CSI Madrid: El caso de los backdoors

WordCamp Madrid 2019

Me planteé un reto complicado. Y es que hablar sobre backdoors, estilos de código y técnicas de des-ofuscación a un público no especialista en ciberseguridad, es como pretender que encuentren interesante una charla sobre teoría cuántica un grupo de personas no interesadas en la materia. Así que, dándole vueltas encontré una figura con la que envolver mi charla que, el que más o el que menos, había visto alguna vez en los últimos casi 20 años.

Y es que la mecánica del CSI, o en español Investigador de la Escena del Crimen, es bastante parecida al trabajo que desarrollo todos los días en Sucuri INC, como analista de seguridad en el departamento de Incident Response. Llegamos a una escena de un crimen (en este caso una web que ha sido hackeada), analizamos las pruebas, los puntos débiles y pasamos nuestros escáneres y tests. Luego limpiamos y dejamos todos bien preparado para que no vuelva a ocurrir. Y emitimos dos informes: uno para el cliente, informando de qué es lo que ha pasado, qué acciones hemos tomado y qué acciones debe tomar para que no vuelva a ocurrirle; y otro para el departamento de Investigación, para alimentar nuestra base de datos de vulnerabilidades y firmas de software malicioso con el fin de mejorar la capacidad heurística en nuestro escáneres y la efectividad de nuestras herramientas.

Suena un poco árido si no eres un apasionado de la materia, es cierto. Sin embargo, ¿qué mejor que el impresionante escenario de la WordCamp Madrid 2019, con más de 600 asistentes, un auditorio magnífico y un plantel de expertos en WordPress de lujo a mi alrededor para intentarlo? Impossible is Nothing, dicen: He aquí el resultado:

El arma: el Backdoor

Pero incluso ahora, igual te estás preguntando… ¿pero qué diablos es un backdoor? Seguramente no te quieres pegar casi media hora de charla (y no te culpo por ello), así que te lo resumo: es, como su traducción dice, una puerta trasera.

Imaginemos por un momento que en tu casa, aparte de la puerta de entrada, alguien instala una puerta exterior en otra habitación… y tú no tienes la llave de esa puerta, ni sabes quién la puso ahí. Imagina las consecuencias y las situaciones en las que esto podría ser, cuanto menos, incómodo.

¡Ajá! Ese sentimiento de inseguridad que te asalta cuando lo imaginas es exactamente el que deberías sentir cuando piensas en que tu web WordPress, tienda online, tu ordenador o tu móvil puedan tener instalado un backdoor.

Imaginemos por un momento que en tu casa, aparte de la puerta de entrada, alguien instala una puerta exterior en otra habitación… y tú no tienes la llave de esa puerta, ni sabes quién la puso ahí.

¿Qué forma tiene un backdoor?

Esto es algo complejo de describir. Puede ser un fichero con código que directamente te dice que es un backdoor y no se esconde, o, como el caso de la charla, un simple favicon (icono que se utiliza para poner un logo en la pestaña de tu navegador cuando tus usuarios visitan tu web) con código ofuscado (cuya intencionalidad no se puede entender con un simple vistazo al fichero, sino que debe pasar por un proceso de “deshacer la madeja”, como suelo denominarlo).

Sobre los hackers…

¿Quién instala backdoors? Habitualmente los cibercriminales, hackers malvados o crackers. Trata de no decir “los hackers”, ya que es altamente probable que alguien que conozca el término correcto te salte a la yugular.

Un hacker es una persona curiosa, que fuerza los límites impuestos de un sistema, un objeto o un entorno, aprendiendo y generando conocimiento. Y como muestra, un botón: como comento en la charla, por si no lo sabías, tomar cafeína por la mañana es un acto de hackeo (o BioHacking como se denomina hoy en día) ya que fuerzas tu cuerpo a un estado no natural.

La diferencia radica en la intencionalidad: ambas ganan siempre, aunque sea solo el conocimiento generado, pero mientras el cracker es a costa siempre de otro, el hacker, hace que ganen todos.

Pero y qué les puede interesar de mi web, ¡es solo de gatitos!

Entonces, tenemos que hay hackers malos por ahí que pueden instalar una puerta trasera en nuestra página web. Pero, ¿para qué? Esta pregunta requiere una respuesta larga, pero a grosso modo sus posibles objetivos son:

  • La información que almacenas en tu web. Ya sean productos, imágenes, correos, contraseñas o datos de tus clientes, etc.
  • Tu base de usuarios. Esta información es oro en los tiempos que corren. Puedes leer sobre el por qué de la desorbitada cantidad de dinero que Facebook pagó cuando compró WhatsApp utilizando tu motor de búsqueda favorito y comprenderás por qué, cuantos más usuarios, más vale tu web o aplicación.
  • Tu infraestructura. Infectar una web para utilizar sus visitas para minar criptomoneda parece estar de moda en los últimos años…
  • Utilizar tu web como un Bot Node o en modo Zombie. Una vez infectada, un cibercriminal puede usar tu web para un ataque puntual, como tumbar WhatsApp o Facebook, o utilizarlo como un peón en una batalla más grande.
  • Tu reputación. Ya sea para utilizarla con el objetivo de llevar algún mensaje reivindicativo a tus miles de visitantes diarios, o hundirla porque le caes mal al ciberterrorista… o a quién le paga, que podría ser tu competencia.

Conclusión: Prevenir antes que curar

Por tanto, ya tenemos el qué, el cómo, el quiénes y el para qué. La siguiente pregunta importante que deberías hacerte es: ¿cómo las evito? Ante todo, en caso de que sospeches que tienes una, mi recomendación es que valores la situación con un profesional.

De todas maneras, ten en cuenta siempre que estos factores influyen mucho en el proceso de prevención y detección:

  • Elige un buen hosting, es tu primera línea de protección. Invierte un poco más y evita riesgos innecesarios.
  • Mantén tu sitio siempre actualizado.
  • Elimina todos los plugins y temas que no estén estrictamente en uso en tu web.
  • No instales plugins o temas que provengan de fuentes no fiables por ahorrarte un poco de dinero. Nadie regala duros a cuatro pesetas.
  • Invierte en seguridad, y lo primero debe ser un WAF o Web Application Firewall.

Si en vez de visualizar la charla, prefieres echarle un ojo a mis diapositivas, aquí las tienes subidas a SlideShare:

Extra

Anécdota: Hice un poco de trampa, ya que había hecho una prueba de concepto en la WordCamp Zaragoza 2019, a principios de año, donde hablaba también sobre Backdoors, aunque en este caso más sobre el estilo de crear estas puertas traseras. Un tema quizás más friki aún si cabe. Pero me sirvió para obtener un buen feedback de que realmente suscita interés, especialmente el proceso de detección que ha sido en lo que he hecho más énfasis esta vez.

Si te interesa echarle un vistazo a esa charla, aquí la tienes a tu disposición en WordPress TV también:

Extra

Anécdota: Hice un poco de trampa, ya que había hecho una prueba de concepto en la WordCamp Zaragoza 2019, a principios de año, donde hablaba también sobre Backdoors, aunque en este caso más sobre el estilo de crear estas puertas traseras. Un tema quizás más friki aún si cabe. Pero me sirvió para obtener un buen feedback de que realmente suscita interés, especialmente el proceso de detección que ha sido en lo que he hecho más énfasis esta vez.

Si te interesa echarle un vistazo a esa charla, aquí la tienes a tu disposición en WordPress TV también:


Y aquí las slides:

Imagen de De Weiko en Flickr