Escola Tècnica Superior d’Enginyeria Electrònica i Informàtica La Salle Treball Final de Màster Màster en Ciberseguretat Anonimato y Evasión vs SIEM Alumne Professor Ponent Abel Pozo Pujol Nico Esposito (Deloitte) ACTA DE L'EXAMEN DEL TREBALL FI DE MÀSTER Reunit el Tribunal qualificador en el dia de la data, l'alumne D. Abel Pozo Pujol va exposar el seu Treball de Fi de Màster, el qual va tractar sobre el tema següent: Anonimato y Evasión vs SIEM Acabada l'exposició i contestades per part de l'alumne les objeccions formulades pels Srs. membres del tribunal, aquest valorà l'esmentat Treball amb la qualificació de Barcelona VOCAL DEL TRIBUNAL VOCAL DEL TRIBUNAL PRESIDENT DEL TRIBUNAL Resumen Los Ciberdelincuentes cada día son más sofisticados y utilizan todos los recursos disponibles para conseguir sus propósitos. La utilización de redes de anonimato para ocultar su identidad y las técnicas de evasión avanzadas para sobrepasar los controles instalados por Gobiernos y Organizaciones es el principal objetivo de ellos. En este documento veremos cómo funcionan éstas redes de anonimato y las diferentes técnicas de evasión utilizadas. Por último, veremos cómo mitigar este tipo de amenazas mediante los denominados SIEM, desplegando casos de uso específicos. Índice Resumen Índice 1. Introducción ........................................................................................................ 1 2. Objetivos ............................................................................................................. 2 3. Redes Anónimas ................................................................................................. 3 3.1. Introducción .................................................................................................. 3 3.2. Surface Web & Deep web & Dark Net .......................................................... 4 3.3. Freenet .......................................................................................................... 7 3.4. I2P ................................................................................................................ 20 3.5. Tor ............................................................................................................... 37 3.6. Riffle ............................................................................................................ 48 4. Técnicas de evasión Avanzadas ...................................................................... 52 4.1. Introducción ................................................................................................ 52 4.2. Sistemas y técnicas de evasión Avanzadas ............................................. 54 5. Mitigación mediante SIEM ................................................................................ 72 5.1. Introducción ................................................................................................ 72 5.2. Elección de un sistema SIEM..................................................................... 73 5.3. Práctica: Instalación y configuración SIEM .............................................. 75 5.4. Caso 1: Detección Redes Tor .................................................................... 87 5.5. Caso 2: Detección Covert Channels .......................................................... 90 5.6. Caso 3: Detectando redes Fast Flux ......................................................... 93 5.7. Caso 4: Detectar utf8 en mails ................................................................... 94 5.8. Caso 5: Chequear md5 con Virustotal ...................................................... 96 5.9. Caso 6: Chequeo reglas Yara .................................................................... 97 6. Coste del proyecto ............................................................................................ 99 6.1. Coste temporal ........................................................................................... 99 7. Conclusiones .................................................................................................. 100 8. Bibliografía ...................................................................................................... 102 9. Índice de figuras .............................................................................................. 103 Anonimato y Evasión vs SIEM Abel Pozo Pujol 1. Introducción El presente trabajo: “Anonimato y Técnicas de evasión Avanzadas” pretende proporcionar una base sólida de conocimiento sobre las redes anónimas más avanzadas y los métodos utilizados por ciberdelicuentes para atacar y acceder a los sistemas de grandes corporaciones. En el primer punto del documento profundizaremos por las principales redes anónimas existentes y más utilizadas. Veremos tanto su funcionamiento como el de sus aplicaciones en diferentes tipos de servicios. En el siguiente punto, se han analizado técnicas de evasión avanzadas que actualmente utilizan los ciberdelincuentes para sobrepasar los sistemas de seguridad. Por último y para mitigar las amenazas vistas en el documento, se ha implantado un sistema SIEM y se han desplegado diferentes casos de uso útiles para frenar los ataques estudiados. Pág: 1 Anonimato y Evasión vs SIEM Abel Pozo Pujol 2. Objetivos Los objetivos principales sobre los que se justifica la elaboración de este proyecto son los que se detallan a continuación: 1. Entender en profundidad el funcionamiento de las diferentes redes de anonimato existentes. 2. Definir los diferentes sistemas de protecciones de las corporaciones. 3. Investigar las técnicas de evasión más sofisticadas. 4. Definir e implantar desde 0 un sistema SIEM en un entorno de laboratorio. 5. Diseñar casos de uso avanzados para un SIEM con el objetivo de mitigar las técnicas de evasión y el anonimato. Pág: 2 Anonimato y Evasión vs SIEM Abel Pozo Pujol 3. Redes Anónimas 3.1. Introducción El derecho a la privacidad y anonimato es un tema de gran interés en la sociedad actual. Gracias a la gran difusión que tienen los medios, estos últimos años hemos recibido muchas noticias sobre el gran seguimiento que nos realizan cuando navegamos por parte de Gobiernos y organizaciones. Si a estas informaciones que tomaron forma con la aparición de wikileaks o Edward Snowden, le sumamos el gran auge que está teniendo el concepto de BIG DATA en el que se recolecta información con la finalidad de obtener un perfil personalizado de cada uno de nosotros. Podemos deducir la gran vigilancia y monitorización a la que estamos sometidos sin prácticamente darnos cuenta. A parte de lo anterior, nos encontramos que hoy día sigue habiendo países cuya política es mantener un control estricto sobre la opinión pública, restringiendo cualquier tipo información perjudicial para sus intereses y que pueda aparecer en los medios, llegando a condenar desproporcionadamente a cualquiera que incumpla sus normas. En estos países, tales como China o Corea del norte, se restringe el libre acceso a internet, permitiendo únicamente los sitios que están alineados con los criterios del régimen. Como es obvio, una parte de la sociedad no desea permitir este monitoreo y por ese motivo desde hace algunos años empezaron a aparecer las redes de anonimato, que permiten la ocultación de nuestros datos de tal manera que nadie pueda realizar ningún tipo de seguimiento o restricción sobre nuestra navegación en la red. Este tipo de redes cada día más famosas por el anonimato que garantiza a sus usuarios, son usadas por todo tipo de personas y grupos. Si bien es cierto que fueron creadas para ocultar nuestra información personal, en la actualidad son utilizadas para actividades de diferentes índoles, tanto licitas como ilícitas. Ha ido proliferando la comunicación a través de éstas por parte de mafias, crimen organizado, pedófilos, narcotraficantes y otros, por lo que en muchas ocasiones se relaciona indebidamente estas redes como servicios ilegales y que no aportan nada positivo por las acciones que se llevan a cabo en ellas. En los siguientes capítulos haremos un recorrido por las diferentes y más avanzadas redes de anonimato existente, así como su arquitectura y aplicaciones prácticas. Es interesante conocer cómo se utilizan y cómo funcionan para que en los posteriores capítulos podamos ver como se están utilizando éstas para realizar ataques y técnicas de evasión. Pág: 3 Anonimato y Evasión vs SIEM Abel Pozo Pujol 3.2. Surface Web & Deep web & Dark Net En primer lugar, hemos querido desglosar los términos que proliferan por internet y que es preciso aclarar para el buen entendimiento del proyecto. Internet se divide en 3 espacios: En primer lugar, tenemos la Surface web o “web de superficie” que es todo aquello que es indexado por buscadores comunes como Google, bing o Yahoo. Esta es la internet conocida por todos y la que muchos creen que es la única. Cualquier persona puede navegar por ella libremente ya que al estar los contenidos indexados es muy fácil poder acceder a cualquier contenido. El inconveniente de navegar sin ningún tipo de protección por ella es lo que hemos comentado anteriormente, permite a buscadores, organizaciones, gobiernos. poder realizar un seguimiento de tu navegación a través de cookies o información personal que va dejando rastro al navegar si no se toman las medidas oportunas. En segundo lugar, encontramos el termino Deep web el cual tiene diferentes denominaciones como son deep net, invisible web o hidden web. En español la conocemos como “la web profunda”. Esta parte de internet es todo aquel contenido que no está indexado en buscadores