En un mundo que se va haciendo cada vez más digital y va incorporando nuevos componentes tecnológicos y cibernéticos, la carrera de fondo entre atacantes y defensores que se libra en el ciberespacio va adquiriendo cada vez mayor intensidad. Tanto, que muchos no somos capaces de percibirla ni imaginarla.
En este contexto, Carlos Polop, Ingeniero de Telecomunicaciones especializado en Ciberseguridad, presentó hace unas semanas en RootedCON 2022, el mayor evento de ciberseguridad de España, una novedosa técnica, apodada DDexec, que sirve para sortear medidas defensivas en sistemas operativos de Linux, tradicionalmente considerados mucho más seguros que otros como Windows.
A partir de ahora, con DDexec se pueden eludir medidas defensivas muy comunes en sistemas Linux. Especialmente, aquellas que se desarrollan dentro de contenedores, un tipo de virtualización, altamente utilizada actualmente en ciberseguridad. Con ello, esta técnica, que ha sido desarrollada en concreto por Carlos Polop y Yago Gutiérrez, sin duda, supone un antes y un después en el hackeo de uno de los sistemas operativos más seguros hasta ahora.
DDexec, como tantas otras técnicas en ciberseguridad, puede ser utilizada por dos tipos principales de perfiles: atacantes o defensores. Por una parte, los llamados hackers éticos con mentalidad de atacantes que entiendan la técnica podrán advertir a las empresas en las que trabajan y sabrán defenderse de la misma. Por otra parte, aquellos con un perfil más defensor, podrán también entender la técnica y tener diversas formas de detectarla para mejorar la seguridad de los sistemas a su cargo.
Con ello, esta técnica ofrece, no solo más versatilidad a atacantes a la hora de ejecutar malware, o cualquier otro programa, en estos sistemas, sino también hace considerablemente más difícil la detección del malware ejecutado con ella misma.
En cualquier caso, para evitar un mal uso de la técnica, sus desarrolladores ya han dado a conocer las diferentes formas de detectarla. Incluso, además, están ya en contacto con una empresa clave, que trabaja con otros cientos de empresas que son sus clientes, para la detección de esta técnica. Todo ello, con el objetivo de asegurar que se emplea de forma correcta.
Tal y como ha querido destacar Carlos Polop: “Hasta sistemas operativos como Linux siguen teniendo vulnerabilidades y formas de evadir métodos defensivos que se llevan usando años. Por ello, lo más importante es que haya una comunidad de ciberseguridad que comparta información como esta, ya sea a través de redes sociales o conferencias como la RootedCON. Pues, sin esa compartición, no se pueden desarrollar mecanismos para proteger mejor los sistemas”.
La difusión de la información en la comunidad de ciberseguridad es la única forma de conocer las técnicas que atacantes indeseados pueden utilizar y la vía para desarrollar medidas defensivas contra ellas. Así mismo, liberar una herramienta como DDexec permite que las personas especializadas en seguridad puedan entender mejor el funcionamiento de la técnica y desarrollar mejores métodos de defensa contra la misma.
La explicación sobre la técnica puede encontrarse en ‘HackTricks’,libro gratuito de Carlos Polop sobre hacking: https://book.hacktricks.xyz/linux-hardening/bypass-linux-shell-restrictions/ddexec. Además, la propia técnica DDexec está disponible para todo el que la necesite utilizar a través del siguiente enlace: https://github.com/arget13/DDexec.