Blog

CAPEC – Una Lista de Patrones de Ataque Conocidos

capecLa iniciativa CAPEC (Common Attack Pattern Enumeration and Classification) no es más que una lista de patrones de ataques que se encarga de recolectar información acerca de si mismos, junto a un esquema de clasificación exhaustiva. Estos patrones de ataques no son más que las descripciones de los métodos comunes utilizados para la explotación de vulnerabilidades.

La iniciativa CAPEC (Common Attack Pattern Enumeration and Classification) no es más que una lista de patrones de ataques que se encarga de recolectar información acerca de si mismos, junto a un esquema de clasificación exhaustiva. Estos patrones de ataques no son más que las descripciones de los métodos comunes utilizados para la explotación de vulnerabilidades.

El objetivo principal de esta lista y de cada una de sus registros es el de exponer la perspectiva del atacante y los métodos utilizados por el mismo para explotar las vulnerabilidades presentes en el software. Estos son generados después de un análisis en profundidad de diversas pruebas de conceptos y publicaciones relacionadas a los exploits que son presentados como ejemplos de explotación de una vulnerabilidad que desea registrarse en la lista CVE, o incluso pueden ser propuestos para adicionarse en esta lista en caso de no estar registrado. También puede darse el caso de que sea registrado un nuevo patrón de ataque y su vulnerabilidad asociada en caso de no estar registrados y aunque no sean propuestos directamente a ninguna de estas listas, debido a que una de las tareas de los equipos de estudios asignados a estas iniciativas es el de mantener una búsqueda constante de nuevas vulnerabilidades y métodos de explotación.

Al igual que las demás listas, CAPEC se esfuerza por ofrecer toda la información posible que permita ayudar a mejorar la seguridad a lo largo del ciclo de vida de desarrollo de software y también respaldar las necesidades de los desarrolladores, tester y educadores. Al igual que el CWE, esta lista recibe una cantidad considerablemente menor de entradas en comparación con el CVE, debido a que muchas de las vulnerabilidades que se registran comparten los mismos patrones de ataques, por tanto, no es tan común el generarse nuevas entradas en esta lista como en la de vulnerabilidades. En la siguiente imagen se puede observar la diferencia de entradas registradas en cada una de las listas que hemos hablado en nuestras entradas.

comparativa
Esta lista puede ser consultada en su página web oficial. En la siguiente imagen se señalan los enlaces más importantes de la web que pueden ser útiles.

CAPEC-details

1.  Se pueden realizar búsquedas especificas en casos de conocer el CAPEC-ID de patrón de ataque especifico utilizando el campo “Search by ID”.

2.  Se puede observar la clasificación de los patrones de ataque que ofrece este diccionario según los métodos que estos implementen visitando el enlace de ‘Methods of Attack View’. En este apartado se puede observar cómo CAPEC realiza la clasificación de estos ataques y ofrece una vista de directorio en los que se puede ir desplegando cada uno de ellos y observar los distintos patrones.

methods attack

3.  Se pueden proponer nuevos patrones de ataques para ser registrados en esta lista a través del enlace de ‘Submit Content’. Las instrucciones vienen detalladas en la web, sin embargo, hay que resaltar que todo este proceso se basa en rellenar el formulario que suministra el MITRE dentro de este apartado en los que se debe rellenar con los detalles correspondientes al ataque. Entre los campos del formulario más relevantes se encuentran:

    • Precondiciones necesarias para poder realizar el ataque.
    • Métodos del ataque (Analysis, Brute Force, Flooding, Injection, Spoofing, etc).
    • Conocimientos o habilidades necesarias para poder llevar a cabo este ataque.
    • Posibles soluciones o mitigaciones.
    • Debilidades asociadas (CWE-IDs).
    • Referencias.

4.  Se puede consultar toda la documentación pública relacionada a esta iniciativa en el enlace “Documents”.

5.  En el enlace ‘Search the Site’ pueden realizarse búsquedas específicas de patrones de ataques utilizando palabras clave. Esto es muy útil si no se conoce el CAPEC-ID del patrón pero se tiene una idea del nombre o las palabras que pueden estar relacionadas con él.

6.  Y por último, los enlaces ‘Vulnerabilities (CVE)’ y ‘Software Weakness Types (CWE)’ que conectan esta lista con las dos antes explicadas para poder consultarlas en caso de ser necesario.

Como se mencionó anteriormente, la información que ofrece esta lista busca el satisface los distintos sectores en el mundo del software, y para ellos es necesario tener toda la información lo más detallada y clasificada posible. Es por ello que esta lista clasifica de la siguiente manera cada uno de los patrones registrados.

CAPEC-details2
En la captura anterior podemos ver un ejemplo de la clasificación de la información relacionada a este patrón de ataque. Al igual que las otras listas, existirán algunos ataques que contemplen distintas secciones de clasificación, dependiendo de la complejidad y el ámbito del ataque. Además, también depende de la información proporcionada en la fase de propuesta, del estudio que se realiza sobre ella antes de la publicación y de las actualizaciones recibidas de colaboradores que compartan información adicional de ellas, por lo tanto, la clasificación de la información dependerá directamente de la información asociada o suministrada para este patrón de ataque. Sin embargo, existen algunos campos que siempre estarán presente, como por ejemplo:

    • Descripción completa del patrón de ataque, incluyendo sus etapas y los pasos realizados en cada una de ellas.
    • Condiciones previas que deben cumplirse para que el ataque sea efectivo.
    • Probabilidad de que este ataque sea efectivo.
    • Métodos utilizados en el ataque.
    • Ejemplos y/o demostraciones.
    • Nivel de habilidades o conocimientos requeridos para llevar a cabo este tipo de ataque.
    • Recursos necesarios.
    • Soluciones propuestas.
    • Histórico de publicación y actualización del CAPEC-ID.
    • Referencias a publicaciones con más información o detalles del ataque.

Otros campos que también son importantes y que se pueden encontrar en la gran mayoría de estos patrones son:

    • Consecuencias del ataque.
    • Vector de ataque.
    • Payload.
    • Efecto que causaría la activación del payload.
    • Debilidades asociadas (CWE-IDs)
    • Ataques relacionados que se encuentran registrados en CAPEC.
    • Principios de seguridad relacionados.
    • Propósito del ataque (Reconocimiento, Explotación, etc.)
    • Impacto en cuanto a confidencialidad, integridad y disponibilidad se refiere.
    • Contexto Técnico al que afecta (Arquitectura, frameworks, plataformas, lenguajes, etc).

En nuestras próximas entradas seguiremos conociendo algunas de las siglas más conocidas en el mundo de la seguridad y que podrían pareceros interesante.

Umberto – umberto@highsec.es – @lTikkOl

  1. Riddel
    Riddel06-10-2014

    Muy interesante, gracias!!

Leave a Reply

*

    No Twitter Messages