📌 Control de Acceso Discrecional (DAC) vs. Control de Acceso Obligatorio (MAC)

En esta lección, aprenderemos sobre modelos de control de acceso, fundamentales en seguridad informática. Exploraremos sus características, ventajas, desventajas y ejemplos prácticos con analogías para una mejor comprensión.

1️⃣ ¿Qué es el Control de Acceso?

El control de acceso define quién puede acceder a qué recursos dentro de un sistema, red o aplicación. Es una de las primeras líneas de defensa en ciberseguridad y garantiza que solo los usuarios adecuados accedan a la información correcta.

Existen dos modelos principales:

  1. Control de Acceso Discrecional (DAC - Discretionary Access Control)
  2. Control de Acceso Obligatorio (MAC - Mandatory Access Control)

Cada modelo tiene su propio enfoque y se usa en diferentes escenarios según los niveles de seguridad requeridos.

2️⃣ Control de Acceso Discrecional (DAC)

📌 Definición

El DAC permite que el propietario de un recurso (como un archivo o servicio) tenga control total sobre él y decida quién puede acceder y qué permisos otorgar.

📌 Características

Flexibilidad alta: Los usuarios pueden modificar los permisos fácilmente.
Fácil de implementar: Se utiliza en la mayoría de sistemas operativos modernos como Windows y Linux.
Mayor vulnerabilidad: Si una cuenta con permisos elevados es comprometida, un atacante puede modificar los permisos de otros recursos.
Difícil de administrar en redes grandes: Puede ser complicado mantener un control centralizado sobre todos los permisos.

📌 Analogía Práctica

Imagina que tienes una casa 🏠 y eres el dueño de la llave. Puedes hacer copias y entregarlas a tus amigos o familiares. Tú decides quién entra y quién no. Sin embargo, si alguien roba una de esas llaves, puede entrar sin que lo sepas. En este modelo, el control está en manos del propietario del recurso.

📌 Ejemplo en Seguridad Informática

  • En un servidor Linux, el usuario propietario de un archivo puede asignar permisos de lectura y escritura a otros usuarios.
  • En un entorno corporativo, un empleado puede compartir documentos en una carpeta con permisos específicos para compañeros de trabajo.

3️⃣ Control de Acceso Obligatorio (MAC)

📌 Definición

El MAC está basado en niveles de autorización predefinidos y etiquetas de clasificación. Los usuarios no pueden cambiar los permisos de acceso; solo los administradores del sistema tienen ese control.

📌 Características

Mayor seguridad: Impide que usuarios modifiquen sus propios permisos.
Uso en entornos altamente confidenciales: Se implementa en gobiernos, militares y organizaciones con datos críticos.
Menos flexible: Los permisos no pueden cambiarse fácilmente.
Administración compleja: Requiere una planificación estricta para definir niveles de acceso adecuados.

📌 Analogía Práctica

Imagina que trabajas en un edificio gubernamental 🏛️ con múltiples salas. Cada sala tiene un nivel de acceso:
🔹 Pública (cualquier visitante puede entrar)
🔹 Restringida (solo empleados con permiso especial)
🔹 Confidencial (solo personal autorizado)

Si tienes una credencial de nivel Secreto, puedes acceder a documentos de nivel Secreto, pero no puedes ver documentos de nivel Alto Secreto. Además, no puedes cambiar los permisos de acceso, porque las reglas ya están definidas y solo los administradores pueden modificarlo.

📌 Ejemplo en Seguridad Informática

  • En un sistema de defensa, los archivos con información clasificada tienen niveles de seguridad y solo personal con autorización específica puede acceder a ellos.
  • En un banco, los empleados solo pueden acceder a la información de los clientes según su rol y no pueden modificar sus permisos.

4️⃣ Diferencias Clave entre DAC y MAC

Característica DAC (Discrecional) MAC (Obligatorio)
Control El propietario del recurso controla los permisos El sistema y los administradores controlan los permisos
Flexibilidad Alta, los permisos pueden cambiarse fácilmente Baja, los permisos están predefinidos
Seguridad Más vulnerable a ataques internos y escalación de privilegios Más seguro, ya que los permisos no pueden modificarse fácilmente
Ejemplo de uso Empresas, redes corporativas estándar, servidores compartidos Gobiernos, fuerzas militares, bancos, infraestructuras críticas
Dificultad de administración Fácil Complejo

5️⃣ ¿Cuándo usar DAC o MAC?

  • Usar DAC cuando se requiere flexibilidad y facilidad de uso, como en sistemas operativos personales o entornos empresariales estándar.
  • Usar MAC en entornos de alta seguridad donde la confidencialidad de la información es crítica y se requiere un control estricto sobre los accesos.

6️⃣ Reflexión Final

El control de acceso es una de las bases más importantes de la ciberseguridad. Comprender las diferencias entre DAC y MAC permite diseñar estrategias adecuadas para proteger la información en diferentes entornos.

En redes corporativas estándar, el DAC puede ser suficiente con controles adicionales como autenticación multifactor y registros de auditoría. Sin embargo, en sistemas críticos como infraestructura gubernamental, bancaria o militar, el MAC ofrece un nivel de seguridad mucho más robusto.

El propietario del recurso controla los permisos El sistema y los administradores controlan los permisos Alta, los permisos pueden cambiarse fácilmente Baja, los permisos están predefinidos Más vulnerable a ataques internos y escalación de privilegios Más seguro, ya que los permisos no pueden modificarse fácilmente Empresas, redes corporativas estándar, servidores compartidos Gobiernos, fuerzas militares, bancos, infraestructuras críticas Fácil Complejo


🔵 Ronda de Preguntas de Defensa para Blue Team: Control de Acceso (DAC vs. MAC)

A continuación, planteo preguntas enfocadas en cómo defender estos modelos de control de acceso contra ataques en un entorno empresarial o gubernamental. Se incluyen respuestas detalladas con explicaciones claras y una guía paso a paso para aplicar estrategias de defensa profesionalmente.

🔰 Nivel Principiante (Blue Team)

Estas preguntas están diseñadas para comprender y fortalecer los controles básicos de seguridad en sistemas con DAC y MAC.

1️⃣ ¿Cómo puedo proteger un sistema que usa Control de Acceso Discrecional (DAC) contra escalación de privilegios?

Respuesta:

Quiero evitar que un atacante con acceso limitado pueda escalar privilegios dentro de un sistema que usa DAC.

🚀 Guía Paso a Paso:

  1. Aplicar el Principio de Mínimos Privilegios:

    • Asegurar que los usuarios solo tengan acceso a los recursos necesarios para su función.
    • Evitar que los usuarios puedan modificar permisos en archivos críticos.
  2. Habilitar Auditoría de Permisos:

    • Configurar logs de auditoría para rastrear cambios en permisos de archivos y carpetas.
    • Usar herramientas como Windows Event Viewer o Auditd en Linux para detectar anomalías.
  3. Implementar Controles de Seguridad Adicionales:

    • Configurar ACLs (Listas de Control de Acceso) correctamente.
    • Utilizar autenticación multifactor (MFA) para sesiones privilegiadas.
  4. Revisar y Limpiar Permisos Periódicamente:

    • Realizar auditorías de acceso cada 3 o 6 meses para eliminar permisos innecesarios.

🛑 Ataque Evitado:

Se previenen ataques en los que un usuario comprometido puede modificar sus propios permisos para obtener acceso administrativo al sistema.

2️⃣ ¿Cómo puedo evitar el acceso no autorizado a archivos compartidos en un entorno corporativo con DAC?

Respuesta:

Quiero proteger archivos compartidos en una red contra accesos no autorizados o cambios maliciosos.

🚀 Guía Paso a Paso:

  1. Clasificación de Datos y Segmentación de Permisos:

    • Clasificar archivos según su nivel de sensibilidad (público, interno, confidencial).
    • Usar grupos de usuarios en lugar de permisos individuales.
  2. Aplicar Cifrado en Archivos Sensibles:

    • Implementar cifrado en discos y carpetas con herramientas como BitLocker (Windows) o LUKS (Linux).
  3. Habilitar Control de Versiones:

    • Activar historial de versiones en sistemas como OneDrive, Google Drive o servidores NAS para prevenir alteraciones.
  4. Monitorear Cambios en Archivos:

    • Usar soluciones de detección de cambios en archivos (FIM, File Integrity Monitoring) como Tripwire.

🛑 Ataque Evitado:

Se previene que empleados malintencionados o atacantes internos accedan, modifiquen o filtren información sensible.

3️⃣ ¿Cómo proteger un entorno con Control de Acceso Obligatorio (MAC) contra configuraciones erróneas o mal uso?

Respuesta:

Quiero asegurarme de que las reglas del MAC sean correctas y no permitan accesos indebidos.

🚀 Guía Paso a Paso:

  1. Definir y Aplicar Políticas de Seguridad Claras:

    • Crear reglas estrictas de acceso con etiquetas de clasificación (Confidencial, Secreto, Alto Secreto).
    • Asegurar que las etiquetas sean revisadas y actualizadas periódicamente.
  2. Restringir la Capacidad de Cambiar Permisos:

    • Solo administradores de seguridad deben modificar reglas de acceso en sistemas MAC.
    • Evitar que usuarios finales tengan control sobre permisos.
  3. Automatizar Auditorías y Cumplimiento de Políticas:

    • Implementar herramientas de auditoría automática como SELinux en Linux o Microsoft Security Baseline en Windows.

🛑 Ataque Evitado:

Se evita que usuarios internos o atacantes puedan modificar etiquetas de clasificación para acceder a información restringida.

🔷 Nivel Avanzado (Blue Team)

Estas preguntas requieren estrategias más avanzadas para proteger la infraestructura.

4️⃣ ¿Cómo puedo evitar ataques internos en un sistema con DAC donde los usuarios tienen demasiada libertad para modificar permisos?

Respuesta:

Quiero mitigar los riesgos de ataques internos aprovechando la flexibilidad del DAC.

🚀 Guía Paso a Paso:

  1. Eliminar Cuentas con Privilegios Excesivos:

    • Identificar y reducir cuentas de usuarios con permisos administrativos innecesarios.
  2. Configurar Supervisión de Accesos con SIEM:

    • Usar un SIEM (Security Information and Event Management) como Splunk, Wazuh o Microsoft Sentinel para detectar cambios sospechosos en permisos.
  3. Crear Restricciones Basadas en Roles (RBAC):

    • Implementar RBAC (Role-Based Access Control) para limitar el acceso según los departamentos.
  4. Aplicar Controles de Protección Contra Ransomware:

    • Usar herramientas como Windows Defender Controlled Folder Access para evitar que malware cifre archivos importantes.

🛑 Ataque Evitado:

Se mitiga la posibilidad de que empleados malintencionados modifiquen permisos y realicen ataques internos.

5️⃣ ¿Cómo puedo fortalecer el Control de Acceso Obligatorio (MAC) en un entorno donde se gestionan datos altamente confidenciales?

Respuesta:

Quiero fortalecer la seguridad del MAC en sistemas de alto secreto.

🚀 Guía Paso a Paso:

  1. Definir Políticas de Seguridad Basadas en Necesidad de Saber (Need-to-Know):

    • Aplicar controles de acceso estrictos basados en el principio de mínima exposición de datos.
  2. Implementar Seguridad por Capas:

    • Usar autenticación multifactor (MFA) y segmentación de redes para usuarios con acceso a datos confidenciales.
  3. Aislamiento de Sistemas Críticos:

    • Mantener servidores con MAC separados de otros sistemas mediante redes privadas (VLANs o Zero Trust Networks).
  4. Pruebas de Seguridad Periódicas:

    • Realizar pruebas de penetración y auditorías de cumplimiento regularmente.

🛑 Ataque Evitado:

Se refuerza la seguridad de datos clasificados, evitando accesos no autorizados incluso dentro de la organización.

6️⃣ ¿Cómo puedo detectar intentos de abuso de privilegios en un sistema con DAC y MAC al mismo tiempo?

Respuesta:

Quiero monitorear y detectar ataques que intenten manipular permisos en entornos mixtos.

🚀 Guía Paso a Paso:

  1. Implementar Alertas en Cambios de Permisos Sensibles:

    • Configurar monitoreo en tiempo real para detectar cuando se agregan o eliminan usuarios de listas de control de acceso.
  2. Análisis de Patrones con Inteligencia Artificial:

    • Usar IA y Machine Learning en herramientas SIEM para detectar patrones anómalos en el comportamiento de los usuarios.
  3. Desplegar Honeypots en Zonas Críticas:

    • Crear recursos falsos con permisos sospechosos para atraer a atacantes y detectar intentos de abuso.
  4. Auditoría Interna Regular:

    • Programar auditorías cada 30-60 días para verificar configuraciones de acceso y permisos.

🛑 Ataque Evitado:

Se detectan ataques internos y externos que intentan manipular permisos o explotar configuraciones erróneas.

📌 Reflexión Final

Estas preguntas y guías paso a paso me ayudan a prevenir ataques en sistemas DAC y MAC, asegurando que los controles de acceso estén bien configurados y monitoreados.


🔵 Ronda de Preguntas de Defensa para Blue Team: Control de Acceso (DAC vs. MAC)

A continuación, planteo preguntas enfocadas en cómo defender estos modelos de control de acceso contra ataques en un entorno empresarial o gubernamental. Se incluyen respuestas detalladas con explicaciones claras y una guía paso a paso para aplicar estrategias de defensa profesionalmente.

🔰 Nivel Principiante (Blue Team)

Estas preguntas están diseñadas para comprender y fortalecer los controles básicos de seguridad en sistemas con DAC y MAC.

1️⃣ ¿Cómo puedo proteger un sistema que usa Control de Acceso Discrecional (DAC) contra escalación de privilegios?

Respuesta:

Quiero evitar que un atacante con acceso limitado pueda escalar privilegios dentro de un sistema que usa DAC.

🚀 Guía Paso a Paso:

  1. Aplicar el Principio de Mínimos Privilegios:

    • Asegurar que los usuarios solo tengan acceso a los recursos necesarios para su función.
    • Evitar que los usuarios puedan modificar permisos en archivos críticos.
  2. Habilitar Auditoría de Permisos:

    • Configurar logs de auditoría para rastrear cambios en permisos de archivos y carpetas.
    • Usar herramientas como Windows Event Viewer o Auditd en Linux para detectar anomalías.
  3. Implementar Controles de Seguridad Adicionales:

    • Configurar ACLs (Listas de Control de Acceso) correctamente.
    • Utilizar autenticación multifactor (MFA) para sesiones privilegiadas.
  4. Revisar y Limpiar Permisos Periódicamente:

    • Realizar auditorías de acceso cada 3 o 6 meses para eliminar permisos innecesarios.

🛑 Ataque Evitado:

Se previenen ataques en los que un usuario comprometido puede modificar sus propios permisos para obtener acceso administrativo al sistema.

2️⃣ ¿Cómo puedo evitar el acceso no autorizado a archivos compartidos en un entorno corporativo con DAC?

Respuesta:

Quiero proteger archivos compartidos en una red contra accesos no autorizados o cambios maliciosos.

🚀 Guía Paso a Paso:

  1. Clasificación de Datos y Segmentación de Permisos:

    • Clasificar archivos según su nivel de sensibilidad (público, interno, confidencial).
    • Usar grupos de usuarios en lugar de permisos individuales.
  2. Aplicar Cifrado en Archivos Sensibles:

    • Implementar cifrado en discos y carpetas con herramientas como BitLocker (Windows) o LUKS (Linux).
  3. Habilitar Control de Versiones:

    • Activar historial de versiones en sistemas como OneDrive, Google Drive o servidores NAS para prevenir alteraciones.
  4. Monitorear Cambios en Archivos:

    • Usar soluciones de detección de cambios en archivos (FIM, File Integrity Monitoring) como Tripwire.

🛑 Ataque Evitado:

Se previene que empleados malintencionados o atacantes internos accedan, modifiquen o filtren información sensible.

3️⃣ ¿Cómo proteger un entorno con Control de Acceso Obligatorio (MAC) contra configuraciones erróneas o mal uso?

Respuesta:

Quiero asegurarme de que las reglas del MAC sean correctas y no permitan accesos indebidos.

🚀 Guía Paso a Paso:

  1. Definir y Aplicar Políticas de Seguridad Claras:

    • Crear reglas estrictas de acceso con etiquetas de clasificación (Confidencial, Secreto, Alto Secreto).
    • Asegurar que las etiquetas sean revisadas y actualizadas periódicamente.
  2. Restringir la Capacidad de Cambiar Permisos:

    • Solo administradores de seguridad deben modificar reglas de acceso en sistemas MAC.
    • Evitar que usuarios finales tengan control sobre permisos.
  3. Automatizar Auditorías y Cumplimiento de Políticas:

    • Implementar herramientas de auditoría automática como SELinux en Linux o Microsoft Security Baseline en Windows.

🛑 Ataque Evitado:

Se evita que usuarios internos o atacantes puedan modificar etiquetas de clasificación para acceder a información restringida.

🔷 Nivel Avanzado (Blue Team)

Estas preguntas requieren estrategias más avanzadas para proteger la infraestructura.

4️⃣ ¿Cómo puedo evitar ataques internos en un sistema con DAC donde los usuarios tienen demasiada libertad para modificar permisos?

Respuesta:

Quiero mitigar los riesgos de ataques internos aprovechando la flexibilidad del DAC.

🚀 Guía Paso a Paso:

  1. Eliminar Cuentas con Privilegios Excesivos:

    • Identificar y reducir cuentas de usuarios con permisos administrativos innecesarios.
  2. Configurar Supervisión de Accesos con SIEM:

    • Usar un SIEM (Security Information and Event Management) como Splunk, Wazuh o Microsoft Sentinel para detectar cambios sospechosos en permisos.
  3. Crear Restricciones Basadas en Roles (RBAC):

    • Implementar RBAC (Role-Based Access Control) para limitar el acceso según los departamentos.
  4. Aplicar Controles de Protección Contra Ransomware:

    • Usar herramientas como Windows Defender Controlled Folder Access para evitar que malware cifre archivos importantes.

🛑 Ataque Evitado:

Se mitiga la posibilidad de que empleados malintencionados modifiquen permisos y realicen ataques internos.

5️⃣ ¿Cómo puedo fortalecer el Control de Acceso Obligatorio (MAC) en un entorno donde se gestionan datos altamente confidenciales?

Respuesta:

Quiero fortalecer la seguridad del MAC en sistemas de alto secreto.

🚀 Guía Paso a Paso:

  1. Definir Políticas de Seguridad Basadas en Necesidad de Saber (Need-to-Know):

    • Aplicar controles de acceso estrictos basados en el principio de mínima exposición de datos.
  2. Implementar Seguridad por Capas:

    • Usar autenticación multifactor (MFA) y segmentación de redes para usuarios con acceso a datos confidenciales.
  3. Aislamiento de Sistemas Críticos:

    • Mantener servidores con MAC separados de otros sistemas mediante redes privadas (VLANs o Zero Trust Networks).
  4. Pruebas de Seguridad Periódicas:

    • Realizar pruebas de penetración y auditorías de cumplimiento regularmente.

🛑 Ataque Evitado:

Se refuerza la seguridad de datos clasificados, evitando accesos no autorizados incluso dentro de la organización.

6️⃣ ¿Cómo puedo detectar intentos de abuso de privilegios en un sistema con DAC y MAC al mismo tiempo?

Respuesta:

Quiero monitorear y detectar ataques que intenten manipular permisos en entornos mixtos.

🚀 Guía Paso a Paso:

  1. Implementar Alertas en Cambios de Permisos Sensibles:

    • Configurar monitoreo en tiempo real para detectar cuando se agregan o eliminan usuarios de listas de control de acceso.
  2. Análisis de Patrones con Inteligencia Artificial:

    • Usar IA y Machine Learning en herramientas SIEM para detectar patrones anómalos en el comportamiento de los usuarios.
  3. Desplegar Honeypots en Zonas Críticas:

    • Crear recursos falsos con permisos sospechosos para atraer a atacantes y detectar intentos de abuso.
  4. Auditoría Interna Regular:

    • Programar auditorías cada 30-60 días para verificar configuraciones de acceso y permisos.

🛑 Ataque Evitado:

Se detectan ataques internos y externos que intentan manipular permisos o explotar configuraciones erróneas.

📌 Reflexión Final

Estas preguntas y guías paso a paso me ayudan a prevenir ataques en sistemas DAC y MAC, asegurando que los controles de acceso estén bien configurados y monitoreados.



🛡️ Simulación de Ataque y Defensa: Control de Acceso (DAC vs. MAC)

En esta simulación, vamos a analizar un escenario realista en el que un atacante (Red Team) intenta explotar debilidades en los modelos de Control de Acceso Discrecional (DAC) y Control de Acceso Obligatorio (MAC). Luego, como Blue Team, aplicaremos estrategias de defensa para mitigar estos ataques.

🔴 Escenario de Ataque 1: Escalación de Privilegios en un Sistema con DAC

📌 Contexto

  • Una empresa utiliza DAC en su red corporativa para gestionar archivos compartidos y accesos de usuarios.
  • Cada usuario tiene control sobre los permisos de sus propios archivos y carpetas.
  • Un atacante con acceso a una cuenta de usuario estándar intenta escalar privilegios para obtener acceso a datos confidenciales.

📌 Paso 1: Reconocimiento

El atacante:

  1. Accede al sistema con una cuenta de usuario estándar.
  2. Usa el comando ls -l (Linux) o icacls (Windows) para ver los permisos de los archivos en la carpeta compartida.
  3. Identifica un archivo sensible con permisos débiles, por ejemplo:
  • -rw-rw-r-- 1 usuario usuario 12345 Mar 10 10:00 datos_confidenciales.txt
    • Problema: Cualquier usuario del grupo "usuario" puede modificar este archivo.

📌 Paso 2: Explotación

El atacante:

  1. Modifica los permisos del archivo para darse acceso total:
    • En Linux: chmod 777 datos_confidenciales.txt
    • En Windows: icacls datos_confidenciales.txt /grant Everyone:F
  2. Copia los datos y los extrae fuera del sistema.

🔵 Defensa: ¿Cómo Evito Este Ataque?

Para prevenir la escalación de privilegios en DAC, aplicamos las siguientes estrategias:

1. Configurar el Principio de Mínimos Privilegios (POLP):

  • Restringir permisos innecesarios y asegurarse de que los archivos sensibles solo sean accesibles por usuarios específicos.
  • Revisar regularmente las ACLs de archivos y carpetas usando:
    • Linux: find / -perm -777
    • Windows: icacls C:\ /find /v "Administrators"

2. Implementar Monitorización de Cambios en Permisos:

  • Activar File Integrity Monitoring (FIM) con herramientas como Wazuh o Tripwire.
  • Configurar alertas en SIEM para detectar cambios en permisos inusuales.

3. Aplicar Políticas de Restricción Adicionales:

  • Bloquear la ejecución de comandos como chmod y icacls para usuarios sin privilegios administrativos.
  • Deshabilitar cuentas innecesarias y forzar el uso de autenticación multifactor.

🛑 Resultado:
El atacante ya no puede modificar permisos libremente, lo que impide la escalación de privilegios en el sistema.

🔴 Escenario de Ataque 2: Explotación de MAC Mediante Fugas de Información

📌 Contexto

  • Un gobierno usa MAC en su infraestructura crítica con etiquetas de seguridad:
    • 🔴 Secreto
    • 🟠 Confidencial
    • 🟢 Público
  • Un empleado con nivel de acceso Confidencial intenta extraer información Secreta sin permisos adecuados.

📌 Paso 1: Identificación del Vector de Ataque

El atacante:

  1. Intenta leer archivos con etiquetas superiores (Secreto), pero recibe un error de acceso denegado.
  2. Se da cuenta de que puede acceder a logs de depuración del sistema, que contienen fragmentos de información sensible.

📌 Paso 2: Explotación

El atacante:

  1. Usa grep para buscar datos en logs accesibles:
  1. Encuentra fragmentos de información filtrados debido a errores de depuración.
  2. Reconstruye la información confidencial sin acceder directamente a los archivos protegidos.

🔵 Defensa: ¿Cómo Evito Este Ataque?

Para evitar que un usuario con acceso Confidencial pueda extraer información Secreta, aplicamos estas defensas:

1. Aplicar Seguridad en Logs y Registros:

  • Configurar MAC también en logs y evitar que contengan información sensible.
  • Usar herramientas de Data Loss Prevention (DLP) para detectar palabras clave en logs.

2. Implementar Separación de Red (Air-Gap) para Datos Sensibles:

  • Aislar sistemas que manejan datos de nivel Secreto del resto de la infraestructura.
  • Usar redes privadas virtuales con políticas estrictas de acceso.

3. Activar Detección de Accesos Sospechosos:

  • Monitorear intentos de acceso repetidos en archivos y logs con herramientas de seguridad como OSSEC o Splunk.
  • Implementar políticas de acceso basadas en el comportamiento del usuario.

🛑 Resultado:
El atacante ya no puede obtener información filtrada en logs, lo que evita la fuga de datos sin explotar directamente los archivos protegidos.

🔴 Escenario de Ataque 3: Manipulación de Etiquetas en un Entorno MAC Mal Configurado

📌 Contexto

  • Una empresa usa MAC para proteger datos de clientes.
  • Un atacante con permisos administrativos intenta reclasificar archivos para hacerlos accesibles.

📌 Paso 1: Identificación de Vulnerabilidad

El atacante:

  1. Descubre que puede cambiar etiquetas de seguridad con comandos administrativos.
  2. Usa:
  • chcon -t public_content_t datos_seguros.txt
    • Convierte un archivo protegido en "público".

📌 Paso 2: Explotación

El atacante:

  1. Accede al archivo ahora sin restricciones y extrae datos.
  2. Vuelve a asignar la etiqueta original para ocultar el ataque.

🔵 Defensa: ¿Cómo Evito Este Ataque?

1. Restringir Permisos de Modificación de Etiquetas:

  • Solo administradores de seguridad deberían poder modificar etiquetas en MAC.
  • Configurar sudo para bloquear comandos como chcon y restorecon.

2. Implementar Monitoreo de Cambios en Etiquetas:

  • Activar registro de eventos en SELinux/AppArmor para detectar cambios en etiquetas de seguridad.

3. Auditoría de Políticas de Seguridad:

  • Realizar auditorías periódicas para verificar que los permisos y etiquetas sean los correctos.
  • Usar herramientas como OpenSCAP para automatizar la revisión.

🛑 Resultado:
El atacante ya no puede modificar etiquetas de archivos sin autorización, evitando que pueda reclasificar datos para extraer información.

📌 Reflexión Final

A través de estos escenarios, hemos visto cómo un atacante puede intentar explotar fallos en DAC y MAC, y cómo como Blue Team puedo implementar defensas efectivas.

💡 Principales aprendizajes:
DAC es más flexible pero más vulnerable, por lo que requiere auditorías y control de cambios en permisos.
MAC es más seguro pero más rígido, por lo que se deben monitorear configuraciones y evitar fugas de información.
El monitoreo y la detección temprana son clave para prevenir ataques antes de que se materialicen.

Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.