Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

En la mayor parte de organizaciones, la seguridad física y la seguridad lógica se ubican en departamentos completamente diferenciados, en muchos casos incluso reportando a dos o más áreas independientes de la organización; no obstante, son cada vez más las opiniones de profesionales de la seguridad que apuntan a los aspectos comunes de ambos grupos, por encima de las diferencias individuales, y plantean la seguridad como un aspecto global de reducción del riesgo en la organización, presentando la tendencia a unificar ambos grupos bajo la gestión de un mismo Director de Seguridad (CSO, Chief Security Officer).

El concepto de convergencia, aunque data de 1997, recibió su mayor impulso tras los atentandos del 11S en Nueva York; este punto de inflexión, que supuso un cambio radical en la visión de la seguridad que hasta ese momento existía, puso de manifiesto que la seguridad es un concepto global, y que los atacantes —cuyo objetivo, no lo olvidemos, es dañar a sus víctimas— simplemente elegirán el camino más fácil para hacerlo: cualquiera de las “patas” de la seguridad (física, lógica, legal, semántica…). Desde entonces, planteamos la seguridad como un todo a la organización, desdibujando la separación entre los aspectos físicos, lógicos u organizativos: hablamos ya de la convergencia de la seguridad.

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

Virus, Troyanos, Spyware, Gusanos,… o como se les conoce generalmente: Malware o “bichos”, usando un término más coloquial. Todos los usuarios de sistemas informáticos, por suerte o por desgracia, conocemos la existencia de estos tipos de software y prácticamente la totalidad de nosotros hemos sufrido alguna vez una infección, con la pantalla de nuestro viejo 486 llena de “barrotes” o nuestro escritorio lleno de enlaces a página web con contenido para adultos.

Tal y como sucede con los virus biológicos, los virus (o malware en general) han ido mutando, cambiando, adaptándose a los tiempos y a su entorno, buscando nuevas formas de propagarse desde los sectores de arranque de los antiguos diskettes a la explotación de vulnerabilidades de servicios de red de los sistemas operativos de usuario más modernos. Hoy en día todo se mueve mucho más rápido, sobretodo en el mundo de las nuevas tecnologías, y eso incluye evidentemente al malware. En los años 70, cuando la interconexión de sistemas informáticos era practicamente inexistente, la velocidad de propagación del malware era la que tardaba un diskette infectado en pasar de unas manos a otras. En la actualidad, la red de redes nos ofrece grandes posibilidades de acceso a la información en unos pocos segundos, pero también abre la puerta a la posibilidad de rápidas infecciones y propagaciones.

Como saben, recientemente ha sido noticia la intrusión en un ISP español de un hacker que presuntamente ha capturado 120,000 cuentas de usuario [ElPais.com] [Barrapunto] [Kriptópolis]. Teniendo en cuenta que el problema por supuesto es preocupante para los propios clientes de esta compañía, pienso que es además de especial interés ver cuál ha sido el modelo de negocio/motivación de estos hackers en la empresa de hosting, ya que según diversos comentarios, parece que la intrusión fue utilizada para modificar los contenidos de las páginas albergadas por los clientes en el ISP, redirigiendo éstas hacia páginas con troyanos y otro tipo de malware.

Aunque entiendo la preocupación de cualquier cliente al ver que sus datos de carácter personal circulan “por ahí”, y con el temor adicional de que puedan haber datos bancarios, creo que es de destacar el uso que al parecer se ha hecho de la intrusión: redirigir usuarios —visitantes— de páginas web de confianza hacia páginas web con troyanos, con lo que podemos afirmar que en última instancia los verdaderos sufridores —destinatarios y víctimas— del ataque no es el ISP ni sus clientes, sino los clientes de estos clientes. Algunas preguntas surgen a raíz de esto:

Hace poco tiempo, identificando el dominio protegible para iniciar una auditoría de seguridad, un colega, Ingeniero Industrial, me mostraba orgulloso un típico panel de control de los sistemas de seguridad de un lugar de pública concurrencia, y orgulloso proclamaba y explicaba la impresionante funcionalidad del sistema que estaba acabando de montar. Mi colega tenía razón, aquello era un sistema de control industrial impresionante y realmente avanzado. Hacía el final de su exposición, sus explicaciones en cuanto a la forma en la que se estaba montando empezaron a preocuparme. Me quedé pensativo cuando acabó afirmando que todo lo que estábamos viendo era accesible desde un navegador e incluso, la semana siguiente, desde “China”, podría acceder a modificar la parametrización del sistema, ver el estado de los detectores de humo, de las alarmas contra incendios o comprobar la temperatura de los fancoils. O, añadí yo convenientemente, para disparar la alarma de evacuación por incendio en medio un acto público con el centro abarrotado de gente.

Y es que la misma vía de acceso podría ser utilizada tanto para el acceso de un técnico en labores de mantenimiento como para el de un saboteador haciendo uso de alguna vulnerabilidad conocida con un exploit publicado. ¿Se pueden ustedes imaginar lo que supondría una intrusión en un sistema de este tipo por parte de un sujeto con dudosas intenciones durante un acto público?, ¿qué significaría la activación del sistema de alarma contra incendios en un lugar como este?, ¿pánico? …

En estos últimos tiempos están muy de moda los “0day exploits”, esto es, exploits existentes y en uso, para los cuales aun no ha sido publicada la vulnerabilidad y por supuesto no existe parche al respecto.

Un administrador de sistemas puede pensar que las vulnerabilidades de seguridad siguen el siguiente patrón:

El pasado 8 de mayo, Microsoft publicó su boletín de seguridad para el mes de Mayo. Las actualizaciones, que pasamos a referir a continuación, corrigen problemas de ejecución de código remoto.

Tres de las actualizaciones publicadas solucionan vulnerabilidades de la suite Office MS07-025 (934873) y de dos de sus aplicaciones, en concreto Word MS07-024 (934232) y Excel MS07-023 (934233). El software afectado es el de la versión 2000 y superior.

Con una cita que generalmente se le atribuye, Gene Spafford viene al rescate:

Ni que decir tiene que en la práctica, y perdónenme la redundancia, se suele ser un poco más práctico…