An evening with Vicente (II)

5 de noviembre de 2013 Por

Llevamos tres días jugando al ratón y al gato con nuestro amigo Vicente y empezamos a cansarnos del tema, pero no nos queda otra que seguir…

DIA 4 (y sucesivos)
A la misma hora de todos los días (aproximada, claro) estamos ya mirando la consola de eventos y los móviles, esperando a Vicente una noche más… Pero hoy Vicente ha desaparecido, tras tres días jugando con nosotros; durante unas jornadas estamos especialmente alerta a cualquier cosa que se salga de la normalidad en ACME, pero nada. Como si se lo hubiera tragado la tierra; los ataques de Acunetix no obtuvieron ningún resultado significativo, no hay más actividad anómala en el entorno -al menos similar a la generada por nuestro amigo- y parece haberse perdido todo el interés de Vicentín en ACME… ¿Que habrá pasado? ¿Habrá encontrado un ACME2? Ni idea por el momento, pero el caso es que ya no molesta, al menos a primera vista… Unos días después revisamos otra vez el entorno de ACME y no encontramos nada relevante, por lo que desactivamos el GIR y olvidamos el tema. ¿Fin de la historia? No :)

FIN DE LA HISTORIA
Aproximadamente un mes después de la fiesta nos llaman del CNP; la denuncia que en su día hicimos sigue su curso y el Oficial que está llevando el tema quería aclarar algunas dudas… Sinceramente, ni me acordaba del tema, pero es de agradecer el interés mostrado en este caso por el CNP y el excelente trabajo que hicieron. Resuelvo las dudas y a otra cosa…

Algo menos de tres meses después del incidente, el Oficial vuelve a llamarme: lo tienen. Han cogido al tipo. OPERATOR les ha dado la información, previa orden judicial, de quién estaba detrás de todas las direcciones identificadas y -oh, sorpresa- era la misma persona: Vicentín; han mandado a dos policías a su casa, lo han trincado y el chaval ha cantado hasta el último detalle… La verdad, un pobre diablo al que han pillado; como me dijo hace años un amigo de la Guardia Civil, pillamos a los más tontos, y de los más tontos a los que llevan un mes en esto… En fin, sin comentarios sobre el pardillo, ya se apañará; da incluso algo de pena, pero nos hizo perder muchas horas y sobre todo nos hizo pasar algún rato de preocupación. No detallaremos cómo fue el tema judicial para no generar morbo que no aporta nada, pero el caso es que al chaval lo pillaron con todo el equipo :)

LECCIONES APRENDIDAS
Como todo incidente, tenemos que aprender algo de la situación que vivimos en ACME; sin duda, para nosotros, lo más grave es la sensación de indefensión que sufrimos, tanto el cliente como nosotros mismos… Un atacante está analizando la seguridad de la infraestructura de un cliente -o la tuya propia- y lo más que puedes hacer oficialmente es bloquear la IP. Cojonudo, perdonen la expresión. Como si un tío está intentando forzar la puerta de tu casa y lo más que puedes hacer es cerrarla bien… Luego se nos llena la boca hablando de convergencia, de 112 digital y de cosas así. Mentira. Si alguien intenta entrar físicamente en mi casa llamo al 062 y tengo a una pareja de la Guardia Civil en la puerta; si intenta entrar virtualmente, no tengo a nadie a quien llamar (claro, puedo llamar también al 062 y esperar); menos mal que Vicentín se cansó en un momento determinado de atacar a ACME, porque en caso contrario podríamos haber estado meses bloqueando direcciones IP en el firewall. Surrealista, ¿verdad? Hasta que no tengamos una especie de “062” al que llamar en situaciones así, mal vamos, porque no podemos hacer otra cosa más que cortar tráficos… Aunque me han comentado que puedes comprar, pagando en efectivo sin dejar rastro, un VPS ruso desde el que jugar con Vicentín muy alegremente (y encima el ancho de banda del proveedor es bastante barato)… Ojo, que me lo han comentado, que nosotros eso no lo hacemos porque es ilegal, por supuesto. Seguiremos poniendo la otra mejilla para que nos den más abajo y con el pie…

Como elemento positivo, hay que reconocer que el CNP hizo un trabajo excelente, y eso es siempre de agradecer, en nuestro caso especialmente al Oficial y, por extensión, al Inspector Jefe del Grupo; nos atendieron de maravilla en todo momento, el intercambio de información fue fluido y ágil y los resultados obtenidos fueron perfectos, con el atacante delante de un juez. El aspecto judicial ante situaciones como la explicada, y las situaciones surrealistas en los juzgados, darían para más de un post, pero ese ya es otro tema que excede la gestión del incidente con Vicentín…

La gestión de incidentes no es, por suerte o desgracia, una ciencia exacta. No sabemos si otros habrían hecho lo mismo que nosotros, mejor o peor, en esta historia inventada ¿Qué opináis? ¿Se os ocurre alguna alternativa legal más allá de bloquear y denunciar? ¿Denunciaríais? ¿Atacaríais -ojo, sin saber realmente si la IP es del atacante o de su vecino-? Cualquier idea es bienvenida, que el objetivo es, siempre, ir mejorando…

An evening with Vicente (I)

22 de octubre de 2013 Por

Sin duda todos nuestros lectores, sobre todo los que ya tengan una edad, habrán leído el artículo An evening with Berferd, donde Bill Cheswick narra las actividades de un intruso (Berferd) en 1991 y la gestión del incidente realizada desde AT&T, incluyendo una paciente vigilancia de todo lo que hacía Berferd. Obviamente, nosotros somos más de andar por casa y no tenemos la paciencia necesaria para jugar con un atacante durante días o meses, pero también nos pegamos con algún que otro intruso (seguramente no será Berferd, le vamos a llamar Vicente) que por las noches trata de colarse en las máquinas de un cliente al que, por motivos lógicos de confidencialidad, denominaremos ACME :) Ahí va el resumen, con nuestra visión, de la respuesta al incidente… Por supuesto, toda esta historia está basada en hechos ficticios, por lo que cualquier parecido con la realidad es pura coincidencia…

DÍA 1

A las 21:40 se recibe una alerta en nuestro sistema: un amigo, con una dirección IP de un operador al que vamos a llamar OPERATOR genera una alarma crítica en nuestro SOC: un ataque a ACME mediante Acunetix, que se ha bloqueado en el IPS del cliente y teóricamente no ha ido a más, pero que debe considerarse severo. En ese momento se revisa la actividad adicional de esa IP en ACME y el resto de clientes y vemos que ha generado alguna alerta menos crítica (en ACME, parece que este es su único objetivo) y que no requería acción inmediata, pero vamos, que el tío está metiendo caña… se bloquea de inmediato todo el tráfico entrante desde esa dirección y en paralelo comprobamos que la IP es de una línea ADSL, que se geolocaliza en la misma ciudad que ACME, y que detrás de esa IP hay un router Cisco con el telnet abierto (muy curioso, ¿no? ;)

En fin, un ataque que no ha ido a más, bloqueado ya en la infraestructura y que al día siguiente requerirá los formalismos correspondientes (correo a OPERATOR, denuncia de los hechos, etc.). A otra cosa. Pero no; dos minutos después del bloqueo de la IP, aparece un ataque similar: alguien que lanza otra vez Acunetix contra ACME y genera otra alerta crítica… De nuevo iteramos el proceso: bloqueo del tráfico entrante y obtención de información… Ummm, una línea ADSL de OPERATOR con un router Cisco delante, el puerto 23 abierto y (vaya, vaya) geolocalizada donde ACME… ¿Casualidad? Seguro que no: parece que tenemos un amigo interesado en ACME, al que como hemos dicho llamaremos Vicente (Vicentín más tarde, que al final llegamos a coger confianza con él ;)

En fin, nosotros repetimos la respuesta y Vicente el ataque. Esto se pone interesante… Bloqueo de nuevo y otra vez cambio de IP de Vicente: de nuevo un ADSL de OPERATOR geolocalizada en la misma ciudad que ACME, aparentemente con un router Cisco delante y el telnet abierto. Hasta cuatro veces repetimos el proceso y hasta cuatro veces Vicentín hace lo propio: se cambia de IP para seguir “zumbándole” a ACME. Desde luego mañana a denunciar, pero esto no tiene buena pinta… Al final, parece que Vicentín se ha cansado o simplemente que se le han acabado las direcciones dinámicas desde las que atacar… Mañana será otro día para todos, pero esta noche habrá que estar alerta…

DÍA 2

Día tranquilo; Vicentín parece que se ha olvidado de ACME y no da señales de vida… Vemos que no hay nada significativo fuera de las alertas ya identificadas ayer, recopilamos todos los logs, escribimos la denuncia, y a última hora nos vamos a Comisaría a presentarla. Tras un rato de papeleos tenemos ya todo firmado y estamos saliendo… es justo entonces cuando Vicente parece que nos esté viendo: vuelve a la carga contra ACME. Nos llegan las alertas por SMS y viendo sus actividades, confirmamos que sigue el mismo modus operandi que ayer: Acunetix a lo bruto, sin ningún tipo de discreción… Nuestra gente sigue el mismo procedimiento: bloquear cada IP y recopilar evidencias, pero Vicente cambia de direccionamiento como quien cambia de zapatos. Además todas las direcciones son ADSL de OPERATOR geolocalizadas en la misma zona, pero lamentablemente de rangos completamente diferentes, por lo que no lo tenemos tan fácil como bloquear unas clases C para quitarnos a nuestro amigo de encima…

La situación nos empieza a resultar especialmente incómoda, sobre todo por el sentimiento de indefensión. Tenemos a un tipo intentando colarse en ACME pero lo más que podemos hacer oficialmente es bloquearle la IP. Hablamos con soporte legal para que nos den más alternativas y lo único que nos pueden decir es que acudamos a Juzgado de Guardia para acelerar unas horas los trámites de la denuncia (ojo, una aceleración de “unas horas” para unos trámites que pueden durar semanas). Algunos amigos de FFCCSE de forma extraoficial nos confirman lo que ya sospechábamos: que aparte de denunciar y poner la otra mejilla, no se puede hacer nada, y encima alguien nos comenta, también extraoficialmente, que la gran OPERATOR atiende los requerimientos judiciales cuando ella considera, porque claro, para eso es OPERATOR, más allá del bien y del mal. Nos suena, ¿verdad? En cualquier caso, el segundo día hemos vuelto a cortar a Vicente, o se ha quedado otra vez sin IP disponibles… o simplemente se ha cansado de ACME y ahora está con otro objetivo…

DIA 3

Ampliamos denuncia en Juzgado de Guardia aportando las nuevas evidencias, sobre todo las direcciones IP que recopilamos durante la noche de ayer. Durante el día seguimos dándole vueltas a la situación y a la cara de imbéciles que se nos queda sin poder hacer nada más que filtrar una dirección IP tras otra. ¿Cambiará Vicentín de IP automáticamente? ¿Lo hará para seguir atacando a ACME, o ésta será una de múltiples tareas? ¿Utilizará sistemas intermedios o tira directamente desde la IP de su casa? ¿Por qué siempre a la misma hora? ¿Es cuando llega a casa o cuando se queda solo en la oficina? ¿Nos estará distrayendo con este ataque tonto mientras utiliza otro vector de entrada a ACME? Para descartar esto último y con el modo paranoia ON, se moviliza un equipo auxiliar al GIR que tiene por objeto revisar todos y cada uno de los sistemas de ACME, empezando por los que están en DMZ y siguiendo por los internos. Tras varias horas de trabajo, ni rastro: no hay nada anormal más allá de lo que hemos visto. Vicente sólo dispara a un objetivo, lo hace sin esconderse y aunque le filtremos, él cambia de IP y en segundos o minutos sigue su trabajo…

Por supuesto, a su hora habitual, Vicente vuelve a la carga por tercer día consecutivo. Seguimos metiendo las IP de la línea ADSL en nuestra lista negra y mirando cómo cambia de dirección cada poco tiempo, hasta cuatro o cinco veces. No podemos hacer más, nos dicen. Situación estúpida donde las haya, pero es todo a lo que podemos aspirar, aunque ya empiezan a surgir en el equipo malas ideas (que como somos buena gente, no llegamos a ejecutar -aunque no por falta de ganas-). Y también por tercer día consecutivo, tras varios cambios de direccionamiento, Vicentín se cansa y deja de atacar… Mañana más.

El tio Sam

13 de septiembre de 2013 Por

Snowden, PRISM, NSA… palabras que en los últimos meses se escuchan mucho, muchísimo, en los medios de comunicación. Y es que no hay nada como unir tecnología, espionaje -con el prefijo ciber, of course– y unas cuantas siglas para generar una noticia de alcance… Me he mordido la lengua todo este tiempo, no quería escribir nada sobre esto, pero al final no he podido resistirlo: es lo que tienen las vacaciones, tanto tiempo libre para leer ciertas cosas que al final uno se pica ;)

En principio, no acabo de ver dónde está la noticia… Que Estados Unidos, a través de la NSA y de otras muchas agencias de inteligencia, espía todo lo que puede, es tan noticia como que los perros ladran. Ya, ¿y? Jamás he comprendido la aparente sorpresa de todo el mundo cuando sale a la luz el tema del espionaje de Estados Unidos. ¿De qué nos extrañamos? ¿De que un país con una gran capacidad tecnológica la use en beneficio propio? Vamos, hombre, que aquí nadie es una monjita de la caridad… Lo malo es que los españoles ni tenemos esa capacidad ni creo que la tengamos jamás; vamos, que como no esnifemos Tuenti, poco podemos hacer… Y eso, permítanme la expresión, es una soberana put^H^H^H faena; o, mejor dicho, son dos soberanas faenas. La primera porque nos hace depender de un tercero para adquirir información que posteriormente se transforme en inteligencia (sí, ese tercero es Estados Unidos… ¿quién si no, Andorra?) que hoy es nuestro amigo pero mañana puede serlo menos o simplemente puede tener intereses que no coinciden con los nuestros… La segunda faena es que nos hace completamente vulnerables: dicho de otra forma, tenemos que asumir que Estados Unidos nos espía cuando y como quiere, y por supuesto eso les proporciona sobre nosotros una ventaja envidiable en cualquier campo. ¿Que tenemos dudas si apoyar a los USA en una intervención militar en Chiquitistán? Antes de hablar con nosotros ellos saben lo que tenemos a favor y en contra de la intervención, y pueden adaptar su discurso a lo que queremos oir, por supuesto para apoyarles incondicionalmente en lo que sea… ¿Es esto una faena o no lo es? Y lo peor: si no estamos de acuerdo podemos desconectar cualquier cosa que tenga enchufe e irnos a plantar patatas, por supuesto dejando de usar productos Microsoft, no buscando nada en Google o similares, no enviando información a través de routers Cisco y, en definitiva, alejándonos de cualquier cosa que huela a americana. O mejor, sustituyéndola por Huawei y similares, que también puede ser una alternativa… así diversificamos nuestros riesgos y damos juego a otros países que, sin duda, respetarán nuestra privacidad como personas y nuestros intereses como nación… ¿verdad? :)

El problema, creo, no es que Estados Unidos nos espíe para defender sus intereses: podemos estar de acuerdo o no, y los abogados, periodistas, políticos y demás pueden hablar durante horas de ética, derecho internacional, privacidad y todo eso. Pero, con los pies en el suelo, es lo que hace cualquier país que puede hacerlo. Tan simple como eso, y nosotros, como decía antes, porque no podemos, porque si no, espero que lo hiciéramos… El problema de verdad es un uso particular de la información obtenida. Que un Servicio adquiera información para beneficiar a su país en general (entendido como gobierno, empresas, ciudadanos…) es comprensible, aunque nos perjudique, pero que lo haga para defender intereses de una empresa concreta, para beneficiar a un particular o incluso para proteger a un partido político determinado (ha habido casos), es decir, a actores que no pueden identificarse con un país, no debería tener justificación, IMHO. ¿Lo ha hecho Estados Unidos? No lo sé… ¿Alguien tiene más información al respecto? Si ha usado la información para este tipo de cosas, me parece mal; si la ha usado para beneficiarse como país frente a otros estados, ¿de qué nos quejamos? ¿De que ellos pueden y nosotros no? A ver, que somos mayorcitos y sabemos que la trinchera es mucho más dura que la LOPD, la privacy, la IT Governance, el compliance y todo eso… ¿Qué creemos, que Google nos permite usar GMail *gratis* por amor al arte, regalándonos gigas y gigas de espacio para nuestro correo, gigas que como se dice por ahí solo pueden almacenarse en una SAN, en una NAS o en una NSA :)? Venga, por favor…

Ahora la pregunta del millón: ¿hay luz al final del túnel? Creo que sí, aunque sea un simple LED. Asumamos que Estados Unidos nos espía en beneficio propio… ¿Qué podemos hacer? Dos cosas: intentar que lo hagan lo menos posible -o que lo tengan un poco más complicado- e intentar que sólo nos espíen ellos. Lo que he defendido más de una vez en este blog: usemos tecnología y servicios españoles siempre que podamos -y esforcémonos para poder, que lo cómodo es, muchas veces, lo contrario-; usémoslos, sobre todo, si lo que estamos manejando es información clasificada, sensible o como le queramos llamar. Doy por hecho que servicios nacionales y de calidad siempre podremos contratar, en cualquier ámbito… mi única duda son los productos en casos muy concretos; en estos casos, si no podemos usar tecnología nacional, usemos tecnologías abiertas. Y si tampoco podemos y no queda más remedio que usar sistemas extranjeros, hagámoslo de países que sean estratégicamente cercanos a nosotros o tengan, al menos a día de hoy, unos intereses comunes con los españoles, aunque sea de forma parcial. Dicho de otra forma, prefiero usar Linksys antes que Huawei o Twitter antes que Weibo: ya que me van a espiar, que lo hagan los de siempre ;)

Regulación de seguridad

22 de marzo de 2013 Por

Estamos cansados ya de hablar del término convergencia cuando nos referimos a la unificación, como un todo, de los diferentes ámbitos de la seguridad: física, lógica, etc. Por eso, en este post queremos hablar de divergencia, haciendo referencia a las cosas que separan los ámbitos particulares de seguridad, en especial los de seguridad lógica y seguridad física. Y una de las principales diferencias entre la seguridad física y la seguridad lógica, bajo mi punto de vista, es la regulación que tiene la primera, para lo bueno y para lo malo, y de la que adolece la segunda, de nuevo para lo bueno y para lo malo.

El sector de la seguridad privada está completamente regulado (perdón, muy regulado, no sé si completamente o casi…); los perfiles de seguridad y sus obligaciones y atribuciones se identifican claramente, así como los requisitos para acceder a dichos perfiles y poder ejercer las tareas propias de cada uno de ellos: Vigilante de Seguridad, Director de Seguridad, Jefe de Seguridad… Por contra, cuando hablamos de seguridad lógica, no existe ningún tipo de regulación: cualquiera puede hacer una auditoría, configurar un cortafuegos o gestionar un incidente, por poner unos ejemplos. Esto no es per se ni bueno ni malo ni todo lo contrario, pero introduce una condición curiosa y es el criterio particular y subjetivo que en cada caso aplicamos para decir si algo está bien o mal o para decidir si una persona o una empresa está capacitada para realizar un trabajo determinado.

Podemos discutir (y de hecho en este blog ya lo hemos hecho en más de una ocasión) de los perfiles existentes en la LSP, sus requisitos de acceso, sus atribuciones, su formación y mil cosas más; pero como hemos dicho, están perfectamente definidos, con todas las mejoras que podamos introducir sobre ellos. Podemos hablar largo y tendido de la formación, escasa en muchos casos, para obtener el TIP de Vigilante, Jefe o Director de Seguridad, sobre todo de las deficiencias que presenta, pero no podemos hablar de la formación, habilitación o lo que sea para gestionar un incidente de seguridad lógica (ojo, hablo de formación reglada, no de asociaciones, academias, certificaciones o demás). Y no podemos porque, obviamente, no existe: en ningún sitio están recogidos de forma oficial los contenidos mínimos para obtener la “habilitación” de auditor de seguridad lógica, incident handler o “director de seguridad de la información”.

Ojo, no sólo hablamos de regulación “legislativa”, sino también de normas; en seguridad física existen normas UNE o ISO para casi todo: armeros, cajas fuertes, CRA… y además muchas de ellas son de obligado cumplimiento incluso por Ley. Por contra, en seguridad de la información tenemos algunas normas puntuales, ninguna de ellas de obligado cumplimiento (en términos generales y hablando de normas UNE/ISO) y que en la mayor parte de casos no dan más que pinceladas de lo que debería ser, no de lo que debe ser: dicho de otra forma, una norma de aplicación en seguridad física marca casi siempre al detalle, por ejemplo el nivel de resistencia de una caja fuerte para que cumpla con el estándar hasta un grado determinado, mientras que la normativa de seguridad de la información es más del tipo “debemos proteger las redes”. Ya, ¿cómo? :)

Ahora la pregunta del millón: ¿sería positivo que el sector de la seguridad de la información o de la seguridad tecnológica estuviera tan regulado como el de la seguridad privada? Imagino que habrá opiniones para todos los gustos, y que esa regulación traería cosas buenas y malas. Creo -opinión particular para discutir- que una cosa negativa de la regulación excesiva es que deja poco margen a la imaginación o, incluso, a la mejora (esto se hace así porque lo dice una Ley y de ahí no te puedes salir) y eso, a la larga, convertiría esta seguridad en algo bastante estático, todo lo contrario a lo que debe ser la seguridad y más la que tiene una componente tecnológica muy fuerte. Por contra, con la regulación del sector se evitaría cierto intrusismo, al menos a priori: para abordar un proyecto se deberían cumplir unos requisitos determinados, y el que no los cumpla “no juega” (luego, a partir de ahí, ya veríamos cómo los cumple cada uno, qué requisitos son, si son mejores o peores, etc.). No cualquiera que pase por la calle podría hacer una auditoría, por poner un ejemplo, igual que no cualquiera puede montarse una CRA: hay que cumplir con una legislación estricta para empezar a hablar. Ah, y no entro al tema de las atribuciones profesionales de cada uno, que esa es otra guerra distinta (aunque también da juego, ya hablaremos ya ;).

En fin, que opiniones hay para todos los gustos… por cierto, ¿cuál es la vuestra? Seguiremos hablando de otros aspectos de la “divergencia” entre seguridad física y lógica o, en general, entre “seguridades”. Eso sí, sin olvidar que todos, se supone, vamos en el mismo barco…¿verdad?

Colaboración

8 de marzo de 2013 Por

El martes pasado estuvimos en unas jornadas organizadas por la Fundación Borredá en las que se presentó la capacidad conjunta del CNPIC e INTECO para el establecimiento de un CERT orientado a la Protección de Infraestructuras Críticas; en línea con las hipotéticas líneas de trabajo de esa futura Estrategia Española de Ciberseguridad, se potencia la capacidad de respuesta a incidentes y la Protección de Infraestructuras Críticas en una única iniciativa en la que INTECO y el CNPIC unen sus esfuerzos para mejorar las capacidades de detección, prevención y respuesta a incidentes en el ámbito de la PIC. Y de nuevo en este evento surgieron dos conceptos mágicos que, como el de convergencia del que hablamos en su momento, hasta la fecha están only available for Powerpoint: intercambio de información y colaboración.

Hace poco leía en el blog de @lostinsecurity una entrada bastante clara -y dura, pero real- en la que se referenciaban ambos términos, especialmente significativa después de ver a David Barroso en una mesa redonda en el CNIS de este año, con una frase en negrita con la que lamentablemente no puedo estar más de acuerdo: no existe la colaboración e intercambio de información que debería existir. Como con la convergencia, se nos llena la boca de colaboración y de information sharing… pero como suele pasar, el PPT es muy sufrido y la realidad, muy cruel… Colaboramos como amigos (conozco a fulanito y me hace el favor de darme la info que necesito porque mañana él me pide algo y yo le hago el favor, y luego nos tomamos unas cervezas) pero sin formalizar la relación entre organizaciones, y eso no puede ser; ojo, no es que esté mal, pero por sí mismo, no puede ser por los mil motivos que todos sabemos. Ya lo decía en su post @lostinsecurity: Dejemos el PowerPoint y el Word. Es hora de empezar a hacer algo útil.

Ya en 2007 Jeffry Brady, del National Joint Terrorism Task Force identificaba en Barriers to information sharing los problemas de los que hoy hablamos, cuatro tipos de obstáculos que es necesario afrontar para una compartición efectiva de información; a saber: tecnológicos (como la incompatibilidad entre sistemas de información diferentes), humanos (el más importante, la habitual resistencia al cambio), organizativos (el peor, esa cultura de muchas organizaciones de no compartir datos) y sistémicos (¿leyes?). Han pasado exactamente seis años y los problemas, a pesar de que las soluciones teóricas son muy conocidas, básicamente son los mismos; en opinión de muchos, entre los que personalmente me incluyo, “sólo” tenemos que poner dos cosas sobre la mesa para que estas palabras dejen de ser una utopía y pasen a ser una realidad (y si es efectiva, mejor que mejor): la primera, confianza y la segunda, bidireccionalidad. Tengo que confiar en los que van a recibir -anonimizados o no- información sobre mis incidentes, en muchas ocasiones sensibles; si no confío en ellos, lo que les envíe será poco o nada relevante salvo que un tercero con poder (¿por qué no?) me obligue: y aún así en este caso ya me buscaría la vida para cumplir la obligación dando la menor información posible… y si doy información útil, también quiero recibirla. No es algo nuevo que hayamos descubierto ahora; ya se decía hace años: do ut des. Si sólo soy yo el que aporta a una relación, mal acabará… ¿verdad?

Bien, tenemos claros los problemas y las soluciones… ¿qué pasa entonces? Ni confiamos ni nos gusta dar información. Como hace años, exactamente igual… ¿Qué hacemos? No voy a dar aquí la disertación de siempre sobre establecimiento de relaciones de confianza, modelos de intercambio de información y blablabla… ¿Para qué, si ya la sabemos y no le hacemos caso? Es el mismo discurso que en 2006 o 2007 pero con una diferencia: mientras lo mantenemos hemos perdido seis añitos que seguro que alguien, en algún lugar del mundo, ha aprovechado. Y si seguimos haciendo lo mismo, obtendremos los mismos resultados… a ver si la iniciativa del CNPIC e INTECO rompe esta línea.

Completamente de acuerdo con lo que decía @lostinsecurity: dejemos el PPT y las palabras bonitas y pongámonos manos a la obra. Señores de las Administraciones Públicas: lideren estas iniciativas; desde la empresa privada NO PODEMOS aunque queramos. Potencien el intercambio de información y la colaboración. Oblíguenme si hace falta, pero mejor convénzanme de que es lo mejor para todos (a mí particularmente no, ya estoy convencido ;). Compartamos información, colaboremos… y en especial en la protección de infraestructuras críticas, que tanta falta nos hace. Como decía, confiemos en que la iniciativa conjunta de INTECO y el CNPIC de la que hablábamos al principio tenga éxito y potencie la colaboración y el intercambio de información entre todos los actores involucrados en la PIC, llevándolas a la realidad y, más importante, convirtiéndolas en una salvaguarda de verdad. Nos hace falta como el comer. Ah, y ójala lo podamos hacer antes de que nos llevemos un susto, o algo peor.

El discurso universal

4 de marzo de 2013 Por

Hay gente que tiene la envidiable capacidad de hablar horas y horas durante un tema -del que quizás no tengan ni idea- diciendo cosas coherentes, con una forma perfecta pero sin ningún tipo de fondo: (algunos) políticos, (algunos) speakers, (algunos) periodistas… Voy a intentar imitarles con un post sobre seguridad, que para algo estamos en Security Art Work…

Hoy en día nadie discute que la seguridad es vital para lograr con éxito los objetivos de cualquier organización, y dicha seguridad debe aplicarse mediante una aproximación holística, que facilite una garantía global desde el punto de vista operativo, pero también desde los puntos de vista táctico y estratégico, por supuesto siempre alineada con el negocio, la legalidad y la ética de la propia organización y de las personas que la componen.

Sin duda los avances de nuestra sociedad ponen en jaque este modelo de seguridad al que hacemos referencia; tendencias como el cloud computing o el BYOD, normativas como la Ley de Protección de Infraestructuras Críticas o aspectos de privacidad o reputación digital, por citar sólo unos cuantos ejemplos, amenazan al modelo tradicional de seguridad global al que estamos acostumbrados.

Ante esta situación los profesionales individuales, las asociaciones, empresas, Administraciones Públicas, grupos de interés… en definitiva, cualquier actor involucrado actualmente en el ámbito de la seguridad debe reaccionar adecuadamente para adaptarse a la nueva situación sin degradar los niveles mínimos aceptables en su ecosistema profesional. Y para ello sólo cabe una posibilidad: el buen gobierno. Un gobierno alineado con la legalidad vigente, la ética personal y profesional y las buenas prácticas en materias de seguridad internacionalmente reconocidas, verificado de forma independiente y periódica mediante un esquema correcto de aditoría.

Sin este buen gobierno al que hacemos referencia jamás podremos hablar de una seguridad adecuada a los requisitos que nuestros clientes y usuarios, y en definitiva la sociedad en su conjunto, demandan; es necesario que todos trabajemos en la misma dirección, aunando esfuerzos, colaborando, intercambiando información y construyendo los cimientos de una seguridad empotrada en las bases de cualquier iniciativa: lo que se ha venido a denominar la cultura de seguridad. Solo así podremos hacer frente, de manera correcta y completa, a las nuevas situaciones o tendencias de las que hablábamos al principio; si no abordamos el problema mediante esta aproximación no tendremos más que iniciativas aisladas sin un marco de trabajo adecuado, que mejorarán la seguridad en ámbitos de trabajo concretos pero no en su conjunto.

Bien, ¿no? Todo lo expuesto parece coherente, correctamente expresado y seguramente alguno que otro, si no lo hubiera puesto en cursiva, lo habría considerado un post aceptable… es más, habría votado el “Me gusta” :) Hasta aquí todo normal…

Sustituyamos ahora la palabra seguridad con un término que nosotros podamos considerar cercano:

sed s/seguridad/tecnología/g

Ummm… tampoco tiene mala pinta, ¿no? Intentémoslo con otras palabras “cercanas”:

sed s/seguridad/informática/g
sed s/seguridad/defensa/g
sed s/seguridad/inteligencia/g

Sigue siendo bastante coherente, ¿no? A fin de cuentas, estamos diciendo tantas obviedades y generalidades que las mismas se podrían aplicar a cualquier cosa “cercana”… Sigamos entonces con cosas menos “cercanas”:

sed s/seguridad/justicia/g

¡Vaya! ¡Sigue sin quedar mal del todo! A ver…

sed s/seguridad/economía/g
sed s/seguridad/marca/g
sed s/seguridad/imagen/g
sed s/seguridad/"responsabilidad corporativa"/g
sed s/seguridad/...

Acabamos de generar un discurso universal; una serie de vaguedades e indefiniciones tan obvias, tan obvias, que todo el mundo está de acuerdo con ellas y se pueden aplicar a cualquier rama. Vamos, lo que muchas charlas de algunos congresillos esconden, ¿verdad? :) Y eso que es un discurso semi-hilado… Si lo intentamos con frases sueltas, la cosa es aún más sencilla (ojo, a veces hay que cambiar también el artículo):

“El paradigma del cloud computing introduce nuevos riesgos en la seguridad corporativa que es necesario tratar de forma adecuada.”

sed s/"cloud computing"/BYOD/g
sed s/"cloud computing"/movilidad/g
sed s/"cloud computing"/convergencia/g
sed s/"cloud computing"/...

“Si no gestionamos la seguridad no podremos introducir la mejora continua como factor de éxito.”

sed s/seguridad/finanzas/g
sed s/seguridad/empresa/g
sed s/seguridad/proceso/g
sed s/seguridad/...

Y si encima metemos anglicismos en nuestra presentación, aunque no vengan a cuento, ya el auditorio alucina:

“Un problema habitual en organizaciones grandes es el time to market de los nuevos servicios.”
“El desarrollo de non lethal weapons es un área de investigación crucial para la seguridad.”
“Como Chief Security Officer debes velar por la protección global del negocio, incluyendo aspectos de compliance y policy.”

And so on…

Malas ideas: la competencia

23 de enero de 2013 Por

De nuevo, esta historia es completamente ficticia y, como se suele decir, cualquier parecido con la realidad es pura coincidencia… Por supuesto, SAW no se hace responsable de nada ;)

Imaginemos que una empresa, competencia directa nuestra, busca un perfil como los que nosotros tenemos: sin ir más lejos, y sólo por poner un ejemplo, gente de seguridad; y sigamos imaginando que un compañero se ve tentado por una fabulosa oferta de esa empresa. Nada extraño, ¿no? A fin de cuentas, algo bastante habitual: si alguien de seguridad busca cambiar de empleo rara vez se va a ir a programar páginas web… seguirá en el mismo campo pero en otro sitio y ese otro sitio será, casi seguro, competencia del actual.

Pero pensemos ahora malas ideas… Por ejemplo en una persona que realmente no quiere cambiar de empresa, sino pasar un tiempo en la competencia. ¿Para qué? Muy sencillo: para tener acceso a su información importante (espionaje industrial le llaman). ¿Qué precios hora y qué perfiles maneja para un proyecto? ¿Qué líneas de negocio está intentando desarrollar y cómo y dónde lo está haciendo? Desde luego, a cualquiera de nosotros nos interesaría información como ésta u otra parecida… A fin de cuentas, nos posicionaría más que bien con respecto a esa competencia…

¿De cuánto tiempo estaríamos hablando para que nuestro topo llegara a su información objetivo en el nuevo destino? Depende mucho del topo, de su nuevo rol y de la organización objetivo. Si se trata de una empresa no vinculada al ámbito de la seguridad o no especialmente concienciada con este tema seguramente el acceso será muy rápido para una persona que haya conseguido el rol adecuado (por ejemplo, administrador de sistemas); no obstante, como hemos dicho, este tipo de empresas no serán las habituales, salvo excepciones, en las que nos interese meter un topo: nos gustarán más las empresas de seguridad o las que manejen información con grandes requisitos de protección (¿como las infraestructuras críticas?). De éstas se pueden sacar datos más sensibles, pero claro, a cambio de un mayor esfuerzo y de un plazo más largo (tampoco pasa nada, no solemos tener prisa… es más, seguro que hay topos que llevan toda la vida metidos en algún sitio ;). ¿Un mes? ¿Dos meses? ¿Seis? ¿Un añito? Dependeremos, ahora que tenemos claro el tipo de organización objetivo, de dos factores: de la habilidad del infiltrado y de su rol en la organización.

El tema del rol es determinante; los roles que seguramente muchos de nosotros solemos tener son siempre interesantes: técnicos con accesos privilegiados al entorno corporativo (servidores documentales, correo electrónico, elementos de comunicaciones…) o a información sensible de seguridad (logs, volcados de tráfico, entornos de monitorización…), gestores o consultores con acceso legítimo a datos sensibles (comerciales, tecnológicos, personales…) o incluso determinados perfiles con acceso a datos ya críticos para cualquier organización, como los nuevos negocios o mercados o las estrategias de aproximación a grandes clientes… En fin, en cualquier caso, información jugosa ;)

Y ya para acabar nos queda el tercer gran factor que determinará la eficacia (o la eficiencia) de esta mala idea: la habilidad del topo. Con independencia del puesto obtenido, tener acceso a la información que nos interesa será más fácil para alguien que tenemos ya dentro de la organización objetivo que para alguien que tenemos fuera. Por supuesto, si el rol que ha conseguido le da acceso directo a los datos que nos interesan la cosa será fácil a priori; si no disponemos de ese acceso nuestro trabajo se complicará y necesitaremos más paciencia: un poco de ingeniería social, algo de basureo, una oreja atenta en la máquina del café o un buen shoulder surfing ;) En cualquier caso, y en términos generales, nada que parezca muy complicado, ¿verdad?

Vale, ya tenemos la información… ¿Qué hacemos ahora con nuestro colaborador? Traerlo a casa de nuevo será contraproducente, sobre todo si lo hacemos de forma rápida y directa: la gente pensará mal (y con razón) de nosotros y eso, en un mundo como es el de la seguridad en el que trabajamos muchas veces con relaciones de confianza muy estrechas, no beneficia a nadie, ni a la persona ni a la empresa… Incluso haciéndolo indirectamente, es decir, dejando pasar un tiempo prudencial, saltando a otra organización y de ahí retornando a la nuestra es posible que quememos a la persona y que no podamos repetir un ataque de este tipo de nuevo con ella (es más, si somos tan malos que nos acostumbramos a este tipo de cosas acabaremos quemados, por lo que estas malas ideas hay que dosificarlas muy mucho). Así, parece obvio que recuperar a esta persona en nuestra organización será complicado; además, seguramente nos resultará más útil, mientras no se queme, en su nuevo destino (así nos podrá seguir pasando datos interesantes) o, por qué no, en otros destinos a los que acceda desde la nueva organización donde tenemos al topo. En este último caso será más difícil para el atacado detectarlo y asociarlo con nosotros, por lo que el trabajo será excelente y, seguramente, también lo será el resultado…

Poniéndonos ahora en el lado del atacado… ¿cómo podemos evitar que alguien con malas ideas nos haga justamente lo que nosotros estamos elucubrando en esta entrada? Con salvaguardas antes de contratar a una persona (como CV Screening, entrevistas…), durante la prestación de sus servicios (acuerdos de confidencialidad, controles de acceso físicos y lógicos, detección de robos de información, investigaciones…) y una vez finaliza la relación con la organización (monitorización, etc.). Vamos, nada nuevo, lo que dice cualquier norma de seguridad y cualquier cabeza… Sí, es fácil escribirlo en un post y difícil hacerlo… Efectivamente, de eso se trata :)

Por cierto, aprovechando esta entrada y que el Pisuerga pasa por Valladolid, os proponemos una nueva encuesta en el blog:

[poll id=”27″]

/join #espana

11 de enero de 2013 Por

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)

Malas ideas: CHANCHULLASA

10 de enero de 2013 Por

Nota: como siempre, Security Art Work no se hace responsable de nada, no intenten esto en sus casas y todos esos disclaimers que se suelen decir… Aquí evitaremos aquél de “cualquier parecido con la realidad es pura coincidencia”, porque esto, que de momento solo es una mala idea -y esperemos que no pase de ahí- es desde hace años una realidad en algunos países que todos conocemos…

Imaginemos que la crisis no cesa y las cosas no sólo no mejoran, sino que van a peor: paro, descontento, revueltas… E imaginemos que ante este escenario a muchos españolitos de a pie nos toca buscarnos la vida fuera de nuestro país, física o virtualmente… Sí, ya sé que en la realidad esto no puede suceder y demás, pero el caso es imaginar ;)

Y puestos a imaginar, imaginemos que un grupo de compañeros de nuestro sector decide montar una empresa de lo que mejor saben hacer: de seguridad. Pero ojo, ya cansados de las dificultades de hacer las cosas como toca, esta empresa trabajaría en el lado oscuro: parafraseando a Krahe, podríamos dedicarnos a temas legales, pero para qué vamos a hacerlo pudiendo dedicarnos a temas ilegales… Llamémosla CHANCHULLASA.

CHANCHULLASA sería una empresa de referencia, modelo a seguir por su gama de servicios sectoriales y su enfoque, plenamente convergente… Para empezar, tendríamos un departamento dedicado a la Inseguridad Física, que ejecutaría la parte de safety de nuestros servicios: inseguridad de las personas y patrimonial, incendios, accidentes… En fin, lo habitual. Otro departamento estrella sería el de Incumplimiento, dedicado a todas las tareas asociadas al incumplimiento normativo y legal: generación de falsos certificados ISO-lo-que-sea, LOPD a coste cero…

El departamento de Inseguridad ICT tendría obviamente mucho peso específico en CHANCHULLASA, ya que el presente y el futuro (y por tanto la supervivencia de la empresa) pasa de forma inevitable por todo lo relacionado con la inseguridad de las nuevas tecnologías; también tendría ese mismo peso el departamento de Fraude, focalizado tanto en el análisis y puesta en marcha de nuevas técnicas de engaño (sobre todo económico, con un Time to Market espectacular) como en el control interno de la organización, para evitar ovejas descarriadas en CHANCHULLASA que intenten volver al otro lado o, peor aún, engañarnos…

CHANCHULLASA, como buena empresa de seguridad, aunque desde el lado oscuro, valoraría muy mucho la continuidad de su negocio, por lo que tendríamos también nuestro departamento de Riesgos, encargado de todo lo relativo con la gestión del riesgo operativo, gestión de crisis e incidentes y, por supuesto, BCM. Y para acabar, un departamento que toda empresa de seguridad (o todo área de un Departamento de Seguridad) debería tener: el de formación, que en este caso llamaríamos de Desinformación, dedicado cómo no a tareas de desinformación (información negativa, confusión…) en el ámbito de la seguridad, especialmente hacia futuros “clientes” de CHANCHULLASA. Desde luego, su documento estrella sería uno que llamaríamos “Hacia una cultura de inseguridad”, donde detallaríamos las recomendaciones habituales: comparte claves, da todos los detalles posibles de tu vida en redes sociales, haz ostentación de tu dinero en cualquier momento y lugar… Vamos, que hay que labrarse el futuro de CHANCHULLASA y por tanto el nuestro…

Los departamentos anteriores trabajarían de forma conjunta para ofrecer diferentes líneas de negocio sectoriales, conformando así una estructura matricial -como ahora nos gusta organizarnos en las empresas- perfecta que estaría en disposición de prestar servicios de alto valor añadido en sectores clave para nosotros y nuestros clientes (clientes voluntarios o involuntarios, dicho sea de paso), como el aeroespacial (interceptación de satélites, robo de tecnología…), el bancario (phishing, skimming…), el industrial (alteración de contadores, control y destrucción de sistemas SCADA…) o el tecnológico (generación y mantenimiento de claves, robo y venta de 0-days…). Por supuesto, el producto estrella de CHANCHULLASA estaría muy claro: las APT, con unos precios muy asequibles y la posibilidad de configuraciones a medida (ya estamos pensando en un interfaz web que incluya pago online).

Hablando de esto último, de la venta de APT vía web, obviamente la actividad comercial de CHANCHULLASA estaría muy limitada; no podemos ir a congresos para hacer contactos, ni poner fácilmente esa web de la que hablábamos, con nuestros servicios y un correo de contacto… Bueno, qué narices, esto último sí que podemos hacerlo (y si no, fijaos en los de Gwapo). A fin de cuentas, ¿quién va a investigar un servidor dedicado, alquilado mediante un ingreso en efectivo, en un país sin legislación donde además el contacto es un correo de hotmail que cambiará una vez al mes y al que entraremos desde WiFis abiertas? Tampoco es complicado, ¿Verdad? ;)

En fin, que esperemos que todo vaya a mejor, que CHANCHULLASA no cuaje y que esta mala idea se borre de alguna que otra mente… Bromas aparte, algún conocido ya ha insinuado cosas parecidas si la cosa no mejora, y eso no puede ser…

0-day en mod_reno

28 de diciembre de 2012 Por

Hoy ha salido a la luz que un grupo de hackers bastante activo por estas fechas, autodenominado The Three Kings (T3K) ha descubierto una grave vulnerabilidad en el módulo de Apache mod_reno, ampliamente utilizado en los servidores web que conforman la red SANTANet. Este bug permite la ejecución remota de código en el servidor, vulnerabilidad que no tiene exploit publicado aún y que ha sido aprovechada por T3K en los últimos días para atacar a las máquinas de esta red.

El problema está aparentemente en la función rudolf(), encargada de insertar en el sistema las peticiones que los niños realizan a través de los webservices que SANTANet exporta a Internet; dicha función no comprueba la longitud de la petición antes de insertarla, por lo que las peticiones muy grandes pueden causar un desbordamiento de buffer:

    void rudolf (char *wish){
    char toy[4096];
    ...
    strcpy(toy,wish);
    insert(toy);
    ...
    }

Al parecer, el grupo T3K ha aprovechado esta vulnerabilidad para robar la base de datos que hospedaba el servidor y que contenía las peticiones de todos los niños junto a sus nombres y direcciones; además, han dejado un mensaje en la web principal de SANTANet en el que se podía leer “Si en Texas no corren delante de los toros con un pañuelo rojo en el cuello y en Nueva York no hay verbenas el 15 de agosto…¿qué narices pinta Papá Noel en Cuenca?”.

En declaraciones a Security Art Work, los responsables técnicos de SANTANet han negado el robo de datos, a pesar de que la relación de peticiones registradas ya ha sido publicada en Pastebin y según han confirmado muchos niños en Tuenti, parece real. “No tenemos ningún problema de seguridad identificado. Ejecutamos SANTA contra nuestros servidores regularmente, estamos suscritos a los principales grupos de seguridad en las news y nuestras webs están hospedadas en GeoCities. Además, para evitar problemas tenemos también colgado el banner de Free Kevin…”. Al preguntarles sobre los datos pastebineados, sólo han podido exclamar “Goatse!!”.

Uno de los miembros de T3K, G4sp4r, ha emitido a través de Twitter un comunicado en nombre del grupo en el que reconoce la autoría del ataque y asegura que acciones similares van a seguir produciéndose en estas fechas. Según indica, “no podemos quedarnos cruzados de brazos ante un caso de intrusismo profesional tan claro como este. Santa go home!“; el grupo no descarta además actuaciones adicionales de protesta –“a muchos trineos les fallan los frenos sin ningún motivo” ha indicado Melch0r, otro de los miembros de T3K-.

T3K está recibiendo un amplio apoyo de otros grupos de la scene nacional, como The Krist0s The Borja (TKTB), especializado en defacements y que está lanzando un ataque masivo a las páginas web de SANTANet para sustituir las imágenes de Papá Noel por fotos del alcalde de Marinaleda, o HispaLeaks, grupo que asegura haber obtenido los datos personales de todos los renos y una copia de los mensajes de correo electrónico de SANTANet y amenaza con publicarlos antes de fin de año si Santa no cesa sus actividades.

Por su parte, la Agencia de Protección de Datos ha abierto un expediente con el objeto de analizar el posible robo de información y determinar si las medidas de seguridad de SANTANet eran adecuadas. Según uno de sus responsables, estos datos son de nivel alto y SANTANet puede ser sancionada si se demuestra que no han protegido correctamente esta información; además, el hecho de que los datos sean en su mayor parte de menores agrava aún más el problema, por lo que en caso de existir sanción esta sería máxima.

Si alguno de nuestros lectores encuentra su lista de regalos en Pastebin, por favor, que nos lo comunique; estamos elaborando unas estadísticas para nuestro próximo informe de Protección de Infraestructuras Críticas que no tienen nada que ver con esto, pero así cotilleamos un rato y vemos qué regalos queréis para estas fechas :)

¡Mucho cuidado este 28 de diciembre!