BlogEdward SnowdenGCHQHACIENDA programhacking newsNmapNSAport scanning attackport scanning onlineport scanning toolsshodanShodan search engine

El programa de escaneo de puertos HACIENDA de GCHQ apunta a dispositivos en 27 países

¿Ha utilizado alguna vez el motor de búsqueda Shodan? Un servicio disponible públicamente rastrea Internet en busca de dispositivos conectados y enumera sus puertos abiertos, servicios en ejecución, información del sistema, etc.

Motor de búsqueda Shodan es utilizado principalmente por piratas informáticos, desarrolladores, estudiantes y cualquier otra persona con un sentido de curiosidad para encontrar sistemas vulnerables de cara a Internet con puertos abiertos y mecanismos inseguros de autenticación y autorización, es decir, servidores, cámaras conectadas a Internet, semáforos y sistemas SCADA. Según la última revelación del denunciante Edward Snowden, La agencia de espionaje británica GCHQ, contraparte de la NSA, aparentemente usa su propio servicio de escaneo de puertos para atacar sistemas conectados a Internet en al menos 27 países, en un intento de explotarlos potencialmente. En documentos de alto secreto publicado por Heise el viernes, Port-scan es parte del Programa “Hacienda” que busca puertos abiertos en todos los servidores públicos para descubrir aplicaciones vulnerables que se ejecutan en ellos, una técnica básica utilizada por una gran cantidad de piratas informáticos y delincuentes.

POR QUÉ ESCANEAR PUERTOS ABIERTOS

Los puertos abiertos son las puertas al servidor o estación de trabajo de destino que está conectado a Internet. Las herramientas de escaneo de puertos como Nmap le permiten descubrir qué puertos de red están abiertos en su host de destino.

Detrás de un puerto abierto, hay una aplicación o servicio que puede recibir y enviar datos al cliente. Pero estas aplicaciones pueden tener vulnerabilidades o errores que un pirata informático podría aprovechar para obtener acceso a datos confidenciales o ejecutar código malicioso en la máquina de forma remota.

Entonces, la idea detrás del programa es usar esas vulnerabilidades para convertir en secreto los servidores vulnerables en las cajas de retransmisión operativa (ORB). Como resultado, cuando la agencia de espionaje británica o uno de sus socios de Five-Eyes quiere atacar a un objetivo o robar datos, utilizan estos ORB como una vía de ataque para ocultar sus huellas.

Las denominadas cajas de retransmisiones operativas se utilizan para ocultar la ubicación del atacante cuando los cinco ojos lanzan exploits contra objetivos o roban datos.“Explica Heise.

OBSERVANDO CON CINCO OJOS

La documentación de alto secreto recientemente revelada de GCHQ que data de 2009, tenga en cuenta que el programa HACIENDA se utilizó para escanear completamente 27 países y escanear parcialmente cinco más, que fue operado por las Naciones “Five Eyes”, incluida la NSA y las agencias de espionaje Canadá, Australia y Nueva Zelanda. Los objetivos incluían puertos que usaban protocolos como SSH (Secure Shell) y SNMP (Protocolo simple de administración de redes), que se usan para el acceso remoto y la administración de redes.

El informe Heise está coescrito por los confidentes de Snowden, Jacob Appelbaum y Laura Poitras, que dice:

El proceso de escanear países enteros y buscar infraestructura de red vulnerable para explotar es consistente con el meta-objetivo de ‘Dominar Internet’, que también es el nombre de un programa de interceptación de cables de GCHQ: estas agencias de espionaje intentan atacar todos los sistemas posibles. pueden, presumiblemente, ya que podría proporcionar acceso a otros sistemas.

Los sistemas pueden ser atacados simplemente porque eventualmente podrían crear un camino hacia un objetivo de espionaje valioso, incluso sin información procesable que indique que este será el caso. Usando esta lógica, cada dispositivo es un objetivo de colonización, ya que cada objetivo explotado con éxito es teóricamente útil como un medio para infiltrarse en otro posible objetivo.

La base de datos de HACIENDA se comparte con otros miembros del club de espionaje Five Eyes a través de “Pedido por correo“- una forma segura para que intercambien los datos recopilados.

SIGILO TCP

El escaneo de puertos generalmente se aprovecha de una falla básica en el protocolo TCP, que permite que los clientes y los servidores se comuniquen entre sí a través de Internet estableciendo conexiones cliente-servidor mediante un “protocolo de enlace de tres vías” y el problema en realidad reside aquí. Este protocolo de enlace filtra datos asociados con los puertos, incluso si el cliente que realiza el sondeo no está autorizado.

El informe sugiere varias contramedidas contra todo este escaneo de puertos. Una de estas técnicas es TCP Stealth, que puede ayudar a evitar que Hacienda y herramientas similares identifiquen sistemas. TCP Stealth funciona agregando una frase de contraseña en el dispositivo del usuario y en el sistema que debe protegerse. En caso de que, si la frase de contraseña es incorrecta, el sistema simplemente no responde y el servicio parece estar inactivo.

Es posible que esta última revelación no sorprenda ni impresione a los expertos en seguridad de Internet porque el tipo de software de escaneo de puertos, como nmap y Zmap, son herramientas fundamentales para piratas informáticos, desarrolladores y otras personas curiosas, lo único que se nota sobre el programa HACIENDA es su gran escala. .

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar