VoIP: una breve introducción

En las ultimas décadas, el mercado de las redes de comunicaciones es uno de los que ha obtenido un mayor avance, debido principalmente a varios motivos, como son (a) la total generalización del uso del protocolo IP que ha posibilitado la difusión de servicios como el correo electrónico o el acceso a web hasta el usuario final, y (b) la apertura de la industria a las nuevas tecnologías, que ha llevado a un sistema flexible de transmisión de datos y a la aparición de tecnologías de comunicaciones ópticas, lo que a su vez ha incrementado el ancho de banda disponible para las comunicaciones.

Principalmente, las redes desarrolladas a lo largo de los años para transmitir voz se basan en el concepto de conmutación de circuitos, es decir, que la realización de una comunicación entre el emisor y el receptor requiere el establecimiento de un circuito físico durante el tiempo que dura ésta. Esto significa que los recursos que intervienen en la realización de una llamada no pueden ser utilizados en otra hasta que la primera no finalice, incluso durante los silencios que se suceden dentro de una conversación típica, por lo que las redes de conmutación de circuitos hacen un uso ineficiente de los recursos.

[Read more…]

La convergencia de la seguridad (I)

Como les adelanté el pasado 28 de enero, nuestro compañero Antonio Villalón —que debería prodigarse más por estos lares— participó vía videoconferencia en el I Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. A continuación, y a la espera del video de la ponencia, tienen el documento de la presentación que realizó, que pueden bajarse si lo desean de su página personal (donde encontrarán material adicional), o de este enlace (PDF, 360Kb).

El Talón de Aquiles del estandar 802.11i: Proceso de autenticación PSK (II)

Si leyeron la entrada de ayer, nos quedamos preguntándonos por los elementos que se utilizan para construir la PMK. La respuesta es muy sencilla: la contraseña precompartida, el ESSID del AP, la longitud del ESSID, y un barajado de 4096 procesos. Todo ello es generado por una función matemática llamada PBKDF2 (PBKDF2 es una función de PKCS #5 v2.0: Password-based Cryptography Standard) ofreciendo como resultado una clave PMK de 256 bits:

PMK = PBKDF2 (Frase secreta, ESSID, Long(ESSID), 4096, 256)

Una vez obtenida esta clave, comienza el proceso de autenticación con el AP al que se denomina 4-Way Handshake, o saludo inicial, que se puede ver en la imagen al final del post. En ese proceso, tanto la estación como el AP generan la PTK y la GTK utilizadas para cifrar los datos, siendo ambas diferentes en cada sesión.

[Read more…]

El Talón de Aquiles del estandar 802.11i: Proceso de autenticación PSK (I)

[N.d.E. Comenzamos con esta entrada una serie de tres artículos, de cierto nivel técnico, en relación con WPA, concretamente con WPA-PSK. Los dos primeros posts están dedicados a la exposición teórica del problema, mientras que los dos últimos entrarán en detalles prácticos. Para aquellos menos introducidos en temas WiFi, les prometo un artículo en breve describiendo los conceptos relacionados con esta tecnología.]

El método empleado por WPA para autenticar a las estaciones WiFi supone uno de los puntos débiles de este protocolo de seguridad, como veremos a continuación. Por lo que respecta a la autenticación, en función del entorno de aplicación, es posible emplear dos modos de autenticación diferentes WPA-PSK (Pre Shared Key) o WPA-EAP (Extensible Autentication Protocol).

En entornos personales, como usuarios residenciales y pequeños comercios, se utiliza WPA con clave pre-compartida o también llamada WPA-PSK y autenticación IEEE802.1X. En estos entornos no es posible contar con un servidor de autenticación centralizado, tal y como hace la autenticación EAP. En este contexto, WPA se ejecuta en un modo especial conocido como “Home Mode» o PSK, que permite la utilización de claves configuradas manualmente y facilitar así el proceso de configuración del usuario domestico.

[Read more…]

Security thru obscurity en el sector de la automoción

Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado «Seguridad por oscuridad», que es la traducción del homólogo inglés «Security thru obscurity«. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].

Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada «in the wild» (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.

Y esto venía a cuento porque la semana pasada, viendo la televisión, aparecía en un programa un sujeto cuya cara aparecía convenientemente oculta, mostrando diversos métodos para robar coches, todos ellos (los métodos) aparentemente muy sencillos y de fácil aplicación (aunque les confieso que no me he puesto a ello ni tengo intención de hacerlo, la verdad; yo ya tengo coche y a mi lo ajeno me produce mucho respeto). Y lo que ví, aparte de mostrarme —como era de esperar— que lo que les he contado en el primer párrafo no sólo se aplica en el ámbito de la informática, sino que se encuentra en otros muchos ámbitos de la «vida real», me dejó con la duda de si los dueños de Audis TT —por ejemplo— son convenientemente informados de las «vulnerabilidades» que tienen sus automóviles en cuestión de seguridad y finalmente, si, oponiéndome al principio que les comentaba, yo debería decirles aquí cómo robar un Audi TT.

Como era de esperar, he decidido que no. Primero, porque me da cosilla hacerlo. Y segundo, porque sin una prueba de concepto, a ver quién se lo cree.

Nada más. Como siempre, pasen un buen fin de semana.

Cursos y certificaciones para profesionales TIC

Para aquellos profesionales que estén buscando ampliar conocimientos (o gestores intentando exprimir el presupuesto departamental) y hayan pensado en realizar alguna certificación o curso, a continuación se proponen un listado de las principales certificaciones relacionadas, directa o tangencialmente, con el área de la seguridad informática. No están todas las que son, pero sí son todas las que están:

  • ITIL. Marco de trabajo de las mejores prácticas destinadas a facilitar la entrega de servicios de tecnologías de la información (TI) de alta calidad. Ofrecido por la OGC británica (Office of Government Commerce UK).
  • CISSP (Certified Information Systems Security Professional) de ISC2, certificación de seguridad independiente. Trata de abarcar diversos dominios de seguridad TIC, desde controles de acceso a criptografía o continuidad de negocio.
  • [Read more…]

Ni tanto ni tan calvo…

La semana pasada un compañero de trabajo, J., me contaba que había decidido empezar a utilizar la banca electrónica, y evitar de este modo tener que desplazarse a la oficina o al cajero para realizar consultas o transferencias económicas. Puesto que no le era posible realizar la consulta personalmente, le había pedido a su progenitor que se acercase a la sucursal y se informase de toda la documentación y trámites necesarios para activar el servicio en cuestión, servicio que sabía que su entidad bancaria ofrecía gratuitamente.

Y así lo hizo éste.

Ese mismo día, al llegar a casa, su padre le entrega todo el papeleo que le habían entregado en el banco: información identificativa como el nombre, apellidos, y DNI, más otra algo más sensible: número de cuenta del cliente y todos los códigos necesarios para la realización de trámites por Internet. Todo ello obtenido sin necesidad de presentar ningún documento que acreditase la identidad de ninguna de las dos personas, ni ninguna declaración de autorización ni fotocopia del DNI; y tampoco porque hubiese una relación de amistad entre el empleado del banco y el padre de mi compañero (que ni aun así, pero bueno…). No; todo lo que hizo falta fue decir un nombre y apellido.

Aunque es cierto que, en mi opinión, las medidas de seguridad de las entidades bancarias suelen estar a la altura de las circunstancias (más les vale), casos como este son una de las razones para no bajar nunca la guardia. Y es que teniendo en cuenta lo que se juega uno, no es como para tomárselo a broma…

(Si quieren saber el final del cuento, J. puso una queja formal, tras la que recibió una llamada del director de la sucursal pidiendo disculpas y asegurando que algo así no volvería a pasar).

Usuario: mhyklo Password: 1234

Muchos usuarios de sistemas informáticos debemos almacenar en nuestra memoria gran cantidad de contraseñas, que pueden llevarnos a malas prácticas como por ejemplo: usar siempre la misma contraseña para todo, utilizar contraseñas derivadas de una que ya tenemos, contraseñas de longitud corta para poder acordarnos, utilizar alguna contraseña relacionada con nosotros como puede ser nuestra fecha de nacimiento o DNI, etc.

La solución a este problema puede encontrarse almacenando estas claves en un dispositivo que siempre llevemos con nosotros y que permita almacenar las contraseñas de manera segura, lo que implica que si alguien que no somos nosotros accede al dispositivo no pueda disponer de ellas. Entre estos dispositivos podemos encontrar Blackberrys o PDAs, que disponen de software con esta funcionalidad, entre otros. Aún así no todos los usuarios disponemos de este tipo de dispositivos, y plantearse una inversión en un «trasto» así para únicamente almacenar las contraseñas no parece del todo coherente. Entonces cabe plantearse la siguiente pregunta: ¿existe algún dispositivo que todo usuario lleve siempre consigo y en el cual almacenar las claves pueda ser rápido, cómodo y seguro? Esta pregunta hoy en día tiene respuesta: el móvil.

Para poder almacenar de manera segura las contraseñas en el móvil existe entre otros, el software “Freesafe«. Únicamente se deberá disponer de una contraseña “muy fuerte» que dé acceso al resto de contraseñas. Este software utiliza la librería criptográfica “The Legion of the Bouncy Castle«. Este sistema cumple los requisitos que comentábamos, ya que el móvil a día de hoy es parte prolongada de cualquiera de nosotros, y el software indicado almacena las contraseñas de manera segura en nuestro móvil. El único inconveniente de este software es que está por el momento limitado a ciertos móviles, pero todo es cuestión de “Bucear por Google» y encontrar un software que realice estas funciones para el nuestro.

Con esta solución (aunque seguro que existen más alternativas) uno puede disponer de contraseñas robustas y diferentes en todos los accesos que realice, sin la excusa de tener poca memoria.

Falsos positivos

Esta mañana he tenido que realizar la visita a un cliente. El problema que me comunicó ayer por la tarde es que su navegador web no le mostraba ninguna de las páginas que solicitaba, pero en cambio el cliente de correo funcionaba sin problemas. Curioso, comprobé que no era problema de DNS, ya que el nivel de seguridad estaba configurado igual que en el resto de navegadores que su red local. La única pista que tenía era que suponía que todo se había producido tras una actualización del sistema operativo.

Así que acudo a la cita para solucionar el problema, puesto que se trataba de una persona de cierta responsabilidad y no debía realizar gestiones a través de internet desde otro equipo que no fuera el suyo. Tras darle un par de pensadas y comprobar que efectivamente la configuración de red era la correcta, recordé un caso que me había pasado hace tiempo.

Me dirijo a la configuración del software antivirus (que incorpora funcionalidad de firewall personal) y ahí estaba el problema. Este programa había detectado la actualización del navegador como un cambio en un software que solicita salida a internet, como un si se tratara de un troyano; mi cliente había confiado plenamente en el corttafuegos personal y éste había tomado la decisión por sí mismo de bloquear el ejecutable.

Es necesario recordar algo que se menciona en numerosas ocasiones; este tipo de herramientas, así como las de detección de intrusos y similares, se mueven por patrones de comportamiento, pero es un entrenamiento adecuado de dicho software el que puede conseguir, que por sí solo, se comporte con la inteligencia y la capacidad de decisión que esperamos de él. Mientras esto no sea así, no dejemos de lado al operador humano y echemos un vistazo por si las moscas.

(N.d.E.: Nos van a disculpar si la frecuencia de actualización disminuye —quizá de manera sensible— durante estos días, pero entre el turrón, los Reyes Magos, unas cosas y otras, no sabe uno de dónde sacar el tiempo para todo…)

Un viaje en metro por la gran ciudad

Ayer, como muchos otros días, iniciaba mi día laboral viajando en mi transporte público favorito: el metro, el cual me permite divagar, pensar, y reflexionar mientras viajo. O algo parecido. El caso es que observé que en el espacio que separa los vagones del metro hay un cartel que prohíbe quedarse detenido en ese espacio por cuestiones de seguridad, alertando de un riesgo si te detienes en ese lugar. Acto seguido me fijé y ví que por lo que parece éste es un sitio habitual de estacionamiento para los viajeros, y que incluso muchos de ellos se apoyan en las gomas que son usadas como interconexión de los vagones; que todo sea dicho, parecen bastante apetecibles y cómodas, y más a primera hora de la mañana (se asemejan a una colchoneta típica con la que uno va a la playa). Este problema es un tema relacionado con la responsabilidad de cada viajero, para lo cual sería necesaria una concienciación mayor de los pasajeros acerca del cumplimiento de las normas y la señalización. Pero, ¿es suficiente con poner ese cartel, o por el contrario es necesario tomar más medidas más restrictivas?

Por poner un ejemplo de una situación en la que no es suficiente con que haya un cartel que prohibe una acción, ¿cuánta gente no respeta la señal de prohibición en autopistas de circular como máximo a 120 km/h? A causa de ello se han tomado una serie de medidas (multas, sanciones penales, etc.) para concienciar al conductor de que debe respetar las normas de circulación, dado que las consecuencias en este caso son fatales. Todas estas situaciones, que reflejan cómo es el comportamiento natural de nuestra sociedad, pueden ser trasladadas al campo de la informática: en la gran mayoría de ocasiones no es suficiente únicamente con advertir del peligro al usuario sino que es necesario tomar las medidas pertinentes. Por lo tanto, en última instancia uno se debe plantear, como en el caso del cartel del metro, si es suficiente con la presencia de éste ó por el contrario deben establecerse medidas para que el cumplimiento sea efectivo.

La conclusión que obtuve de esta pequeña reflexión es que esta sociedad necesita madurar, dado que si ni cuando las consecuencias pueden ser fatales se respetan las normas, ¿por qué se van a respetar en el caso de que no lo sean? Y aplicando esto a nuestro campo, un profesional de la seguridad informática deberá siempre tener en cuenta que cualquier medida restrictiva y preventiva nunca estará de más. Les invito finalmente a realizar el siguiente ejercicio, párense durante 5 minutos (no más) y piensen: ¿cuántas normas/restricciones/reglas no cumplimos o nos saltamos a veces en nuestra vida cotidiana? Cada uno que obtenga sus propias conclusiones ;).