whether it is writer.write(segundos.toString()+"\n");
writer.close();
contained in LDAP database.
Measurement type 1. Objective measure Figure 3. Example of Groovy script
2. Objective measure
Scale 1. Integer value
Another script enables to count the number of non-
2. Integer value
compliance against the compliance and stated this value
Scale type 1. Cardinal and text.
in the database of KPIs. The other KPIs are developed in
2. Cardinal and text.
the same way, that is by means of Groovy scripts where
timestamps are stated and queries to database are needed
Measure unit Amount of users and identifiers of users.
to check the required time of the registration process.
Indicator Specification and Reporting
Description a) Conformity Ratio D. Evaluate process
b) List of non-authorized users. The evaluation of KPIs can be carried out in two directions:
Analytical a) Divide the total number of users in LDAP database manually and automatically. Manually by means of the options
model by total users in HR. provided to the ISG within Direct process or a monthly report
b) Select the users that are in LDAP database but not is generated. As a result of the monitoring of processes a
in HR database. dashboard can be presented to the governance such as shown in
Incdicator a) Resulting ratio should be 1.0 to meet the control Fig. 4. In the bar chart we can observe the number of users
Interpretation objective satisfactory registered in LDAP (blue colour) and HR (yellow colour)
b) List should be empty for meeting the control database. In this example we can observe a non-compliance
objective satisfactory example which a discrepancy is shown due to one user that is
Reporting A dashboard with charts where the amount of users in HR database but is not registered in LDAP database. In that
Format registered in each database are represented and the list case the chart is showing. Therefore, the ISG can peek the
of id. of users that are in a LDAP database but not in compliance of policies in seconds at real-time.
HR database.
Reporting Client ISG Team
Collecting Each registration user
Frequency
125
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Ratio = 0.91 [8] Rahul Rastogi, Rossouw von Solms: Information Security Governance:
A Re-Definition. IICIS 2004: 223-236, 2003
[9] Rossouw von Solms, S.H. (Basie) von Solms: Information Security
Ratio = 0.91 Governance: A model based on the DirectControl Cycle. Computers &
Security 25: 408412 2006.
[10] Howard Smith and Peter Fingar. Business Process Management (BPM):
The Third Wave. Meghan-Kiffer Press.
[11] Bonita Soft, Available at: http://www.bonitasoft.com, 2015.
[12] Business Motivation Model v1.1 OMG 2010
[13] ISO/IEC 27004:2009, Information technology. Security techniques.
Information security management Measurement.
LDAP HR
126
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
APPENDICES
127
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
128
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
AbstractThe automatic prevention, detection, and reaction attack, in order to obtain as much information as possible from
for intrusion management has been a key issue for years, focusing each [3], [4]. RECLAMO is aimed at designing and creating
on the use of IDS-based approaches. In addition, dynamicity and an advanced Automated Intrusion Response System (AIRS) to
the changing nature of the technology and threats have led to
consider other approaches. In this paper, we present two R&D enhance the current attack detection and reaction proposals.
projects whose purposes are addressing the above shortcomings. Self-protection is the key concept driving the components of
First, we present the RECLAMO project, where an architecture RECLAMO, providing a way of inferring the most appropriate
for an Automated Intrusion Response System is proposed to response for a given intrusion, taking into account not just the
divert a given attack to a honeynet, dynamically built based intrusion, but also other related parameters, such as the context
on the attack information. Secondly, we also describe an ongoing
R&D project, called DHARMA, where an efficient Dynamic Risk and the confidence on the network sources. This information
Assessment and Management is proposed to measure the risk is evaluated with a set of security metrics represented in a
level on the organizations assets at real time, taking the required formally defined behavior specification language, in order to
actions as a response from a proactive defense model. reason and to infer the most appropriate response.
As stated before, dynamicity and heterogeneity is key for
I. I NTRODUCTION
making automated management of intrusions a reality. As a
Automatic prevention, detection and reaction systems for second contribution, we propose an efficient Dynamic Risk
intrusion management is a key topic in the last few years [1]. Assessment and Management (DRAM), which is part of a
Yet, most of the solutions have a narrow scope and certain project called DHARMA (Dynamic Heterogeneous threAts
difficulties and limitations when dealing with large scale and Risk Management and Assessment) [5]. This is a multilevel
distributed attacks like coordinated spam, phishing attacks or architecture with a large number of heterogeneous sensors
DDoS [2]. To this end, concepts like autonomic system, trust capturing changes in the organization context. The DHARMA
and reputation management, collaborative intrusion detection framework enables to deploy specific sensors, integrating their
and prevention systems, virtualized honeynets, and semantic information in a DRAM engine that will provide updated
web should be part of novel IDS/IPS systems. information on the risk levels to allow a quick reaction and
Despite the progress in intrusion management, dynamicity minimizing the exposure time to potential risky situations for
and heterogeneity should consider other alternatives that take the organization. As a possible reaction of the DRAM is taking
into account input from a large pool of heterogeneous sensors into account the AIRS proposed in RECLAMO.
and contextual changes in the organization, beyond traditional
network attacks. In this context, new dynamic risk assessment B. Organization of the paper
and management processes have emerged to provide an answer Section II presents the novel automated response system to
to this shortcoming, allowing the current solutions to acquire a attacks developed in the RECLAMO project, where a special
dynamic assessment of the risk of the organizational assets and emphasis is placed upon deception responses according to the
the continuous evolution of threats. A dynamic risk assessment dynamic honeynets generated on virtualized platforms. We
and management allow updating the risk level on the assets of describe in Section III a framework for achieving an efficient
an organization at real time, as well as dealing with dynamicity DRAM, which is the main aim of an ongoing project called
and the changing nature of the technology and threats. DHARMA. Finally, Section IV summarizes our contributions.
129
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
adequately confined to mitigate them and learn from them. Self-healing. The system is able to detect when, where,
Thus, an intrusion is analyzed in real time by using a model and why there are faults in the system, and carry out the
of intrusions, responses, and security metrics that are formally appropriate fault-correction actions.
defined with knowledge and behavior definition languages. Self-protection. The system detects hostile or intrusive
Fig. 1 illustrates the main functional blocks of RECLAMO, behavior, such as unauthorized access attempts, virus, and
which are described next in the following subsections. denial of service attacks, and implements the appropriate
actions to protect itself from them or cascading failures.
Autonomous Collaborative intrusion As shown in the previous definitions, the main feature of an
systems detection networks autonomous system is the ability to specify their own behavior,
Ontologies and formal in order to manage and protect itself and dynamically adapt
Self-protecting Multi-step
systems
behavior definition
attacks to different conditions. The concept of self-protection, which
languages the most important of any autonomous system, is the main
Virtualization of Trust and reputation component of the RECLAMO system, providing the ability
reactive networks management to infer the most appropriate response for a given intrusion.
This takes into account not just the intrusion, but also many
Fig. 1. Main functional blocks proposed in the RECLAMO project other related parameters, such as the context or the trust and
reputation of the network source. This autonomous system
The components belonging to each block defined in Fig. 1
uses formally defined information models with ontologies for
are included within an envisaged architecture for RECLAMO,
combining the intrusion information. Furthermore, it considers
which are depicted in Fig. 2.
additional concepts such as self-evaluation learned parameters,
trust and reputation of the different involved elements, and
IDS Trust & information coming from collaborative IDS/IPS systems in the
Metrics
Parser
Reputation
alerts
130
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Network IRS
Stakhanovas
The AIRS is able to understand heterogeneous alerts and
IDAM&IRS
EMERALD
ADEPTS
to know whether they are referring to the same intrusion
AAIRS
or not. Nowadays, there are several data format standards
FAIR
CSM
for alerts representation, such as IDMEF (Intrusion Detection
Message Exchange Format) [11]. This is defined in XML to Adaptive
represent, exchange, and share the information about intrusion Proactive
detection, but with no additional knowledge representation.
Cost-sensitive
IDMEF can be useful for the AIRS in order to correlate alert Evaluated cost S S S S D
information with other additional data, such as network context Semantic coherence
and rules. RECLAMO uses ontology mapping technologies,
such as D2RQ [12], which allows mapping between relational TABLE I
F UNCTIONALITIES OF EXISTING AIRS
databases and OWL/RDFS ontologies.
B. Autonomous intrusion response systems: Self-protecting
AIRSs are security technologies to trigger dynamic reaction coherence by using ontologies, formal behavior specification
against detected intrusions. The system infers the mot suitable languages, and reasoning mechanisms, as well as fulfilling the
response and triggers it automatically without participating an rest of requirements. Moreover, our system includes a formal
administrator. The state of the art in AIRSs is not as mature mechanism to evaluate the cost of responses, giving feedback
as with IDSs, although several systems have been proposed to the system for improving responses in future attacks.
in recent years: AAIRS, ADEPTS, EMERALD, CSM, FAIR, The use of ontologies and formal languages, so as to define
and IDAM&IRS. For example, Stakhanova presented in [13] a the behavior of the autonomous system, is essential to provide
taxonomy of autonomous intrusion response systems, together AIRSs with the self-protection capability, and so fixing the
with a review of current trends in intrusion response research. problem of semantic coherence. Due to its expressiveness and
According to this paper, AIRSs can be classified in different flexibility, they also enable AIRSs to meet other requirements:
ways according to various features: adaptability, proactivity, and response cost-sensitive.
By ability to adjust: static and adaptive. The response Another key feature to take into account is the cooperation
selection mechanism remains the same during the life capability: autonomous and cooperative. Network-based IRSs
of the AIRS in static AIRSs. Adaptability is a powerful are often built in such a cooperative way, because they provide
feature that can automatically modify the chosen response more effective responses than single and autonomous systems.
according to other external factors, like the previous An example of it is EMERALD. Due to this, the RECLAMO
response effectiveness or changes in the environment. project follows the cooperative way.
By response selection mechanism: static, dynamic, and Finally, the autonomous response system is combined with
cost-sensitive mapping. There is an increasing interest other technologies, e.g, the correlation of the alerts, as well
in recent years in developing cost-sensitive models for as further information such as the trust and reputation of the
response selection. The primary objective of these models IDSs together with their network context [14]. Therefore, the
is to ensure an adequate response without sacrificing the response system of RECLAMO is capable of detecting attacks
normal system functionality. That is to say, the system in a given organization, and reacting against them quickly in
takes into account the complexity and cost of the reaction, an autonomous and optimal way, with no intervention from
besides the impact of the intrusion. network administrators. The reaction includes the inference of
By time of response: proactive and delayed. Proactivity the optimal response in a diagnosis phase, and the deployment
is the ability of the AIRS to react against an intrusion or of that response in a reaction phase.
attack before it takes place. A reactive AIRS infers and
activates the reaction when the intrusion is detected. C. Collaborative intrusion detection systems
By response cost model: static, static evaluated (S), and Collaborative intrusion detection systems (CIDS) emerged
dynamic evaluated cost (D). This refers to the evaluation in recent years to deal with detecting distributed attacks, where
mechanism that the AIRS uses to get the response cost. pieces of evidence are gathered at different network locations
To achieve an optimal response in the shortest time, it is to be subsequently correlated. This distributed nature of attack
required that the AIRS is adaptive, cost-sensitive mapping, and execution is due to the way in which attackers perform their
proactive. But there is another feature, the semantic coherence, malicious practices, evolving toward a new mode of operation
that is not present in this taxonomy and it is especially crucial more global and distributed. In case a collaborative strategy is
in a heterogeneous intrusion detection environment. not used, alerts generated by the IDSs are viewed as isolated
In TABLE I, we show the features of some related AIRSs, incidents, with no relevance when analyzed separately [2].
where only ADEPTS and the Stakhanovas IRS offer adaptive, Due to this, alerts should be treated as a whole from a more
proactive, and cost-sensitive functionalities. However, none of global viewpoint for knowing the actual state of the network,
them provides mechanisms to archive semantic coherence. Due by detecting distributed attacks after deploying multiple IDS
to this, the AIRS proposed by RECLAMO supports semantic instances among security domains. A partnership of all IDSs
131
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
will form an overlay layer for sharing security data among Let us suppose that a given IDS j wants to share a new alert
peers: alerts and incidents detected by each IDS individually. with the rest of the CIDN members for correlation purposes.
This cooperative system is a Collaborative Intrusion Detection This IDS sends the alert to the WC for being assessed before
Network (CIDN) that allows building a collective knowledge its publication to the rest of IDSs. The WC members compute
base of isolated alerts within a given security domain [15], the js reputation, Rep(j), to decide if the alert is a true
whereas the union of several CIDNs shapes a Collaborative or false positive depending on that reputation score. To this
Alert System (CAS) to detect attacks more distributed among end, the WCL only queries recommendations to those IDSs
several security and/or administrative domains. with similar detection skills than j; otherwise, the IDSs could
Where to place the pool of IDSs is a key point for sharing not know the satisfaction on the alerts detected by j. These
alerts properly among them. A survey on how the IDSs can recommendations will be finally aggregated and shared by the
be distributed is given in [2], which is focused on centralized, WCL with the rest of the WC members, where each W Ci will
decentralized, and distributed architectures. Instead, we think assess its trust on j, TW Ci (j) [0, 1], as given in (1).
that a partially-decentralized approach is the best placement
model to tackle the drawbacks implicit in the other. Partially- |IDS|
decentralized schemes address the problems of having a single M
TW Ci (j) = i,k Repi (k) Reck (j) (1)
point of failure and the lack of scalability, from centralized
k = 1,
approaches; and the overhead and management difficulty, from k 6= i
decentralized and distributed schemes. A schematic example L
where |IDS| is the total number of IDSs in the CIDN;
of the system architecture of RECLAMO is shown in Fig. 3,
defines an aggregation operation chosen by the administrator;
which is based on a partially-decentralized scheme.
Repi (k) [0, 1] is the reputation of k from the perspective
of W Ci ; Reck (j) [0, 1] defines the recommendation value
CAS CIDNY
IDS gathered from k on j; 1 represents the pace at which W Ci
IRSY alerts forgets recommendations; and i,k [0, 1] is the weight
..
Wise Committee
IDS that W Ci can deposit on the type of IDS that k represents.
WCLA ... WCLY ... For example, i,k may be divided into separate three weights
IDS
according to the ks group: i for NIDSs, i for HIDSs, and
alerts IRSA alerts &
..
132
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
both the configurations implemented by the other IDSs that but they are fixed and cannot be dynamically chosen (i.e., the
detected or not the same incident than j, in comparison with AIRS always uses the same metric, regardless of the intrusion
the configuration of k, and the reputation score of each. context or the state of the system).
Finally, when both IDSs are deployed in separate networks, We defined in RECLAMO a pool of response metrics for
there is no actual obligation on k to alert about the incident modeling and specifying the behavior of the AIRS [19]. The
detected by j. Yet, it is possible that k had to detect it in case knowledge included in the ontology allows inferring the most
a number of its neighbors in this same network did detect it. In appropriate response set for different events. Such metrics are
this case, IDS k should only compute the new recommendation defined by using a formal language of behavior specification,
value of IDS j as defined in (2). so the complete AIRS behavior is defined formally. Their
As final step to compute Rep(j), the reputation on IDS j is specification in a flexible and dynamic way requires the use
computed by aggregating all partial trust values given by (1), of a specific language able to express these metrics. We use
calculated by every W Ci . This aggregation process is carried SWRL as a formal language to express them.
out by the WCL through computing (3). The following parameters have been identified as the most
|W C|
relevant ones for inferring the optimum response: the intrusion
M impact, the IDSs confidence, the importance of the affected
Rep(j) = TW Ci,j (3)
i=1
resources, the severity and cost of the response, and its success.
Regarding the relevance that the compromised resource has for
Depending on the js reputation score, denoted as Rep(j) the organization, the AIRS assigns more or less weight to each
in (3), the alerts shared by j are finally published by the of these parameters. For example, consider that the affected
WC to the rest of IDSs of the js CIDN. Furthermore, the resource is a user workstation. The response cost may take
WCL will send these alerts to other WCLs of the CAS if the priority over its success rate. However, if the attacked resource
alerts severity denotes a potential evidence of a distributed is a database server, the AIRS may give more importance to
attack, determined by the severity of such alerts. Information the response severity and the response effectiveness than the
sharing in a distributed environment requires another trust and high cost of executing the response.
reputation mechanism aimed to work at an inter-domain level. In order to choose the responses, three response metrics
In this context, the WC that receives an alert from another have been taken into account in RECLAMO, which are next
domain has to assess the reputation of the latter in order to presented. Each metric assigns a weight to the parameters in
decide whether to accept or not the alert and share it with a different way. Depending on the level of importance of the
its members. For this purpose, we adapt the application of a resource, the system applies one metric or another.
well-known trust model such as PeerTrust [18]. 1) Damage reduction metric: The purpose of this metric
PeerTrust is a reputation-based trust supporting framework is to strike a balance between the cost of the damage caused
that includes a coherent adaptive trust model for quantifying by an unattended attack (the intrusion impact) and the cost
and comparing the trustworthiness of the entities according to of deploying the response (the response impact). This metric
a transaction-based feedback system. Thus, it fits well for an aims to avoid that the response has a greater negative effect
inter-domain reputation mechanism. PeerTrust introduces three than can cause the attack on the resources of an organization
basic trust parameters and two adaptive factors in computing (e.g., loss of availability of several resources). The AIRS uses
trustworthiness of entities, as given by: this metric regardless of the component importance. Note that
I()
X this metric is equivalent to the one defined by Stakhanova.
T () = S(, i) Cr(p(, i)) T F (, i) + CF () The application of this metric infers the responses, whose
i=1 impact is lower than or equal to the product of the intrusion
where and denote the normalized weight factors for impact and the IDS confidence, as defined in (4).
both the collective evaluation and community context factor, Impactintrusion Conf idenceIDS > Impactresponse (4)
respectively; I() represents the total number of transactions
Then, the AIRS discards the responses whose impact is
performed by with other domains; S(, i) is the normalized
greater than the intrusion impact. Note that his metric depends
amount of satisfaction that receives from p(, i) in its i-th
on three parameters: the intrusion impact, the IDS confidence,
transaction; Cr(p(, i)) denotes the credibility of the feedback
and the response impact. The AIRS does not compute these
submitted by other domains; T F (, i) represents the adaptive
parameters at inference time. They correspond to the properties
transaction context factor for the i-th transaction of ; and
of the defined ontology, and their values are input to the
CF () is the adaptive community context factor for .
response system which must have previously defined.
E. Definition of security metrics and behavior of the system 2) Minimum cost metric: The AIRS applies the minimum
cost metric when the affected component is not very relevant
Existing AIRSs make use of several fixed response metrics
for the organization. The purpose with this metric is thus to
to choose the action that the system must execute, such as
minimize the response total cost, as given by (5), so that the
the ones used by AAIRS, ADEPTS, CSM, EMERALD, the
AIRS will trigger the execution of the lower cost response.
Stakhanovas IRS, FAIR, and IDAM&IRS. All the response
metrics allow the AIRS to choose the reaction that may trigger, CostT response = Impactresponse + Costd response (5)
133
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
The response total cost includes the response impact and Given the complexity involved in launching a honeynet,
the response deployment cost. The former, Impactresponse , the virtualization techniques are an essential tool that greatly
represents the cost that executing the response involves to facilitates its deployment and management. These tools can
the organization, in terms of the damage that the response create multiple logical systems with a single physical machine,
action causes to the resources of the organization. The latter, thereby drastically reducing the number of physical systems
Costd response, represents the cost that the deployment of the required so as to create a honeynet. These honeynets are built
response involves to the organization, in terms of the required ad-hoc and optimized in order to get as much information as
resources (e.g., number of the needed routers or the number possible from each attack. This dynamic honeynet generation
of backups). The lower cost responses are usually the lower uses advanced virtualization techniques capable of generating
complexity responses. Thus, if several responses have the same large scale heterogeneous honeynets.
cost, the AIRS will select the lower complexity response. Virtualization tools facilitate the definition of the honeynets,
3) Highest severity and highest efficiency metric: When including their topology, addresses, system type, deployment,
the compromised resource is critical, the response system and monitoring. So, they hide the complexity of the underlying
uses the highest severity and efficiency metric, whose purpose virtualization platforms to the final system. Among these tools
is to maximize the response severity and the success. This available in the market, we can find VNX, VNUML, Netkit,
metric depends on the results of the previous executions of the MLN, and vBET. In RECLAMO, we chose Honeyd and VNX
specific response against a given similar intrusion, the severity as the frameworks able to deploy low-interaction honeypots
associated with the intrusion, and the severity of the response and high-interaction honeypots [21]. VNX includes the ability
itself. Thus, the purpose is to satisfy (6) and maximize (7). of deploying a virtual network scenario over cluster of servers,
improving the scalability of the solution and also allowing
RE |Severityresponse | > Severityintrusion (6) the creation of very complex honeynets, even over distributed
max (RE |Severityresponse |) (7) cluster infrastructures [22].
There are several projects and initiatives that have made use
As shown in (6) and (7), the metric depends on: of virtualization as a basic tool with which to dynamically
Intrusion severity, Severityintrusion . The AIRS gets the create honeynets. One of the most advanced is Collapsar [23],
intrusion severity according to some of the predefined which combines a powerful distributed traffic capture system
equivalences between intrusion type and severity. with a server farm, where the interesting traffic is redirected
Response absolute severity, |Severityresponse |, whose to dynamically create honeynets that process it.
value is previously set by the system administrator. The dynamic generation of the honeynets require a previous
Response efficiency, RE. It measures the success of the characterization and parametrization of different honeynets.
previous response against an intrusion. Partial efficiency The objective is to generate a large and flexible catalog of
of the response is calculated after each execution of it, honeynets for being used by the AIRS. Each of these honeynets
which is based on machine learning methods [20]. These can be tuned at deployment time for its customization with the
methods analyze all the data captured from the context aim of facing specific attacks. This is a key feature since it
information (network and system context). provides flexibility to the system, which allows executing the
traditional scenarios with static honeynets as well as advanced
F. Virtualized honeynets as a response system scenarios built for the autonomous system dynamically.
The reaction phase comes after the diagnosis is completed.
Classical reactions typically consist on deploying new firewall III. T OWARD THE DYNAMICITY FOR RISK ASSESSMENT
rules, whereas most recent AIRSs also offer new possibilities AND MANAGEMENT
to react against attacks; for example, by creating honeynets. The RECLAMO project presented in Section II is capable of
These honeynets can be specifically adapted to the detected reacting to a given input (an intrusion), and getting additional
attack. In this context, the RECLAMO project proposes a context and collaborative information with the aim of inferring
reaction based on the configuration and automatic deployment the most appropriate response. But this approach is static and
of honeynets, which are optimized and adapted to each attack reactive: reacting when there is an intrusion and processing the
according to the specifications provided by the AIRS. context information acquired in that given moment. Thus, the
A honeynet is defined as a set of honeypot systems (servers, architecture proposed in RECLAMO (Fig. 2) can be enhanced
routers, switches) prepared to be attacked, while monitoring with a dynamic and proactive approach, this being the main
the attack simultaneously. A honeypot can have low- or high- objective of the DHARMA (Dynamic Heterogeneous threAts
interaction. As opposite to the low-interaction honeypots that Risk Management and Assessment) project [5].
just emulate operating systems and services, high-interaction DHARMA becomes possible to separate the concepts of
honeypots provide real systems, application, and services to dynamic risk assessment and the consequences after assessing
lure attackers. A honeynet can consist of high-interaction or that risk. This latter can be an automated response triggering,
low-interaction honeypots, or both of them. A honeynet creates like the one proposed in RECLAMO, or any other output, such
a highly controlled network, with which the administrators can as dynamic risk visualization in a control panel, updating of
control and monitor all the activity that occurs inside it. risk assessment methodologies or proactive actions.
134
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
The major difference between these projects is that the B. Distributed and dynamic risk assessment and management
main input in RECLAMO is the intrusion, being the context Risk assessment and management (RA/RM) is a common
processed just to enrich the inference process for it, whereas and extended practice used in the most of large corporations to
the intrusion in DHARMA is just another input, and context identify, analyze, and either accept or apply countermeasures
changes play a principal role for a dynamic risk assessment. to mitigate the risk expected likelihood of unfortunate events
So, there will be a constant evaluation of the heterogeneous and the impact of these events on the assets of the organization.
context parameters in order to assess any change in the risk A lot of mature methodologies, techniques, standards, and
level, as stated by the organization. The main components of have been specified, developed, and implemented till the date,
DHARMA are detailed in the next sections, which are defined such as MAGERIT, ISO 27005:2011, OCTAVE, CRAMM,
within the envisaged architecture shown in Fig. 4. EBIOS, NIST SP800-30, COBRA, and RA2, among others.
They have been widely evaluated and tested using well defined
Physical security sensors Smart Cities sensors metrics as well as benchmarking schemes.
But now, with the current dynamicity and heterogeneity of
(updates)
the security threats area, there is a large need for dynamic risk
Organization Countermeasures
policies
Data processing and data mining the dynamicity and ever changing nature of the technology
Collaborative Risk Management
Processing and Analysis layer
Threats and
Vulnerabilities Detection
Context-aware
Security and Privacy
Trust and Sensitivity
Management and threats. The traditional approaches of risk management
Evaluation & Proactive Defence
External
and assessment do not cover this need because it is not a
Learning
continuous process, but the assessment process is repeated
Risk Assessment External
External
HMM Rules DDRA Engine DDRAs
External
DDRAs
Metrics DDRAs
DDRAs
Ontology
regularly over discrete and large time intervals. Although these
DDRA controller
intervals were smaller, they leave a window of opportunity
where assets could be affected.
Risk Treatment layer
135
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
of response actions, when needed, requires the definition of [3] M. Gil Perez, V. Mateos Lanchas, D. Fernandez Cambronero, G.
mechanisms with which to treat the computed impact and Martnez Perez, and V. A. Villagra, RECLAMO: Virtual and collabo-
rative honeynets based on trust management and autonomous systems
risk. They can incorporate the definition of interfaces to the applied to intrusion management, in Proceedings of the 7th Inter-
existing AIRSs, such as the one presented in Section II; national Conference on Complex, Intelligent, and Software Intensive
the deployment of social image promotion actions to revert Systems, Jul. 2013, pp. 219227.
[4] Universidad Politecnica de Madrid and Universidad de Murcia, Web
possible harms in the market on the organizations corporate site of the RECLAMO project, [Online] http://reclamo.inf.um.es.
image after being victim of a threat; and certain mechanisms [5] Universidad Politecnica de Madrid and Universidad de Murcia, Web
enabling the reconfiguration of sensors as needed to maximize site of the DHARMA project, [Online] http://dharma.inf.um.es.
[6] V. A. Villagra Gonzalez and G. Martnez Perez, RECLAMO: Red
the information gain [24], depending on the feedback provided de sistemas de engano virtuales y colaborativos basados en sistemas
by the distributed dynamic risk assessment controller. In the autonomos de respuesta a intrusiones y modelos de confianza, Revista
former case, the deployment of dynamic countermeasures SiC: Ciberseguridad, Seguridad de la Informacion y Privacidad, no.
111, pp. 6465, Sep. 2014.
as response actions in protecting assets allows inferring the [7] F. T. M. Bazier, J. O. Kephart, H. Van Dyke Parunak, and M. N. Huhns,
optimum reaction as a defense strategy, diverting the attack to Agents and service-oriented computing for autonomic computing,
a honeynet where to mitigate it and learn from it. IEEE Internet Computing, vol. 13, no. 3, pp. 8287, Jun. 2009.
[8] W3C Recommendation, OWL 2 Web ontology language document
The deployment and enforcement of countermeasures, with overview (2nd edition), Dec. 2012.
the aim of protecting the assets according to the current risk [9] W3C Member Submission, SWRL: A semantic web rule language
level, is shown in the lower layer of Fig. 4. combining OWL and RuleML, May 2004.
[10] S. Staab and R. Studer, Handbook on ontologies. Springer Science &
IV. C ONCLUSION Business Media, 2013.
[11] H. Debar, D. A. Curry, and B. S. Feinstein, The intrusion detection
We have reviewed throughout this paper the main objectives message exchange format (IDMEF), IETF RFC 4765, Mar. 2007.
and relevant topics of two R&D projects. First, the RECLAMO [12] R. Cyganiak, C. Bizer, J. Garbers, O. Maresch, and C. Becker, The
D2RQ mapping language, [Online] http://d2rq.org/d2rq-language.
project deals with important key technologies like autonomous [13] N. Stakhanova, S. Basu, and J. Wong, A taxonomy of intrusion response
systems and trust and reputation management, and combine systems, International Journal of Information and Computer Security,
them in a single solution to provide an automated response vol. 1, no. 1/2, pp. 169184, Feb. 2007.
[14] J. J. Martnez Molina, M. A. Hernandez Ruz, M. Gil Perez, G. Martnez
system to attacks. As a promising response for RECLAMO, Perez, and A. F. Gomez Skarmeta, Event-driven architecture based on
we developed the dynamic generation and deployment of patterns for detecting complex attacks, International Journal of Critical
honeynets where the attacks are diverted for isolation. Computer-Based Systems, vol. 1, no. 4, pp. 283309, Nov. 2010.
[15] C. Fung, Design and management of collaborative intrusion detection
The proposal of RECLAMO has been extended to manage networks, Ph.D. dissertation, University of Waterloo, Canada, 2013.
the current dynamicity and heterogeneity present in current [16] M. Gil Perez, F. Gomez Marmol, G. Martnez Perez, and A. F. Skarmeta
systems, due to the large number of heterogeneous sensors, Gomez, RepCIDN: A reputation-based collaborative intrusion detection
network to lessen the impact of malicious alarms, Journal of Network
reporting threats who exploit vulnerabilities on the assets, and and Systems Management, vol. 21, no. 1, pp. 128167, Mar. 2013.
contextual changes in the organization. This new challenge is [17] M. Gil Perez, F. Gomez Marmol, G. Martnez Perez, and A. F. Skarmeta
being addressed in an ongoing R&D project called DHARMA. Gomez, Building a reputation-based bootstrapping mechanism for
newcomers in collaborative alert systems, Journal of Computer and
Its main goal is to provide assistance for dynamic assessment System Sciences, vol. 80, no. 3, pp. 571590, May 2014.
and management of the risk, and dynamically reassessed it [18] L. Xiong and L. Liu, PeerTrust: Supporting reputation-based trust for
in real time in order to prevent, react, and mitigate potential peer-to-peer electronic communities, IEEE Transactions on Knowledge
and Data Engineering, vol. 16, pp. 843857, Jul. 2004.
threats on sensitive assets of an organization. [19] V. Mateos Lanchas, V. A. Villagra, F. Romero, and J. Berrocal, Def-
inition of response metrics for an ontology-based automated intrusion
ACKNOWLEDGMENT response systems, Computers & Electrical Engineering, vol. 38, no. 5,
This work has been partially funded with the support pp. 11021114, Sep. 2012.
[20] P. Holgado, V. A. Villagra, and V. Mateos Lanchas, Redes neuronales
from the Spanish MICINN (project RECLAMO, Virtual aplicadas al proceso de aprendizaje de un sistema de respuestas a
and Collaborative Honeynets based on Trust Management intrusiones automatico, in XI Jornadas de Ingeniera Telematica, Oct.
and Autonomous Systems applied to Intrusion Management, 2013, pp. 419426.
[21] F. Wenjun, D. Fernandez, and V. Villagra, Tecnology independent
with codes TIN2011-28287-C02-01 and TIN2011-28287-C02- honeynet description language, in Proceedings of the 3rd International
02, and project DHARMA, Dynamic Heterogeneous Threats Conference on Model-Driven Engineering and Software Development,
Risk Management and Assessment, with codes TIN2014- Feb. 2015, pp. 303311.
[22] F. Galan, D. Fernandez, J. E. Lopez de Vergara, and R. Casellas,
59023-C2-1-R and TIN2014-59023-C2-2-R) and the European Using a model-driven architecture for technology-independent scenario
Commission (FEDER/ERDF). Thanks also to the Funding configuration in networking testbeds, IEEE Communications Magazine,
Program for Research Groups of Excellence granted by the vol. 48, no. 12, pp. 132141, Dec. 2010.
[23] X. Jiang and D. Xu, Collapsar: A VM-based architecture for network
Seneca Foundation with code 04552/GERM/06. attack detention center, in Proceedings of the 13th USENIX Security
Symposium, Aug. 2004, pp. 1528.
R EFERENCES [24] M. Gil Perez, J. E. Tapiador, J. A. Clark, G. Martnez Perez, and
[1] R. Zuech, T. M. Khoshgoftaar, and R. Wald, Intrusion detection and A. F. Skarmeta Gomez, Trustworthy placements: Improving quality
big heterogeneous data: A survey, Journal of Big Data, vol. 2, no. 1, and resilience in collaborative attack detection, Computer Networks,
pp. 141, Dec. 2015. vol. 58, pp. 7086, Jan. 2014.
[2] E. Vasilomanolakis, S. Karuppayah, M. Muhlhauser, and M. Fischer,
Taxonomy and survey of collaborative intrusion detection, ACM
Computing Surveys, vol. 47, no. 4, pp. 55:155:33, Jun. 2015.
136
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
1
Abstract Image manipulation is a technique that can be tional Institute), University of Leon, Official Association
carried out by the majority of people. It can be useful in of University Graduates in Computer Science, Technolog-
many situations but it can also be used with malicious pur-
poses. For this reason, image manipulation has become a ical Investigation Brigade of the Spanish National Police
problem when we need to identify images in big datasets. and Polytechnic University of Madrid.
To fight against it, a technique called similarity search is University of Leon is developing and testing one of the
used. It is based on perceptual hashing, but these methods
are not robust against all kind of possible manipulations.
most innovative tasks of ASASEC project, the use of artifi-
University of Leon, within the framework of ASASEC Eu- cial vision techniques to analyse evidences in child pornog-
ropean project, is working to provide a perceptual hashing raphy databases.
solution that outperforms current techniques. In particular, University of Leon is working on several
artificial vision methods, among them:
I. Introduction. Image manipulation problem. Entity detection: Illegal images usually contain en-
It is said that a picture is worth a thousand words and tities or clues that the police, given their experience, can
that is the reason why we are interested in manipulating recognize from past crime scenes. Therefore, scenarios and
images at our will with different purposes. Image ma- evidences can be manually tracked and analysed. Uni-
nipulation is a powerful process that was born almost at versity of Leon is creating an automatic system for clue
the same time than photography and it has been used all detection. Using this system, the police, will be able to
along history in numerous contexts, sometimes with cos- perform this task in an automatized way.
metic purposes (Figure 1) and sometimes with politic pur- Scene categorization and tampering detection
poses (Figure 2). Nowadays, this process is open to every- using perceptual hashes: As we previously said, it is
one since the easy access to image manipulation software common to manipulate illegal images (face obfuscation,
means that singular skills are no longer required. One watermarking, etc.) making difficult their categorization
proof of this is that lots of teenagers with basic computer using the current cryptographic hash methods. University
knowledge touch up images when sharing them in their of Leon is creating a perceptual hashing method, robust
social networks. against all of these modifications to substitute present sys-
In that way, image manipulation has become an ob- tems.
struction in some domains like the fight against child
pornography, which is the object of our study. One of II. Finding images using perceptual hashing
the main clues followed by police when investigating this A hash is a unique identificator associated to a file, some
kind of crimes is the detection of illegal images. At the kind of summary of the file based on its content. Broadly
beginning of the child pornography prosecution, a sus- speaking, generating a hash from a file is similar to con-
pect image was contrasted against a dataset compound vert that file in a piece of representative text. Percep-
of previously marked as illegal images, and if there was a tual hashing is a subset of hashing usually applied to im-
positive match, that new image was also marked as ille- ages. It consists of extracting a simple representation of
gal. However at the moment, confiscated images can be the image, in such a way that small changes over the im-
exactly no equal but just visually similar, because they age from the point of view of human perceptual systems
have suffered any kind of manipulation (compression, size imply small changes on its perceptual hash, and similarly,
changes, brightness and contrast changes, face obfusca- large changes over the image imply large variations of its
tion, etc.). This becomes a serious obstacle because that perceptual hash (see Figure 3).
new image will not be categorized as illegal and crimi- As we can see in these pictures (Figure 3), both are
nals could take advantage of this deficiency. To avoid this very similar from the point of view of human visual sys-
phenomenon, we can use a process called similarity search tems, however, a cryptographic hash (MD5 is shown in
that allows us to find not only identical images but also the figure) is not able to reflect this similarity. We can use
images that are similar to a given one. One of the most cryptographic hashing to verify the integrity of a picture,
commonly used methods of similarity search is robust or but this kind of hash does not offer information about the
perceptual hashing, which will be discussed later. pictures visual structure. As we can observe, the crypto-
ASASEC (Advisory System Against Sexual Exploita- graphic hashes of both images show no similarity at all,
tion of Children) is an European research project whose however, perceptual hashes do. When images are simi-
goal is to provide a technological solution to help the fight lar, distance between their perceptual hashes is very low,
against child pornography. A consortium of public and and in the same way, if both images are slightly different,
private entities expert in innovative technology is devel- their perceptual hashes will be very far away in distance
oping this project; they are INCIBE (Cibersecurity Na- terms. Perceptual hashes reflect the relationship between
137
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
2
the similarity of two images and the distances between match with the current one. This problem can be solved
their hashes. using perceptual hashes. Hence, each image would be as-
sociated to a fixed-size hash (usually lower or equal than
If the perceptual hash of the images in a dataset is 512 bits, depending on the used method), which is faster
known, it is easy to perform searches and image catego- than when comparing complete images and also robust
rization. If we have a dataset with millions of images and against several types of modifications.
we want to look for a specific image, an automatic exhaus-
tive search will take too long: Images should be checked Current systems use cryptographic hashes for confis-
one by one to determine if there is a match. Besides, cated images and video indexing. Cryptographic hash
if our image has suffered some kind of modification (com- does rely on the image binary structure - the binary code
pression, format and size changes, brightness and contrast used to store that image in a computer - rather than on
changes), a match will probably not be found, because human perceptual system over an image. For this reason,
there is no image in our dataset that provides a perfect the change of one single bit, almost imperceptible for hu-
138
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
3
Fig. 3. Left: original image, right: modified image due to color changes. MD5 cryptographic hash extracted from
the original image: bb4f0a96c77e8737d02755457c2e49c8, MD5 cryptographic hash extracted from manipulated image:
6d4d51dfc23becf3edb0019448f78c8c. Perceptual Hash (pHash dct) extracted from original image: 4e1e4967f518cec2, Perceptual
Hash (pHash dct) extracted from manipulated image: 4e1e5d47b518cec0.
man eye, would result in the generation of a completely hashes are good against rotations or other kind of modifi-
different cryptographic hash that will not allow us to dis- cations.
cern if both images are the same from human perception ASASEC project needs a solution robust against all
point of view. As mentioned before, it is very common kind of attacks that images of child pornography usually
to manipulate images: colour correction, watermarking, suffer. University of Leon is working in this challenging
rotations, scales, compressions, etc. For that reason, Uni- task, trying to combine and improve existing methods in
versity of Leon proposes the use of perceptual hashes, ro- order to diminish their deficiencies and adapt them to our
bust against all kind of manipulations within the frame of needs.
the ASASEC project.
139
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
4
Referencias
[1] C. Z. Yuenan Li, Zheming Lu and X. amu Niu, Robust image
hashing based on random gabor filtering and dithered lattice
vector quantization, Image Processing, pp. 19631980, 2012.
[2] L. Yu and S. Sun., Image robust hashing based on dct sign,
In Intelligent Information Hiding and Multimedia Signal Pro-
cessing, pp. 131134, 2006.
[3] J. Zuo and D. Cui., Retrieval oriented robust image hashing,
Industrial Mechatronics and Automation, pp. 379381, 2009.
[4] . V. Monga and M. Mhcak., Robust and secure image hashing
via non-negative matrix factorizations, Information Forensics
and Security, pp. 376390, 2007.
[5] B. Chen and V. Chandran, Robust image hashing using higher
order spectral features, In Digital Image Computing: Tech-
niques and Applications (DICTA), pp. 100104, 2010.
[6] F. Ahmed and M. Siyal., A secure and robust hashing scheme
for image authentication. Fifth International Conference on
Information, Communications and Signal Processing, pp. 705
709, 2005.
[7] S. Roy and Q. Sun., Robust hash for detecting and localizing
image tampering, Image Processing, 2007.
[8] C. q. X. Han ling Zhang and G. zhi Geng., Content based
image hashing robust to geometric transformations, In Elec-
tronic Commerce and Security, vol. 2, pp. 105108, 2009.
[9] H. Farid, Exposing digital forgeries from jpeg ghosts, Infor-
mation Forensics and Security, pp. 154160, 2009.
[10] M. M. a. K. Senel and V. Monga., A learning framework for
robust hashing of face images, In Image Processing (ICIP),
pp. 197200, 2010.
140
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
Manuel Snchez Rubio, Jos Miguel Gmez-Casero Marichal, Carlos Cilleruelo Rodrguez
UNIR Universidad Internacional de la Rioja, Logroo, Espaa
manuel.sanchezrubio@unir.net;jmgomezcasero@yahoo.es;carloslannister@gmail.com
Abstract Este artculo presenta unas amenazas potenciales en los servicios prestados para muchos usuarios, estn las
existentes cuando los desarrolladores y empresas despliegan SCADA compaas prestadoras de servicios concienciadas de los riesgos
para las infraestructuras crticas sin cuidar la seguridad. Est basado existentes ante la falta de seguridad en los servicios?
en el motor de bsqueda Shodan y su trabajo cuando los atacantes
En este estudio nos centraremos en las vulnerabilidades
renen informacin sobre un objetivo o cuando estn buscando un
activo para atacar. Adems, se muestra en este documento una existentes en las conocidas como infraestructuras crticas (ver
prueba de concepto, simuladora de ataques a estos sistemas SCADA, ejemplo en Fig. 1), trmino aplicado generalmente a aquellos
siguiendo los pasos de un atacante convencional, desde la consulta de activos cuyo funcionamiento es en beneficio de la sociedad, desde
bsqueda en el motor Shodan, hasta que el acceso es concedido a una generadores de electricidad hasta transporte, hospitalesetc.
infraestructura crtica. Todos los sectores que se apoyan en infraestructuras crticas
son, como su nombre indica, necesarios para el funcionamiento de
Keywords SCADA, seguridad por defecto, infraestructuras
crticas, shodan, footprinting.
la sociedad en mayor o menor medida, y su correcto
funcionamiento ser responsable del crecimiento de sta.
Pero en el funcionamiento existe un elemento que no se trata
I. INTRODUCCION debidamente, bien porque se trata con menor prioridad o bien
porque simplemente no se trata: la seguridad del entorno. Si los
Internet de las Cosas (IoT) [1] est terminando de
responsables de una infraestructura crtica no garantizan la
materializarse, y cada da las personas hacen uso de la tecnologa
proteccin necesaria para su entorno, entonces no se est
para cumplir sus necesidades, desde pequeas consultas cotidianas
mitigando el riesgo existente ante la posibilidad de que el trabajo
hasta poder comprar productos con un solo botn preprogramado.
realizado por sta infraestructura no sea el esperado o que incluso
Un indicador de que el IoT est sobre la sociedad es la
suponga una interrupcin del servicio, provocando prdidas que,
posibilidad de solicitar a la compaa de comercio electrnico
en algunos casos, no tienen cuanta econmica para evaluarse.
Amazon un botn dash button que, cada vez que el usuario pulsa,
Afortunadamente los principales fabricantes han reaccionado
se enviar a su domicilio un pedido segn los parmetros
ante este tipo de ataques y muchos de sus productos obligan
establecidos en el dispositivo (por ejemplo, para solicitar
durante su proceso de implantacin a ejecutar una serie de pasos
productos consumibles y cotidianos).
destinados a establecer la configuracin de la seguridad de ste.
Lo que parece ser un simple dispositivo electrnico al servicio
Un ejemplo sera los dispositivos de almacenamiento en red de
del usuario esconde, a su vez, un foco potencial de inseguridad
Synology, los cuales requieren un valor para la contrasea del
para el usuario, ya que su utilizacin es nicamente un botn, pero
usuario admin, cuyo nombre tambin puede ser modificado.
tras este mecanismo existe, principalmente, un envo de datos a los
Sin embargo, la complejidad de la contrasea no es evaluada
servidores de la compaa, donde se realizar un pedido segn la
durante este proceso, lo que lleva la responsabilidad de su fortaleza
informacin de la solicitud emitida.
al usuario, depurando responsabilidades por parte del fabricante,
Si cada vez que se pulsa un botn se realiza un pedido, la
pero el problema persiste.
pulsacin repetida de este botn supone, por tanto, la realizacin
De esta forma, vemos que existen dos escenarios diferentes
de un elevado nmero de pedidos, que supondrn un desembolso
pero que ambos han dejado durante el desarrollo el aspecto de la
para el usuario.
seguridad en segundo plano, lo que conlleva asumir riesgo por
Y si alguien es capaz de copiar ese envo y replicarlo
parte de todas las personas responsables de ste.
malintencionadamente infinitas veces? Es consciente el usuario
La principal puerta de acceso a estos entornos por parte de
de que est siendo vctima de este ataque? Y lo que podra ser ms
entidades externas sin acceso autorizado es mediante las diferentes
importante, ha sido el usuario consciente de este riesgo en el
vulnerabilidades existentes en el propio sistema SCADA [2], que
momento de adquirir el servicio?
se han convertido en objeto de muchos estudios tanto generales
Aunque es muy probable que esta compaa de comercio
[3],[4] como propios del conocido como hacktivismo [5], mencin
electrnico s haya considerado todos los escenarios, este ejemplo
especial al gusano informtico Stuxnet [6], uno de los mayores
nos sirve para exponer un problema existente en la actualidad: la
ataques contra este tipo de entornos. Entre estas vulnerabilidades
sociedad es consciente de las capacidades de la tecnologa para
destacaremos la ya mencionada seguridad por defecto como
suplir sus necesidades, pero no es consciente de los riesgos que
vulnerabilidad que ofrece acceso a estos sistemas.
supone apoyarse en ella sin conocer stos.
En el presente artculo se hace mencin expresa a una
Llegados a este punto, y pensando ms en las organizaciones y
herramienta ampliamente conocida y utilizada para la bsqueda de
141
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
estos entornos, Shodan, creada por John Matherly [7], que desde (Ghena et al, 2014 [9]), en el que se realiza un anlisis de cada una
2009 ha estado realizando un escaneo eterno de todas las de las partes implicadas en este entorno, cuyo funcionamiento
direcciones IP y recolectando la informacin de las cabeceras de puede ser simple y sencillo, pero que si un ente externo logra
cada servicio que aloja. comprometerlo, podra suponer graves consecuencias.
Una vez expuestos todos los elementos participantes en el Su principal ventaja es el control de estas estructuras en remoto,
presente estudio, concluiremos con una prueba de concepto, donde permitiendo una gestin a distancia de estos activos y as poder
seguimos la metodologa de un atacante cualquiera desde una garantizar el buen funcionamiento y gestin del servicio para el
bsqueda en Shodan de una infraestructura crtica, hasta el acceso que se trabaja. Uno de los principales elementos principales de un
a una de stas, donde tendremos control total de la misma. sistema SCADA es el sistema supervisor, que cuenta con una
Finalmente, en la seccin VI se incluyen las conclusiones del interfaz humano-mquina (Human-machine interface HMI),
estudio. utilizada como elemento de conexin entre la informacin de la
La principal motivacin tras este estudio es mostrar. Otro mquina y las rdenes de las personas designadas como
estudio de referencia, ms enfocados al Internet de las Cosas y a responsables del entorno.
los accesos abiertos o que no hacen uso de la seguridad por La utilizacin de estos entornos se ha extendido mucho, y ha
defecto, es el realizado por Patton [8]. En el caso del presente llamado la atencin de los atacantes por el potencial existente a la
estudio, no haremos una bsqueda general de dispositivos con hora de tomar el control de infraestructuras crticas, tanto parcial
acceso abierto, sino que nos centraremos en entornos crticos, como totalmente. Ejemplos histricos sobre el inters despertado
donde la seguridad adquiere una importancia an mayor. en los atacantes es, como se ha mencionado anteriomente, el
gusano informtico Stuxnet, que fue descubierto en 2010 y que
cuya actividad se centr principalmente en sistemas SCADA
desarrollados por el fabricante Siemens ubicados en Irn.
Tanto antes como despus de este conocido malware, los
sistemas SCADA son objetivo de muchos ataques y de
investigaciones que buscan constantemente vulnerabilidades que
puedan ser aprovechadas.
Ms all del perfil del atacante, la seguridad de los entornos
SCADA, las infraestructuras crticas que gobiernan y entornos que
interactan con stos (sistemas de monitorizacin) han sido objeto
de estudio para muchas organizaciones, como el Instituto Nacional
de Tecnologas de la Comunicacin [10], cuyos autores repasan
los principales conceptos relacionados con el desarrollo de
entornos para el sector industrial.
Por ltimo, es importante comentar que existen diferentes tipos
de normativas en los sistemas de control, enfocadas especialmente
en la seguridad, donde se recopilan diferentes modelos y
Fig. 1. Ejemplo de interfaz de una infraestructura crtica (depuradora de aguas) recomendaciones, as como estndares centrados en diferentes
con SCADA.
sectores, como podra ser el energtico. Una recopilacin general
de esta normativa es la que ofrece INCIBE en su pgina oficial
[11]. Existen estudios donde se aplican estas normativas. En el
II. SCADA Y ESTRUCTURAS CRTICAS caso del estudio realizado por Czechowski, Wicher y Wiecha
sobre la seguridad en la comunicacin de entornos SCADA
Para poder tener el estudio en contexto, dedicamos este captulo aplicando la normativa IEC 61850 [12], donde se define una serie
para la definicin de algunos elementos clave del mismo. de vulnerabilidades en un escenario. Entre las vulnerabilidades
Los principales protagonistas son las infraestructuras crticas, figura valores de usuario y contrasea por defecto, que
un conjunto de estructuras que engloban una pieza clave para el pertenece a un grupo al que dedicaremos un captulo ms adelante,
crecimiento de la sociedad, y que cuyo correcto funcionamiento y que adquirirn importancia en el presente estudio. Como
debe ser garantizado por sus responsables. referencias a diferentes tipos de soluciones SCADA existentes en
Segn sus siglas Supervisory Control And Data Acquisition, la actualidad, se puede recurrir al estudio de Aghajanzadeh y
SCADA es utilizado ampliamente para el control de Keshavarz-Haddad [13].
infraestructuras crticas. Existe un estudio centrado en la seguridad
de los entornos responsable de la seguridad vial de Estados Unidos
142
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
III. SHODAN En este caso Shodan necesita datos concretos, tales como la
direccin IP de un equipo en concreto (o una subred especfica),
Introducidos en la problemtica existente en SCADA, y un nmero de puerto especfico, o una cadena que figure en la
conociendo la criticidad de los entornos que gobiernan, vemos que cabecera del servicio que Shodan haya identificado al descubrir la
estos entornos deben estar expuestos a la Red para mantener la Red. Una vez parametrizada la bsqueda esta se realiza y ofrece
operativa en remoto, lo que supone aceptar el riesgo inherente de los resultados que responden a la consulta realizada.
que cualquier persona conectada a la Red puede tener acceso a Cada elemento de la lista de resultados dispone de informacin
ste. Sin embargo, buscar entornos SCADA preguntando el tipo de relacionada con los servicios que el equipo tena en
servicio que presta cada direccin IP en la actualidad en cada uno funcionamiento en el momento de su deteccin, as como
de sus puertos, puede suponer una tarea muy pesada para un informacin propia de una direccin IP, como el proveedor de
atacante en particular, adems de dejar una huella digital grande. servicio, ASN o el pas de localizacin, entre otros. La mayora de
Es aqu (y en muchos otros aspectos de seguridad de la estas detecciones son bien servicios de conexin Telnet/ SSH o
informacin) donde Shodan ha sabido ganarse un sitio en el kit de aplicaciones web que sirven como pasarela de acceso al servicio
utilidades para cualquier experto en seguridad. Creada por John en s, el cual es accesible a travs de Shodan.
Matterly, este motor de bsqueda ofrece al usuario resultados En muchas ocasiones, incluso, se puede acceder al servicio sin
sobre lo que este busque, pero prescindiendo de sitios web, sino albergar ningn tipo de seguridad, permitiendo ver, por ejemplo,
utilizando los banner de los servicios que tienen habilitados los las imgenes que ofrece una cmara IP, como muestra la figura 2.
servidores.
143
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
La aportacin de Shodan al mbito de la seguridad de la Se trata de una vulnerabilidad reconocida por las
informacin ha sido muy grande, al ser una herramienta de gran organizaciones especializadas en seguridad, como por ejemplo
utilidad tanto para atacantes como para expertos en seguridad. Ms OWASP [17], que la recoge en su Top Ten [18] personal de
all de los escenarios propios de un ataque, Shodan tambin sirve vulnerabilidades ms extendidas.
para ofrecer informacin propia de un servicio Big Data, al Existen muchos estudios relacionados con la seguridad por
disponer de informacin de innumerables ordenadores, defecto, como el realizado por Cui y Stolfo, en el que recogen
dispositivos mviles, entornos crticos, webcams/ cmaras IP, etc. diferentes datos relacionados con la seguridad por defecto [19],
Adems de Shodan, otros autores han realizado estudios basados como que un 13% de los dispositivos descubiertos durante su scan
en el potencial de este motor de bsqueda, como Bodenheim, contaban con valores de seguridad por defecto, que les permitieron
quien realiz una tesis enfocada en la bsqueda de sistemas de
acceder al entorno, que poda ser desde una webcam hasta un
control de entornos industriales mediante Shodan [15], la cual
router convencional.
sirvi como pie de investigacin y una prueba de concepto en la
Tpicamente se puede comprobar este formato de credenciales
que Bodenheim et al (2014) [16] hacan uso de cuatro
programadores lgicos a modo de seuelo para evaluar el grado de en los routers de conexin a internet que las operadoras telefnicas
exposicin ante Shodan. El presente estudio tambin ofrece una y proveedoras de conexin a la Red proporcionan a los usuarios
serie de pautas para mitigar la exposicin ante el buscador, en sus viviendas. Ms all del usuario particular, existe un estudio
mediante la manipulacin de cabeceras de servicio. centrado en la seguridad de la conectividad WiFi (Sagers et al,
2015) [20], en el que se evala el estado actual de la seguridad
Esta informacin se ofrece en forma de informes que publica la WiFi y se realiza una reflexin orientada a los proveedores de
propia pgina de Shodan con cierta frecuencia, ofreciendo a la puntos de acceso WiFi.
comunidad datos estadsticos como el nmero de webcams
existentes en el mundo (ver figura 4).
Para la gran mayora de usuarios, son familiares determinadas
cadenas de caracteres ASCII usadas como claves de paso a los
sistemas, como accesos a portales de router y as gestionar
diferentes aspectos de stos.
No obstante, hay que recalcar otra gran parte de fabricantes que
proveen productos y soluciones hardware/software que ofrecen
este tipo de sistemas de gestin y, durante su proceso de
instalacin e implantacin, solicitan de forma obligatoria la
introduccin de una contrasea para la cuenta de usuario
administrador, con suficiente fortaleza, cayendo la
Fig. 4. Uno de los informes que ofrece Shodan.
responsabilidad de cualquier acceso no autorizado en la parte del
responsable de la instalacin, y no en el fabricante.
Es interesante recalcar que el buscador Shodan y todas sus Afecta esta vulnerabilidad a los sistemas SCADA? Las figuras
utilidades no son gratuitas, sino que existe una licencia vitalicia 5 y 6 muestran capturas de pantalla de un sistema SCADA
para tener acceso a mltiples elementos, como el uso de todos los destinado a la monitorizacin y gestin de una empresa generadora
filtros de bsqueda, el visionado de todas las pginas de resultados de energa solar.
y una API key para poder realizar desarrollos basados en Shodan. El citado sistema, tiene un control de voltajes para cada panel
Tambin dispone de acceso a un sistema de crditos, que existe solar, as como una variedad de sensores que permiten monitorizar
en la pgina del propio buscador, donde se pueden comprar voltaje acumulado, temperatura, intensidad de luz que percibe, etc.
distintos plugins que enriquecern el funcionamiento. En general, se trata de una interfaz muy completa, pensada ms
Desde el punto de vista de un experto de seguridad de la para comprobar el estado de la totalidad de los paneles solares pero
informacin profesional, la utilizacin de una licencia de Shodan con dotes de control remoto.
es ms que recomendada para poder observar con todos los Puede afectar la seguridad por defecto a este entorno? Para
ello hay que localizar informacin til relativa a la configuracin
detalles necesarios el estado de los activos que estn expuestos a
de seguridad de la interfaz. La cabecera del servicio nos notifica
la Red y cuya responsabilidad dependa de ste.
la utilizacin de una aplicacin web que requiere usuario y
contrasea para su acceso.
Haciendo una bsqueda del fabricante, modelo y versin del
sistema SCADA en cuestin, vemos que, al proveer el sistema, se
IV. SEGURIDAD POR DEFECTO ofrecen unas credenciales con valor por defecto para poder acceder
al sistema.
144
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
V. PRUEBA DE CONCEPTO
[Capte la
atencin de
losBsqueda
Fig. 7. lectoresde depuradoras va Shodan
Fig. 6. Interfaz de gestin de los paneles solares mediante una
cita
El inters por esta vulnerabilidad ha llevado a diferentes importante
El detalle e histrico nos ofrece el resto de pormenores
comunidades Open Source a la creacin de amplias bases de datos extradamsdel sobre la depuradora: activa desde
necesarios para conocer
con informacin relativa a dispositivos, fabricantes y sus documento o de la bsqueda, otros servicios
hace unos meses desde el momento
credenciales por defecto, como por ejemplo la pgina default- utilice esteva puerto 8080 por el que se ha
abiertos adems del HTTP
passwords [21], que permite buscar este tipo de credenciales, espacio para
utilizadas para este tipo de ataques. encontrado este servidor.
Otros elementos resaltar
como unIP y versiones que maneja el servidor,
Para finalizar el captulo, indicar que guas de buenas prcticas punto clave.
como el NIST recogen entre sus recomendaciones asegura que nos podran ofrecer otros datos de forma indirecta, como la
geolocalizacin en Paracoordenadas
colocar de la depuradora y las
el cuadro de
texto en
cualquier
lugar de la
pgina, solo
tiene que
arrastrarlo.]
145
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
VI. CONCLUSIONES
Con el presente artculo ofrecemos una percepcin de la
problemtica existente en la ya mencionada seguridad por defecto,
centrndonos en las infraestructuras crticas, SCADA y sus riesgos
y consecuencias en caso de no mitigar problemas como los
descritos.
Fig. 8. Ventana emergente del servicio web de la depuradora
La prueba de concepto realizada no es ms que una de las miles
An desconocemos si el fabricante proporciona unos de pruebas de concepto (que se transforman en ataques reales) que
credenciales predefinidos a los clientes que adquieran este vulneran los mecanismos de seguridad de estas estructuras crticas
producto, y ni siquiera conocemos estos credenciales, pero la y suponen una seria amenaza para las organizaciones, sus servicios
informacin de esta ventana ser ms que til para este fin. y los usuarios de stos.
As, tan slo har falta realizar una consulta en cualquier motor Las consecuencias que puede tener, por ejemplo, el acceso a
de bsqueda y buscar esta informacin junto con cadenas de una depuradora que abastece agua a una regin, supone hablar de
caracteres comunes. trminos que se miden por encima de los daos econmicos, lo
Esta misma bsqueda nos lleva a una consulta en un foro de que hace que su seguridad tenga un valor mucho ms elevado que
dudas, donde un usuario consulta por estos credenciales, al no el habitual, ya que el adjetivo crtico de estas infraestructuras est
haber tenido oportunidad de acceder al servicio. claramente justificado.
Otro usuario resuelve la cuestin indicando los credenciales, Debilidades del sistema como uso de credenciales por defecto,
reutilizacin de credenciales y contraseas de fortaleza dbil se
los cuales utilizamos para intentar acceder al servicio objeto de
basan en una vulnerabilidad propia de usuarios y administradores,
esta prueba de concepto.
por lo que su mitigacin es mucho ms difcil de solventar.
El resultado, como caba esperar, es satisfactorio, y Siempre se pueden crear polticas de seguridad que cubran
conseguimos entrar al panel de control con xito, accediendo a escenarios como los descritos anteriormente, que incluyan
todas las funcionalidades propias de este entorno SCADA, desde clausulas como tiempos de expiracin para contraseas,
controlar el estado de las alarmas hasta modificar la dosificacin utilizacin de varios tipos de caracteres, etc.
de sosa y nutrientes (ver figura 9). Sin embargo, la principal solucin para evitar accesos no
autorizados a los entornos SCADA es bastionar las infraestructuras
crticas. De esta forma, incluso el acceso desde Shodan ser muy
difcil o imposible.
La principal seguridad contra este tipo de tcnicas de
footprinting y fingerprinting es aadir una nueva capa de
seguridad a nivel de red, basada en redes privadas tipo VPN, que
sean utilizadas nica y exclusivamente para el acceso a las
interfaces humano-mquina.
146
JNIC2015 Octava Sesion: Temas relacionados con la ciberseguridad
De esta forma, el atacante tendr que resolver la problemtica [11] Instituto Nacional de Ciberseguridad (2015, julio). Normativas de seguridad
en sistemas de control. Recuperado de
de enfrentarse a una conexin VPN antes de poder acceder al
https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_com
entorno SCADA, lo que implica paliar con los diferentes aspectos entarios/Normativas_seguridad_sistemas_control.
de este tipo de redes privadas, mucho ms seguras. [12] CZECHOWSKI, R., WICHER, P., & WIECHA, B. Cyber Security in
Otras opciones, en caso de ser un sistema de control remoto communication of SCADA systems using IEC 61850. Julio 2015
[13] Aghajanzadeh, N., & Keshavarz-Haddad, A. (2015). A Concise Model to
especfico y cerrado, como puede ser por ejemplo entre dos sedes
Evaluate Security of SCADA Systems based on Security Standards.
de una organizacin, podra utilizarse un sistema de filtrado por IP International Journal of Computer Applications, 111(14).
tipo lista blanca, donde slo se permite el acceso al entorno desde [14] Baloch, Rafay. Ethical Hacking and Penetration Testing Guide. CRC Press,
direcciones IP propias de la compaa, impidiendo cualquier 2014.
[15] Bodenheim, R. C. (2014). Impact of the Shodan Computer Search Engine on
acceso externo.
Internet-facing Industrial Control System Devices (No. AFIT-ENG-14-M-
Es posible que la solucin ms evidente sea que se detenga la 14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-
actividad tanto de Shodan, al tratarse de un escaneo de la Red a PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND
gran escala, pero lo que recogemos en este estudio no es el poder MANAGEMENT.
[16] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the
de motores de bsqueda como el desarrollado por John Matherly,
ability of the Shodan search engine to identify Internet-facing industrial
sino la vulnerabilidad existente por naturaleza en los servidores: control devices. International Journal of Critical Infrastructure Protection,
su exposicin a la Red para prestar servicio implica ofrecer una 7(2), 114-123.
informacin que puede ser utilizada por terceros con intenciones [17] https://www.owasp.org/index.php/Main_Page
[18] https://www.owasp.org/index.php/Top10#tab=OWASP_Top_10_for_2013
maliciosas y que estn fuera del alcance y objetivos del servicio a
[19] A. Cui and S. J. Stolfo. A quantitative analysis of the insecurity of embedded
prestar en s. network devices: Results of a wide-area scan. In Proceedings of the 26th
No obstante tambin cabe destacar el uso de Shodan en la Annual Computer Security Applications Conference, pages 97106. ACM,
actualidad para la actividad destinada a fines estadsticos y de 2010.
[20] Sagers, G., Hosack, B., Rowley, R. J., Twitchell, D., & Nagaraj, R. (2015,
investigacin, a la hora de ofrecer toda su informacin sectorizada
January). Where's the Security in WiFi? An Argument for Industry
por protocolos, pases y fabricantes Awareness. In System Sciences (HICSS), 2015 48th Hawaii International
Conference on (pp. 5453-5461). IEEE.
AGRADECIMIENTOS [21] https://default-password.info/
[22] National Institute of Standards and Technology (2015, mayo). Guide to
Industrial Control Systems (ICS) Security. Recuperado de
This work is partially supported by UNIR Research Support http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
Strategy 20132015, under the CYBERSECURITICS.es [23] https://cpe.mitre.org/
Research Group [http://research.unir.net].
REFERENCIAS
[1] Ashton, Kevin. "That internet of things thing." RFiD Journal 22.7 (2009):
97-114.
[2] Daneels, Axel, and Wayne Salter. "What is SCADA." International
Conference on Accelerator and Large Experimental Physics Control Systems.
1999.
[3] Igure, Vinay M., Sean A. Laughter, and Ronald D. Williams. "Security issues
in SCADA networks." Computers & Security 25.7 (2006): 498-506.
[4] Krutz, Ronald L. Securing SCADA systems. John Wiley & Sons, 2005.
[5] Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security &
Privacy, IEEE 9.3 (2011): 49-51.
[6] Wilson, Clay. "INDUSTRIAL AND SCADA SYSTEMS MAY BE
INCREASINGLY TARGETED FOR CYBERATTACK." (2012).
[7] Matherly, John C. "SHODAN the computer search engine." Available at
[Online]: http://www. shodan.io (2009).
[8] Patton, M., Gross, E., Chinn, R., Forbis, S., Walker, L., & Chen, H. (2014,
September). Uninvited Connections: A Study of Vulnerable Devices on the
Internet of Things (IoT). In Intelligence and Security Informatics Conference
(JISIC), 2014 IEEE Joint (pp. 232-235). IEEE.
[9] Ghena, B., Beyer, W., Hillaker, A., Pevarnek, J., & Halderman, J. A. (2014,
August). Green lights forever: analyzing the security of traffic infrastructure.
In Proceedings of the 8th USENIX conference on Offensive Technologies
(pp. 7-7). USENIX Association.
[10] Instituto Nacional de Tecnologas de la Comunicacin (2012, marzo).
Estudio sobre la seguridad de los sistemas de monitorizacin y control de
procesos e infraestructuras (SCADA). Recuperado de
https://www.incibe.es/file/5ik7qnpsCJD6GNls9ZYKrA
147
JNIC2015 Novena sesion: Ciberseguridad en Industria
Resumen- El anlisis forense de discos puede considerarse extensiones habituales de vdeos y fotografas. Esto es ms que
como uno de los retos con ms importancia e, incluso, evidente.
demanda social. Este reto es ideal para alguien que desee Finalmente, todo anlisis forense acaba con un
iniciarse sin tener ningn conocimiento previo. Por ello, se documento/informe en el que el forense explica sus mtodos,
selecciona Windows como sistema operativo base. Pese a que resultados y conclusiones. Este paso no est incluido en el
todo lo aqu expuesto puede realizarse tambin desde Linux (y ejercicio propuesto, puesto que aqu se presenta la metodologa
con mayor facilidad), se opta por utilizar el sistema operativo tcnica de anlisis forense de discos. La elaboracin de
ms habitual para no iniciados. informes periciales quedara fuera de lo que es el reto en s, un
El reto se presenta totalmente resuelto, y se propone que se reto totalmente tcnico y no demasiado formal.
repita sobre otra unidad que se proporciona mediante un enlace
web para descargar y practicar todo lo aprendido.
II. RETO EN ANLISIS FORENSE DE DISCOS
148
JNIC2015 Novena sesion: Ciberseguridad en Industria
atencin a que el propietario del equipo no haya renombrado a) Obtencin de una imagen clonada del disco duro
las extensiones de los archivos en cuestin, con el objetivo de original.
ocultar su existencia, disimularla o confundir a cualquier otro b) Recuperacin de archivos borrados y anlisis de los
usuario del equipo. mismos.
c) Preprocesado para asegurar que los formatos de
archivos son los adecuados.
IV. HERRAMIENTAS SOFTWARE Y MATERIAL
Bsicamente, se dispone de un disco duro original que es VI. FASE DE PRESERVACIN DE PRUEBAS
preciso clonar para preservarlo (en realidad, una memoria USB
de pequeo tamao). Adicionalmente, se presenta en este En este reto se facilitan las explicaciones correspondientes al
apartado el software utilizado durante las tareas de anlisis apartado a), la clonacin del disco duro original (memoria
forense, indicando (en la seccin de referencias) de dnde USB), as como a los apartados b) recuperacin de archivos, y
puede obtenerse. Se ha optado por trabajar con software libre o c) comprobacin de extensiones.
versiones de evaluacin, accesibles sin problemas. En anlisis forense de discos, lo habitual es realizar un
clonado de unidades arrancando desde un Live CD o desde una
Clonado de discos unidad flash USB. En la simulacin, se realizan los siguientes
pasos, previos a la clonacin de esta memoria USB
Como material, se dispone del disco duro original (memoria
USB), que es preciso preservar. Por ello, se debe obtener una Preparacin de memoria USB
imagen clonada del disco original, sobre la que se realizarn
todas las pruebas. Existen muchas herramientas para realizar el Clonar un disco duro puede llevar bastante tiempo,
clonado de discos. Una de ellas podra ser la que se ofrece dependiendo del tamao del mismo, del equipo con el que se
desde OSForensics: OSFClone, en conjuncin con ImageUSB trabaja, de las herramientas utilizadas Para ilustrar todo el
y OSFMount [1]. proceso de forma sencilla, se procedi a preparar una memoria
Tal y como se comentar posteriormente, tambin se hace USB del menor tamao posible (256 Mb en este caso), con una
uso de la herramienta Eraser para realizar borrados seguros de serie de ficheros.
archivos. Esta herramienta puede encontrarse en [2]. Dado que esta memoria USB se haba usado bastante con
anterioridad, copiando y borrando innumerables archivos, fue
Comprobacin de extensiones de archivos preciso prepararla adecuadamente, realizando un borrado
seguro que impidiese recuperar, con posterioridad, archivos no
En la web pueden encontrarse multitud de aplicaciones para deseados en la simulacin. Para ello, se hizo uso de Eraser [2].
determinar la extensin ms probable de un archivo, en el caso As se impide recuperar archivos antiguos que se hubiesen
de que sta se desconozca o se desconfe de la que muestra. eliminado de la memoria USB con anterioridad a su utilizacin
Dado que es posible que los archivos hayan sido renombrados para este reto.
a otras extensiones por el propietario del disco duro, con el
nimo de evitar su identificacin, resulta muy adecuado el uso
de este tipo de herramientas. Esta opcin se encuentra en los
objetivos 2 y 3, anteriormente enumerados. De entre todas las
posibilidades existentes, se seleccionan dos herramientas libres
muy simples, para tratar de asegurar de este modo que los
formatos propuestos concuerden adecuadamente: TrID [3] y
P10XB [4].
149
JNIC2015 Novena sesion: Ciberseguridad en Industria
Debe ejecutarse Eraser, en modo Administrador (Ejecutar Creando el Live Flash USB
como Administrador). Con el botn derecho del ratn, se
selecciona una nueva tarea (figura 1). Se elige Run El siguiente paso consisti en realizar el clonado de la
immediately y se pulsa sobre Add Data. Se deben borrar los memoria USB, que contena 5 archivos en el directorio raz, y
ficheros, as como el espacio libre que queda en la memoria otros 5 archivos borrados, tambin en el directorio raz.
USB y que puede contener archivos borrados hace tiempo. Generalmente, para evitar la alteracin / modificacin de las
pruebas (discos duros, por ejemplo), en informtica forense
Preparacin de archivos suelen utilizarse Live CDs para arrancar el sistema y proceder
a la fase de adquisicin de pruebas. Existen varias
Para la simulacin, se descargaron de internet 10 archivos distribuciones de Live CDs de anlisis forense en la web, que
con extensiones diferentes, y con tamaos pequeos. Las permiten multitud de opciones. En nuestro ejemplo,
extensiones seleccionadas fueron algunas de las ms bsicamente se precisa realizar un clonado de un disco duro
habituales: RTF, DOC, DOCX, XLS, XLSX, PPT, PPTX, (memoria USB). Para ello, bastar con disponer de una
PDF, JPG, BMP, GIF, PNG, MID, MP3, AVI, WMV, INI, herramienta de clonado (OSFClone [1]), que ser montada en
TIF, EXE, TXT una unidad de arranque USB, en lugar de tener que generar un
La relacin de archivos que se usa en este ejemplo se CD de arranque, algo ms tedioso que la solucin que se
muestra en la figura 2.a). Se plantea la idea de cambiar la propone a continuacin.
extensin de estos ficheros con el objetivo de simular que el De este modo, para clonar esta memoria USB (con la
usuario del equipo ha modificado la extensin para dificultar el herramienta OSFClone) se us la aplicacin ImageUSB [1],
seguimiento de los archivos. Bsicamente, se ha eliminado que permite realizar una unidad flash de arranque a partir del
directamente su extensin, en lugar de cambiarla a otra distinta. fichero descargado.
Adems, se seleccionaron 5 archivos para borrarlos de la Tras descomprimir el archivo OSFClone.zip, se dispone del
memoria USB, lo que ilustra la figura 2.b), que muestra los fichero OSFClone.bin. Se debe disponer de un Pendrive para el
archivos sin extensin y a punto de ser eliminados. arranque, de al menos 2 GB, dado que no solo se copiar el
fichero OSFClone.bin, sino tambin un Core Linux de
arranque. Como es de esperar, se borrarn todos los datos que
contenga esta memoria USB de 2 GB. Al ejecutar
ImageUSB.exe, se abre la pantalla mostrada en la figura 3.
a) b)
Figura 2. Archivos copiados en la memoria USB (a), y archivos sin
extensin y a punto de ser borrados (b).
150
JNIC2015 Novena sesion: Ciberseguridad en Industria
Se elige la opcin 1. Select source, el disco duro fuente, Would you like to save an accompanying info
esto es, la unidad que se quiere clonar. Tras ello, se selecciona fileinthesamelocationastheimagefile?
el disco duro/particin de destino, con la opcin 2. Select (y,n)>y
151
JNIC2015 Novena sesion: Ciberseguridad en Industria
152
JNIC2015 Novena sesion: Ciberseguridad en Industria
VII. FASE DE LOCALIZACIN DE ARCHIVOS CON CONTENIDO Con MiniTool, una vez instalada la aplicacin, sobre la
SENSIBLE A LA INVESTIGACIN pantalla principal, bastar con indicar que se desean recuperar
Una vez que se dispone de la imagen clonada del dispositivo los archivos borrados (opcin Undelete Recovery). Tras ello,
a investigar, sabiendo que esta clonacin se ha realizado bit a debe indicarse sobre qu unidad se desea realizar la
bit, es decir, que dispone de los archivos actuales y tambin de recuperacin de archivos. Al hacer clic en el botn Recover
los archivos que se hayan podido borrar, es cuando toca aparecern los archivos que han sido borrados (Figura 6).
realizar el anlisis de la misma. El objetivo sera recuperar
todos los archivos y ver si las extensiones se corresponden con Una vez que se seleccione el botn Save files, habr que
las adecuadas. indicar dnde se desean salvar los archivos marcados para
recuperar. En la siguiente pantalla se indicar, en color rojo,
que es recomendable (y lgico!) salvar los archivos
Recuperacin de archivos borrados recuperados en otra unidad, ya que, en caso contrario, al
restaurar los archivos borrados sobre la propia unidad en que
Es posible que el propietario del equipo haya borrado, previa haban sido borrados, se altera el contenido de la misma, y es
a la intervencin policial, determinados archivos. Por este posible que se destruya otra informacin sobre la unidad que
motivo, resulta importante realizar una bsqueda exhaustiva. est siendo investigada. Al ser una versin gratuita, la cantidad
Para la consecucin del objetivo 2, en lo relativo a la de datos recuperados se limita a 1 GB, suficiente, al menos,
recuperacin de archivos borrados, tambin existen varias para el ejemplo presentado en este documento.
posibilidades. EaseUS Data Recovery Wizard Professional [7] Por su parte, Pandora Recovery propone el uso de un
y Stellar Phoenix Windows Data Recovery [8] son dos asistente, para guiar en el proceso global de recuperacin de
aplicaciones comerciales de lo mejor que se puede encontrar en archivos. En el caso particular que nos ocupa, lo ms sencillo
el mercado. Como alternativa al software de pago, en [9] se es cerrar el asistente y realizar el proceso directamente
muestra una relacin de 15 aplicaciones gratis para recuperar pinchando sobre la unidad en la que deseamos recuperar la
archivos borrados. Para el anlisis forense propuesto, este tipo informacin (G: en este caso, como se aprecia en la figura 7).
de aplicaciones libres es ms que suficiente. De entre todas Seleccionando los archivos (de los que es posible realizar
ellas, en este estudio se propone el uso de MiniTool [5] y una vista previa), y pinchando en el botn de recuperar (opcin
Pandora Recovery [6]. Archivo + Recuperar en), simplemente habr que indicar
Indicar que siempre se proponen dos herramientas porque a la ubicacin en donde se desean recuperar los archivos.
veces sucede que una herramienta no proporciona todos los
resultados deseados, y siempre es importante tener un plan B.
Incluso es cierto que, tambin a veces, unas herramientas
recuperan unos archivos y otras herramientas terminan de
recuperar otros ficheros distintos.
153
JNIC2015 Novena sesion: Ciberseguridad en Industria
Procesado para asegurar formatos de archivos La idea sera forzar la correccin de las extensiones,
parametrizando el comando trid con la opcin ae:
Tras realizar la bsqueda sistemtica de archivos se
proceder a comprobar la correccin de extensiones de los trid ae ..\..\ficheros2\*.*
mismos, por si el propietario del equipo hubiera renombrado
las extensiones. Para asegurar el correcto formato de los En caso de que exista duda con algn archivo con respecto a
archivos (esto es, la extensin de los mismos) se dispone de su extensin, se puede utilizar tambin la herramienta P10XB
dos herramientas bsicas, que se presentan a continuacin. [4]. Esta aplicacin lee el contenido de los 100 primeros bytes
La primera de estas herramientas es TrID [3]. Se trata de un de cada archivo, de modo que puede identificar el contenido
comando que permite identificar cualquier tipo de archivo. del mismo y, por tanto, la extensin ms adecuada. La
Reconoce ms de 3700 tipos de ficheros. El programa extrae aplicacin consta de un archivo ejecutable (P10XB.exe) y un
patrones reconocibles y los compara con su propia base de archivo con la base de datos de marcas (marcas.ini), que
firmas. En caso de duda, mostrar todas las posibles contiene la informacin necesaria para devolver la extensin
extensiones del archivo junto a un porcentaje de probabilidad. ms probable de cada archivo. La aplicacin slo permite abrir
La aplicacin consta de un archivo ejecutable (TrID.exe) y archivos de uno en uno, por lo que puede resultar bastante
de un archivo de firmas que tambin debe descargarse y tedioso si se pretende chequear un gran nmero de archivos.
ubicarse en el mismo directorio que el ejecutable Sin embargo, como complemento a la aplicacin anterior,
(TrIDdefs.trd). Para su ejecucin, es preciso abrir la consola de puede resultar de utilidad, sobre todo con aquellos archivos en
comandos (cmd). Al tratarse de un comando, puede analizar los que pueda existir algn tipo de dudas sobre su formato, tras
directorios enteros. Adems, tambin permite corregir haber sido analizado con TrID.
automticamente las extensiones que detecte que son errneas En la figura 9 se muestra un ejemplo de ejecucin.
por las ms probables en cada caso (mediante el parmetro
ae). Posibilita al usuario conocer las primeras nn coincidencias
(parmetro r:nn), por si un archivo muestra probabilidades de
pertenecer a ms de una clase de ficheros. Finalmente, indicar
que se trata de una herramienta portable y que ocupa menos de
30 Kb.
A modo de ejemplo, se muestra la evaluacin de todos los
archivos de una ruta especificada (Figura 8):
trid ..\..\ficheros2\*.*
154
JNIC2015 Novena sesion: Ciberseguridad en Industria
X. CONCLUSIONES
El presente reto ilustra cmo realizar un clonado de un disco
duro sospechoso de contener informacin sensible en una
investigacin, para preservar inalterada esta prueba.
Tambin se expone el procedimiento para recuperar archivos
borrados en la copia clonada del disco duro confiscado, y la
forma en que se verifica que la extensin de los archivos
existentes en el disco duro es correcta.
Por ltimo, se propone un enlace a un archivo imagen de una
clonacin de otra memoria USB para que el usuario practique
la recuperacin de archivos y la comprobacin de extensiones
de los mismos.
Siguiendo estos pasos, puede decirse que cualquiera que
supere este reto estara en condiciones de realizar un anlisis
forense de cualquier disco duro.
155
JNIC2015 Novena sesion: Ciberseguridad en Industria
156
JNIC2015 Novena sesion: Ciberseguridad en Industria
different level of abstraction. Challenges, incl. societal expectations (and customer itself) are becoming one of the
challenges that are more integrated to security research in key to success on the market. When it comes to research
H2020, are often used to describe priorities, while projects, however, demand side if often unable to predict the
evergreen topics such as identity or privacy usually get future requirements or trends, which clashes with the EU
repeated year by year without clear description or reasoning research project format and style.
why the particular research topic has priority right now. Effective and efficient security, terms used often in
Impact assessment [1] reports are commonly used by the security metrics, are often differently understood by demand
European Commission (EC) to analyze research-to-market and supply sides. In a matter of fact, cybersecurity research
constraints, barriers or challenges, but cybersecurity (or Trust results often do not fit well operational context of the final
and Security, as it was called in the start of SecCord project) user, so the actual use case is never transferred to a business
area represent also a set of specific issues. case.
During the past three years many ICT security vendors, as Two other two topics where we noticed gaps in research
well as traditional defense market players, are restructuring topic selection and priority setting are the importance of
their offering and are becoming increasingly labeled as socio-technical issues and cybersecurity risk appetite.
cybersecurity companies. However, the questions that are Demand side, the final user, starts from the particular
most frequently raised on the demand side, remain the same: operational context, with their procedures and people who
What exactly do I need? What applies to my business? How are finally responsible for research results technology
should I compare different (cyber) security solutions? This acceptance. Ability, capacity, bias, attitude, cultural
is why demand side segmentation, as well as alignment of differencesare some of the factors that have been
priorities from both supply and demand side, when it comes considered by research-to-market transition but are often
to future research directions, becomes a priority in strategic neglected in actual research projects and their exploitation
agenda. This can be exemplified by the case of SME: while plans. Risk appetite, on the other hand, has more impact on
SME supply chains are often critical in certain market preparedness of an organization as a whole. While personal
segments, their cybersecurity profiles and needs have been attitude (I click on that file, I have nothing to lose, I have
notable absent from research agendas. This is also why nothing to hide) is normally addressed through enforcement
Network and Information Security (NIS) platform working of organizational security policies or awareness campaigns,
group 3 (WG3) structures its strategic research agenda [2] the overall organizational risk attitude and risk management
around three areas of interest (AoI) which represent is something that strongly varies across sectors, countries or
perspective of Individuals Digital Rights and Capabilities, sizes of company, and this is where further segmentation and
Resilient Digital Civilisation and Trustworthy (Hyper- priority setting exercise come into the picture for demand-
connected) Infrastructure. Along these AoIs, three subgroups supply matching and driving of research priorities.
were formed aiming at further elaborating the areas. After the
initial elaboration of each Area of Interest, a cross analysis III. FP7 CYBERSECURITY RESEARCH-TO-
phase was performed in order to verify the presence of MARKET SUCCESS STORIES
commonalities among enablers/inhibitors for different AoIs
as well as possible conflicts, e.g. an enabler for an AoI
becomes an inhibitor for another one. The problem of translation of results is not exclusively
In contrast to demand driven research or innovation driven problem between academics and industry. Even within large
research, which is not necessarily delivering superior organizations that participated in FP7 cybersecurity projects,
technology, but rather fit-for-market solutions, curiosity translation and transition problems start already with the
driven research often relies on assumptions, such as no project proposal where there is no clear business unit or
legacy. Security for ICT professionals, on the other hand, organization branch actually in charge of commercialization.
such as basic crypto or secure software engineering, is The problem is less present within SME participants that do
stressing importance of awareness by the vast majority of not have separated research lab department or even separated
developers, as well as organizations. Good news is that legal entity in charge of research projects. The actual analysis
services, testbed and toolkits, for example, are increasingly of stakeholder roles, characteristics (e.g. innovation model in
available for providing support for the modelling of high- different organizations) etc., was done in SecCord
level requirements that are expressed in terms of abstract deliverables and it was reused by NIS platform, in order to
concepts such as compliance, privacy or trust. In this way the reveal importance of business motivation behind
gap between ICT professionals, digital natives or participation in FP7 research projects. Academic research
experienced developers and the rest of mortals could be driven projects, on the other hand, tend to emphasize
bridged or at least reduced. importance of a product, and only recently there was a
When we look at dynamics of cybersecurity research change in this trend by including more service companies,
priority settings, there is often a gap between demand-side consultants or auditors, as well as ecosystem organizations
and supply-side industry. Managing demand-side such as market analysis or even pure marketing companies.
157
JNIC2015 Novena sesion: Ciberseguridad en Industria
Once that value proposition is identified and described, not that target evidence gathering for continuous
in terms of technological superiority, but rather in business monitoring based audit and certification, there is
and market terms, exploitation risk assessment is taking CUMULUS, while monitoring SecLA is
place, addressing issues such as: developed in ABC4Trust and used in SPECS.
Fragmentation of ownership PLA monitoring is topic in A4cloud project,
User requirements that do not fit project lifecycle while MASTER was monitoring security policy
and needs in general. Similar to A4Cloud, the project
Assumptions and simplifications done in the SECCRIT also aims to develop technologies to
research project lawfully monitor and record service data together
Lab versus operational environment with on-the-fly anonymization of data to meet EU
Maintenance issues (know-how, costs etc.) privacy directives. This recorded data can later be
In the previous SecCord year catalogues have already used to assist a root-cause analysis in case of a
identified few positive examples and have compiled success service failure. Research results from this area are
stories brochure [3]. The selection of success stories was still waiting to be adopted by the market, partially
based on assessment done through iterative research-to- because of their intrusiveness and partially due to
industry mapping (see table in the annex to this paper) with the assumptions about infrastructure readiness
feedback collection and face to face interviews. (e.g. availability of continuous monitoring of
Some of the most successful project have been already events at different layers).
reused by another project e.g. SEMIRAMIS project result Policies and languages: Research on information or
became attribute collection service ACS used by many EU data-centric approaches is focusing on policies,
member states in Stork2.0 [5] innovation project, as well as languages, machine readable representations etc.
listed as a building block (BB) in European eSense [7] Some of this research assumes the use of
reference architecture and Strategic [4], another two semantic technologies for data representation and
innovation projects. The research result is now in operational exchange, and expressing requirements as formal
environment of infrastructure that supports mutual policies. Another approach, sometimes referred as
recognition of eID several EU member states. In a similar sticky policy, attaches policies that restrict
way, FIWARE [6] security enablers were reusing results of isolated uses of data to the data directly, so that
PrimeLife (privacy), Consequence (data handling), Posecco systems exchange data, but also exchange the
(security monitoring) and Serenity (context aware policies pertaining to the exchanged data.
reconfiguration) projects. However, after integration and ASSERT4SOA is one example of projects in this
performance problems were reported by FIWARE users, the category, the other ones being Consequence or
new set of generic enablers, developed from the scratch, are Coco-cloud. The role of machine readable
now used by FIWARE applications. agreements in digital single market (privacy level,
If we look at other related FP7 research projects, we could security, data sharing etc), their monitoring and
classify research topics into several categories: enforcement has been analyzed in [8] or [9].
Crypto: Research on cryptographic algorithms and Machine learning: research on e.g. analytics,
protocols. This research is often targeting laws of prediction of future vulnerabilities, a process
the existing protocols and is trying to improve mining tool (prosecco), dealing with untrusted or
them. One of the best examples is Direct incomplete evidences, risk reasoning etc.
Anonymous Attestation (DAA) which detected MASSIF and PDA tool from Fraunhofer is one
flaws in remote attestation, one of the basic example.
concepts of Trusted computing. Hybrid approach Others: Tools, models and schemes can be found in
is combining DAA and privacy CA (certification many research projects, from visualization of
authority), while another extension of DAA is large data sets (VIS-SENSE) to certification
called enhanced privacy ID (EPID). Companies scheme in CUMULUS. Model based refinements
such as IBM, HP or Intel have been involved in (security/risk/testing) and other assurance
these research efforts and are offering some of techniques can be found in NESSoS Network of
research results as a part of their offerings. excellence, SpaciOS or Avantssar projects.
Architectures: Research on runtime security,
spanning various infrastructure elements such as For a more detailed analysis and mapping of research
event monitoring, assessment and automated results, into the global trends such as big data, internet of
reaction. The approach is used for enforcement of things or cloud computing, we refer reader to SecCord
different policies e.g. privacy, SecLA (security deliverables.
level agreement) etc., but also for the evolution of
management and detection tools. Among projects IV. CONCLUSIONS
158
JNIC2015 Novena sesion: Ciberseguridad en Industria
For many years, analysis of research projects impact on [8] Enabling Trusted European Cloud: Atos white paperavailable at
http://atos.net/content/dam/global/documents/we-do/atos-white-paper-
market was focusing on constraints, such as an excessive trusted-european-cloud.pdf, last access 29/07/2015
time from proposal preparation to the end of the project. In [9] Atos blog entry on digital single market: https://ascent.atos.net/digital-
H2020 this time has been reduced, with instruments like single-market-building-trust/, last access 29/07/2015
innovation actions or introduction of TRL (technology
readiness level) requirements. It has also been stated that
research fails to provide basis of innovation, that the
opportunity is not recognized on time, or that a potentially
successful product failed to catch on due poor marketing or
just unfortunate market dynamics.
Besides the analysis of constraints, SecCord has also been
looking at best practices from FP7 cybersecurity research
projects such as having results launched even after the first
year of the project (this is for example now expected in
innovation action instrument in H2020). Result oriented
structure of projects and result oriented partners should be
dominant in cybersecurity, as opposed to the tick the box
attitude, and project oriented mind (the majority of web sites
is still informing about e.g. project meetings and not about
concrete results). In this paper we have analyzed research-
to-market impact from complementary perspectives. On one
side there is industry led research priority setting, that has
been changing since FP6 European technology Platform
(ETP) towards the more weighted, balanced and all-inclusive
approach. On the other side are actual results from FP7
research projects among which are also results that will
never cross the chasm to the market, even if they achieved
technological goals set in the project proposal. Somewhere in
the middle are vaguely described value propositions such as
stronger security, fine-grained policy or higher
assurance that sometimes do not find echo on the market,
especially on the demand side. The future, we envisage, will
shift focus towards key research-to-market transfer
indicators, with demand driven and defined parameters such
as effectiveness, efficiency and transformation, as well as
quick win approaches (e.g. iterative prototyping) during the
project lifecycle. Flexible instruments (e.g. open calls for
pilots or validations with customers, innovation awards) are
already being used in the other ICT innovation area, and it is
expected they could help in crossing the cybersecurity
research-to-market chasm.
REFERENCES
[1] European Commission (2011) Impact Assessment, Communication
from the Commission 'Horizon 2020 - The Framework Programme for
Research and Innovation, EC Brussels, 30.11.2011
[2] Strategic Research Agenda, WG3 Network and Information Security
(NIS) Platform, to be published in September 2015
[3] FP7 ICT Trust & Security Success Stories & Projects Handbook,
available at: http://ec.europa.eu/digital-agenda/en/news/trust-and-
security-fp7-success-stories-and-handbook, last checked 29/07/2015
[4] Strategic web site: http://www.strategic-project.eu/
[5] Stork2.0 web site: https://www.eid-stork2.eu/
[6] FIWARE web site: https://www.fiware.org/
[7] eSENS web site: http://www.esens.eu/
159
JNIC2015 Novena sesion: Ciberseguridad en Industria
160
JNIC2015 Novena sesion: Ciberseguridad en Industria
Dra. MartaBeltrn
Universidad Rey Juan Carlos
marta.beltran@urjc.es
Resumen-. Dentro del proceso de mejora continua de la Para realizar este anlisis, existen diferentes metodologas de
ciberseguridad industrial aparece siempre como primer paso o evaluacin y anlisis de riesgo a alto nivel (asociadas riesgo
etapa la necesidad de analizar e identificar los principales activos
y vulnerabilidades asociados a los entornos OT (Operation estratgico) y por otro lado existen mejores prcticas
Technology) y llevar a cabo una gestin y evaluacin integral del propuestas por diferentes instituciones para analizar de forma
riesgo operativo. Para realizar este anlisis y evaluacin, es exhaustiva vulnerabilidades especficas asociadas a los
necesario contar con metodologas especficas que tengan en sistemas que se encuentran en los entornos de operacin.
cuenta la idiosincrasia particular de estos entornos de operacin. Teniendo en cuenta este contexto, la principal aportacin de
En este artculo se propone MAASERISv2.1 como Metodologa
para el Anlisis, Auditora de seguridad y Evaluacin de Riesgo este artculo es proponer una metodologa que se denomina
operativo de redes Industriales y sistemas SCADA. MAASERISv2.1, acrnimo de Metodologa para el Anlisis,
Auditora de seguridad y Evaluacin de Riesgo operativo de
I.INTRODUCCIN
redes Industriales y sistemas SCADA, que permite cubrir este
La ciberseguridad es una preocupacin cada vez ms hueco conceptual y funcional entre dichas metodologas de alto
importante en los entornos de operaciones industriales y de nivel y mejores prcticas a un nivel mucho ms concreto y
infraestructuras (tambin llamados Operation Technology-OT). asociado a los sistemas.
Como parte del proceso de mejora continua de la Para eliminar las barreras que auditores y consultores se
ciberseguridad o de incremento del nivel de madurez de estos encuentran a la hora de adaptar y/o utilizar metodologas de
entornos (hoy en da todava bastante bajo en comparacin con anlisis y auditora de IT clsicas, se propone MAASERISv2.1,
los entornos IT transaccionales), suele aparecer la necesidad de como una metodologa que considera la idiosincrasia particular
analizar e identificar los principales activos y vulnerabilidades de los entornos de operacin, en los que existen dispositivos,
asociados a los entornos OT y llevar a cabo una gestin y sistemas y protocolos especficos y en los que el aspecto de la
evaluacin integral del riesgo operativo. Con esto queremos disponibilidad, suele primar sobre otros como la integridad o la
distinguir este anlisis de otros tradicionales y ms asociados al confidencialidad.
riesgo estratgico, como se discutir posteriormente en este MAASERISv2.1 permite realizar un gestin del riesgo
documento. operativo y sus entregables pueden complementar a otras
Esta necesidad no slo surge en empresas y en metodologas de evaluacin de riesgos como MAGERIT,
organizaciones privadas que estn preocupadas por CRAMM o MIGRA por poner tan slo unos ejemplos.
incrementar la seguridad de sus activos, procesos e Este trabajo ha sido posible gracias a la estrecha
instalaciones (asociada directamente a su productividad, algo colaboracin existente entre Industrial Cybersecurity by
que estn comenzando a comprender ahora), sino que a nivel Logitek, consultora tecnolgica especializada en
gubernamental, tambin es considerada. La publicacin a nivel ciberseguridad industrial y la Universidad Rey Juan Carlos. La
mundial de leyes y normativas que obligan a operadores colaboracin pblico-privada y un correcto procedimiento para
crticos que suministran servicios esenciales a realizar este la transferencia tecnolgica son factores clave que han
ejercicio, es prueba de ello. Por ejemplo en Espaa, la Ley permitido desarrollar esta metodologa y comenzar a aplicarla
8/2011 de Proteccin de Infraestructuras Crticas (ley PIC), durante el ao 2015 en diferentes proyectos reales en sectores
obliga a los operadores catalogados como crticos a llevar a como el alimentario, el farmacutico o el del ciclo integral del
cabo, dentro de los Planes de Seguridad del Operador (PSO), agua.
un anlisis de riesgos en los que se incluya un inventario de Este artculo se estructura de la siguiente manera. En la
activos que soportan servicios esenciales, una identificacin y seccin II se presentan las diferencias existentes entre los
evaluacin de amenazas y una valoracin y gestin del riesgo. entornos IT y OT y cmo es necesario abordar programas de
161
JNIC2015 Novena sesion: Ciberseguridad en Industria
ciberseguridad distintos en ambos entornos, pero siempre se ha visto cada vez ms amenazada en los ltimos aos con el
alineados y convenientemente integrados. En las secciones III surgimiento de diferentes formas de APTs especficas como
y IV se hace un recorrido por los conceptos de amenaza, Stuxnet, Duqu, Flame, Shamoon, Dragonfly, Sandworm o
vulnerabilidad y riesgo, y por las metodologas y herramientas Laziok y la realizacin de acciones relacionadas con el
ms habituales para el anlisis y la gestin del riesgo. Por ciberterrorismo y el cibercrimen (ataques orientados a
ltimo en la seccin V se presenta el alcance funcional de perjudicar a la competencia, a la extorsin, al robo de
MAASERISv2.1 y se presentan las principales conclusiones y propiedad intelectual, etc.). Otros puntos importantes que han
lneas de investigacin futuras en la seccin VI. ayudado a acelerar el diseo de programas especficos de
ciberseguridad industrial, son la proliferacin del acceso web a
II.SEGURIDAD IT VS OT los sistemas SCADA, la adopcin de los paradigmas Cloud,
mvil y BYOD (Bring Your Own Device) y la estandarizacin
El concepto Ciberseguridad Industrial est incluido en el de tecnologas IT en el mbito industrial. Esta estandarizacin,
mbito de la seguridad industrial, entendiendo que la que facilita la integracin de informacin y de aplicaciones
informacin, sistemas e instalaciones deben ser protegidos de entre redes IT y OT, tiene un aspecto negativo, que es que el
ataques y amenazas originados principalmente a travs de entorno industrial pueda verse afectado por las mismas
medios tecnolgicos. vulnerabilidades y amenazas asociadas al entorno IT heredando
El diseo de programas especficos dirigidos a reducir o as sus debilidades. Lo peor, es que en muchas ocasiones, la
mitigar dichas amenazas debe hacerse teniendo en cuenta que criticidad y especificidad del entorno industrial no permite
deben velar por asegurar: la disponibilidad de las instalaciones, implementar las mismas contramedidas que en un entorno IT
de los procesos de fabricacin y de los sistemas de control tradicional.
(PLC, DCS, RTU, SCADA, HMI, MES); la integridad de los Existen claras diferencias entre los mbitos IT y OT, que
desarrollos y de las configuraciones de los dispositivos de justifican la necesidad de abordar del desarrollo e implantacin
campo y redes industriales, as como la comunicacin entre de programas de ciberseguridad industrial especficos que estn
ellos a travs de protocolos especficos (Modbus, Profibus, alineados con las polticas de seguridad IT de la organizacin.
OPC, Ethernet/IP, DNP3, etc.) y la confidencialidad de la En la tabla 1 se resumen los aspectos que hacen que ambos
informacin que estos sistemas manejan. Tambin es esencial entornos requieran de aproximaciones distintas cuando se
garantizar un correcto control de acceso a los sistemas, datos y abordan programas de ciberseguridad.
procesos asociados a estos entornos mediante los esquemas
IAAA adecuados y con una eleccin del grano de control de
este acceso coherente. IT Aspecto OT
Confidencialidad, Disponibilidad,
El entorno o la red en la que convergen los sistemas, equipos Integridad y integridad y
Objetivo
y protocolos antes nombrados, recibe el nombre de red Disponibilidad confidencialidad
industrial. La literatura relacionada con la ciberseguridad 2/3 aos con la
10/20 aos con
industrial la denomina Operation Network u Operation existencia de gran
Ciclo de vida reducido nmero de
nmero de
Technology con el objetivo de diferenciarla de la red que proveedores
proveedores especficos
agrupa sistemas transaccionales (IT Network o IT Prctica habitual que
Evaluacin Prctica realizada si es
Technology). conduce a inversin
cuantitativa del riesgo obligatoria
en ciberseguridad
Mientras que en el mbito IT la incorporacin de polticas,
Desarrollo de sistemas
procedimientos y estndares que eliminen o mitiguen las Habitual e integrado No habitual y no
de gestin de la
en la operacin integrado
amenazas, vulnerabilidades y riesgos asociados a estos seguridad
entornos es una prctica habitual, en los entornos OT, su Comn , fcil de
Poco habitual por la
actualizar y con
introduccin est siendo ms costosa debido principalmente a: polticas bien Antivirus y parches
criticidad de los
la falta de concienciacin de las organizaciones sobre el hecho sistemas, complejo de
definidas y
desplegar y actualizar
de que, es en estos entornos en los que se produce, suministra o automatizadas
Cumplimiento Normativas especficas
fabrica el ncleo de su actividad y su no disponibilidad y/o Normativas genricas
normativas y/o sectoriales
alteracin puede causar prdidas y daos considerables que Utilizacin de las Test especficos e
afectan directamente a la cuenta de resultados; la falta de metodologas
Testeo y auditoras
inexistencia de
procedimientos y estndares claros que ayuden a desplegar estndares ms metodologas
actuales estndares
programas especficos de ciberseguridad industrial y por
Fcil despliegue y en Respuesta a Poco habitual, no
ltimo, la idiosincrasia particular de los equipos, sistemas,
ocasiones carcter incidencias y anlisis realizndose anlisis
redes y protocolos de comunicacin utilizados en estas redes de obligatorio forense forense
operacin. En cualquier caso, en los ltimos aos ha crecido el
Tabla 1. Diferencias entre ciberseguridad IT y OT
inters por este tipo de programas entre las organizaciones
industriales por diferentes motivos. En primer lugar, la
seguridad de las plantas industriales e infraestructuras crticas
162
JNIC2015 Novena sesion: Ciberseguridad en Industria
163
JNIC2015 Novena sesion: Ciberseguridad en Industria
tecnologas de la informacin (IT). Por otro lado, en [4] y bajo entornos OT. Aunque estas ltimas ayudan a realizar un
el paraguas del European Programme for Critical Infrastructure anlisis exhaustivo, no existe ninguna metodologa o gua que
Protection (EPCIP), se detallan 21 metodologas para la permita evaluar el riesgo operativo asociado al funcionamiento
evaluacin de riesgos en infraestructuras crticas. Entre ellas no seguro de los dispositivos de campo, sistemas de tiempo
destacan BIRR, BMI, CARVER2, CIMS, CIPDSS, CIPMA, real, redes, protocolos especficos y procesos vinculados a los
CommAspen o COUNTERACT. entornos industriales y de infraestructuras de manera global e
Las primeras desarrollan la evaluacin de riesgos desde un integrada. Para cubrir este hueco conceptual y funcional, en
punto de vista puramente IT. Es decir, este tipo de este artculo se propone una metodologa de anlisis que,
metodologas, no tienen en consideracin la idiosincrasia adems de identificar activos especficos vinculados a los
especfica de los entornos OT ya explicada en la seccin II de entornos de operacin, permite conocer de forma
este artculo. Por otro lado, las metodologas explicadas en [4], multidimensional, las principales vulnerabilidades asociadas a
gestionan normalmente el riesgo a alto nivel, es decir, se dichos activos y permite llevar a cabo una gestin del riesgo
centran en evaluar los riesgos estratgicos. Por poner tan slo operativo. Esta informacin acerca del riesgo operativo, podr
un ejemplo, en el caso de la metodologa BMI (Baseline ser integrada como parte de otras metodologas especficas de
Protection Concept), utilizada por el ministerio de interior mbitos IT o como complemento de metodologas especficas
alemn, se presenta un marco para el desarrollo de planes que de evaluacin de riesgos estratgicos en infraestructuras
aseguren que organizaciones y sectores categorizados como crticas.
crticos, aseguren el suministro de sus servicios esenciales.
Todas ellas llevan a cabo una aproximacin al riesgo de alto V. MAASERISV2.1
nivel, es decir evaluando riesgos corporativos o estratgicos,
ms que riesgos operativos. Esto es, identificando activos MAASERISv2.1 (Metodologa para el Anlisis, Auditora de
fsicos y lgicos (relacionados normalmente con entornos IT), seguridad y Evaluacin de Riesgo operativo de redes
las dependencias entre ellos, y analizando las amenazas y/o Industriales y sistemas SCADA) es un conjunto de procesos,
vulnerabilidades que pueden tener diferentes orgenes herramientas y entregables que permiten:
(desastres naturales, errores y fallos no intencionados, ataques
deliberados, etc.). 1. Analizar el estado actual de una red industrial desde el
Por otro lado, estrechamente relacionadas con los entornos punto de vista de la seguridad, haciendo especial
industriales y de infraestructuras, se han desarrollado una serie hincapi en la evaluacin de la disponibilidad.
de mejores prcticas que persiguen ayudar a los operadores 2. Facilitar un profundo anlisis de las principales
crticos y a las personas vinculadas a equipos de mejora de la vulnerabilidades asociadas al entorno OT.
ciberseguridad industrial a realizar un anlisis exhaustivo de 3. Proporcionar una evaluacin cuantitativa del riesgo
vulnerabilidades asociadas a los entornos OT. El ICS-CERT, operativo.
recoge en [5] algunas de estas mejores prcticas. De entre ellas 4. Servir como documentacin complementaria y til para
se destacan la realizada por el Centre for the Protection of el desarrollo de los PSO (Plan de Seguridad del
National Infraestructure (CPNI) acerca de cmo realizar Operador) y los PPE (Plan de Proteccin Especfico)
evaluaciones de ciberseguridad en entornos industriales [6], la que la ley PIC (Proteccin de Infraestructuras Crticas)
elaborada por el National Institute of Standard Technologies exige en Espaa.
(NIST) para la creacin de programas para la gestin de
parcheos [7] o la publicada por el Sandia National Laboratories La versin 2.1 que se presenta en este trabajo es la que se
sobre pen-testing en sistemas de control industrial [8]. est utilizando actualmente, tras una evolucin de 18 meses
Por ltimo, es preciso mencionar la metodologa desde la primera versin 1.0.
desarrollada por el DHS Control Systems Security Program Para alcanzar estos objetivos, MAASERIS define tres reas
(CSSP) dentro del ICS-CERT [9], para conocer el grado de de anlisis; establece un ciclo de desarrollo de anlisis y
adecuacin de un entorno industrial a una serie auditora e incluye una serie de entregables y dossieres.
estndares/mejores prcticas predefinidas, entre los que se Y los retos ms importantes que se han tenido que afrontar
encuentran varias publicaciones especiales del NIST (SP800- para desarrollar esta metodologa especfica para entornos OT
53 R3, SP800-53 R4, SP800-82) o las propuestas por el North se pueden resumir en:
American Electric Reliability Corporation (NERC). Adems de
proponer la metodologa, se ha desarrollado una aplicacin que 1. Realizar el anlisis sin afectar a la disponibilidad de la
facilita su uso. Esta aplicacin es el Cyber Security Evaluation red industrial evaluada ni al correcto funcionamiento de
Tool (CSET). los procesos industriales (normalmente en
Como puede observarse, existe un espacio muy amplio entre funcionamiento mientras se realizan las pruebas y tests
las metodologas de evaluacin de riesgo estratgico y este tipo necesarios).
de mejores prcticas que se quedan en la mera identificacin de 2. Incorporar al anlisis todos los activos y agrupaciones
vulnerabilidades asociadas los sistemas ms frecuentes en los de activos existentes en el entorno OT evaluado
164
JNIC2015 Novena sesion: Ciberseguridad en Industria
independientemente del fabricante, versin o grado de Operativo se calcula de la manera tradicional multiplicando los
obsolescencia. siguientes tres factores, la Ocurrencia (O), la Severidad (S) y la
3. Obtener informacin suficiente acerca de los Deteccin (D).
dispositivos OT involucrados en el anlisis con las
configuraciones actuales de la red industrial y con IRO=OSD
herramientas comnmente utilizadas. En muchos casos
ha sido necesario desarrollar herramientas especficas La ocurrencia (O), se define como la probabilidad de que el
para tecnologas y protocolos tpicos en entornos OT y riesgo aparezca. Se valora del 1 al 10, siguiendo los criterios de
que adems no sean intrusivas. asignacin que se muestran en la tabla 2.
4. Centrar el anlisis en el riesgo operativo, es decir, en
aquel vinculado al funcionamiento del entorno OT, 1 El riesgo es prcticamente imposible que aparezca.
dejando para otras auditoras y anlisis el entorno IT y el 2 El riesgo es muy difcil que aparezca.
riesgo estratgico. 3 El riesgo es difcil que aparezca.
5. Conseguir la colaboracin de los equipos de produccin 4 El riesgo ha aparecido alguna vez.
y sistemas durante el proceso de auditora, normalmente 5 El riesgo ha aparecido varias veces.
muy alejados de este tipo de anlisis. 6 El riesgo aparece ocasionalmente.
7 El riesgo aparece con frecuencia.
8 El riesgo aparece con mucha frecuencia.
A. reas de anlisis 9 El riesgo aparece siempre ya que no se mitiga.
Las reas de anlisis que establece MAASERIS son tres. En 10 El riesgo aparece siempre porque no existe mitigacin posible.
primer lugar se procede al anlisis de inventario de activos
Tabla 2. Criterios de valoracin para asignar la Ocurrencia de
vinculados al entorno OT. Para ello se ha desarrollado una base
riesgos operativos
de datos que facilita la introduccin y categorizacin de los
diferentes activos, as como las dependencias entre ellos. Entre
La severidad (S), indica la gravedad de los efectos que puede
los tipos de activos se encuentran los siguientes: concentrador,
producir la aparicin de un cierto riesgo. Es decir, si afecta a la
conversor, controlador DCS, datos, electrnica de potencia,
disponibilidad, integridad y confidencialidad de los activos
firewall/UTM, HMI / Touch Panel, maquinaria, PC, PLC,
objeto del anlisis. Se valora del 1 al 10, siguiendo los criterios
pantalla, periferia, protocolos, puntos de acceso inalmbricos,
de asignacin que se muestran en la tabla 3, para el caso de la
repetidores, robot, router, sistema de marcaje, servidor,
disponibilidad en el ejemplo de un activo cuya desviacin del
software de gestin en tiempo real y switch. Adems se
estado normal de operacin no implique peligro para las
procede a realizar una agrupacin fsica de activos (planta,
personas.
edificio, sala, rack, lnea, sistema, red) y una agrupacin lgica
(red, sistema).
1 El riesgo no afecta a la normal operacin.
El segundo rea de anlisis es la identificacin de
2 El riesgo afecta a la normal operacin, pudindose recuperar el
vulnerabilidades. A travs de diferentes tcnicas y
estado normal en menos de 5 minutos.
herramientas, en muchos casos desarrolladas a medida para
3 El riesgo afecta a la normal operacin, pudindose recuperar el
entornos OT aunque en otros casos se ha podido trabajar con
estado normal en menos de 15 minutos.
herramientas tpicas en IT (como las que incorpora la
4 El riesgo afecta a la normal operacin, pudindose recuperar el
distribucin Kali Linux), se descubren las distintas
estado normal en menos de 30 minutos.
vulnerabilidades que se asocian a los activos y a las
5 El riesgo afecta a la normal operacin, pudindose recuperar el
agrupaciones de activos. Para facilitar el trabajo inicial, se ha
estado normal en menos de 1 hora.
creado una lista de vulnerabilidades tipo vinculadas a las
siguientes dimensiones: seguridad fsica, polticas y 6 El riesgo afecta a la normal operacin, pudindose recuperar el
procedimientos, tolerancia a fallos y disponibilidad, visibilidad estado normal en menos de 4 horas
y acceso entre redes, software, IAAA y criptogrfica. 7 El riesgo afecta a la normal operacin, pudindose recuperar el
Por ltimo la tercera rea de anlisis es la gestin del riesgo estado normal en menos de 8 horas.
operativo. Como se ha explicado en la seccin III, el riesgo 8 El riesgo afecta a la normal operacin, pudindose recuperar el
operativo se define como la probabilidad de sufrir un incidente estado normal en menos de 12 horas.
de seguridad a nivel operativo. Es decir, vinculado a un 9 El riesgo afecta a la normal operacin, pudindose recuperar el
entorno de produccin o una infraestructura crtica, la estado normal en menos de 24 horas.
existencia de un determinado riesgo afectara a la normal 10 El riesgo afecta a la normal operacin, no pudindose recuperar
operacin de sus sistemas, procesos y personas. el estado normal.
Para medir el riesgo operativo se ha definido una mtrica Tabla 3. Criterios de valoracin para asignar la Severidad de
denominada ndice de Riesgo Operativo (IRO) que se mide en riesgos operativos
Unidades de Riesgo Operativo (URO). El ndice de Riesgo
165
JNIC2015 Novena sesion: Ciberseguridad en Industria
166
JNIC2015 Novena sesion: Ciberseguridad en Industria
VI. CONCLUSIONES Y TRABAJO FUTURO [2] ENISA. Inventory of Risk Management / Risk Assessment Methods.
Julio 2015. http://www.enisa.europa.eu/activities/risk-
management/current-risk/risk-management-inventory/rm-ra-methods
En este artculo se ha puesto de manifiesto las diferencias
existentes entre los mbitos IT (Information Technology) y OT [3] G. Correa. Identificacin y evaluacin de amenazas a la seguridad de
infraestructuras de transporte y distribucin de electricidad. CIRCE,
(Operation Technology) de las organizaciones que pertenecen a UNIZAR, Junio 2012.
sectores industriales y/o manejan infraestructuras crticas. Estas
diferencias hacen imprescindible que la aproximacin al diseo [4] G. Giannopoulos, R. Filippini, M. Schimmer. Risk assessment
methodologies for Critical Infrastructure Protection. Part I: A state of the
y despliegue de programas de ciberseguridad IT y OT sea art. European Commission. Joint Research Centre. Institute for the
diferente, aunque siempre deban desarrollarse de manera Protection and Security of the Citizen. Noviembre 2012.
consensuada.
[5] ICS-CERT. Establishing and Conducting Asset, Vulnerability, and Risk
Tras definir los conceptos de amenaza, vulnerabilidad y Assessments. Julio 2015. https://ics-cert.us-cert.gov/Standards-and-
riesgo operativo, se ha realizado un recorrido por las References#conduct
principales metodologas de evaluacin y anlisis de riesgos y
[6] CPNI-Homeland of Security. Cyber Security Assessments of Industrial
por las mejores prcticas propuestas por diferentes Control Systems. Good Practice Guide. Noviembre 2010. https://ics-
instituciones para analizar de forma exhaustiva cert.us-
vulnerabilidades especficas asociadas a los entornos de cert.gov/sites/default/files/documents/Cyber_Security_Assessments_of_I
ndustrial_Control_Systems.pdf
operacin.
Una vez finalizado este recorrido, se ha detectado la [7] M. Souppaya, K, Scarfone. Guide to Enterprise Patch Management
necesidad de proponer una metodologa que cubra el espacio Technologies, NIST Special Publication 800-40 Revision 3. Julio 2013.
existente entre las metodologas de anlisis y gestin del riesgo [8] D. Duggan, et al, Penetration Testing of Industrial Control Systems,
estratgico y las mejores prcticas especficas de un tipo de Sandia National Laboratories, Report No SAND2005-2846P, 2005.
activo o grupo de activos. Esta metodologa se ha denominado
[9] ICS-CERT. Assessments. Julio 2015. https://ics-cert.us-
MAASERISv2.1, acrnimo de Metodologa para el Anlisis, cert.gov/Assessments
Auditora de seguridad y Evaluacin de Riesgo operativo de
redes Industriales y sistemas SCADA. MAASERISv2.1 define
tres reas de anlisis (anlisis de inventario de activos,
identificacin de vulnerabilidades y gestin del riesgo
operativo); establece un ciclo de desarrollo de anlisis y
auditora e incluye una serie de entregables y dossieres.
El desarrollo de este trabajo ha sido posible gracias a la .
colaboracin pblico-privada entre un grupo de investigacin
de una universidad pblica y una consultora especializada del
sector. Y su utilidad se est validando ya en numerosos
proyectos en clientes de diferentes sectores en todo el territorio
nacional. En la actualidad se sigue trabajando en mejorar y
completar la metodologa presentada en este artculo, en
concreto, automatizando en todo lo posible el trabajo de los
ingenieros durante la fase de recogida de informacin y anlisis
de vulnerabilidades y adecuando los entregables y resultados a
las exigencias de la ley PIC para los diferentes tipos de
operadores crticos.
AGRADECIMIENTOS
A David Soler y Santiago Ramrez por el trabajo realizado
en la implantacin y evolucin de la metodologa. A Josep
Rodrigo, Patxi Arruabarrena, Asier Olea y Fernando Campos
por su participacin en el equipo de trabajo multidisciplinar
que hizo posible la creacin de la metodologa. A Manuel
Meijueiro y a Jordi Rey por su apoyo a esta iniciativa desde la
direccin de Logitek.
REFERENCIAS
[1] L. Marinos. ENISA Threat Landscape 2014. ENISA, Diciembre 2014.
167
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
ResumenEn este trabajo se describe nuestra experiencia con a reinstalarlos despues de cada sesion.
el uso extensivo de software de virtualizacion en la docencia El desarrollo de algunos ejercicios puede superar la dura-
practica de seguridad informatica. Se presenta un repositorio cion de las sesiones practicas, con la consiguiente perdida
de actividades autonomas que hacen uso de redes de maquinas
virtuales para ejercitar aspectos relativos a la seguridad en de tiempo para dejar el entorno como se encontraba al
redes y a la administracion segura de sistemas operativos y inicio de la sesion y la recuperacion del trabajo realizado
aplicaciones. Las actividades recopiladas han sido puestas en al inicio de la siguiente.
practica durante los ultimos anos, tanto en cursos convencionales Se requiere personal de apoyo experimentado para insta-
de una titulacion de Ingeniera Informatica como en ensenanzas lar y configurar los equipos necesarios y las herramientas
no regladas. Se presenta asimismo una herramienta grafica
multiplataforma que facilita el diseno y posterior simulacion de seguridad a emplear y para mantener en perfecto
de las redes de computadores sobre las que se desarrollan las estado los recursos de un laboratorio compartido.
actividades incluidas en nuestro repositorio u otras nuevas que Tomando en consideracion estos condicionantes previos, en
se deseen proponer. este trabajo describimos nuestra experiencia en la utilizacion
de una aproximacion similar a las descritas en [1], [2], [3]
y [8], basadas en el uso de herramientas de virtualizacion.
I. I NTRODUCCI ON
El uso de maquinas virtuales (MVs) para la construccion de
Buena parte de las competencias academicas relacionadas laboratorios y entornos de experimentacion es una practica
con la seguridad informatica aconsejan seguir una orientacion habitual en el campo de la seguridad informatica, tanto a
eminentemente practica. Se pretende que los estudiantes co- nivel profesional como en el ambito docente [9], [13]. La
nozcan las amenazas tpicas a la seguridad de los datos y de flexibilidad y las ventajas que aportan estas tecnologas en este
los sistemas de informacion y que adquieran una experiencia contexto son bien conocidas y eliminan o atenuan muchos de
que les permita ser capaces de enfrentarse a estas amenazas los problemas mencionados anteriormente. Trabajar con MVs
e implantar las medidas necesarias para evitarlas, detectarlas permite experimentar en entornos muy similares a los reales,
y contrarrestarlas. Asegurar el exito en la adquisicion de este con la ventaja del aislamiento, la facilidad de recuperacion ante
tipo de habilidades es particularmente difcil, ya que requiere errores o problemas y la posibilidad de replicar, comunicar y
la practica directa sobre entornos similares a los que se puedan compartir los experimentos realizados simplemente mediante
encontrar en el mundo real. Por ello, la situacion ideal [4], el intercambio de las imagenes utilizadas.
[5] sera aquella en la cual cada alumno dispusiese de un El esquema propuesto se describe en la seccion II y supone
entorno de red real sobre el que experimentar y poder manejar la evolucion y actualizacion del planteamiento previo presenta-
libremente distintas herramientas de seguridad, enfrentandose do por los autores en [6], simplificando al maximo las tareas
a casos de estudio cercanos a la realidad. de preparacion por parte del alumno y agilizando la puesta
Plantear estas actividades practicas sobre sistemas reales en marcha de las actividades practicas propuestas. Como
conlleva dificultades tanto tecnicas como de disponibilidad de resultado del empleo de este esquema se consigue ofrecer al
recursos que en muchos casos imposibilitan su realizacion. alumno, dentro de una unica maquina (bien sea un equipo de
Buena parte de los ejercicios relacionados con la seguridad, un laboratorio compartido o bien su propio equipo personal),
como simulacion de intrusiones y ataques o la instalacion de un entorno virtual con multiples computadores conectados
cortafuegos y medidas de proteccion, causaran numerosos formando pequenas redes, listos para ser usados y que contaran
problemas en un laboratorio compartido, ademas del riesgo con una coleccion de herramientas de seguridad de codigo
implcito que conllevan estas actividades. En [10] se senalan abierto, preinstaladas y configuradas.
algunos de los problemas del uso de laboratorios compartidos En la seccion III se presenta un repositorio de actividades
en la docencia de materias relacionadas con la seguridad practicas que hacen uso de este entorno virtualizado. Esta
informatica: coleccion recopila y estructura las actividades que hemos
Muchos ejercicios precisan acceso privilegiado al siste- empleado en los ultimos anos de docencia en el ambito de la
ma, lo que posibilitara usos maliciosos de los equipos. seguridad en sistemas de informacion. Se trata de una serie de
Muchos equipos pueden quedar en una situacion inesta- actividades de laboratorio que permiten introducir al alumna-
ble tras haber realizados ciertos ejercicios, lo que forzara doen el uso de herramientas de seguridad y promover el trabajo
168
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
169
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
TABLA I
L ISTADO DE ACTIVIDADES D ISPONIBLES Y H ERRAMIENTAS DE S EGURIDAD E MPLEADAS .
(a) S EGURIDAD EN REDES : SEGURIDAD PERIMETRAL
ACTIVIDAD DIFICULTAD HERRAMIENTAS / TECNOLOG IAS
Uso de Shorewall: DMZ con doble firewall media shorewall, nmap
Uso de Shorewall: DMZ con firewall de 3 interfaces alta shorewall, nmap
Tuneles con openVPN media openvpn, openssl, tinyca, shorewall
DMZ con firewall de 3 interfaces empleando NETFILTER/iptables media iptables, nmap
SNORT: sistema de deteccion de intrusiones en red media snort, barnyard2, snorby, scapy
SAGAN: sistema de deteccion de intrusiones en host media snort, barnyard2, snorby, syslog
Aplicaciones web inseguras: SQLi y XSS baja wordpress, webgoat, mutillidae, dvwa
Securizacion de aplicaciones web con mod-security media mod-security, wordpress, mutillidae, dvwa
ambos casos, Netkit y VNX, se trata de herramientas con Permite la ejecucion de una amplia variedad de huespedes 13
una clara orientacion docente y los respectivos equipos de sin requerir privilegios de administrador y permitiendo, si as
desarrollo mantienen un repositorio de laboratorios 9 10 se requiere, aislamiento total respecto al equipo anfitrion y
con diversos escenarios. Otras herramientas similares seran la red de docencia. Cuenta con una extensa documentacion y
el proyecto Marionnet 11 , originado como una interfaz grafica una amplia comunidad de usuarios. Desde el punto de vista
para Netkit y sin actividad reciente, y el simulador Grap- del diseno de nuestras actividades practicas, las principales
hical Network Simulator (GNS3) 12 con un enfoque mas ventajas que aporta esta herramienta y que han llevado a su
generalista, que permite experimentar con dispositivos CISCO empleo, son, por orden de importancia, las siguientes:
emulados mediante la herramienta Dynamips y que soporta la 1. Soporte multiplataforma. Se trata de una herramienta
inclusion de MVs basadas en V IRTUAL BOX dentro de las disponible para los sistemas operativos y las arquitectu-
redes emuladas. Para mas detalles, en [8] se presenta una ras mas usuales y que no impone restricciones especiales
pequena comparativa de algunas de estas herramientas y de respecto al tipo de equipo anfitrion a utilizar. Siendo
otras similares respecto a su uso docente en la ensenanza de la principal limitacion practica la cantidad de memoria
redes de computadoras. RAM disponible en el equipo anfitrion.
Nuestra propuesta esta a medio camino entre ambas apro- 2. Soporta la emulacion de multiples interfaces de red
ximaciones, dado que hace uso de una herramienta de virtua- en cada MV, que se pueden interconectar con las de
lizacion convencional, V IRTUAL BOX, y la definicion de los otros huespedes o con el anfitrion, formando redes
escenarios a emplear en las actividades esta solo parcialmente virtualizadas. En concreto, existen cuatro modos basicos:
automatizada. No obstante, la incorporacion de la herramienta NAT: Permite conexiones salientes desde los
DS BOX, descrita en la seccion IV, simplifica enormemente el huespedes a traves del anfitrion empleando traduc-
diseno de los escenarios, as como su difusion y reutilizacion. cion de direcciones (NAT, Network Address Trans-
V IRTUAL BOX es una plataforma de virtualizacion com- lation) gestionada por el motor de V IRTUAL BOX.
pleta para arquitecturas x86 y AMD64, distribuida en su Bridged: Permite el acceso directo del huesped a
version basica bajo licencia GNU General Public License v2 y las redes donde resida el anfitrion, configurando la
disponible para GNU/Linux, MS Windows, Mac OS y Solaris. correspondiente interfaz de red de este equipo en
modo puente.
9 Laboratorios Netkit: http://wiki.netkit.org/index.php/Labs Official Host Only: Ofrece al huesped una interfaz de red
10 LaboratoriosVNX: http://web.dit.upm.es/vnxwiki/index.php/Allexamples desde el que acceder al equipo anfitrion.
11 http://www.marionnet.org/
12 http://www.gns3.com/ 13 Ver https://www.virtualbox.org/wiki/Guest OSes
170
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
(a) Portada de la seccion Seguridad en redes (b) Enunciado de la actividad Uso de Shorewall: DMZ con doble firewall
Internal Network: Ofrece un mecanismo para que virtuales entre diferentes MVs huesped y permite la
distintas maquinas huesped compartan una red vir- creacion, gestion y comparticion de imagenes diferen-
tualizada comun, aislada del exterior y del propio ciales. De este modo, es posible definir una unica
anfitrion. Cada una de estas redes virtualizadas con- imagen base que sera reutilizada por todas las MVs
forma un dominio de colision, a modo de concentra- que conforman un escenario dado, ahorrando espacio
dor o hub virtual, donde se conectan las diferentes de disco y minimizando los tiempos de descarga de
instancias de los equipos huesped. las imagenes utilizadas. Asimismo, es posible distribuir
imagenes diferenciales que anadan modificaciones sobre
En nuestro caso, salvo en casos concretos, se utilizan ex-
las imagenes base iniciales, permitiendo una actualiza-
clusivamente conexiones Internal Network que permiten
cion sencilla de los huespedes utilizados.
definir redes locales arbitrarias segun las necesidades del
4. Ofrece mecanismos de control de las maquinas virtuales
escenario trabajado en cada actividad concreta.
muy potentes y flexibles, mas alla de su interfaz grafi-
3. Soporta la comparticion de las imagenes de discos
171
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
ca. En concreto, la herramienta de lnea de comandos 8.04 con software vulnerable y deficiencias de configuracion.
VBoxManage permite configurar la totalidad de los Para cada actividad propuesta se aporta un shell script
parametros relativos a las MVs, as como controlar su de puesta en marcha, tanto para GNU/Linux como para
ejecucion, haciendo posible la definicion y control de MS Windows, encargado de automatizar su puesta en
estas MVs desde shell scripts faciles de distribuir y funcionamiento. Estos scritps hacen uso de las funcionalidades
ampliar. Del mismo modo, V IRTUAL BOX tambien ex- de la herramienta VBoxManage y se encargan de crear
pone todas sus funcionalidades a traves de diversas APIs y definir los parametros de las respectivas MVs huesped,
disponibles para distintos lenguajes de programacion. configurandolas para utilizar replicas diferenciales de
5. Permite, entre otras alternativas, la comunicacion entre la imagen base descrita anteriormente. La otra gran
anfitrion y huespedes mediante el intercambio de Guest responsabilidad de estos scripts es definir las conexiones
Properties. Se trata de pares atributo-valor que son de red de los huespedes en modo Internal Network
establecidos por la maquina anfitrion, bien desde la de modo que se pueda realizar la interconexion entre
herramienta de lnea de comandos VBoxManage o huespedes para conformar las redes virtualizadas empleadas
desde alguna de las APIs ofrecidas por V IRTUAL BOX. en cada ejercicio concreto. Adicionalmente, estos scripts
Los valores vinculados a estosa tributos que pueden tambien pueden configurar los parametros de red propios
ser recuperados desde las MVs huesped que tengan de cada huesped, como direcciones IP, mascaras de red,
instalado el software denominado V IRTUAL BOX Guest rutas, fichero /etc/hosts inicial, etc. Para permitir
Additions, que proporciona una coleccion de drivers esta configuracion automatica de la red en los equipos
nativos, servicios, libreras y ejecutables, entre ellos huesped se hace uso de las Guest Properties ofrecidas
el comando VBoxControl que permite consultar los por V IRTUAL BOX y de un script de arranque especfico
valores de estas Guest Properties. (/etc/init.d/dsBOX_network_autconfigure.pl)
En nuestro caso, este mecanismo se utilizara para in- presente en la imagen base, que cuenta a su vez con una
yectar determinados parametros de configuracion en el instalacion funcional de la version 4.3.x de las Guest Additions
equipo huesped, que permitiran configurar, desde el ex- de V IRTUAL BOX. Este script se ejecuta durante el arranque
terior del mismo, aspectos como las conexiones de red, de las MVs y consulta los valores de las Guest Properties
rutas por defecto, nombres y direcciones de maquinas descritas en la tabla II mediante el comando VBoxControl
conocidas, etc. para, en el caso de que estas estuvieran establecidas, invocar
los correspondientes comandos de configuracion de redes de
II-B. Estructura de los equipos y las redes virtualizadas la maquina huesped.
En lo que respecta al uso que se hace de las tecnologas de
virtualizacion a la hora de plantear un laboratorio personal III. R EPOSITORIO DE ACTIVIDADES
sobre el que realizar las actividades practicas propuestas, el
esquema empleado es una evolucion del descrito por los Para hacer disponible la coleccion de actividades y ejerci-
autores en [6]. Se ha pretendido optimizar el uso de espacio en cios basados en MVs desarrollados a lo largo de estos anos de
disco mediante el empleo de imagenes de disco diferenciales actividad docente se ha publicado un repositorio web donde
creadas a partir de una imagen base comun. Tambien se ha se recogen los enunciados, guas y demas recursos utilizados,
perseguido simplificar el proceso de puesta en marcha de las junto con las imagenes base de las MVs utilizadas y los res-
simulaciones, consiguiendo reducir al mnimo el trabajo del pectivos shell scripts de instalacion y puesta en marcha. Este
alumnado previo a la realizacion de las actividades en s, repositorio esta actualmente publicado en la direccion http:
automatizando tareas como la configuracion de conexiones de //alqueidon.ei.uvigo.es/repossi/ y se estructura
red, direcciones y rutas. en 4 secciones, que se corresponden aproximadamente con la
En nuestra propuesta hemos empleado una unica imagen estructura seguida en las actividades practicas de las asigna-
base de un sistema GNU/Linux que hace uso de la distribucion turas de seguridad en sistemas de informacion impartidas.
Debian 7.0, y que cuenta una serie de herramientas de seguri- Seguridad en redes. Incluye ejemplos de tecnicas y
dad preinstaladas, junto con un conjunto de servidores tpicos herramientas de seguridad en redes, organizados en dos
(gestor de base de datos, servidor HTTP, etc) inicialmente subsecciones:
deshabilitados. Los detalles de dicha imagen base se presentan
Protocolos seguros. Revisando los problemas deri-
en la Fig. 1. Esta imagen es la que se utilizara para lanzar
vados del uso de protocolos no cifrados y presentado
la mayora de los huespedes que formaran parte de las redes
en detalle el funcionamiento interno de protocolos
virtuales a utilizar en las actividades practicas desarrolladas. Se
como TLS/SSL.
consigue de este modo sacar provecho del soporte de imagenes
Proteccion perimetral. Revisando herramientas pa-
diferenciales de V IRTUAL BOX para minimizar el uso de
ra la construccion de cortafuegos y las distintas to-
espacio en disco. Solo en casos puntuales, y para finalidades
pologas disponibles a la hora de hacer uso de zonas
concretas, se hace uso de imagenes disponibles en lnea, como
desmilitarizadas. Se presentan tambien ejemplos de
en la actividad de explotacion de vulnerabilidades donde se
uso de herramientas de deteccion de intrusos, tanto
emplea Metasploitable2 14 , una imagen de un sistema Ubuntu
de red como de host, as como soluciones para la
14 Disponible en http://sourceforge.net/projects/metasploitable/. construccion de redes privadas virtuales.
172
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
TABLA II
PAR AMETROS C ONFIGURABLES EN LAS MV S MEDIANTE Guest Properties.
CLAVE ATRIBUTO TIPO VALOR DESCRIPCI ON
En la Tabla I se detallan las actividades actualmente dispo- IV. H ERRAMIENTA DE D ISE NO DE S IMULACIONES :
nibles dentro de cada una de estas secciones, junto con una DS BOX
indicacion de las herramientas concretas trabajadas en cada
Con el fin de simplificar al maximo la creacion de escenarios
actividad. En la Fig. 2 se muestra una captura de la seccion
por parte de los usuarios finales se ha desarrollado una
Seguridad en red del repositorio de actividades, con una
herramienta grafica multiplataforma denominada DS BOX, que
descripcion de parte de las actividades incluidas en la misma.
busca aprovechar las caractersticas mas utiles del entorno
De un modo general se ha intentado seguir un esquema docente basado en tecnicas de virtualizacion descrito en las
uniforme a la hora de describir cada actividad. As, la docu- secciones anteriores. Esta herramienta permite disenar las
mentacion de las actividades que actualmente forman parte del pequenas redes de equipos virtualizados que conforman los
repositorio sigue el siguiente esquema: escenarios utilizados en las actividades descritas en la seccion
1. Descripcion general de la actividad anterior u otros escenarios similares que precise crear un de-
terminado usuario. Tambien permite configurar los parametros
Objetivos (y vinculacion con contenidos teoricos) de red de cada una de las conexiones presentes en los equipos
Escenario: redes, maquinas, herramientas a emplear de la red, junto con caractersticas relativas al modo en que
Recursos: informacion de las herramientas, manua- V IRTUAL BOX asignara recursos a las MVs huesped, como
les, tutoriales externos, etc puede ser la cantidad de memoria RAM o el porcentaje de
2. Desarrollo guiado 15 Se pretende incluir tambien el fichero XML con la especificacion de la
Scripts de puesta en marcha para entornos red para DS BOX (ver seccion IV).
173
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
Fig. 3. Vision general de DS BOX: escenario Uso de Shorewall: DMZ con doble firewall y configuracion de conexiones en cortafuegos contencion.
tiempo de CPU dedicado a cada maquina. Por ultimo, desde invocaciones SOAP (Simple Object Access Protocol) a los
la propia interfaz de DS BOX se puede lanzar y controlar la metodos publicados mediante esta API es posible crear y
ejecucion de las MVs que constituyen el escenario simulado. configurar las MVs utilizadas y controlar su ejecucion.
En la Fig. 3 se muestra un ejemplo del tipo de escenarios Por defecto, el tipo de equipos soportados por la version
que es posible disenar con DS BOX, en este caso se correspon- actual de DS BOX emplea la misma imagen base descrita
de con la red utilizada en la actividad Uso de Shorewall: DMZ en secciones precedentes. No obstante, es posible utilizar
con doble firewall de nuestro repositorio. Se muestra tambien cualquier tipo de imagen soportada por V IRTUAL BOX. En
uno de los dialogos de configuracion de las conexiones de red estos casos no es posible la configuracion automatica de las
del cortafuegos contencion. conexiones de red, salvo que en dicha imagen se cuente
Esencialmente se trata de un editor grafico de redes donde con scripts especficos que procesen adecuadamente las Guest
se pueden vincular equipos, seleccionados a partir de una Properties descritas en la tabla II. En lo que respecta al tipo de
paleta con los tipos de equipo disponibles, con dispositivos de dispositivos de red soportados, se corresponden con switches
red, seleccionados de entre la paleta de tipos de dispositivos o hubs Ethernet simulados configurando convenientemente los
soportados. En tiempo de simulacion, a cada uno de los equipos huesped para que empleen conexiones de tipo Internal
equipos le correspondera una MV y los distintos dispositivos Network. Tambien se soporta la simulaciones de dos tipos de
de red seran simulados configurando, de forma apropiada, conexiones con el exterior, utilizando los modos de conexion
las conexiones de red de estas maquinas, de acuerdo a las bridged y NAT ofrecidos por V IRTUAL BOX.
funcionalidades que ofrezca la plataforma de virtualizacion Por ultimo, toda la informacion relativa a las redes disenadas
externa empleada. y los datos necesarios para configurar y poner en marcha las
En cuanto a la arquitectura de esta herramienta, se trata MVs que posteriormente las simularan se almacena en docu-
de una aplicacion de escritorio Java, desarrollada sobre el mentos XML (eXtensible Markup Language). Esta funciona-
toolkit grafico JavaFX 8. Se ha disenado buscando la maxima lidad hace posible la distribucion, intercambio y modificacion
modularidad, de modo que la interfaz grafica para el diseno de de los entornos de red disenados y evita utilizar el tipo de shell
redes es independiente de los componentes encargados de in- scripts descritos en la seccion previa, construidos ad hoc para
teractuar con la plataforma de virtualizacion empleada para la automatizar la puesta en marcha de los entornos simulados.
creacion, configuracion y control de las MVs que implementan
la simulacion. En la version actual se emplea V IRTUAL BOX
V. E VALUACI ON Y C ONCLUSIONES
como plataforma de virtualizacion externa, aplicando todas las
optimizaciones descritas en las secciones precedentes: com- En la Fig. 4 se presentan los resultados de las encuestas
particion de imagenes base mediante imagenes diferenciales, realizadas a los alumnos que durante los cursos 2013/14 y
uso de Guest Properties para la configuracion interna de los 2014/15 han utilizado la aproximacion basada en maquinas
huespedes, etc. La interaccion con V IRTUAL BOX se lleva a virtuales descrita en la seccion II para llevar a cabo parte de
cabo empleando la API de servicios web disponible para esta las actividades practicas de la materia obligatoria de 6 creditos
herramienta, en concreto la version Java basada en JAX-WS ECTS Seguridad en Sistemas Informaticos. Esta materia se
(Java API for XML Web Services). De este modo, realizando ubica en el ultimo curso del Grado en Ingeniera Informatica
174
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
Fig. 4. Evaluacion global por parte del alumnado y principales problemas o dificultades.
impartido en la Escuela Superior de Ingeniera Informatica practica de nuestra materia y explorar mejores formas de usar
del Campus de Ourense de la Universidad de Vigo. En ambas este tipo de actividades guiadas para fomentar el interes de los
ediciones del curso solo fueron utilizadas parte de las acti- alumnos, proponiendo tareas mas autonomas que les permitan
vidades incluidas en el repositorio descrito en la seccion III, profundizar en el aprendizaje y asimilacion de los conceptos
sin llegar a emplearse la herramienta grafica DS BOX, que no y herramientas estudiados en las actividades realizadas. En
estaba disponible. cuanto al desarrollo futuro de DS BOX, la lnea a seguir se
Los resultados en cuanto a la valoracion global del uso de orienta a mejorar las funcionalidades relativas al control de la
entornos virtualizados son positivos, as como la percepcion ejecucion de las simulaciones, la inclusion de asistentes que
de los alumnos respeto a su facilidad de uso, a la adecuacion simplifiquen incorporacion de nuevas imagenes base y nuevos
de las actividades propuestas con respecto a los contenidos tipos de equipos a la paleta de componentes del editor de
de la materia y al nivel de dificultad en el desarrollo de los redes o incorporar el uso de otros motores de virtualizacion,
ejercicios concretos que les fueron asignados. bien de forma nativa o mediante APIs independientes como
Un aspecto clave en una aproximacion tan guiada como la libvirt.
que presentamos en este trabajo esta en relacion con la capaci-
dad real de este metodo de conseguir un aprendizaje realmente R EFERENCIAS
significativo. Buena parte de los ejercicios propuestos pueden [1] H. Bulbrook, Using virtual machines to privide a secure teaching lab
completarse simplemente siguiendo los pasos detallados que environment, whitepaper, Durham Technical Community College.
[2] J.A. Gil, F.J. Mora, F. Macia, A. Albadalejo, S. Ferrairo, Entorno de
se ofrecen sin que el alumno llegue realmente a entender red virtual para la realizacion de practicas realistas de administracion
totalmente que hace y por que lo hace. En nuestra encuesta de sistemas operativos y redes de computadores, XI Jornadas de la
final se pregunta explcitamente por ese punto en el apartado Ensenanza Universitaria de la Informatica, JENUI2005, 2005.
[3] P. Gomez, Maquinas virtuales en las clases de informatica, XII Jornadas
de problemas y dificultades, cuyos resultados tambien se de la Ensenanza Universitaria de la Informatica, JENUI2006, 2006.
muestran en la Fig. 4. S hemos constatado un numero [4] J. Hu, D. Cordel, C. Meinel, A virtual laboratory form IT security
relativamente alto de alumnos que declaran encontrar los education, Proc. EMISA 2004,pp.60-71, Luxemburgo, 2004.
[5] P.Y. Logan, Crafting an undergraduate information security emphasis
ejercicios propuestos como demasiado guiados o senalan que within information technology, Journal of Information System Education,
no llegaron a poder interpretar completamente los resultados Vol. 13(3), pp. 227-247, 2002
obtenidos. Si bien para algunas de las actividades propuestas, [6] F.J. Ribadas-Pena, F.M Barcala-Rodrguez, V.M Darriba-Bilbao, J.Otero-
Pombo, Diseno de un entorno virtualizado para la docencia practica de
que simplemente pretenden presentar el uso de determinadas Seguridad en Sistemas de Informacion, XIV Jornadas de la Ensenanza
herramientas de seguridad, ese es el comportamiento previsto, Universitaria de la Informatica, JENUI2008, 2008
s somos conscientes de que se debe realizar mas trabajo en la [7] Netkit, The poor mans system to experiment computer networking,
recurso en lnea http://wiki.netkit.org/ (ultimo acceso 9/8/2015)
propuesta de experimentos o comprobaciones adicionales que [8] A. Ruiz-Martnez, F. Perenguez-Garca, R. Marn-Lopez,P.M. Ruiz-
reten a los alumnos a profundizar en los conceptos tratados Martnez, A.F. Skarmeta-Gomez, Teaching Advanced Concepts in Com-
en las actividades realizadas. puter Networks: VNUML-UM Virtualization Tool, IEEE Transactions on
Learning Technologies, Vol. 6(1), pp. 85-96, 2013
En lo que respecta a las contribuciones de este trabajo [9] J. Son, C. Irrechukwu, P. Fitzgibbons, A Comparison of Virtual Lab
mas alla de su vertiente docente, hemos de senalar que se Solutions for Online Cyber Security Education, Communications of the
ha puesto a disposicion de la comunidad una coleccion de IIMA: Vol. 12(4), 2012
[10] R. Tikekar, Thomas Bacon, The challenges of designing lab exercises
ejemplos de uso de un conjunto relativamente representativo for a curriculum in computer security, Journal of Computing on Small
de herramientas de seguridad que sirven como punto de Colleges (JCSC), Vol. 18(5), pp. 175-183, 2003.
partida para el autoaprendizaje y la experimentacion. Tambien [11] Adan Vollrath, Steven Jenkins, Using virtual machines for teaching
system administration, Journal of Computing on Small Colleges (JCSC),
se ha desarrollado una herramienta grafica, DS BOX, que Vol. 20(2), pp. 287-292, 2004.
permite disenar de forma sencilla entornos virtualizados como [12] Virtual Networks over linuX (VNX), recurso en lnea http://web.dit.upm.
los empleados en nuestro repositorio, cuya utilidad puede ir es/vnxwiki/ (ultimo acceso 9/8/2015).
[13] C. Willems, C. Meinel, Practical Network Security Teaching in an
claramente mas alla de su uso en una materia de seguridad. Online Virtual Laboratory, Proc. 2011 Intl. Conference on Security &
Por ultimo, en cuanto a las futuras lneas de trabajo, el Management (SAM 2011), pp. 65-71, 2011.
paso inmediato es integrar el uso de DS BOX en la docencia
175
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
1
Resumen En el curso 2014/2015 las asignaturas de de Seguridad Informatica de las titulaciones de grado
Seguridad Informatica de los grados de Informatica de que se imparten en esta universidad y en las que se
la Universidad Rey Juan Carlos se han replanteado,
respetando los planes de estudios originales pero innovando imparte esta asignatura (Grado en Ingeniera Informatica,
con un enfoque mucho mas practico y que atienda a las Grado en Ingeniera del Software y Grado en Ingeniera
recomendaciones internacionales que se han realizado en el de Computadores). Con este enfoque se persigue un
area en los ultimos dos o tres anos. Este articulo recoge
el contexto en el que se ha trabajado para realizar este
equilibrio entre la teora y la practica, y tambien entre
cambio, las experiencias y resultados obtenidos y algunas los contenidos basicos que se deben cubrir con este tipo de
ideas para trabajar en el futuro. asignaturas introductorias y los contenidos mas avanzados
y relativos a las nuevas tendencias en TIC que permitan
motivar a los alumnos con la asignatura.
I. Introduccion
El resto del artculo se estructura de la siguiente
Distintos organismos e instituciones como NERC, manera. En la seccion II se presenta el contexto en el
NIST, ISACA, ENISA o el DHS han propuesto en que se ha desarrollado la experiencia. En la seccion III
los ultimos anos mejores practicas para la formacion y se resumen los aspectos mas importantes de la Gua de
concienciacion en Seguridad Informatica. Si se analiza Asignatura que se han implantado en el curso 2014/2015
toda esta documentacion, se suelen proponer niveles de para la asignatura Seguridad Informatica (obligatoria, 6
profundizacion, contenidos asociados a cada uno de ellos creditos y en el tercer curso de todos los grados. En
y roles que deberan formarse y/o concienciarse a un la seccion IV se detallan todas las actividades practicas
nivel o a otro. Desafortunadamente, si se asocia la realizadas con los alumnos y en la seccion V se comentan
concienciacion con la comprension del Que (informacion, detalles acerca de la implantacion de la nueva gua y de los
sensibilizacion) y la formacion con la comprension del resultados obtenidos en este primer curso. Finalmente la
Como (conocimiento), todas estas propuestas dejan sin seccion VI resume las conclusiones obtenidas y las lneas
tratar la Educacion, que se asociara con el Por que. Y mas interesantes de trabajo futuro.
este es justo el nivel en el que deberan encontrarse las
asignaturas de Seguridad Informatica en las titulaciones II. Contexto
universitarias. Segun los acuerdos de la Conferencia de Decanos y
Sin este tipo de recomendaciones y guas, ni Directores de Informatica (CODDI) sobre titulaciones
nacionales ni internacionales, la mayor parte de las en el EEES (del ano 2004 y del ano 2007, [6]) el
nuevas titulaciones en el Espacio Europeo de Educacion ttulo de Grado de Ingeniera Informatica dentro de
Superior (EEES), es decir, los nuevos grados, han sus Contenidos Formativos Comunes, debe incluir una
planteado casi siempre modulos curriculares o asignaturas categora de Contenidos Especficos de la Ingeniera
completas de Seguridad Informatica con planteamientos en Informatica. Dentro de esta categora se incluye
mayoritariamente teoricos y centrados en la criptografa. a su vez una subcategora de Sistemas Operativos,
Sin embargo cada vez esta mas claro que este enfoque se Sistemas Distribuidos y Redes en la que se menciona
aleja del tipo de educacion que se debera estar dando en explcitamente la Seguridad. Ademas en estos
la universidad para este area de la informatica ([1]). Las acuerdos se establece una competencia para la titulacion
necesidades de los nuevos profesionales en una sociedad que implica que los alumnos aprendan a Disenar,
tecnologica y en red como la actual, en la que la Seguridad desarrollar, evaluar y asegurar la accesibilidad, ergonoma,
Informatica afecta practicamente a todas las facetas de la usabilidad y seguridad de los sistemas, aplicaciones y
vida cotidiana de personas y organizaciones, nos obligan a servicios informaticos, as como de la informacion que
realizar un esfuerzo desde las universidades para adaptar proporcionan, conforme a la legislacion y normativa
nuestros contenidos y enfoques pedagogicos ([2], [3], [4], vigentes.
[5]). Atendiendo a estos acuerdos, la Universidad Rey Juan
Este esfuerzo ha comenzado a realizarse en la Carlos incluyo en el diseno de los tres grados impartidos
Universidad Rey Juan Carlos (Madrid) en el curso por la ETSII (Escuela Tecnica Superior de Ingeniera
2014/2015, probando un nuevo enfoque para ocho grupos Informatica), es decir, en los grados de Ingeniera
176
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
2
177
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
3
que se adapten mejor al plan de estudios y al perfil de realizadas por los alumnos, siempre trabajando por
alumnado en cada caso. parejas.
Para las practicas de ataques se han utilizado
A. Pre-requisitos herramientas tpicas como Maltego, Ettercap, Wireshark,
Se recomienda haber cursado previamente (aunque no Nmap o Nessus, ademas de scripts de los propios
se exige) las asignaturas Introduccion a la Programacion, alumnos y aplicaciones vulnerables proporcionadas por
Estructuras de datos, Programacion Orientada a Objetos, los profesores de la asignatura. Para las practicas de
Bases de Datos y Redes de Computadores. contramedidas se han trabajado con codigos desarrollados
por los propios alumnos y por los profesores, tanto en C
B. Contenidos como en Java.
La tabla I resume los contenidos planteados en la gua C. Otras actividades practicas
de la asignatura, como se pueden observar, divididos en
tres grandes bloques. Este curso academico se han propuesto a los alumnos
tres actividades optativas para complementar, fuera del
C. Actividades horario de la asignatura, los contenidos estudiados.
La asignatura se ha dividido por semanas, de manera La primera fue la asistencia al Ciclo de Seminarios sobre
que cada semana se trabaja con una gua de estudio Ciberseguridad de ISACA con la Universidad Rey Juan
y, aproximadamente, con una de las unidades reflejadas Carlos. El programa de seminarios que se organizo en este
en la tabla I. En esta gua se especifican todas las curso, todos ellos impartidos por miembros de ISACA, fue:
Lunes 9 de marzo de 2015: La importancia de la
actividades que el alumno debe realizar de manera
obligatoria durante la semana y tambien se plantean auditora tecnologica en la empresa actual.
Jueves 12 de marzo de 2015: Ciberseguridad en
actividades optativas para aquellos alumnos que quieran
profundizar mas en alguna materia de su interes. En esta entornos industriales.
Lunes 16 de marzo de 2015: Como se protegera
guas se proporcionan todos los enlaces a la documentacion
necesaria as como unas cuestiones de auto-evaluacion Espana ante una cibercrisis?.
Lunes 23 de marzo de 2015: Self Defending Mobile
que permiten a los alumnos valorar si han cumplido
suficientemente los objetivos de la semana. Apps.
Jueves 26 de marzo de 2015: Seguridad de la
Segun la semana las actividades asociadas a la
asignatura han sido: informacion y auditora en entornos Cloud Computing.
Clases magistrales.
La segunda fue la asistencia al URJC Techfest 4, que
Presentaciones de alumnos.
en el ano 2015 se organizo en forma de Jornadas de
Seminarios.
Ciberseguridad durante 3 das. Durante estos tres das se
Lecturas.
suspendieron las clases para facilitar la asistencia de los
Practicas en el aula (casos y talleres).
alumnos a todas las actividades programadas y ademas
Practicas en laboratorio.
se ayudo a las asociaciones de alumnos organizadoras a
Otras actividades (ciclos de conferencias, eventos fuera
contactar con profesionales del sector que se involucraran
del campus, etc.). en charlas, seminarios y talleres. Nosotros mismo
impartimos una conferencia el segundo da de las jornadas.
IV. Enfoque practico o hands-on Y la tercera fue una quedada con los profesores de
la asignatura en el CyberCamp2014, aprovechando que
A. Practicas en el aula somos una universidad madrilena y que este evento se
Como se ha comentado con anterioridad, uno de los celebro relativamente cerca de nuestro campus.
objetivos de la asignatura consista en conseguir un
equilibrio entre la teora y la practica. Para ello, en las V. Implantacion y resultados
semanas de trabajo en el aula, se ha intentado siempre En el curso 2014/2015 se ha impartido la asignatura
que una de las clases de dos horas fueran de formato clase de Seguridad Informatica con este nuevo enfoque en
magistral, presentaciones o seminarios, mientras que la ocho grupos diferentes de las titulaciones de informatica,
otra clase de dos horas se dedicara a trabajo practico con un total de 160 alumnos. Dos profesores se han
de los alumnos en el aula. En la tabla II se muestra la involucrado en el proyecto (los autores de este artculo),
planificacion de este tipo de actividades. ambos pertenecientes al Departamento de Ciencias
de la Computacion, Arquitectura de la Computacion,
B. Practicas en el laboratorio Lenguajes y Sistemas Informaticos y Estadstica e
Estas practicas se han realizado en las 20 horas de Investigacion Operativa.
laboratorio (las que en el plan de estudios se consideran La tabla IV muestra el sistema de evaluacion empleado
horas de practicas) y se han dividido en dos grandes y las calificaciones medidas obtenidas por los alumnos
bloques, un primer bloque de practicas asociadas a presentados de los ocho grupos. La teora de la asignatura
Ataques (tres semanas de laboratorio) y un segundo se ha evaluado con distintas pruebas escritas (examen final
bloque de practicas asociadas a Contramedidas (dos tradicional, tests) mientras que las actividades practicas
semanas de laboratorio). La tabla III resume las practicas en el aula y en el laboratorio se han evaluado con informes,
178
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
4
TABLA I
Nuevos contenidos de la asignatura de Seguridad Informatica
Ademas de esta informacion tambien hay que Como posibles aspectos de mejora para el curso proximo
destacar un 88% de alumnos presentados en la se plantean: la mejora de los materiales teoricos y
primera convocatoria. Esta tasa de presentados y las practicos asociados a la asignatura y de las guas de
calificaciones medias mejoran sustancialmente lo que se estudio, la mejora de las practicas en el laboratorio para
vena consiguiendo en los cursos anteriores (entre un solventar todos las limitaciones y problemas detectados
54% y un 78% en los tres cursos anteriores dependiendo este primer curso, la involucracion de mas profesores en
del grupo). Aunque con un unico curso academico la constante actualizacion de la asignatura, y una posible
como muestra es pronto para sacar conclusiones acerca modificacion del sistema de evaluacion para premiar de
179
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
5
TABLA II
Programacion de actividades practicas en el aula
TABLA III
Programacion de actividades practicas en el laboratorio
TABLA IV
Sistema de evaluacion y calificaciones
alguna manera a los alumnos que se han involucrado en las las instituciones de educacion superior. La ensenanza
actividades optativas (las denominadas otras actividades de esta materia no debe limitarse a la criptografa
practicas) dentro del marco regulatorio de la universidad sino basarse en una vision integral, multi-disciplinar
respecto a sistemas de evaluacion. y holstica, debe proporcionar a los estudiantes las
herramientas para aprender por su cuenta en el futuro,
VI. Conclusiones y trabajo futuro debe equilibrar la teora con la practica y contar en todo
Segun los ultimos estudios, mas de la mitad de las lo posible con los futuros empleadores de los egresados.
empresas reconocen que les cuesta encontrar personal En la Universidad Rey Juan Carlos se ha comenzado
convenientemente formado en Seguridad Informatica. a afrontar estos retos en el curso 2014/2015, recogiendo
Esta limitacion esta siendo en muchos casos una de las la experiencia de los cursos anteriores, las sugerencias
causas por las que se ralentiza la adopcion de nuevos de muchos profesores y alumnos, y las recomendaciones
paradigmas como Mobile, Cloud o IoT. Gobiernos y de distintos organismos e instituciones nacionales e
corporaciones comienzan a presionar para reducir el skill internacionales. Las experiencias vividas y los resultados
gap detectado y las universidades deben asumir su parte obtenidos este primer curso academico en ocho grupos
de responsabilidad, actualizando los programas y los de alumnos diferentes nos permite ser optimistas y seguir
enfoques de las asignaturas de Seguridad Informatica en trabajando en esta direccion con mas fuerza si cabe.
180
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
6
En la actualidad se esta trabajando en diferentes [10] National Audit Oce. The UK cyber
lneas. La primera, mejorar las practicas en el aula y security strategy: Landscape review.
http://www.nao.org.uk/wp-content/uploads/2013/03/
en el laboratorio para el proximo curso. En el caso Cyber-security-Full-report.pdf.
de estas ultimas se esta trabajando para realizar varias [11] Educating the next generation experts in cyber security.
con las herramientas mas importantes que incorpora la http://engensec.eu/.
[12] Georgia tech information security center.
distribucion Kali Linux y explotando las vulnerabilidades https://www.gtisc.gatech.edu/.
de sistemas y aplicaciones que ponen a disposicion de [13] Center for education and research in information assurance and
security (CERIAS). https://www.cerias.purdue.edu/.
todos los estudiantes y profesionales proyectos como los [14] Marta Beltran and Isaac Martn de Diego. Gua de asignatura:
de OWASP, Google o Metasploit. Seguridad informatica, grado en ingeniera informatica URJC
La segunda, lanzar en Enero de 2016 un MOOC (2014/2015). http://miportal.urjc.es/guiasdocentes/.
(Massive Online Open Course) en la nueva plataforma
URJCx que desarrolle contenidos similares a los de la
asignatura, pero mucho mas acotados, ya que el curso
durara seis semanas. Se pretende que el enfoque sea
tambien similar, por lo que se esta trabajando en adaptar
las actividades para poder realizarlas en formato online.
Este MOOC puede ser de gran utilidad, entre otros
colectivos, para los profesores que necesiten formarse en la
materia, ya que hemos detectado que la falta de formacion
entre el profesorado es en la actualidad una importante
barrera para una adecuada ensenanza de la Seguridad
Informatica en la universidad.
Y la tercera, acreditar nuevos planes de estudio de grado
y post-grado especficos del area de la ciberseguridad en
la Universidad Rey Juan Carlos.
Agradecimientos
Nuestro agradecimiento a los profesores que impartieron
las asignaturas de Seguridad Informatica en los cursos
anteriores, a los alumnos por sus valiosas aportaciones,
a todos los ponentes de los seminarios organizados para
la asignatura y a los ponentes de ISACA que participaron
en el Ciclo de Seminarios sobre Ciberseguridad de ISACA
(todos ellos nos han ayudado desinteresadamente) y a
todos los involucrados en la organizacion del Techfest 4
y del CyberCamp2014.
Referencias
[1] Frost and Sullivan. The 2013 (ISC)2
global information security workforce study.
https://www.isc2.org/uploadedfiles/(isc)2 public content/2013
[2] J. Mirkovic and T. Benzel. Teaching cybersecurity with
DeterLab. IEEE Security & Privacy, 10(1):7376, 2012.
[3] Richard Weiss, Michael Locasto, Jens Mache, and Vincent
Nestler. Teaching cybersecurity through games: a cloud-based
approach. Journal of Computing Sciences in Colleges,
29(1):113115, 2013.
[4] L. Ben Othmane, V. Bhuse, and L.T. Lilien. Incorporating
lab experience into computer security courses. In Proceedings
of the 2013 World Congress on Computer and Information
Technology, pages 14, 2013.
[5] K. Salah, M. Hammoud, and S. Zeadally. Teaching
cybersecurity using the cloud. IEEE Transactions on Learning
Technologies, 2015.
[6] Conferencia de Decanos y Directores de Informatica (CODDI).
Acuerdos de la conferencia de decanos y directores
de informatica sobre titulaciones en el EEES.
https://www.fi.upm.es/docs/conocenos/resumen de prensa/
151 CODDI.pdf.
[7] IEEE and ACM. Computer science curricula 2013.
https://www.acm.org/education/CS2013-final-report.pdf.
[8] IBMs cyber security innovation program.
https://www-304.ibm.com/ibm/university/academic/pub/page/
teaching topics.
[9] National initiative for cybersecurity education.
http://csrc.nist.gov/nice/.
181
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
1
Resumen Este artculo introduce una propuesta de la- torio, que instala el nuevo software en un conjunto redu-
boratorio virtual para la docencia practica en cibersegu- cido de sistemas operativos con los que el alumno puede
ridad en redes de ordenadores. Dicha solucion contribuye
a aumentar la flexibilidad y versatilidad de los escenarios iniciar la sesion. Dicha incorporacion debe ser planifica-
de red utilizados en las practicas docentes. La solucion se da con suficiente antelacion, ya que se debe comprobar
basa en dispositivos USB de inicio, o live-USB, que per- que las nuevas herramientas funcionan adecuadamente y
miten arrancar un sistema operativo con varias maquinas
virtuales conectadas en red. Este sistema permite que un
no interfieren en el funcionamiento de otras herramientas
alumno pueda utilizar con sencillez una red virtualizada instaladas con anterioridad. Unido esto a la necesidad de
sin necesidad de realizar instalaciones en su propio PC. realizar las practicas de seguridad en un entorno controla-
Por otro lado, utilizando esta solucion en los laboratorios do, por lo general sin acceso a Internet y con funcionalidad
docentes, se permite el diseno de contenidos practicos con
mayor agilidad, considerando escenarios mas flexibles y de muy restringida, hace que el entorno de trabajo diste de
mayor tamano. El artculo introduce un caso practico ba- ser realista y que la generacion de material practico para
sado en el laboratorio virtual para ilustrar su versatilidad la docencia de seguridad resulte limitada y poco eficiente.
y posibilidades.
Por otro lado, el numero limitado de sistemas operati-
vos para el uso del laboratorio, as como de puestos en los
I. Introduccion laboratorios, limita la reproduccion de condiciones realis-
El Informe Anual de Seguridad de Cisco [1] en 2014 tas en las sesiones practicas. Tradicionalmente, para pa-
establece que uno de los retos fundamentales para la in- liar este problema, se ha hecho uso de herramientas de
dustria en el ambito de las Tecnologas de la Informacion simulacion. No obstante, en el dominio de la seguridad en
y la Comunicacion (TIC) es encontrar profesionales ade- red la simulacion impone serias limitaciones. Por ejemplo,
cuadamente preparados para prevenir, detectar y mitigar si bien es posible simular el trafico de una red con cier-
amenazas de seguridad. En dicho informe, se estima que la ta fidelidad, no existen herramientas especializadas para
demanda de estos profesionales supera a la oferta en mas simular vulnerabilidades en sistemas, ataques concretos,
de un millon. Adicionalmente, el aumento en numero y herramientas fundamentales en el analisis de la seguridad
sofisticacion de las amenazas de seguridad lleva a la nece- en red, etc.
sidad de potenciar determinadas habilidades anteriormen- En este artculo se propone un diseno de laboratorio vir-
te poco comunes en los profesionales de seguridad, como tual de seguridad en red que se adapta a las necesidades
es la capacidad de analisis de grandes conjuntos de datos docentes actuales. La solucion propuesta combina los con-
(Big Data) o el dominio de la seguridad en tecnologas no- ceptos de virtualizacion y USB de inicio (live-USB), que
vedosas, como comunicaciones moviles, Bring Your Own permite arrancar un sistema operativo anfitrion o host con
Device (BYOD) y la nube. una red virtualizada de maquinas virtuales guest a traves
La conocida web de profesionales TIC TechRepublic [2], de VirtualBox. Dichas maquinas guest, as como el siste-
en una consulta realizada a influyentes profesionales eje- ma host que las alberga, pueden ser personalizadas previa-
cutivos y de equipos de recursos humanos, identifica que mente por el docente, de acuerdo al trabajo de laboratorio
las principales tendencias de contratacion de profesionales que se quiera ofrecer al alumno. Integrando la red virtua-
TIC en 2014 incluiyen conocimientos de analisis Big Data, lizada en dispositivos live-USB con suficiente capacidad,
comunicaciones moviles, la nube y seguridad en red. Otras es posible cambiar el comportamiento de cada PC en el
listas similares coinciden en la priorizacion de la seguridad laboratorio de acuerdo a la practica concreta a realizar.
como uno de los principales retos del futuro inmediato. La inclusion de nuevas herramientas en el laboratorio es
La demanda actual de profesionales de seguridad re- tan sencilla como la instalacion de dicha herramienta en
quiere la definicion de unas instalaciones docentes de gran un nuevo USB de inicio. Esto aporta una flexibilidad y ca-
flexibilidad, donde poder incorporar herramientas actua- pacidad de generacion de nuevos materiales muy superior
les y reproducir condiciones realistas en casos de estudio. a la actual. Adicionalmente, la virtualizacion permite es-
Por desgracia, el diseno actual tpico de los laboratorios calar las practicas a mayor cantidad de maquinas, ya que
de docencia practica no permite dicha flexibilidad. La in- cada PC real puede simular varias maquinas virtuales. La
corporacion de nuevas herramientas a los laboratorios re- combinacion de la virtualizacion con los dispositivos de
quiere de la dedicacion exclusiva de personal de labora- interconexion disponibles en los laboratorios (conmutado-
182
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
2
183
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
3
seguridad y portabilidad. Siguiendo estos requisitos, se ha VMWare (www.vmware.com) Es el estandar del mer-
escogido una estructura de laboratorio de red con maqui- cado ya que es el mas rapido, estable y seguro, principal-
nas fsicas conectadas entre s por medio de dispositivos mente en sus versiones de pago. Actualmente ofrece dos
fsicos de interconexion. En estas maquinas fsicas cada versiones gratuitas, VMWare Player y VMWareESXi, pe-
alumno conecta un live-USB con el que arranca el sistema ro con ciertas limitaciones. Es multi-plataforma.
operativo preparado para la practica concreta a desarro- De entre estas opciones, la mas atractiva es VirtualBox,
llar. Cabe destacar que estos live-USB contienen una serie ya que combina su caracter de software libre con unas
de maquinas virtuales (dentro del software VirtualBox). prestaciones altamente competitivas.
Por un lado, las maquinas virtuales aportan flexibili- Una herramienta muy interesante que mezcla simula-
dad en cuanto al numero de maquinas de las que dispone cion, emulacion y virtualizacion es GNS3 (www.gns3.net).
el laboratorio. Por otro lado, el uso de live-USB permite Este software permite, mediante un entorno grafico, di-
flexibilidad con respecto a los S.O. utilizados y simplici- bujar y configurar una topologa de red y posteriormente
dad para configurar los dispositivos USB. Adicionalmente, simular su comportamiento. Soporta configuracion y emu-
estos USB siempre permanecen en el estado inicial para lacion de dispositivos de interconexion con sistema opera-
poder volver a ser utilizados en la siguiente practica o reto tivo IOS CISCO e incorpora maquinas virtuales a traves
por distintos alumnos. Por ultimo, es posible utilizar este de VirtualBox a la topologa de red disenada. Este soft-
sistema en un unico equipo como laboratorio en casa con ware permite simular niveles de enlace diversos como Et-
el objetivo de que el alumnado pueda avanzar, finalizar o hernet, FrameRelay, ATM, etc., as como dispositivos de
rehacer las practicas desde su equipo personal. interconexion del nivel de enlace como switches. Ademas,
A continuacion se discuten algunas de las caractersticas el trafico que se genera en la red simulada puede ser cap-
del sistema. turado con el software de monitorizacion de paquetes Wi-
reshark. Sin embargo, la emulacion de sistemas de interco-
A. Software de virtualizacion nexion en GNS3 ralentiza el procesamiento. As, conside-
rando que los laboratorios de practicas tienen disponibles
La virtualizacion permite utilizar mas de un sistema dispositivos fsicos de interconexion, no parece necesario,
operativo en un mismo ordenador, de forma simultanea y sino contraproducente, su emulacion.
persistente. Utiliza las ventajas de emuladores y sistemas Teniendo en cuenta los objetivos especificados para el
con arranque multiple, pero eliminando sus limitaciones, laboratorio virtual, la disponibilidad de hardware real de
ya que los emuladores no permiten ejecutar directamente interconexion de red en los laboratorios de la ETSIIT, y
el codigo del sistema huesped y los sistemas con arranques analizando todas las posibilidades disponibles, la opcion
multiples permiten mas de un sistema operativo pero no elegida en este trabajo pasa por combinar el uso de Vir-
simultaneo. tualBox con dispositivos de interconexion reales. De esta
El proceso de virtualizacion se basa principalmente en forma se obtiene un entorno flexible y realista que minimi-
montar un sistema operativo, denominado maquina vir- za los recursos para la virtualizacion. Esto permite escalar
tual o guest, mediante la instalacion de un software, el las practicas docentes a mayor cantidad de maquinas, ya
hipervisor, por encima del SO que usamos normalmente, que cada PC real puede simular varias maquinas virtuales
llamado anfitrion o host. de dispositivos finales, que incluyan: maquinas vulnerables
Uno de los inconvenientes de las maquinas virtuales es a ataques, maquinas atacantes o de test de penetracion,
su coste computacional, que lleva a que la ejecucion de un etc.
gran numero maquinas pueda saturar facilmente los re-
cursos de la maquina anfitriona. Aun as, suele compensar B. Sistema live USB
la perdida de eficiencia con la gran flexibilidad y realismo A la hora de disenar el sistema live-USB, es importan-
que aportan. te decidir cual va a ser el SO que actuara como host en
Actualmente las plataformas de virtualizacion mas im- el mismo, as como las herramientas necesarias para su
portantes para el uso de maquinas virtuales son las si- conversion a live-USB.
guientes: Atendiendo al tipo de host a escoger, las distribuciones
VirtualBox (www.virtualbox.org) Solucion profesional GNU/Linux son quizas la opcion mas atractiva, ya que
gratuita y disponible como software de codigo abierto cuentan con mayor experiencia trabajando con dispositi-
GNU (GPL). Tiene soporte multi-plataforma incluyendo vos Live. En comparacion con las distribuciones de otras
Solaris y una lista creciente de caractersticas como ins- fabricantes, presentan las siguientes ventajas:
talar el software con privilegios adicionales a la maquina Alta velocidad de procesamiento.
fsica, tareas como compartir, archivos, unidades, periferi- Gran robustez gracias a su sistema de permisos.
cos, etc. Estabilidad frente a problemas, traducido en una gran
KVM (www.linux-kvm.org) Solucion para implementar productividad.
virtualizacion completa con Linux. Utiliza una version mo- Mayor flexibilidad y portabilidad.
dificada de QEMU (emulador de procesadores), que per- Entre la extensa gama de sistemas operativos
mite obtener un rendimiento espectacular cuando no se GNU/Linux, Ubuntu puede ser una solucion acertada pa-
trata de Microsoft Windows como guest. No tiene un so- ra tomar como host del USB. Ademas de que permite
porte completo para controladores. trabajar con software de virtualizacion como VirtualBox,
184
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
4
185
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
5
V. Caso de uso del laboratorio de seguridad: este ejemplo concreto se ha utilizado Windows XP. El soft-
despliegue y deteccion de la botnet Zeus ware para el botmaster cuenta con una herramienta para
El objetivo fundamental de esta seccion es mostrar la editar y compilar un archivo de configuracion y crear un
funcionalidad de la arquitectura de laboratorio de redes archivo .bin y un ejecutable que ha de ser enviado y eje-
propuesta por medio de un caso de uso. En este caso con- cutado en la maquina vctima. Este ejecutable es lo que se
creto se va a utilizar la botnet Zeus como codigo malicioso conoce comunmente como el troyano Zeus o Trojan.Zbot.
por ser un malware muy extendido y presentar una serie Ademas el botmaster puede acceder a un panel de con-
de caractersticas de red interesantes que pueden ser de trol donde se muestran estadsticas acerca de los numero
una gran utilidad para aprender a utilizar herramientas de ordenadores infectados, numero actual de los robots en
de deteccion de intrusiones (Snort), de analisis grafico de la lnea, numero de nuevos bots, actividad diaria de es-
logs (Splunk) o de visualizacion (AfterGlow). tos, estadsticas de los pases en los que se encuentran las
maquinas infectadas y SO de las mismas.
A. Entorno experimental
Servidor Web: El servidor Web es una maquina vir-
El entorno propuesto esta disenado para la ejecucion de
tual de Ubuntu 12.04.4 LTS que incluye el servidor web
una practica en grupos de 2 alumnos sobre el funciona-
XAMPP, distribucion de Apache muy extendida por su fa-
miento y deteccion de las botnets. Las botnets son redes
cilidad de instalacion al incluir directamente la instalacion
de equipos comprometidos denominados bots que siguen
de Apache, MySQL, PHP y Perl. En este servidor se han
las ordenes de un operador humano llamado botmaster.
instalado dos paginas web: una desde la que las maqui-
En concreto la botnet utilizada es Zeus, tambien conoci-
nas vctima descargaran el ejecutable del Zbot y otra que
da como Zbot, Kneber, PRG, NTOS, Wsnpoem and Gor-
contiene un formulario a rellenar por los clientes, de forma
hax [4]. Esta botnet dispone de una herramienta DIY (Do-
que la informacion introducida en este pueda ser robada
it-yourself) por medio de la cual el desarrollador facilita
por las maquinas comprometidas que la visiten.
todas las herramientas necesarias para construir y admi-
nistrar la botnet. En esencia Zeus es una red de bots que se
Equipo Fsico del Alumno 2:
comunican a traves del protocolo HTTP. Todas las comu-
nicaciones de comando y control (C&C) se realizan remo-
Deteccion: Esta maquina es la anfitriona y su sistema
tamente desde un sitio web gestionado por el botmaster.
operativo es Ubuntu 12.04.4. El objetivo fundamental de
Zeus se ha especializado en robar credenciales bancarias en
esta maquina es intentar detectar los equipos infectados
los equipos con el sistema operativo Microsoft Windows.
por el troyano Zeus analizando el trafico de red que pasa
Zeus se compone de un elemento cliente y otro servi-
por ella. Para esto se utilizaran tres herramientas funda-
dor. El servidor cuenta con un generador de malware que
mentalmente: Snort, Splunk y AfterGlow. Snort [5], es un
ayuda al botmaster a crear el codigo cliente del malware
sniffer de paquetes y detector de intrusos basado en red
cuyo nombre tecnico es PWS-ZBot, para posteriormente
que implementa un motor de deteccion de ataques y rea-
infectar los equipos y unirlos a la red de bots, conectando-
liza un barrido de puertos que permite registrar, alertar
los a un sitio web remoto que aloja el servidor Zeus. Por
y responder ante cualquier anomala previamente defini-
ultimo, una vez que el troyano Zeus infecta una maqui-
da. Splunk [6] es una herramienta para monitorizar datos,
na, cuando el usuario final visita una pagina web con un
almacenar, analizar y generar graficos para alertar e iden-
formulario el troyano captura cada uno de los campos de
tificar patrones de ataque o diagnosticar problemas en un
dicho formulario y enva su contenido al servidor que los
infraestructura IT. Por ultimo, AfterGlow [7] es una he-
almacena en una base de datos.
rramienta de visualizacion que puede ser instalada como
En la practica disenada como caso de uso se pretende
un plug-in de Splunk.
montar un entorno en el que Zeus pueda funcionar y ser
detectada. En esta practica cada alumno es responsable
Bots: Los sistemas operativos que pueden ser infecta-
de configurar y operar un equipo fsico que contiene al
dos por el troyano Zeus, convirtiendose en bots HTTP,
menos una maquina virtual. La configuracion inicial de
son Windows XP, Windows 2000, Windows 7, Windows
sistemas operativos, herramientas instaladas y maquinas
95, Windows 98, Windows Me, Windows NT, Windows
virtuales disponibles viene determinada por los live-USB
Server 2003, Windows Server 2008 y Windows Vista. En
que el docente entrega a cada alumno al inicio de la practi-
concreto para este caso de uso se ha escogido como siste-
ca y que han sido completamente configurados previamen-
ma operativo de las maquinas virtuales que hacen de bot
te por este.
Windows XP por ser el mas ligero e implicar una menor
En la Fig. 4 se detalla el mapa de red de los dos equipos
carga de memoria RAM en el equipo 2. El funcionamiento
fsicos incluyendo las maquinas virtuales que contienen.
del bot se basa en la interceptacion de la API de Windows,
Estos son:
mediante la ejecucion de una copia de su codigo en cada
proceso de usuario. Gracias a esto es capaz de detectar
Equipo Fsico del Alumno 1:
la informacion introducida en los formularios de las pagi-
nas web que sera enviada con posterioridad al servidor de
Botmaster : El codigo de control para el botmaster de
Zeus. En todos los casos, se usaron licencias de software
Zeus es soportado por los siguientes sistemas operativos
Microsoft para uso docente.
XP / Vista / 7, as como 2003/2003R2/2008/2008R2. En
186
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
6
187
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
7
RC4 con una clave especificada por el botmaster en el B.3 Ejecucion del ataque
archivo de configuracion.
El objetivo final de toda botnet es realizar un ataque exi-
toso. Esto se lleva a cabo por medio de la infraestructura
de C&C establecida y configurada en las fases de recluta-
Inicialmente, el bot enva una solicitud GET al servidor miento e interaccion. Para controlar esta infraestructura
de comando y control para recuperar el archivo de configu- el botmaster dispone de un panel de control centralizado.
racion. Ademas, este proceso se repite en tantas ocasiones En este panel de control se muestra informacion sobre
como indique el campo timer config del config.txt. Cada cuantos equipos hay infectados, cuanto tiempo estan acti-
vez que el bot debe enviar informacion al servidor de co- vos, el numero de reportes de cada bot, la version del bot
mando y control, enva una solicitud POST al servidor que tienen instalada, etc.
central de la botnet. Este servidor utiliza una base de da- En cuanto el bot.exe es ejecutado, este roba automatica-
tos MySQL llamada bssnet para almacenar informacion mente la informacion almacenada en PSTORE (Protected
acerca de la botnet y las tareas que deben realizar. Storage), la cual usualmente contiene guardadas contra-
188
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
8
senas de Internet Explorer. Ademas comienza a capturar para su imparticion en titulaciones de la Universidad de
y almacenar en la base de datos automaticamente contra- Granada.
senas FTP y POP3 que son enviadas a traves de la red.
Para consultar las contrasenas que los bots han consegui- Agradecimientos
do recopilar hay que dirigirse dentro del panel de control Este trabajo ha sido parcialmente financiado por el Pro-
a Menu>Reports>Search in database. En este momento, grama de Innovacion Docente de la Universidad de Gra-
se puede hacer un filtrado para buscar resultados de bots nada, con la beca 14-54.
concretos con determinados parametros, ver Fig. 5, o sim-
plemente mostrar todos los resultados de la base de datos. Referencias
Es posible adicionalmente capturar la pantalla del bot [1] C. Systems, Annual Report 2014, Tech. Rep., 2014,
http://investor.cisco.com/files/doc downloads/annual meeting/Cisco-
con el objetivo de encontrar las contrasenas introducidas Systems-Annual-Report.pdf.
por medio de teclados virtuales en lugar de introducidas en [2] T. Hammond, Top IT job skills for 2014: Big da-
los formularios directamente. Ademas, no solo se obtiene ta, mobile, cloud, security, TechRepublic, Tech. Rep.,
2014, http://www.techrepublic.com/article/top-it-job-skills-in-
informacion sobre las credenciales y capturas de pantalla, 2014-big-data-mobile-cloud/.
sino que se aportan datos como la version exacta del sis- [3] E. Young, REMBO: A Complete Pre-OS Remote Management
tema operativo o el tiempo online del mismo entre otros. Solution REMBO Toolkit 2.0 Manual, 2002.
[4] R. A. Rodrguez-Gomez, G. Macia-Fernandez, and P. Garca-
Teodoro, Survey and Taxonomy of Botnet Research Through
B.4 Deteccion Life-cycle, ACM Comput. Surv., vol. 45, no. 4, pp. 45:145:33,
Aug. 2013.
Para la parte de deteccion de la practica propuesta se [5] Pagina principal de Snort, https://www.snort.org/, [Ultimo
comienza por configurar Snort con las reglas de deteccion acceso: 15 julio 2015].
por defecto. Los logs generados por Snort son enviados a [6] Pagina principal de Splunk, http://www.splunk.com/, [Ulti-
mo acceso: 15 julio 2015].
Splunk para su visualizacion. A modo de ejemplo, en la [7] Pagina de AfterGlow, http://afterglow.sourceforge.net/, [Ulti-
Fig. 6 se muestran algunos de esos logs. mo acceso: 15 julio 2015].
Splunk permite la visualizacion de logs as como la apli- [8] W. Xiangyu, ZeuS The Missing Manual,
http://www.docstoc.com/docs/90755139/ZeuS-The-Missing-
cacion de reglas de deteccion. Al igual que con Snort, se
Manual, [Ultimo acceso: 15 de julio 2015].
utilizan las reglas de deteccion por defecto en Splunk. En
la Fig. 7 se puede ver la alerta Posible Troyano Zeus
creada para la deteccion de una infeccion por parte del
Troyano Zeus. Adicionalmente, se muestra una visualiza-
cion de Afterglow.
B.5 Discusion
Si bien la experiencia preparada para ilustrar el uso del
laboratorio virtual es de claro interes en el marco la docen-
cia practica de seguridad, y muestra la ventaja de dotar
de flexibilidad en numero y tipo de dispositivos a dicho
laboratorio, la realidad es que este sistema de deteccion
tiene altas limitaciones para la deteccion de botnets. En
la actualidad, se esta trabajando en una propuesta de de-
teccion distribuida con el objeto de mejorar el rendimiento
de deteccion.
189
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
1
Resumen Dentro de las distintas modalidades de Bachi- que colaboran en el citado BIE. En este marco normativo,
llerato, se ha puesto en marcha en los dos ultimos anos el el Departamento de Matematica Aplicada de la Universi-
Bachillerato de Investigacion/Excelencia (BIE) que tiene
como principal diferencia una colaboracion, mas o menos dad de Salamanca ha colaborado con el BIE impartido en
estrecha, con diferentes departamentos universitarios. Los el IES Vaguada de la Palma de Salamanca durante los
autores, miembros del Departamento de Matematica Apli- cursos 20132014 y 20142015 y con el BIE desarrollado
cada de la Universidad de Salamanca, estan colaborando
con dos IES (uno de Salamanca y otro de Zamora) reali-
en el IES Claudio Moyano de Zamora durante el curso
zando distintas actividades relacionadas con la Criptografa academico 20142015. En ambos IES, el BIE impartido
y la Seguridad en la Informacion que han tenido muy buena se corresponde con la rama de Ciencia y Tecnologa y la
acogida entre los estudiantes de los centros involucrados. A tematica de las actividades llevadas a cabo se ha centrado
lo largo de este artculo describimos la experiencia realiza-
da y analizamos las propuestas de futuro. en la Criptografa y la Seguridad de la Informacion.
El objetivo de este trabajo es mostrar de manera deta-
llada dicha participacion, para lo cual se describiran las
I. Introduccion actividades llevadas a cabo y la actitud y acogida que se
El Bachillerato de Investigacion/Excelencia desarrolla- ha tenido por parte de los alumnos.
do en la Comunidad Autonoma de Castilla y Leon tiene El resto del trabajo se organiza como sigue: en la sec-
como finalidad estimular el aprendizaje autonomo, el tra- cion II se justifica la eleccion de la materia a impartir para
bajo en equipo y el interes por conocer diferentes metodos pasar, en en las secciones III y IV, a describir la experien-
y tecnicas de investigacion, en colaboracion directa con cia real llevada a cabo en los dos centros anteriormente
personal docente e investigador universitario [2]. La Uni- citados. Finalizamos el trabajo con la presentacion de las
versidad de Salamanca firmo en 2013 un convenio especfi- conclusiones y de las posibles propuestas a realizar duran-
co de colaboracion con la Junta de Castilla y Leon para te los proximos cursos.
el desarrollo de actividades asociadas a la investigacion
propias del BIE. II. Por que Criptografa y Seguridad de la
El BIE es una modalidad de Bachillerato que incorpo- Informacion?: Una justificacion
ra dos asignaturas (una en cada curso de Bachillerato) de A la hora de elegir una materia para nuestra tarea con
Introduccion a la Investigacion: Iniciacion a la investiga- estos alumnos de Bachillerato hay que considerar muchos
cion en el primer curso y un proyecto de investigacion factores. Por un lado, hay que tener en cuenta su bagaje
en el segundo. El contenido de las asignaturas tiene una matematico y por otro se trata de centrarnos en un tema
parte variable que depende de las actividades disenadas que sea de actualidad, de manera que nos permita motivar
por los distintos departamentos universitarios que colabo- e interesar a los alumnos desde el primer minuto. Creemos
ran en la rama del BIE correspondiente y que en nuestro que, bajo esas premisas, la solucion casi natural es dar los
caso es la rama de Ciencias y Tecnologa. Las activida- primeros pasos en el apasionante mundo de la Criptografa
des desarrolladas por los departamentos son muy diver- y de la Seguridad en la Informacion [3], siempre desde el
sas: conferencias, talleres, practicas de laboratorio, visitas punto de vista de las Matematicas.
a centros, etc. Ademas, la asignatura correspondiente al En pleno siglo XXI, con una explosion tecnologica sin
segundo curso del BIE conlleva la realizacion de un pe- precedentes en la historia, donde, para casi todas las ge-
queno proyecto de investigacion individual (solo en casos neraciones, el estar conectado es una necesidad de nues-
concretos se autoriza la realizacion de proyectos compar- tra sociedad, es conveniente adentrarse en un conocimien-
tidos) que es co-tutorizado por el profesor universitario to mas profundo de todo lo que rodea a la consecuencia
que propone el proyecto y por un profesor del Instituto de directa de la necesidad de conexion: la seguridad en la
Educacion Secundaria (IES) correspondiente. Ese proyec- transmision y gestion de datos. Obviamente, sera inge-
to tiene una estructura fijada en la normativa vigente y se nuo pensar que con estas actividades que vamos a llevar a
defiende en sesion publica usualmente durante el segundo cabo dentro del BIE vamos a resolver uno de los proble-
trimestre del curso de segundo de Bachillerato. mas acuciantes en nuestros das: la proteccion individual
Hay que hacer constar que la realizacion de esta colabo- y el uso racional de todas las herramientas que las tecno-
racion esta dentro de un proyecto de innovacion docente logas de la informacion ponen a nuestra disposicion. Pero
que financian la Universidad de Salamanca y la Junta de pensamos que pocas oportunidades tenemos de divulgar
Castilla y Leon, y en el que participan todos los profesores los principios basicos a los alumnos no universitarios, que,
190
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
2
191
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
3
gunda conferencia titulada Modelos Matematicos en Ci- como aritmetica de reloj, como son la obtencion de la letra
berseguridad en la que se mostraron algunas tecnicas ma- del DNI, los dgitos de control de una cuenta bancaria o las
tematicas empleadas en Seguridad de la Informacion, con- representaciones geometricas de congruencias aritmeticas
cretamente: denominadas Chryzodes.
Modelizacion matematica de la propagacion de malwa- La Criptografa por sustitucion es una aplicacion senci-
re. lla de la Aritmetica modular, que permite ocultar un texto
Modelos matematicos para detectar amenazas en las re- en claro sin mas que sustituir (como su propio nombre in-
des de comunicaciones. dica) unas letras por otras. En este trabajo, el alumno
La carga matematica de esta charla es menor que la de realizo un recorrido por la historia de la criptografa, uti-
la anterior y se focalizo la atencion en las aplicaciones lizando la Fig. 4 como esquema/resumen de los comienzos
practicas (vease la Fig. 3). de la Criptografa, hasta el cifrado de Cesar. En la par-
te final de su trabajo incluyo una aplicacion en Geogebra
(http://www.geogebra.org/) que permita diferentes cifra-
dos segun la clave propuesta.
192
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
4
los alumnos expusieron ante un tribunal formado por el rama de Ciencia y Tecnologa. En este caso, el centro uni-
profesor-tutor del departamento universitario, el coordi- versitario de referencia es la Escuela Politecnica Superior
nador del BIE en el IES y otro profesor del departamento de Zamora, cuyas instalaciones estan a escasos metros del
correspondiente del IES (en nuestro caso, el departamento IES mencionado. Durante este curso, los profesores encar-
de Matematicas). Los dos trabajos de investigacion fueron gados de poner en marcha este Bachillerato nos solicitan
calificados con la maxima nota posible (de manera que la una relacion de actividades que se puedan llevar a cabo a
calificacion obtenida en la defensa del proyecto les supuso lo largo del curso academico. Contando con la experien-
el 30 % de la calificacion total que se le asigna al proyecto). cia del curso anterior en el IES Vaguada de la Palma,
Con posterioridad a la defensa de los proyectos de inves- proponemos una serie de charlas que tienen que ver con la
tigacion, los alumnos tuvieron la oportunidad de asistir a historia de la criptografa y con la descripcion de algunos
la XIX Reunion Cientfica Alcuescar 2015 que se celebro en protocolos criptograficos. Todas las actividades se han lle-
Alcuescar (Caceres) entre los das 5 y 6 de marzo de 2015. vado a cabo en las instalaciones de la Escuela Politecnica
Este congreso fue organizado por la Asociacion de Investi- de Zamora. Una vez elaborada la lista de actividades, con
gacion de Secundaria con el objetivo de fomentar la inves- la participacion de otros departamentos de la Escuela, los
tigacion en los adolescentes y a la que asistieron casi 300 alumnos y profesores del IES Claudio Moyano eligen las
alumnos de veinticinco institutos de Caceres, Salamanca, actividades que les parecen mas apropiadas. Ademas, da-
Barcelona, Badajoz y Canada. do que hay alumnos de Ciencias y alumnos de Tecnologa,
En este congreso, los alumnos tuvieron la oportunidad las actividades pueden ser dirigidas a todo el grupo o bien
de presentar sus proyectos de investigacion en formato ser especficas para los alumnos de cada especialidad. Con
poster (vease la Fig. 5) y debatirlos con el resto de par- estas normas, las dos charlas propuestas fueron elegidas
ticipantes. Creemos que fue un magnfico colofon a todas para ser impartidas al curso completo de 20 alumnos. La
las actividades realizadas dentro del BIE y sin duda un estructura de las actividades realizadas es siempre la mis-
acicate para proximas ediciones. ma. Los das anteriores a la actividad presencial prevista,
la plataforma MOODLE del IES Claudio Moyano cuel-
ga las presentaciones power-point que se van a realizar.
Finalizada la actividad presencial, en la misma platafor-
ma se cuelgan las hojas de ejercicios propuestos para que
los alumnos que lo deseen tengan trabajo adicional que
efectuar.
La primera de las charlas se titulaba Viaje a traves
de la Criptografa y en ella se resumieron los principales
metodos de cifrado a lo largo de la historia, que se ilustra-
ron con numerosos ejemplos. Se hizo una especial mencion
a los metodos modernos (vease Fig. 6). En la charla tam-
bien se abordaron las actuaciones necesarias para garan-
tizar la autenticidad, confidencialidad e integridad de la
informacion transmitida por canales inseguros (vease Fig.
7).
La segunda de las charlas se titulaba Protocolos Crip-
tograficos y en ella se expusieron algunos de los proto-
colos criptograficos que usan el criptosistema RSA como
base. Los alumnos conocieron algunas de las aplicaciones
del criptosistema RSA que haba sido introducido con de-
talle al inicio de la charla. Las preguntas del coloquio final
revelaron la creciente curiosidad de los estudiantes por to-
dos los temas expuestos.
Los siguientes enunciados se corresponden con algunos
de los problemas proporcionados como materiales de tra-
bajo adicionales:
1. Codifica mediante el cifrado de Playfair el mensaje:
These songs are wonderful,
utilizando como clave la palabra HAND.
Fig. 5. Poster presentado en Alcuescar 2015.
2. Busca el texto claro del mensaje que aparece en la obra
de Allan Poe El escarabajo de oro.
3. Utilizando el alfabeto internacional de 26 letras y asig-
IV. Curso 201415, IES Claudio Moyano:
nando su valor a cada una de ellas, de modo que
Extendiendo la experiencia
A 0,
Durante el curso 20142015 se une a la implantacion del B 1,
BIE el IES Claudio Moyano de Zamora tambien en la ...,
193
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
5
194
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
AbstractThis paper summarizes an official Master program to choose the modality that suits them better. We will follow
studies in Cybersecurity. Some milestones as online formats are previous experiences in our School of Engineering of Masters
pointed out as well as a concrete list of capabilities or skills is degrees in Industrial Engineering within this dual format, and
provided and developed in a two-year syllabus. will use online technologies like Moodle or AVIP (Audio y Voz
por IP, a tool developed by Spanish UNED, Universidad de
KeywordsMaster studies, Cyber-Security, dual on line courses Educacin a Distancia).
195
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
On top of that, teachers correspond with students through IV. GRADUATED SKILLS (COMPETENCIAS)
e-mail, chat rooms or whatever prompt reply media, therefore. In order to perform a complete report of the skills of a
Teachers are able to address different learning styles by Master graduate student, concrete Competencias or capabilities
incorporating technology, written work and other group or skills are listed in the documentation of the Master title.
assignments into coursework. They don't need any in-person Competencias are collected in:
contact with their students because all discussions and
assignments are distributed online. Moreover for the standard 1. Basic skills: To elaborate and to report solutions to
attendees this becomes a bonus because a standard student concrete problems in computer security and communications;
to collect relevant data and report relevant information from
could often choose to attend the course online.
data; to deploy coherent ethic, social or scientific statements or
reports from the perspective of cyber-security; to develop
Online courses are becoming a popular substitute to cybersecurity solutions to the industrial environment; to learn
traditional courses, since it's a more convenient way for busy in an autonomous way; to develop projects in computer
professionals to advance their education. It should be security and communications.
remarked here that previous editions of Master in Cyber-
security have been performed both in regular format (from 2. Specific skills related to cyber-security: Management of
Monday to Thursday) and in the so-called executive format operating systems; networks and services; to program and to
(Friday and Saturday). Both formats have their own audience analyze; design secure software; understand and apply
and these two kind of students (regular students in the former cryptographic protocols; understand basic applied mathematics
to cybersecurity; applied biometry; detect, analyze and prevent
format and professionals in the latter) have shown different
threads; deployment of a secure network system; basics of
calendar requirements. The dual format proposed here (both
security management; analyze and develop a secure web
online and at classroom) is intended to fulfill these non- system; Spanish laws related to cybersecurity; fundamentals of
matching requirements. a CERT; security guidelines in financial and business centers;
basics of complex robust systems; development of secure
In addition to the basic requirements for teaching at the applications in several operating systems; to prevent cyber
postsecondary level, teachers and instructors need a fraud; fundamentals of physical security; main forensic
comprehensive knowledge of Internet resources and how to techniques; detection and classification of malware; Spanish
use them. Teachers must incorporate engaging, active learning cybersecurity plan/agenda; basics of cybercrime and cyber
into their lesson plans and course material. There are defense; basics of social engineering and psychology;
educational programs offered by the University of Len which cybersecurity in mobile technology; basics of scientific
include certificates in technology-based learning for research; industrial/intellectual rights and property; innovation
specialization in online teaching. Some skills that these as the implementation of concrete industrial solutions from
courses or programs emphasize for teachers can include research and development results; design of secure networks
student group work, online assessment, copyrighted material, and operating systems; secure system administration; software
Internet resources and course mapping. and malware analysis; exploiting techniques; social
responsibility of cyber-security professionals, corporations and
Teachers should also be open to feedback from their public agencies.
students. The Office of Evaluation and Quality form This is a summary of the most relevant capabilities
University of Len manages polls for students to find out belonging to compulsory subjects, meaning all student will
which activities, assignments or projects were most effective acquire them. Elective content have its capabilities also, but
for learning. they are not included here for simplicity reasons.
III. STUDENTS The final and official master verification report containing
Previous editions of Master had enrolled about 25 students all relevant information regarding this and other topics, with a
each. Their grade formation was mainly related with detailed and complete capabilities list, will be publically
available at http://seguimiento.calidad.unileon.es after ANECA
Computer Engineering degrees, often graduates in
final resolution.
Mathematics and rarely Electrical/Electronic Engineers,
graduates in Physics and lawyers or graduates in Economics.
To allow for a more heterogeneous audience, we have V. THE SYLLABUS
granted access to the Mater to any graduated student, no In order to grant above skills for graduate students, the
matter their field of knowledge. However, some formation following list of matters has been gathered. It is worth to note
complements to be coursed by students without formation in here that the deign focus on the homogeneous work
Computer or Telecommunications Engineering are proposed: requirements at any matter (6 European Transfer Credit System
Networks, Operating Systems and Software Engineering. All ECTS) and that theoretical work is programmed to be
these formation complements must be acquired before performed mainly in the first year saving the second for
enrolling in the Master. practicum, research topics and Master Thesis. The Formation
complements, only for students without formation in Computer
or Telecommunications Engineering and to be acquired before
196
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
enrolling in the Master, are also included here for completeness (with purely online content) is proposed for the student to
reasons. choose from.
Semester and Subject ECTS Master Thesis aims at putting into practice the knowledge
and skills acquired in the master's program by students through
Formation Complements the development of a research project within a research center
[for no IT/Telecom graduates] or a company with a high level of R+D+i. The Master thesis
development may take place in any of the collaborating entities
Programming 3 and is evaluated by a university court (which also requires
Operating Systems 3 physical presence of the student).
Fourth Semester
Master Thesis 30
197
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
Resumen- En este trabajo se exponen diferentes experiencias desde el mbito universitario (particularmente desde la
realizadas en los ltimos aos desde el mbito universitario (desde la Universidad de Extremadura, UEx) relacionadas, en todo o en
Universidad de Extremadura) para fomentar la educacin en temas de parte, con la educacin en ciberseguridad.
Ciberseguridad, en el entorno universitario y fuera de l. El creciente
inters en este tipo de educacin por parte de la sociedad en general,
unido al progresivo aumento de delitos informticos, fraudes y la II. INFORMTICA FORENSE Y COLEGIOS PROFESIONALES
situacin de alarma que todo ello conlleva, estimula la participacin,
de un modo u otro, en alguna de las actividades que se han llevado a Uno de los mbitos de actuacin llevados a cabo en cuanto a
cabo durante el ltimo ao y que desde este trabajo se comparten. formacin de usuarios ha sido en conjuncin con el Colegio
Profesional de Ingenieros en Informtica de Extremadura
I. INTRODUCCIN
(CPIIEx). La informtica forense juega un papel importante y
Los equipos informticos, las redes e Internet forman parte supone una salida profesional relacionada con el campo de la
de las vidas de cada vez ms ciudadanos en el mundo. Como seguridad informtica. La figura del perito en informtica,
consecuencia de ello, el uso del trmino ciberseguridad como aquel profesional cualificado que es capaz de determinar
tambin est en auge en los ltimos aos. Por desgracia, las causas (y los efectos) que ha originado un evento o
tambin es habitual encontrar en prensa noticias relacionadas incidente en un sistema se presenta tambin como una primera
con delitos informticos que tienen su causa, aunque sea en aproximacin a temas relacionados con la ciberseguridad. En la
parte, en la falta de concienciacin de los usuarios. As, ya en actualidad, muchos expertos en ciberseguridad ejercen,
2010 aparecen algunas noticias en las que se pona de adems, como peritos en informtica.
manifiesto la falta de seguridad en el desarrollo de aplicaciones En este sentido, desde la UEx se colabor con las I
informticas [1]. Incluso en 2012 se modific el Cdigo Penal Jornadas de Peritaje Informtico, organizadas por CPIIEx y
para castigar la difusin en la red de vdeos ntimos sin permiso que se desarrollaron en la propia Universidad en el ao 2007.
[2]. Tambin aparecen en prensa otros pases de nuestro Indicar que CPIIEx se crea en el mismo ao 2007, y sus
entorno, como por ejemplo Francia, con noticias relacionadas primeras directivas (hasta el ao 2014) estaban formadas por
con el castigo a personas por las descargas que otros realicen profesores universitarios principalmente. De ah que
desde su red [3]. En nuestro pas, no hace mucho que Universidad y Colegio Profesional se integrasen en un mismo
aparecieron noticias sobre la detencin de personas por foro formativo, siendo muy fluida la colaboracin entre ambas
piratear la WiFi del vecino [4]. Las suplantaciones y instituciones, as como el intercambio de ideas y experiencias.
usurpaciones de identidad en las redes sociales, por desgracia, Esto favoreci especialmente a los estudiantes universitarios,
tambin estn a la orden del da desde hace unos aos que tenan informacin y formacin de primera mano en estos
[5][6][7]. aspectos, tan novedosos en aquella poca.
Las Fuerzas y Cuerpos de Seguridad del Estado se han As, tambin se colabor en las siguientes ediciones de estos
adaptado a este tipo de delitos tecnolgicos, e incluso disponen cursos de peritaje en los aos 2008, en las II Jornadas de
de personal especializado para combatirlos. A modo de Peritaje Informtico - Conceptos y ejemplos prcticos de
ejemplo, en la pgina web del Cuerpo Nacional de Polica peritajes informticos y 2009 III Jornadas de Peritaje
(http://www.policia.es) puede consultarse la catalogacin de Informtico - La experiencia en el peritaje informtico. Varios
delitos informticos que hace la Brigada de Investigacin profesores universitarios participan en el Comit Organizador
Tecnolgica. de estas jornadas. Estos cursos estaban destinados a colegiados,
Por todo ello, la educacin en ciberseguridad, la difusin de y tambin a profesionales y estudiantes de las titulaciones de
contenidos y la concienciacin en este tipo de materias, informtica en general. Es importante comentar que esta
dirigida hacia todo tipo de usuarios, se presenta como un reto experiencia de formacin supuso un importante impulso en la
ciertamente apasionante. Como se comentaba anteriormente, figura del perito en informtica en la Comunidad Autnoma de
cada vez son ms los ciudadanos que disponen de ordenadores, Extremadura, donde, hasta la fecha, no se haban creado listas
porttiles, telfonos inteligentes y otros tipos de dispositivos de peritos que repartir en los juzgados de Extremadura. Por
que manejan informacin sensible y datos personales que es ende, sent las bases para que profesionales, estudiantes y
preciso gestionar de forma segura. En este trabajo se quieren profesores universitarios tuvieran un foro de debate en el que
compartir las diferentes experiencias llevadas a cabo, siempre compartir experiencias e inquietudes relacionadas con la
198
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
informtica forense principalmente, pero tambin con la crecimiento de colegiados a CPIIEx desde su creacin en 2007,
ciberseguridad y el hacking tico. que se encuentra estabilizada en el rango 80-85 colegiados,
En los aos sucesivos, desde CPIIEx, y siempre apoyados aproximadamente. En barras se muestran los participantes en
por la UEx, se organizaron tambin jornadas relacionadas con las distintas actividades programadas en estos aos,
la Seguridad Informtica. As, en 2011 se organizan las I distinguiendo los participantes por su titulacin. En azul se
Jornadas de Ley Orgnica de Proteccin de Datos y Seguridad muestran los titulados en Ingeniera Informtica (colegiados) y
Informtica, y en 2012 las II Jornadas de Seguridad en naranja el resto de titulados. Puede observarse un nmero
Informtica - Esquema Nacional de Seguridad y LOPD. Igual cercano a los 40 participantes en las ltimas actividades
que en las jornadas de aos anteriores, estas jornadas estn ofertadas.
enfocadas a colegiados, profesionales y estudiantes de
informtica en general, y sirvieron para consolidar aspectos III. FORMACIN EN ASIGNATURAS DE GRADO Y MSTER
fundamentales relacionados con la ciberseguridad.
En 2013, se continua con las IV Jornadas de Peritaje La reforma de los planes de estudio de Ingeniera e
Informtico - El perito informtico forense donde se presenta Ingeniera Tcnica en Informtica hacia los actuales ttulos de
un enfoque eminentemente prctico en unas sesiones Grado y Mster supone la aparicin de nuevas asignaturas y
presenciales, acompaado de las IV Jornadas de Peritaje nuevos contenidos. Ello da pie a que sea posible incluir
Informtico - Resolucin de casos prcticos, una segunda cuestiones anteriormente no consideradas en los planes
edicin no presencial que, por primera vez, presenta retos a antiguos, como la figura del auditor y perito en informtica,
resolver por parte de los participantes. Indicar que la directiva legislacin informtica, con especial sensibilidad hacia la
de CPIIEx, en todo momento, trata a los estudiantes LOPD, y aspectos como la calidad de los Sistemas
universitarios de las titulaciones de informtica en condiciones Informticos, donde la seguridad es una base incuestionable
similares a las de sus colegiados / precolegiados. El xito de para cualquier sistema que quiera presumir de calidad.
participacin de los estudiantes es grande en ambos eventos. En la Universidad de Extremadura (UEx), desde el curso
Finalmente, en 2015 se organizan las V Jornadas de Peritaje 2011/12 se imparte la asignatura Auditora, Certificacin y
Anlisis Forense de dispositivos mviles (iOS y Android) y Calidad de Sistemas Informticos", del Master de Ingeniera
se formaliza la I noche de la ingeniera en informtica de Informtica. Se trata de una asignatura obligatoria de 6 crditos
Extremadura. La figura 2 muestra la web de CPIIEx donde se ECTS donde se tratan cuestiones de seguridad informtica, as
comenta cmo se desarrollaron estas actividades. A estas como normas de certificacin en seguridad y en calidad. Se
alturas, el conocimiento en cuanto a Informtica Forense, tanto insiste en la figura del auditor de sistemas y en el desarrollo de
en el mbito universitario como fuera de l, est ms que software seguro, incluyendo pruebas de software que permitan
consolidado en Extremadura. desarrollar aplicaciones no slo correctas desde el punto de
vista funcional, sino tambin seguras.
Y desde el curso 2012/13 se imparte la asignatura Auditora
y Legislacin Informticas, asignatura obligatoria de 6
crditos ECTS, de tercer curso en los Grados de Ingeniera
Informtica (Ingeniera del Software e Ingeniera de
Computadores). En esta asignatura se presenta la figura del
perito y auditor en informtica, cuestiones de legislacin
informtica, informtica forense, seguridad informtica y
hacking tico. Las prcticas de la asignatura se centran
principalmente en retos sobre informtica forense, auditora
informtica y seguridad informtica y hacking tico. Muy a
destacar el alto ndice de aprobados que alcanza la asignatura
(sobre un 80% en primera convocatoria). Con un temario muy
atractivo y muy cercano a la realidad, la asignatura es capaz de
conseguir una alta motivacin de los estudiantes, lo que se
refleja en las encuestas oficiales y en los comentarios que de
ella hacen los propios estudiantes. Esta asignatura aparece
indexada en el Mapa de Enseanza de Seguridad de la
Figura 1. Total de colegiados en CPIIEx (en rojo) y participantes en Informacin (MESI) elaborado por la red temtica de
las actividades programadas. criptografa y seguridad de la informacin de la Universidad
Politcnica de Madrid [8].
La figura 1 muestra el nmero de participantes en cada una De nuevo, indicar que el autor de este trabajo es profesor de
de las actividades organizadas por CPIIEx y anteriormente ambas asignaturas desde que empezaron a impartirse. Desde
comentadas. En color rojo puede observarse la lnea de luego, en la Universidad de Extremadura existen otras
199
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
asignaturas donde se imparte temas relacionados tambin con de investigacin, enlaces webs, materiales, libros. La idea es
la ciberseguridad, aunque el autor de este trabajo no imparte fomentar la creacin de un hacklab (laboratorio de hacking) y
docencia en tales asignaturas y no puede compartir esas de un computer forensic lab (laboratorio de informtica
experiencias. forense), algo que empieza a concretarse tambin mediante la
realizacin de diversos Trabajos Fin de Grado.
IV. INICIATIVA UNIVERSITARIA DE ANLISIS FORENSE EN En poco ms de un ao, el perfil de Twitter de esta iniciativa
INFORMTICA universitaria (@InForensics_UEx) ha alcanzado un nmero
considerable de seguidores (450 en la fecha de redaccin de
Como consecuencia del entusiasmo manifestado por un gran este trabajo).
nmero alumnos de la asignatura Auditora y Legislacin
Informticas, y estimulado por el autor de este trabajo, en
marzo de 2014 se organiza el grupo universitario Iniciativa V. HCKING TICO
Universitaria de Anlisis Forense en Informtica [9]. Este Apenas dos meses despus de la creacin de la iniciativa
colectivo involucra a profesores, personal de administracin y universitaria @InForensics_UEx, el grupo se plantea el reto de
servicios (PAS) y estudiantes de la UEx, interesados en organizar alguna sesin para la Semana del Centro (de la
informtica forense, hacking tico y seguridad y auditora de Escuela Politcnica de la UEx), que se organiza cada ao a
sistemas en general. Bajo el lema aprender y compartir se mediados del mes de mayo. De este modo, en mayo de 2014,
cimenta la base de trabajo del grupo, que se organiza como una esta iniciativa universitaria organiza una sesin de Hacking
iniciativa universitaria, y no como una asociacin. Ello tico y Seguridad Informtica para la Semana de la Escuela
compromete un grupo de trabajo, gente con inquietud e inters Politcnica. Desde el punto de vista metodolgico, las sesiones
en los temas. Es la primera iniciativa en este sentido llevada a se organizan proponiendo entre los participantes la exposicin
cabo en la UEx. Destaca su carcter universitario (por y para de determinados temas, seleccionando de entre ellos los que se
universitarios, pero tambin para titulados, e incluso empresas entenda que podan tener ms inters para los alumnos
interesadas en seguir esta filosofa). En particular, se centra en asistentes a las jornadas. As, se organizan tres sesiones,
la titulacin de Informtica: ingeniera e ingeniera tcnica en relacionadas con el hacking de aplicaciones Web (SQL
informtica, grados y mster en informtica. Se pretende injection), ataques en redes locales (Man in the Middle), y
considerar las salidas profesionales relacionadas con temas de pentesting. Una de las sesiones la dirige un profesor, otra un
seguridad, informtica forense y hacking tico, dentro de la estudiante, y la tercera un tcnico del PAS. Casualmente, de
profesin informtica. Como se ha comentado, el germen de la este modo quedan reflejados los tres colectivos universitarios.
iniciativa est en los estudiantes de la asignatura Auditora y Como continuacin del trabajo realizado, en mayo de 2015
Legislacin Informticas, y aqu el objetivo no es la docencia el colectivo organiza las II sesiones de Hacking tico y
de esta asignatura, sino el antes y el despus de ella, con la idea Seguridad Informtica tambin para la Semana de la Escuela
de instaurar y consolidar un grupo de trabajo, ao tras ao. Las Politcnica. En esta ocasin se imparten sesiones relacionadas
perspectivas profesionales en este sentido son amplias, siendo con python scripting, buffer overflow, hacking de redes wifi, y
tambin conscientes de la falta de medios en Polica y Guardia hardening de sistemas. En esta ocasin, tres sesiones son
Civil en las materias relacionadas con la ciberseguridad. dirigidas por estudiantes y la cuarta por una empresa
Como consecuencias del inters, es posible organizar especializada.
formacin por parte de la propia universidad, en cuanto a Indicar que la participacin de los organizadores en estas
contenidos del mster, cursos de postgrado, cursos de sesiones se realiza de forma voluntaria y desinteresada.
especializacin y tambin en formacin por parte de CPIIEx,
donde en 2013 se cont con todos los universitarios de
VI. FORMACIN EN CURSOS DE ESPECIALIZACIN
titulaciones en informtica de la UEx, para sus cursos de
formacin, lo cual supuso un buen punto a favor. Paralelamente a todo lo anterior, durante el curso 2013/14 se
Los principios de la iniciativa son bsicos: debe existir un producen una serie de reuniones entre el director de la Escuela
compromiso, de modo que si alguien se compromete a Politcnica, el director de la Facultad de Derecho, personal de
desarrollar algn tema, debe cumplir con los objetivos; la Asociacin Nacional de Ciberseguridad y Pericia
aprender y compartir entre compaeros, como se ha Tecnolgica (ANCITE) y del Colegio de Ingenieros en
comentado, es el objetivo base; y el tiempo, que tanto Informtica de Extremadura (CPIIEx). Esas reuniones estn
preocupa, no debe ocupar demasiado, ya que se es consciente enfocadas a la creacin de una oficina de referencia en
de que se tienen otras cosas que hacer. seguridad informtica y pericia informtica. La consecuencia
La forma de trabajo es mediante un espacio virtual y correos de estas reuniones fructifica en la decisin de organizar un
electrnicos. Se pretende huir de las reuniones presenciales que curso universitario de especializacin, de forma virtual, y
tanto tiempo consumen y tan difciles son de encajar en las ofrecido por una Universidad Pblica como es la UEx, para
agendas de cada uno. Los trabajos y retos se presentan, fomentar en la sociedad en general el desarrollo del perfil de
sugieren, proponen y discuten entre iguales. Se sugieren temas perito informtico forense. El curso en s estara fundamentado
200
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
en dos cuestiones principales: por una parte, Derecho parte de Derecho Tecnolgico (50% Satisfactorio-Bastante +
Tecnolgico, donde se incluyen todas aquellas cuestiones 12% Muy Satisfactorio-Mucho).
novedosas en cuanto a derecho, legislacin y delitos La satisfaccin de los participantes es tan grande que anima
informticos que puedan ser de inters para los expertos en a los organizadores a gestionar una nueva edicin del mismo
seguridad informtica e informtica forense. Y, por otra parte, para 2016. Esta vez diseando un curso de mayor categora y
en Informtica Forense, donde se imparten materias relativas a envergadura, como es un Curso de Experto Universitario, con
pericia informtica, seguridad informtica, hacking tico y, por una duracin de 200 horas y un plantel de profesorado que
supuesto, informtica forense. Finalmente, el curso se perfila incluye y mejora al de la primera edicin.
como un curso de especializacin, de 150 horas, realizado de
forma virtual, denominado Derecho Tecnolgico e
Informtica Forense (DTIF) [10], y se desarrolla con bastante
xito entre los meses de febrero y mayo de 2015. Como
profesores del mismo aparecen figuras tan destacadas como,
entre otros muchos, Eloy Velasco (juez de la Audiencia
Nacional), ngel Juanes (Vicepresidente del Tribunal
Supremo), Jorge Bermdez (Fiscal de Delitos Telemticos),
por parte de la rama de Derecho, y Pedro Snchez (Conexin
Inversa) y Lorenzo Martnez (Securzame), por parte de la
rama de Informtica.
La figura 2 muestra las titulaciones de los participantes que
realizaron este curso de especializacin. Puede observarse que INFORMTICA DERECHO
2/3 de los alumnos de esto curso procedan de titulaciones de
Informtica, mientras que 1/4 de los mismos perteneca al
mundo del Derecho. Un 9% proceda de titulaciones variadas,
cercanas relativamente a uno u otro de las titulaciones bsicas
del curso (Derecho e Informtica). Figura 3. Grado de satisfaccin de los participantes que finalizaron
el curso, agrupados en la temtica de Informtica Forense y en la de
Derecho Tecnolgico.
201
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
202
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
Resumen- La Ciberseguridad es un bien a proteger dado su ponencia plantea la enseanza de la seguridad como una
impacto poltico, socio-econmico y personal. Como la misma competencia transversal de forma que todos los alumnos la cursen
descansa en la construccin y uso seguro de sistemas informticos, y se integre fcilmente en los planes de estudios. Uno de los puntos
nuestros graduados deberan adquirir unos conocimientos bsicos ms conflictivo sera establecer un equilibrio entre los contenidos
para abordar su trabajo profesional con la responsabilidad propios de una materia y su uso de forma segura.
necesaria y bajo los estndares reconocidos. Esta
Reino Unido [10]. Debemos resaltar que un 95% de estos
delitos [9] quedan impunes por diferentes causas: no son
I. INTRODUCCIN denunciados, o encuentran problemas tecnolgicos y/o legales.
La Ciberseguridad es un bien a proteger dado su impacto a Como podemos ver, el incremento y volumen del
nivel poltico, social, econmico tanto a nivel de estados u cibercrimen son lo suficientemente graves como para no
organizaciones como individual. Gran parte de nuestro mundo abordar el problema con rapidez y contundencia. En especial,
descansa en el uso de multitud de sistemas informticos sobre si deseamos consolidar el uso de las Nuevas Tecnologa por la
los que realizamos una amplia variedad de actividades mayora de la poblacin. Como se indica en [5], solo un 53%
cotidianas, especialmente en pases desarrollados de los usuarios de Internet declaran que compran bienes o
tecnolgicamente. servicios online, un 48% realiza operaciones bancarias en
Vamos a comentar algunas cifras para establecer una lnea, y el 20% vende bienes o servicios. Este aspecto tambin
estimacin de la magnitud del problema al que nos esta reconocido por su importancia en la Estrategia de
enfrentamos al usar esos sistemas. En [15] para 2014 se estima Ciberseguridad Nacional [18].
el coste del cibercrimen en 400.000 millones de dolares, lo que La estructura de la ponencia aborda en el Apartado II cmo
supone entre un 15% y un 20% del dinero que se mueve en ha quedado la enseanza de la Seguridad en los Grados de
Internet. Las principales causas de estas brutales perdidas Ingeniera Informtica en Espaa y, especialmente, en la
provienen segn las empresas encuestadas en [14] de: el 68,32 Universidad de Granada. En el Apartado III, se presenta y
% debido a phishing, un 66,48% a malware, el 50.14% por justifica una propuesta de mejora para solucionar algunos
intentos de hacking, un 43,54% por ingeniera social, un problemas. Adems, se vern algunos ejemplos concretos de
43,89% por perdida de dispositivos mviles, 25,28% de los asignaturas afectadas por la propuesta. Para terminar con un
trabajadores (insiders), 21,88% de Inyeccin SQL, etc. resumen de la propuesta realiza en la ponencia.
Pero no solo hay que tener en consideracin los aspectos II. CONSIDERACIONES GENERALES
econmico, sino tambin los problemas sociales y personales a
que dan lugar. Por ejemplo, va en aumento delitos como el El BOE 187/2009 [2] establece las recomendaciones para la
ciberacoso o el sexting, que afectan especialmente a nuestros solicitud de ttulos de Ingeniera Informtica, y ms
jvenes. En parte, la forma de evitar dicho tipo de ciber- concretamente, el Apartado 3 del Anexo I enumera las
crmenes pasa por una educacin en seguridad de los usuarios, competencias que todos los estudiantes deben adquirir. Una de
y la construccin de sistemas-herramientas destinados a ellas establece necesaria la Capacidad para disear,
detectarlos y si es posible evitarlos, como el bloqueo de tuits desarrollar, evaluar y asegurar la accesibilidad, ergonoma,
violentos [7]. Sin dejar de mencionar aspectos estratgicos usabilidad y seguridad de los sistemas, servicios y aplicaciones
relacionados con ataques a infraestructuras crticas, o que informticas, as como de la informacin que gestionan.
afectan a la privacidad como las brechas de datos (ltimamente Volviendo a aparecer el trmino seguridad tanto en las
crecientes en nmero y volumen, por ejemplo, en Estados competencias en mdulo de rama como en los de
Unidos crecieron un 27,5 % en 2014 respecto a 2013) [13]. especializacin. En una lnea similar, la versin de 2013 del
En Espaa, este fenmeno tambin es creciente tal como Curriculum de Informtica de la ACM/IEEE incluye el rea de
podemos ver el primer informe sobre Cibercriminalidad conocimiento Garanta de la Informacin y Seguridad [1] .
presentado por el Ministerio del Interior [16]. Adems, hay que Para la adquisicin de competencias relacionadas con la
resaltar que el nmero de ataques sufridos por Espaa en 2014 Ciberseguridad, en muchos planes de estudios se ha optado por
fue de 70.000 lo que nos posiciona en tercer lugar tras EEUU y incluir cierto nmero de asignaturas dedicadas al tema, tal
203
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
como se puede ver en el magnifico trabajo de Rami [20] a III. PROPUESTA DE MEJORA
travs del proyecto MESI. La propuesta presentada se destina, como comentbamos en
Si bien la situacin de la enseanza de la Seguridad ha los prrafos anteriores, a que todos nuestros estudiantes
mejorado respecto de los planes de estudios anteriores, es alcancen unas conocimientos bsicos de seguridad necesarios
actualmente a todas luces insuficiente, mxime cuando en para construir/usar sistemas software seguros tal como
algunos casos estas asignaturas son bien optativas, bien demanda la sociedad.
troncales pero solo se cursan en alguna mencin concreta y, por Esta propuesta trata de alcanzar este objetivo sin necesidad
tanto, no son cursadas por todos los alumnos del ttulo. de hacer una reforma del plan de estudios que requiera incluir
Algunas propuestas [19] abalan la creacin de una titulacin nuevas asignaturas. Reforma que sera costosa, compleja y
propia en seguridad para la formacin de profesionales en esta tardara en poder aplicarse dado la tramitacin burocrtica de
materia. Si bien esta propuesta es muy interesante solo cubrira los ttulos. Adems esta propuesta no es incompatible, al
una parte del problema. La seguridad informtica no es solo contrario complementaria, de la situacin actual donde hay
cuestin de profesionales de la seguridad, es algo que nos asignaturas especficas de seguridad tanto en la troncalidad
afecta a todos los que usamos y/o construimos software. Por como en las diferentes menciones, ni con la implantacin de un
tanto, hay que buscar una solucin que permita que nuestros ttulo propio en seguridad.
alumnos conocer los principales problemas relacionados con la Se trata de plantear una serie de competencias bsicas de
seguridad y cuales son sus soluciones. seguridad como competencias transversales de forma que se
En el caso concreto del Grado en Ingeniera Informtica de enseen en asignaturas ya existentes (en lugar de pretender
la Universidad de Granada, las asignaturas especficas sobre crear nuevas asignaturas). Es decir, dedicar parte los
Seguridad que se establecieron fueron Seguridad y Proteccin contenidos de asignaturas ya existentes a abordar aspectos
de Sistemas Informticos, Seguridad en Sistemas bsicos de seguridad. Esto el algo que en algunos caso ya se
Operativos, y Criptografa y Computacin. hace parcialmente pero que habra que potenciar y coordinar.
Seguridad y Proteccin de Sistemas Informticos es Es evidente que esto presenta un problema: cmo incluir
obligatoria en la mencin de Tecnologas de la Informacin. competencias nuevas en asignaturas que ya de por s esta
Esta dedicada en gran parte a la criptografa, si bien cubre sobrecargadas. Las respuesta no es ni sencilla, ni nica. Es
algunos aspectos de seguridad en redes y comunicaciones, evidente que supone un gran esfuerzo de coordinacin a nivel
identidad digital, privacidad en Internet y comercio electrnico. de ttulo en que debemos valorar que equilibrio en la
Seguridad en Sistemas Operativos optativa de la mencin de formacin de nuestro estudiantes damos a dos aspectos
Ingeniera del Software. Asignatura diseada para completar la contrapuestos en muchos casos: inclusin de conceptos y/o
parte de seguridad vista en la asignatura de Sistemas tecnologas avanzados frente a conceptos/tecnologas que
Operativos de segundo curso, pero que tambin cubre otros hagan ms seguros los sistemas que pretendemos construir.
aspectos de la seguridad que los estudiante de la mencin de Como es evidente y pretenda dejar manifiesto en la
Ingeniera del Software no ha visto, como son: desarrollo de introduccin, la postura defendida en ste artculo es
software seguro, malware e ingeniera inversa, e informtica considerar necesario (obligatorio) sacrificar la inclusin de
forense. algunos temas, bien avanzados bien secundarios, para facilitar
Criptografa y Computacin es una optativa de la mencin la inclusin de elementos de Ciberseguridad. Afortunadamente,
de Computacin y Sistemas Inteligentes. Como su propio esto solo ocurrira en el peor de los casos. En otros casos se
nombre indica aborda adems de aspectos de cifrado de la pueden incluir modificando contenidos prcticos.
informacin, incluye los contenidos de seguridad de la A menudo, vemos como nuestros desarrollos en una veloz
asignatura de Sistemas Operativos que suelen incluirse en carrera por ofrecer nuevas soluciones tecnolgicas de cara a
cursos bsicos sobre la materia, como son bsicamente abarcar cuotas de mercado dejan atrs aspectos de seguridad.
autorizacin y control de acceso. Esto tiene en muchos casos consecuencias nefastas para los
A la luz de lo indicado, es notorio que no hay una asignatura usuarios. El grado de penetracin de competencias de
especfica de seguridad bsica que cursen todos los estudiantes seguridad en las asignaturas dependera, en este enfoque, del
del Grado y que exponga la complejidad y amplitud del tema. grado de sensibilizacin del profesorado hacia el tema, que sin
A continuacin se esbozar una propuesta que cubrira de dejar atrs las competencias legales establecidas para las
manera razonable estas deficiencias en seguridad y que tiene asignaturas podra aadir aspectos de seguridad bsicos
una implementacin cmoda y flexible dentro de los diferentes reduciendo algunos contenidos de las asignaturas que se han
marcos curriculares establecidos. La propuesta es abierta en el aadido en el proceso de confeccin de las mismas y que no
sentido que trata de ser vlida para muchos planes de estudios vienen obligados por las fichas.
no solo el de la Universidad de Granada y depender del Evidentemente, no se trata de que todos los alumnos sean
profesorado involucrado la inclusin de determinados profesionales de la Seguridad Informtica, pero si que
contenidos en las asignaturas a su cargo. Dado que no se ha conozcan, se sensibilicen y sean capaces de abordar los
materializado no podemos ofrecer evidencias de sus resultados. problemas que se producen al no tenerla en cuenta y cmo
pueden resolverlos ellos mismos o cundo es necesario recurrir
204
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
a tcnicos especializados. Esto les permitir eliminar de Las primeras asignaturas seran las relacionadas con la
entrada determinados defectos de sus construcciones software Ingeniera del Software (como Fundamentos de Ingeniera del
y facilitar la comunicacin en equipos multidisciplinares con Software, de 2 curso), donde no se cubre una metodologa de
profesionales de la seguridad. desarrollo software que tenga en cuenta la Seguridad como un
La propuesta se puede resumir como debemos ligar la requisito no funcional. La seguridad es un requisito que en
enseanza de la tecnologa con su uso de forma segura. Este muchas ocasiones no se estudia por falta de tiempo.
lema puede ser extensible a todos los niveles docentes donde se Las asignaturas bsicas de programacin (Fundamentos de
ensee tecnologa. Por ejemplo, deberamos ensear a nuestros Programacin y Metodologa de la Programacin, de primer
adolescentes de la Enseanza Secundaria Obligatoria o curso) son las candidatas naturales para introducir conceptos
Bachillerato, no solo a utilizar un navegador, sino a utilizar de fundamentales de programacin segura (o defensiva)
forma segura un navegador, por citar un ejemplo. Lo mismo destinados a eliminar vulnerabilidades en la etapa de
sera aplicable al uso seguro de redes sociales, dispositivos codificacin, como por ejemplo, desbordamiento de bfer.
mviles, etc. Otras asignaturas afectadas derivadas de las principales
Por poner un smil, cuando decimos voy a sacarme el carnet amenazas en sistemas, son las asignaturas de programacin
de conducir, no solo estamos asumiendo que vamos a web. Los sistemas web estn expuestos a un elevado nmero
aprender a manejar un vehculo, sino que un gran porcentajes de amenazas que el alumno debe conocer y saber paliar bien
de los conocimientos que abordaremos son de seguridad vial. manualmente bien utilizando algn framework de desarrollo
Debemos cambiar de mentalidad, como ocurre en otras que lo haga. El uso de un framework permite solventar ciertos
ingenieras, y ensear no solo tecnologas sino el uso seguro de tipos de ataques lo que no supone un incremento importante de
las mismas. contenidos.
A nivel universitario, esta propuesta se alinea con trabajos Estas consideraciones pueden extenderse como ejemplos de
previos como [11, 12, 22], donde se realizan diferentes prcticas a otras asignaturas, por ejemplo, de Big Data [16] que
propuestas de integrar la Seguridad en el currculo, pero que nos pueden ayudar a procesar grandes volmenes de
desgraciadamente no son muy numerosas ni parecen haber informacin dispar con los algoritmos adecuado.
arraigado lo suficiente. En los subapartados siguientes, concretamos algunos de los
Otro elemento importante, una vez concienciados de la aspectos anteriormente mencionados en las asignaturas ms
necesidad de incluir competencias de seguridad en nuestras directamente afectadas.
asignaturas, es establecer el sentido en el que debemos
A. Asignaturas de programacin
modificarlas para incluir dichos conocimientos.
En las asignaturas de programacin se incluiran muchos
Para responder a esta cuestin, se proponen dos lneas de
de los elementos que caen en el segundo grupo de errores
actuacin. La primera enfocada al desarrollo y construccin de
etiquetado con el nombre de Gestin arriesgada de recursos
software seguro, que afectara a las asignaturas relacionadas
que incluira los problemas derivados de: copia de bferes sin
con Programacin e Ingeniera del Software. La segunda,
comprobar las entradas (Buffer Overflow) [8], limitacin
desde el punto de vista de hacking, ver cuales son las amenazas
inadecuada de un nombre de camino a un directorio restringido
ms frecuentes y estudiar las soluciones para paliar o anular
(Path traversal) [17], uso de funciones potencialmente
dichas amenazas. Vamos a dar primero una visin general para
peligrosas, clculo incorrecto del tamao de un bfer, cadenas
luego concretar, en los subapartados siguientes, algunos
con formato incontrolado o desbordamiento de enteros.
ejemplos concretos de contenidos que debera abordarse en
Muchos de estos elementos se ven en las programaciones
asignaturas ya establecidas y que actualmente se hacen de
bsicas por lo cual lo nico que deberamos hacer es darles
manera baja o nula, al menos en el Grado de la Universidad de
consistencia y ligarlas con la seguridad del programa/sistema
Granada.
en construccin.
Vaya por adelantado la aclaracin de que algunos elementos
Quizs un elemento que debera incluirse es la utilizacin
de seguridad ya se ven el algunas asignaturas pero a veces no
de alguna herramienta para el anlisis esttico del cdigo
estn sistematizados y dependen de la concienciacin del
resultante en los supuestos de programacin. Esto se puede
profesor correspondiente. Por lo que la propuesta presentada no
hacer como parte de las prcticas y no debera ser muy costoso
solo va en la lnea de incluir nuevos contenidos si no tambin
en recursos.
tratara de sistematizar contenidos y distribuir competencias de
forma coordinada. B. Asignaturas de Ingeniera de Software
Para ayudarnos, en [4] podemos encontrar la lista de las 25 La mejor forma de evitar ataques (que no hacen ms que
errores software ms usuales que los programadores deberan aprovechar vulnerabilidades) es el desarrollo de software
mitigar o eliminar. Estos errores estn agrupados en tres seguro desde sus inicios. Para ello es necesario el uso de una
categoras (interaccin insegura entre componentes, gestin metodologa de desarrollo software que contemple la seguridad
arriesgada de recursos, y defensas porosas) que vamos a desde los inicios de proyecto. Esta necesidad se recoge en
despiezar en funcin de las asignaturas en los que se podran asignaturas como [22], donde se describe la asignatura de
incluir.
205
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
206
JNIC2015 Decima sesion: Innovacion docente en ciberseguridad
207
JNIC2015 Author Index
Author Index
208
JNIC2015 Author Index
Iturbe, Mikel 59
Jacob, Eduardo 78
Johnson, Richard 14
Kalwa, Joerg 51
Komulainen, Arwid 51
Kotzias, Platon 18, 86
Kopf, Boris 72
Leus, Geert 51
Leyva Garca, Monica 182
Lopez, Victoria 8
Lopez Barriuso, Alberto 82
Lopez Hernandez-Ardieta, Jorge 160
Lopez Perez, Francisco 182
Lutu, Andra 108
209
JNIC2015 Author Index
Molina, Elas 78
Munoz Gijon, Antonio 182
Munoz Munoz, Alfonso 92
Nappa, Antonio 14
Nasta, Stefano 51
Nilsson, Bernt 51
Nilsson, Jan 51
Nissen, Ivor 51
Nizzardo, Luca 84
Otnes, Roald 51
Pacini, Francesco 51
Parra Lopez, Pascual 160
Pasic, Aljosa 156
Perez del Pozo, Angel Luis 90
Theron, Roberto 80
210
JNIC2015 Author Index
Vinals, Vctor 20
Zago, Mattia 76
Zorzi, Michele 51
Zurutuza, Urko 59
Oberg, Tommy 51
211