Peritajes informáticos

Cuando una organización sufre determinados incidentes de seguridad (por ejemplo, una intrusión), se plantea la realización de un análisis forense, en el que se tratan de obtener y presentar evidencias electrónicas del problema acaecido; adicionalmente, en ocasiones —no siempre, aunque si se ha producido un delito debería ser así—, es necesario efectuar una denuncia, y es entonces cuando surge la necesidad de realizar un peritaje informático por parte de un perito cualificado.

Un peritaje informático tiene como objeto dar respuesta técnica a una serie de cuestiones planteadas bien por una de las partes bien por el propio juez; dicha respuesta, por muy complejos que sean el desarrollo o las bases de la misma, debe ser concisa y sencilla (pensemos que la tienen que interpretar personas que no tienen por qué estar familiarizadas técnicamente con el objeto del informe). Así, siempre es conveniente incluir un apartado de “conclusiones” dentro de nuestro informe, en el que en base a todo lo desarrollado en el cuerpo del mismo, se muestren de forma resumida las respuestas a las cuestiones planteadas.

Para poder realizar y defender un informe pericial no es necesario, a priori, ningún requisito especial; no obstante, en la práctica suele ser positivo para que el informe sea tenido en cuenta por el juez, bien disponer de una titulación académica adecuada al objeto del informe, o bien disponer de una experiencia profesional en el campo al que el informe hace referencia. Dicho de otra forma, yo podría presentar un informe pericial acerca de los problemas de salud que un determinado individuo dice padecer y dar mi opinión acerca de si estos problemas han influido en la comisión de un delito, pero como no soy médico, mi informe sería poco más que papel mojado ante un tribunal. Por este motivo, cuando estamos tratando casos en los que entran en juego la informática o las telecomunicaciones, tanto el juez como las partes tratarán de buscar peritos Ingenieros Informáticos o de Telecomunicación. Las empresas de seguridad que tienen entre su catálogo de servicios, dentro de los aspectos de gestión de incidentes, los peritajes, disponen —o deben disponer— de Ingenieros cualificados para realizar estos informes; además, los Colegios Oficiales disponen en muchos casos de turnos de actuación profesional (algo equivalente al turno de oficio para los abogados) para aportar peritos en aquellos casos en los que se solicitan (por ejemplo, en la Comunidad Valenciana, el Colegio Oficial de Ingenieros en Informática dispone de este turno de actuación).

Los que hemos realizado y defendido informes periciales —tanto de parte como judiciales— ante un juez, nos hemos tenido que enfrentar en muchas ocasiones a los principales problemas que bajo mi punto de vista existen a la hora de emitir un informe; en este orden:

— Incapacidad técnica para la emisión del dictamen.

Si hay que realizar un informe acerca de un individuo que se ha roto una pierna, desde el juzgado buscarán a un traumatólogo, no a un neurocirujano, por muy médico que este sea. Obvio, ¿verdad? Pues cuando entra en juego la tecnología, esto no es tan obvio… exagerando un poco, si asesinan a alguien dándole golpes con un portátil, es fácil que se busque a un Ingeniero Informático para emitir el informe en cuestión. Ante casos de este tipo, el perito debe ser tajante: se rechaza la realización del informe por incapacidad técnica. Por muy perito informático que yo sea, rechazaré una pericia relacionada con el mal funcionamiento de un SAP, porque desconozco técnicamente su funcionamiento y no me siento capacitado para hablar con propiedad sobre este entorno —y más cuando delante tengo a gente que puede estar jugándose penas de cárcel—.

— Técnicamente, todo es posible.

Por muy obvia que para un técnico sea una cuestión, para un juez o un abogado no lo es tanto; así, si estamos realizando un informe en el que se indica que un individuo ha utilizado su ordenador para atacar sistemas de terceros, y al individuo en cuestión se le incauta un equipo lleno de herramientas de hacking (con sus correspondientes accesos directos en el escritorio), ficheros de contraseñas, logs de chats… el acusado siempre puede decir que todo eso “se lo han puesto por la WiFi” y que él no sabe nada. Y cuando nos pregunten si eso es técnicamente posible, tendremos que decir que sí (aunque insistamos en la baja probabilidad por N motivos). En función del juez que lleve el caso, se declarará al acusado inocente.

— Contraposición de visiones: juristas y peritos.

Como hemos dicho antes, cuando realizamos un informe pericial debemos responder desde un punto de vista técnico a una serie de cuestiones que se nos plantean; es vital no incluir nunca opiniones personales no fundadas, y también es importante no entrar en el ámbito del abogado o del juez: un perito nunca puede decir, por muy obvio que técnicamente le parezca, que el acusado es culpable o inocente. Los aspectos jurídicos no entran de ninguna manera en el ámbito de actuación de un perito. De la misma forma, el perito no puede admitir —esto suele suceder en los informes de parte, no en los judiciales— opiniones legalistas que no se correspondan con la estricta realidad: si en nuestro informe decimos que algo es “altamente improbable” queremos decir sólo eso, que es altamente improbable, y no que es imposible (un término que seguramente para el abogado será mucho más directo y efectivo, y por tanto tratará que incluyamos en el informe, pero que técnicamente puede no ser cierto).

Finalmente, un problema que no es exclusivo de los peritos, sino que quizás es generalizado en el sistema judicial: para defender durante quince minutos nuestro informe, seguramente invirtamos toda una mañana en los juzgados. Ante esto, paciencia: es lo único que podemos hacer como peritos :)

Estados Unidos, “des-unidos” por los fallos de seguridad informática

No es un secreto que Estados Unidos está expuesto a ataques cibernéticos de cualquier procedencia, y cada vez más. Un informe que se encuentra actualmente en preparación y que fue solicitado por la Casa Blanca y que pueda confirmar la falta de “ciberseguridad” de las infraestructuras de los Estados Unidos llegará cómo agua de mayo; además de los fallos informáticos detectados en sectores clave, existe la percepción de que la situación general en todos los sectores de actividad es de vulnerabilidad. Pasen y vean.

En diez años, se han censado en los EEUU ciento veinticinco incidentes de seguridad en sistemas SCADA, sistemas que son utilizados en centrales nucleares, plantas de tratamiento de agua, plataformas petrolíferas y todo tipo de infraestructuras críticas. Los incidentes detectados van desde problemas locales y/o autónomos, hasta otros que agravan o se nutren de ataques desencadenados en otro lugar por empleados o consultores externos. Según el Summary Report #757 del Senado americano, hecho público el 20 de Marzo pasado, las consecuencias de este tipo de fallos pueden ser tanto materiales, medioambientales como humanas, según el testimonio de Mr. Keith Lourdeau, FBI Deputy Assistant Director, Cyber Division.

Sin ir más lejos, hace unas semanas un consultor informático en un proyecto de corta duración para una refinería de petróleo fue rechazado para un empleo fijo en la empresa consultora para la que trabajaba. Según la revista Wired del 18 de Marzo pasado y la District Court of California, se vengó dejando fuera de servicio un sistema destinado a la detección de fugas de las tuberías de conducción de crudo. Es más preocupante aun, si cabe, que la red eléctrica americana se vea comprometida en su funcionamiento por ataques cibernéticos; éstos habrían introducido virus en la red cuyas consecuencias potenciales serían muy graves, según indicaba Le temps.ch en su edición del 11 de abril del 2009. Según mencionó en el Wall Street Journal un ex-responsable del ministerio de la seguridad interior, los ataques “parecen generalizados en todos los EEUU y no están enfocados a una compañía o una región en particular”. Y a nadie se le escapa a estas alturas que estas brechas podrían convertirse en un arma en caso de conflicto geopolítico.

En la misma línea, en un informe reciente el Government Accountability Office (GAO) señalaba las graves carencias de la autoridad americana de vigilancia de mercados financieros, que no había tomado medidas de securización de sus sistemas de información. Aunque se imponían contraseñas complejas para los usuarios, el uso compartido de cuentas entre usuarios para utilizar una aplicación clave de la institución… ¡había sido autorizado! Por si eso fuese poco, la información y las comunicaciones de carácter confidencial de la institución no estaban cifradas, las contraseñas circulaban sin cifrar y la monitorización y vigilancia de los sistemas era insuficiente. Un informe anterior del GAO, probablemente olvidado en algún despacho debajo de un montón de papeles, ya apuntaba la necesidad de corregir tanto fallo, según recordaba el Network World el pasado 28 de febrero.

Las filtraciones de información, intencionadas o no, tampoco son escasas; un empleado de un proveedor del ministerio de defensa de los Estados Unidos distribuyó en Internet, sin saberlo, los planos del Marine One. La información secreta del helicóptero del presidente de los Estados Unidos se distribuyó mediante una red P2P, sin que el responsable de ello se percatase hasta algún tiempo después. Evidentemente, almacenar información confidencial o secreta en ordenadores conectados a Internet, y más en aquellos que contienen programas de intercambio de ficheros P2P, supone un factor adicional de riesgo de fugas.

En lo referente a ciberdemocracia y participación ciudadana, la seguridad de las máquinas para votar parece inexistente, tal y como vienen denunciando expertos como Bruce Schneier. Por una parte, el fabricante de las mismas, Diebold, admite la existencia de fallos de diseño, que quedaron demostrados no hace mucho. Por otra, un experto de la CIA ha afirmado, bajo juramento ante una comisión oficial, que ha observado fraudes electorales en los escrutinios venezolanos, así cómo en Macedonia y Ucrania.

Por si todo lo anterior no fuese suficiente, la propia policía de Nueva York también ha sido víctima de los ciber delincuentes, al haberles sido robado un soporte de información por parte de un empleado de los fondos de pensiones de esta institución, y por supuesto sin cifrar, conteniendo los nombres, direcciones, números de seguridad social y cuentas bancarias de los policías en activo y jubilados, según aparecía en el New York Post el pasado 4 de marzo. Cuesta entender este tipo de incidentes, cuando el cifrado de datos confidenciales se puede realizar sin grandes medios materiales, y sin la necesidad de utilizar software sofisticado o caro.

Todos estos ataques son llevados a la práctica en general sin demasiada dificultad: los administradores TIC piensan muy ocasionalmente en securizar y lanzar alertas a la nebulosa de ordenadores que gravitan alrededor de su red al respecto de la seguridad de la información y su transmisión, y se limitan a securizar su perímetro externo al mínimo. Por tanto, es suficiente para un hacker utilizar como vector de intrusión uno de sus contactos/clientes, que teniendo menos restringido su acceso por ser una parte confiable, puede alcanzar esos datos, o solicitar un acceso sin despertar sospechas. No por nada hay una ingente cantidad de robos de portátiles, siendo el objetivo del robo en muchos casos el disponer de acceso a la información del soporte y, si es posible, elevar los privilegios sobre la red de la empresa/institución atacada.

Como reflexión personal, no cabe otra que preguntarse por el caso español, ya que si en el país con mejor dotación del mundo en sistemas informáticos se cometen este tipo de barbaridades, en España existen lagunas, del tamaño de océanos en materia de seguridad de sistemas de información, ya sean militares, de salud, energía u otros. En lo referido a los ataques informáticos, pienso que hay que preocuparse en particular por aquellos que no se ven: si no son pocos los incidentes que conocemos, habrá que pensar en todos aquellos que han sido capaces de hacerlo sin haberse hecho notar, y que actualmente están en nuestros sistemas. El gran número de equipos infectados que forman parte de botnets no deja lugar a dudas.

Es necesario poner en marcha un amplio plan de formación en los diferentes sectores para concienciar de los riesgos de los ataques sobre los sistemas de información, mostrando la relevancia de fallos humanos, físicos y lógicos, y las consecuencias sobre redes y los puestos de trabajo. La diferencia entre los EEUU y nosotros, es que les llevamos al menos 20 años de retraso, y aún no nos hemos dado cuenta de que la seguridad es un aspecto vital para la defensa de nuestros intereses y un indicador de progreso, visto el papel cada día más importante que tiene la tecnología en nuestros días.

Sopa de letras

Actualización 22/04/09 12:10h: Ya tienen la solución al pasatiempo al final de la entrada…

(N.d.E.: Aprovechando el día extra que tiene este fin de semana, les dejamos con un pequeño pasatiempo. Son diez palabras sobre un mismo tema. Les adelanto que es difícil y que necesitarán la Wikipedia si no son ustedes Bruce Schneier. Nos vemos el lunes. Cuidado ahí fuera. Ah… esta semana no hay encuesta.)

sopa-letras

[Read more…]

¿Son Sergey Brin y Larry Page discípulos de Hari Seldon?

No sé si han leído ustedes la genial y totalmente recomendable serie de novelas de ciencia-ficción Fundación, de Asimov, pero si no es así, ésta tiene como parte fundamental de su argumento a la Psico-historia (no confundir con el término Psicohistoria en tanto que estudio de las motivaciones psicológicas de eventos históricos). Tirando de Wikipedia, según la descripción que hace Asimov a través de Hari Seldon, el personaje creador de dicha “ciencia”:

En un gas, el movimiento de una sola molécula es muy difícil de predecir, debido a los continuos choques con sus vecinas, pero el comportamiento a escala visible de un gas puede ser predicho con gran exactitud. Así, si se aplicaran cálculos estadísticos a una población lo bastante grande […] se podría predecir su evolución histórica y social global con gran exactitud.

Dejando eso claro de antemano, antes de continuar me veo en la obligación de advertirles que esta entrada tiene un nivel, digámoslo así, de imaginación e hipótesis bastante alto, aunque seguro que con lo que les he dicho hasta ahora se hacen una idea de por dónde van los tiros.

Estarán de acuerdo conmigo en que en general, en la actualidad el porcentaje de penetración de Internet en la población dista mucho de ser del 100%; según este estudio, a comienzos del 2007 la penetración media europea de Internet era de aproximadamente un 50%, siendo de un 43% en España. No es de esperar que esos porcentajes se hayan incrementado sensiblemente en un par de años, y si nos vamos a los usuarios “maduros”, como aquellos que no sólo disponen de acceso a Internet, sino que son usuarios habituales de redes sociales, foros, e-mail, buscadores, etc., el porcentaje será muy probablemente bastante inferior. Sea como fuere, por cuestiones de educación, medios económicos o edad, Internet no es aun algo que la mayor parte de las personas consideren imprescindible; casi todos conocemos a alguien que o bien su uso de la Red se limita al correo electrónico, o simplemente no accede a Internet.

Vayamos ahora a un escenario hipotético situado dentro de 50 años. Para entonces, y si el calentamiento global, la gripe aviar, una guerra nuclear, la contaminación, o el impacto de un meteorito no han acabado con nosotros, podemos suponer que la mayoría de personas del llamado “Primer Mundo” habrán nacido con acceso a Internet (si es que ésta sigue existiendo; como he dicho es un escenario hipotético); son lo que Enrique Dans primero Prensky y ahora el Berkman Center for Internet and Society llama “nativos digitales”. Los “inmigrantes digitales” como yo y probablemente usted habremos desaparecido (yo personalmente seré ya un octogenario) o habremos tenido suficiente contacto con Internet para ser considerados “pseudo-nativos digitales”.

Tanto para unos como para los otros, el uso de redes sociales, buscadores, foros, e-mail y engendros varios que vayan surgiendo y desapareciendo a lo largo de los años, en sus respectivos formatos, soportes y dispositivos será totalmente natural y parte de la vida cotidiana. Algo que sin duda alguna dejará una gran cantidad de registros, de la misma forma que cualquier persona activa en Internet hoy en día deja una huella representada en forma de historiales de búsqueda, registros de acceso a web, perfiles en redes sociales, discusiones en foros, opiniones en blogs, enlaces profesionales y personales, etc.

Imaginen que algo o alguien pudiera disponer de acceso a una muestra suficientemente representativa de dicha huella para la gran mayoría de dichos nativos digitales, y le aplicase una versión elaborada e inteligente de lo que hoy es la publicidad contextual de Google, para obtener resultados estadísticos y probabilísticos del comportamiento de la población con un elevado porcentaje de acierto. Dicho de otra forma: ¿sería posible una psicohistoria similar a la que Asimov describe? Por ejemplo, ¿sería posible “predecir” el ganador de unas elecciones democráticas en base al tráfico y contenido de los usuarios de un determinado país durante los días previos? ¿Y una guerra o una revolución? ¿De qué nivel de ciencia-ficción estamos hablando? ¿Es esto un escenario real, o tan solo una hipótesis demasiado fantasiosa?

Les dejo que se lo piensen.

Pongámonos la toga un momento

En numerosas entradas de este blog se han expuesto ejemplos y casos prácticos muy buenos que nos han ayudado a entender las normas que marcan tanto LOPD como el RDLOPD. Sin embargo, muchas veces cuando estudiamos una ley pasamos por alto algo que para muchos es trivial pero que estoy seguro que para muchos otros no lo es: la propia definición de la ley. Es decir, todos sabemos que la LOPD es La ley Orgánica 15/1999 del 13 Diciembre de Protección de Datos de Carácter Personal. Y también sabemos que el RDLOPD es el Reglamento de Desarrollo de la LOPD aprobado por el Real Decreto 1720/2007 del 21 Diciembre. Pero, ¿tenemos claro que significa “Ley Orgánica”? ¿Y “Real Decreto”?

Pues eso es básicamente lo que viene a comentar este post, de manera resumida. Pongámonos la toga por un momento y veamos que significan:

Las Leyes Orgánicas son aquellas desarrollan los derechos fundamentales y de las libertades públicas, es decir:

  • Aquellas leyes que desarrollen los principios contenidos en la Constitución en la regulación de los citados derechos y libertades.
  • Las que aprueben los Estatutos de Autonomía y el régimen electoral.
  • Las demás previstas en la Constitución.

Para la aprobación, modificación o derogación de este tipo de leyes es necesario alcanzar mayoría absoluta en el Congreso en una votación final sobre el conjunto del proyecto.

Por su parte, un Real Decreto es un norma jurídica con rango de reglamento generada por el Gobierno en virtud de sus competencias atribuidas por la Constitución. Ésta precisa para su adopción la aprobación del Presidente del Gobierno ó del acuerdo del Consejo de Ministros. La palabra “real” hace referencia a que es el propio Rey quien sanciona y ordena publicar.

En la práctica son disposiciones concretas, de desarrollo, y no tratan aspectos tan amplios como las leyes, o decretos-ley (urgentes); normalmente aprueban reglamentos, nombramientos, restructuraciones de departamentos, etc. Por último, los reglamentos aprobados por un Real Decreto no pueden regular materias reservadas a la Ley ni infringir normas con rango de Ley.

A mí que no he estudiado derecho me viene bien de vez en cuando repasar estos conceptos, espero que a vosotros también os sea de utilidad.

Y entonces llegó Google Chrome

Desde que empecé en esto del desarrollo Web he tenido siempre la “manía” de probar las aplicaciones que desarrollo en todos los navegadores posibles que existen, procurando siempre seguir los estándares Web en el código, así como hacer que su resultado sea lo mas accesible posible. Hasta el momento el navegador con el que me he sentido mas cómodo ha sido con el Firefox, que se caracteriza por ser el que cumple los estándares Web más “a rajatabla”; por eso suele el primer navegador en el que pruebo mi código. Otras de sus ventajas son el amplio abanico de extensiones y plug-ins que te asisten en el desarrollo y su disponibilidad en diferentes plataformas; como aspecto negativo, consume demasiada memoria y se descubren bastantes vulnerabilidades, aunque a diferencia de otros, éstas son rápidamente corregidas en cuestión de horas. Después de verificar el funcionamiento de la aplicación en Firefox, realizo las pruebas en el resto de navegadores: Opera, Safari, Konqueror, y el Explorer (principalmente por la cuota de mercado que tiene, y porque como sigue sus propios estándares, lo que funciona en los demás navegadores seguramente se vea mal en éste).

Pero entonces llegó Google Chrome, y cómo no, me decidí a probarlo.

Lo primero que me resultó extraño es lo simple que es su interfaz, y la velocidad a la que se carga, ya que comparado con el Firefox el navegador Chrome es instantáneo. También me gustó la velocidad con la que carga las páginas con javascript, igual o mas rápido que Opera, y el hecho que utilice la barra de navegación para todo: teclear las direcciones de las páginas Web, buscar palabras o revisar las webs visitadas. Dispone además de una función para navegar en modo incógnito, para que no se guarden las paginas visitadas en el historial, lo que puede resultar útil para leer el Marca en el trabajo (…). Exceptuando que no se le pueden añadir extensiones y temas, de momento, se puede considerar como un buen navegador.

Me puse a investigar y no tardé mucho en encontrar páginas en las que se contaban las maravillas del navegador, hasta el punto de que incluso la gente de Google había creado un tebeo en el que salen ellos mismos explicando las características del navegador. En las pruebas de rendimiento, Chrome va como un tiro, y en relación con la seguridad, según los resultados del evento de seguridad informática “Pwn2Own“, aparece como el más seguro de todos los navegadores, siendo el único navegador que no pudo ser vulnerado gracias a su sistema Sandbox, un mecanismo de seguridad utilizado para correr una aplicación en un ambiente cerrado. Su última versión logró obtener 79 puntos de un total de 100 en la prueba Acid3, mientras que el primer lugar lo ocupó Opera con 83 puntos, seguido de Google Chrome, Firefox 3 con 71 y por último Microsoft IE7 con tan solo 14 puntos. Dicen que la versión de Google Chrome que aún se encuentra en desarrollo ha logrado 100 puntos de 100.

Resumiendo, es rápido, sencillo de utilizar, bonito (según se mire), de código abierto y muy seguro, pero entonces, ¿qué pega tiene? Pues que siendo una aplicación de Google todo apunta a que de una forma u otra debe ser intrusiva como lo es su buscador, y efectivamente, si el buscador de Google recopila información de las búsquedas que realizamos, qué no va a hacer su navegador. Después de indagar en varios sitios averigüé que Google asigna un identificador único a cada Google Chrome descargado, de modo que ahora no solo recopilará información de las búsquedas que hacemos, sino que les podrá asignar un identificador de la persona que realizó dichas búsquedas, y no solo de las búsquedas si no que también de las url que escribimos el directamente en navegador. En definitiva, conoce todo lo que haces en la red.

Mención aparte recibe el Google Updater que se mantiene constantemente ejecutándose sin saber bien qué hace y sobre todo la información que se envía a Google de cuándo y dónde te has descargado el navegador (N.d.E. Matt Cutts hizo en su momento algunas aclaraciones al respecto). Aún en el modo Incógnito, Google Chrome es considerado como “demasiado invasivo” a la hora de gestionar la información sobre el usuario y su ordenador. La cuestión es que puede decirse que aunque Google Chrome aúna un buen conjunto de virtudes, no es tan perfecto como parecía, y prefiero no usarlo a tenerlo constantemente monitorizando mi actividad con el navegador.

Esto mismo debió pensar el gobierno alemán cuando empezó a desconfiar de Google y desaconsejo a los alemanes el uso del Google Chrome. Y puesto que Chrome es de código abierto, era lógico que con el tiempo empezasen a salir versiones mejoradas. Entre ellas, la primera de la que he tenido constancia, y que utilizo habitualmente, es una versión llamada Iron, desarrollada a partir del código Chromium por la gente de SRWare. Este navegador dispone de las mismas funciones, capacidades y limitaciones que Chrome, pero con la diferencia de que han sido desactivadas todos los aspectos considerados “delicados” en términos de privacidad. Esencialmente usa el código fuente de Chromium, con las siguientes modificaciones:

  • No usa una ID única por usuario, con el que teóricamente Google podría identificar a un usuario.
  • No envía información del usuario a Google.
  • La información de errores no es enviado a Google.
  • No usa el Google Updater, las versiones nuevas tienes que descargarlas a mano.
  • No usa el rastreador de URL, que le permite saber a Google cuándo y de dónde descargamos Chrome.

En definitiva, a día de hoy sigo probando mis aplicaciones en todos los navegadores que existen hoy en día menos en el Google Chrome, ya que para eso ya hago uso del Iron de SRWare que permite una navegación menos controlada. ¿Una pega? Sí, claro: no es multiplataforma.

* * *

(N.d.E.) Como verán en los resultados que les muestro debajo, la participación en la encuesta de la semana pasada ha sido más bien escasa, lo que me gustaría pensar que es debido a que muchos lectores están ya de vacaciones (como verán, curiosamente feedburner, de Google, sigue teniendo problemas para contabilizar los lectores de Google Reader y iGoogle, aunque parece que dicho problema no afecta a los suscriptores). En cualquier caso, los 10 votos recibidos no permiten sacar demasiadas conclusiones, aunque parece que el robo de datos confidenciales y el defacement de la página web son las dos acciones con peor repercusión; parece lógico, ya que al fin y al cabo, suelen ser el tipo de noticias que le gustan a la prensa. Las otras no suelen tener mayor repercusión pública.

[poll id=”11″]

Para esta semana, la eterna cuestión de la antaño compañía del “Don’t be evil”.

[poll id=”12″]

Por lo demás, felices vacaciones a aquellos que las tengan. Tengan cuidado en la carretera y nos vemos, probablemente, el martes que viene.

El incidente (misconfused)

(La entrada de hoy es la segunda colaboración de Francisco Benet, un amigo de algunos de nosotros —y familia de algún otro— que tiene gran experiencia en la gestión e integración de sistemas, protección de datos de carácter personal y evaluación de soluciones de integración de software y hardware, entre otros aspectos. Esperamos que les guste.)

Hace algo más de un lustro me enfrente a una situación un tanto extraña en el área de Sistemas de la organización para la que trabajaba, y que les describo a continuación (NOTA: parte de la situación descrita es ficción, para dar dramatismo y mayor realidad a la historia; no crean todo lo que leen).

[Read more…]

Consultores

Antes de nada, déjenme decirles que esta entrada no está particularmente relacionada con la seguridad; es algo que escribí hace bastante tiempo y que quedó en el olvido. Adelantaré, también, que he sido técnico, en sus diferentes variantes, durante aproximadamente seis años; he llevado móvil de guardia y me han llamado a las tres de la mañana por algo que podía esperar al día siguiente; he soportado a usuarios irritantes, he hecho intervenciones de madrugada y he sufrido incompetencias diversas, además de la mía propia. Por razones variadas e interés, hace algún tiempo cambié el mono de técnico por el de consultoría “barra” auditoría, y aquí estoy. Sirva esto como “disclaimer” previo.

Lo que vengo a responder con esta entrada es a esa sensibilidad bastante acentuada, sobre todo en entornos técnicos, que existe contra la tarea de los consultores; la típica ceja levantada “a lo Sobera” y esa cara de incredulidad que una parte del personal técnico pone cuando le presentan un proyecto de consultoría. Estoy seguro que muchos de ustedes conocen algún chiste sobre consultores. Yo me acuerdo particularmente de aquel del consultor que después de utilizar mil y una sofisticadas herramientas para decirle al pastor cuántas ovejas tiene, éste le ofrece que escoja una como recompensa y el consultor elige al perro en lugar de la oveja, demostrando no conocer en absoluto “el negocio” del cliente. El chiste es bueno, aunque la moraleja sea incorrecta. Seguramente, si ustedes son técnicos, sabrán aún más chistes. De eso precisamente quería hablar: de consultores (no de chistes).

La principal crítica que mucha gente le hace a los consultores es que éstos, tras el cobro de una hipotética cuantiosa suma, simplemente trasladan a dirección lo que el empleado “raso” ya sabe: que hay desorganización, que hay que cambiar esto o aquello o que hay que contratar más gente, entre otras propuestas. Pues ni sí, ni no, pero más “no” que “sí”. Y eso es de lo que viene a hablar este post.

Comenzaré diciendo que a nadie se le escapa que cuando se lleva a cabo una consultoría, parte de los problemas detectados son conocidos por el personal, ya que son muchas veces quienes más los sufren. En algunas ocasiones, como consultor y/o auditor, es más que evidente que las personas te “utilizan” como método de amplificación de sus problemas departamentales: recursos técnicos, personal, manera de hacer las cosas, etc.; eso no es nada malo, siempre que sepa uno discriminar entre una queja justificada y una injustificada. Esta es, sin duda, una de las tareas del consultor: informar de los problemas que parte del personal ya conoce, o al menos percibe. La cuestión que surge entonces es: ¿porqué no podría ser ese mismo personal el que realizase esa tarea de “informador”?

Por una parte, se me ocurre que existe una cuestión básica de estructura corporativa. Saltarse la jerarquía interna puede ser sencillo si se trata de una empresa pequeña, o una grande que posee buenos medios de comunicación, una gestión realmente eficiente de Recursos Humanos, y además, hay muy “buen rollo” (eso es importante). Y aún así, como trabajador y si no es una cuestión de problemas con tu responsable, desaconsejaría este tipo de actuaciones por los problemas que puede traer; el “buen rollo” dura poco si cargas contra la gestión de tu jefe; eso puede traer con facilidad malas relaciones, reticencias y “piques” internos, desconfianza, etc. Y si hablábamos de una empresa pequeña o bien gestionada, imaginen una en la que hay poca flexibilidad y la comunicación entre distintos niveles directivos es rígida y poco eficiente. Dicho de otra forma: el consultor no está restringido por esa estructura interna, y menos cuando viene directamente respaldado (como suele o debería ser) por dirección. Puede hablar con quien quiera, y puede ser franco en sus análisis y conclusiones, sin miedo a que se tomen represalias contra él. Y esto es precisamente una de las virtudes que debe tener cualquier consultor/auditor: independencia.

Por otro lado, y esta es una de esas cosas que no se ven, una persona interna afectada directamente por un determinado problema posee de manera involuntaria e inconsciente un componente importante de subjetividad que con toda probabilidad va a influir en la crítica que hace, algo que una persona externa al departamento, sea una entidad independiente o personal de auditoría interno, no tendrá. Quizá tenga razón y es cierto que exista —por ejemplo— un problema de personal, pero quizá no hagan falta dos personas como él sugiere o pretende que se contraten, sino una persona y una mejora de la gestión interna del departamento. Existen multitud de situaciones en las que cada una de las personas de un departamento aporta su granito de arena al problema; quizá su forma de trabajar, planificar el tiempo o gestionar a su equipo sea parte de la cuestión, y es difícil que vaya a ver eso. En este caso, los análisis del consultor serán más o menos acertados, pero no estarán influidos por cuestiones que le afecten directamente.

Por último, pero no por ello menos importante, un consultor tiene la experiencia de su más o menos dilatada carrera, en la que ha visto muchos más casos que el que tiene delante en ese momento. Por ello es capaz no sólo de abstraerse de los problemas concretos y particulares que observa, y ver el bosque en lugar de únicamente los árboles, sino de aportar soluciones que ha podido comprobar que funcionan en otras organizaciones.

Pero aparte de estos temas, que considero que son más que suficientes, hay todavía un aspecto que es también responsabilidad del consultor: analizar aquellos problemas que el personal interno no conoce o no quiere conocer, bien por “conflicto de intereses”, por comodidad o vayan ustedes a saber qué. Y me refiero a la reticencia y resistencia de las personas y organizaciones a cambiar de forma de trabajar; es complicado que detectemos un problema, y además seamos capaces de identificar (y sobre todo admitir) nuestra parte de culpa en él, si su modificación nos repercute en una forma de hacer las cosas con la que nos sentimos cómodos; se trata de una vertiente distinta de aquello de la paja en el ojo ajeno y la viga en el propio. Los cambios introducen una molestia, una perturbación en nuestra rutina diaria, que aunque a la larga puedan ser buenos, no son bienvenidos. Y en ese punto el análisis de una persona ajena al problema es necesario, porque no tendrá que escoger entre las molestias de cambiar de forma de trabajar y las mejoras que eso le supone a la organización. En definitiva, y sin entrar en cuestiones filosóficas, a menudo vemos lo que queremos ver, tanto queriendo y sin querer; las personas estamos tan metidas en nuestra rutina diaria que nos cuesta ver qué hacemos mal y además, asumirlo y cambiar nuestra forma de trabajar.

En la línea de la crítica de que al consultor se le paga por decir algo que ya se sabe, hay que añadir que el consultor no sólo “dice”, sino que lleva detrás un trabajo bastante más elaborado, en el que se encarga de mantener unas reuniones, analizar la información recabada y generar unos informes, algo que lleva tiempo. En realidad, gran parte de las personas que son críticas con la tarea de los consultores se negarían a realizar esa tarea, porque no les gusta, les supondría enfrentamientos con personal interno, y porque eso les supondría una carga de trabajo adicional. Seguramente muchos sabemos cómo cambiar un tubo fluorescente fundido, pero cuando eso pasa en el trabajo, salvo raras excepciones (o necesidades de orden mayor), no lo hacemos; llamamos al electricista. Al fin y al cabo, ese no es nuestro trabajo, no nos gusta, no queremos problemas con el de riesgos laborales, y si al final hay algo más que un tubo fundido, no sabremos qué hacer.

Es así de simple, más o menos.

WWW. Una ventana al mundo, una ventana para los intrusos

A menudo las organizaciones securizan su dominio protegible implantando una serie de controles tecnológicos que permiten impedir o en todo caso minimizar el impacto de actividades ilícitas por parte de terceras personal, o incluso las realizadas por el propio personal corporativo. Instalación de cortafuegos perimetrales, software de detección y eliminación de malware, proxys, sistemas de detección de intrusos y un largo etcétera, serían algunas de las medidas empleadas.

En este momento el responsable de TI de la organización siente una falsa sensación de seguridad, ya que descuida, entre otras cosas, las posibles vulnerabilidades latentes en el software de los servicios de DMZ. Normalmente estos servicios perimetrales (servidores de correo, DNS…) se sustentan en software de amplia distribución y con un soporte de actualizaciones de seguridad pero, ¿qué ocurre con la pagina web corporativa? Estos sites que ofrecen la imagen y la marca de la organización al resto del mundo son desarrollados de forma personalizada, sin un soporte, muchas veces, de actualizaciones de seguridad. Si quieres que corrija estos errores, paga el esfuerzo que requiere ese desarrollo adicional. Sí, esta frase es bastante común, dado que este tipo de situaciones no se contemplaron en el alcance del proyecto, ni se requirió que el desarrollo siguiera un marco de trabajo de desarrollo seguro.

En bastantes de las auditorias y test de intrusión de aplicativos web que S2 Grupo ha realizado, no sólo se obtuvo el control del site auditado (acceso a insertar modificar o eliminar el contenido de la web), sino que se pudo obtener numerosa información confidencial (credenciales de acceso a zonas privadas, números de cuenta bancarias, cuantas de correo electrónico, documentos confidenciales de la organización…), sin comentar la posibilidad de realizar ataques de phishing y robo de sesiones. Todo ello tan sólo a través de la página web de la corporación, esa ventana al mundo accesible desde el sitio más recóndito del planeta.

Para hacerse una idea de los potenciales puntos de entrada que un intruso tendría a través de la web basta con tener en cuenta el conjunto de parámetros POST y GET de los posibles recursos dinámicos (jsp, asp, php, cgi’s…), así como cookies o cualquier otro tipo de información que sea enviada desde el cliente para que el servidor la procese. En un site de tamaño medio donde su funcionalidad sea informativa y presente una zona privada, el total de puntos de entrada del atacante es inmenso.

He aquí el papel relevante que juega la seguridad en este tipo de servicios, y que en general se tiene totalmente descuidados. Pero, ¿cómo es posible mitigar estos riesgos? Pues aplicando principalmente dos estrategias:

  • Usar un Framework de desarrollo seguro que se integre en el ciclo de vida de desarrollo del software.
  • Realizar auditorias de seguridad, preferiblemente con test de penetración, cuyo alcance abarque tanto el análisis de las vulnerabilidades de la web como los permisos de la base de datos que la sustenta (en caso de que use, claro). Este último punto es de vital importancia porque en numerosas ocasiones los permisos del usuario de la BD que la aplicación utiliza son inadecuados, permitiendo obtener información que no tendría porqué ser accesible. Recordar que siempre hay que aplicar la máxima del mínimo privilegio.

A todo esto cabe añadir que las aplicaciones en general tienden cada vez mas a desplegar su interfaz gráfico hacia la web, e incluso programas típicos de edición de texto como Microsoft Word tienen sus homólogos en la web (ver Google Docs). Dado el auge de esta tendencia y la escasa preocupación por la seguridad de estos servicios, nos lleva hacia un panorama desolador e inseguro, haciendo necesaria la aplicación de controles preventivos y reactivos, que mitiguen estas amenazas para las organizaciones y usuarios particulares.

Pero, ¿quién tiene la responsabilidad de que estos fallos permitan al intruso acceder a la información confidencial? Indudablemente para mí, el programador web, que a menudo es contratado sin experiencia, no solo en seguridad sino en cuanto a skill de programación se refiere, por empresas que lo único que quieren es obtener un producto en poco tiempo, bonito y que cumpla las especificaciones requeridas por el cliente; preocupándose por la funcionalidad y descuidado el rendimiento y la seguridad de su plataforma. ¿Sería conveniente aplicar algún tipo de castigo? Una de las medidas que el equipo de auditoria del ACE Team de Microsoft aplica sobre sus proyectos de desarrollo es penalizar a los jefes de proyecto y programadores que desarrollen de forma insegura, reduciendo el presupuesto de sus proyectos según el número y grado de vulnerabilidades encontradas. Sería una opción a considerar.

Al respecto, y en la línea de lo comentado, la encuesta de esta semana es la siguiente:

[poll id=”10″]

* * *

(N.d.E.) En relación con la encuesta anterior, cuyo resultado les muestro debajo, ha quedado claro (siempre teniendo en cuenta el ámbito en el que nos movemos y el público de este blog) que en general, la preocupación por los datos gestionados por las (empresas propietarias de las) redes sociales es legítima y compartida por gran parte de nuestros lectores.

[poll id=”8″]

Yo, Bicho.

Algunos me llaman Kido, otros Disken, aunque puede que el nombre que me haya hecho más popular sea Conficker. En realidad no importa, sólo son nombres que me dan aquellos que me buscan para destruirme. Mi auténtico nombre es algo que, como mi creador, permanece oculto.

Soy un bicho, y esta es mi historia.

Nací hace algunos meses en un garaje de algún lugar del mundo, tras bastantes horas de esfuerzo. Allí mi creador me explicó lo que sería mi misión, y me transmitió el secreto que me permitiría avanzar entre los enemigos. “Busca el 445” me dijo, ese era el camino.

Una vez en la red, me apresuré a buscar ese 445 que me iba a permitir explorar este mundo que se abría ante mi. Desgraciadamente hoy en día los 445 no se exhiben así como así, sino que se encuentran bien guardaditos, al menos de puertas hacia fuera. Tenía que haber otra manera de pasar esas malditas puertas. Tras un par de vueltas a la cabeza y un par de copas en el bar de Blaster (sí, ese que montó tras retirarse) conocí a un bicho que aseguraba conocer el secreto para que Internet Explorer le abriera las puertas. No tenía nada que perder, así que decidí colaborar con él. Nos metimos en un disfraz de JPG y me dijo que me estuviera quieto y callado, y nos apresuramos a reenviarnos a tantos buzones de correo como pudieramos, con la esperanza de que alguno de ellos no se percatara de la trampa hasta que fuera demasiado tarde.

Pasadas unas cuantas horas y visitar algunos usuarios domésticos, alguien nos descarga desde su buzón de GMail, y al abrir la imagen… mi compañero cumple su palabra, me saca del disfraz y me libera para que prosiga con mi misión.

Miro a mi alrededor y efectivamente he pasado una de las puertas, estoy en un equipo edición profesional, y me pregunto como es posible que en estas empresas permitan que los usuarios consulten el correo de GMail o cualquier otro webmail público sin ningún tipo de restricción. Mejor para mí, ya estoy dentro…

Desde aquí puedo ver un montón de 445’s de equipos que tampoco tienen activados los cortafuegos personales. Me pregunto si tiene alguna utilidad que entre equipos de usuario este puerto sea accesible, además de servirme a mi para mis planes, o si la palabra “segmentación” y “filtrado” le dice algo a esta gente. Intento avanzar de equipo a equipo, consiguiéndolo en la mayor parte de ellos; a los usuarios (y a algunos administradores) no les gusta eso de aplicar parches de seguridad, de lo contrario ni siquiera hubiera podido pasar del Internet Explorer. El caso es que tengo un montón de equipos en los que andar a mis anchas.

En muchos de ellos están también aquellos que buscan destruirme, pero no me conocen, no saben cómo soy, y somos demasiados procesos como para que se den cuenta del tipo de acciones que estoy realizando.
Me copio en disco, bien escondido, y también en tantos dispositivos USB como encuentro, así si soy destruido mientras prosigo con mi misión, otro ocupará mi lugar.

Parece que finalmente he sido descubierto. Tanto andar a mis anchas de un lado para otro hace que todo vaya más lento; quizá la próxima vez debería ser más sigiloso. Han venido unos tipos y han capturado a varios de los nuestros, me preocupa que puedan interrogarlos y conseguir averiguar todo lo que saben sobre la misión. Mis peores temores se han hecho realidad, estos tipos de antes han debido avisar a aquellos que quieren destruirnos, porque ahora de repente nos reconocen, y saben cómo y dónde nos escondemos. Intentamos huir pero el 445 ya no me muestra el camino, no tengo escapatoria. Poco a poco, todos los compañeros caen, tras varios días de intensa batalla.

Parece que mi corta vida ha llegado a su fin, pero esto no va a quedar así. Volveré… Y estaré siempre un paso por delante de ti.