¿Romper WPA/WPA2 con GPUs? ¡Chorradas y más chorradas!

20 de octubre de 2008 Por

En primer lugar, decir que es desalentador el tono con el que algunos lectores de este blog hacen llegar sus comentarios. Les insto a que moderen sus formas ya que este pretende ser un foro de discusión técnica, donde argumentos y datos se superpongan a insultos y ofensas, que no tienen cabida. Dicho esto, me gustaría contestar uno a uno los comentarios realizados durante este fin de semana sobre el post de seguridad WPA anterior que ha aparecido recientemente en menéame.net.

Por lo que respecta al usuario Anónimo que afirma que el cálculo ha sido realizado para el caso peor, es decir aquel en el que la “Primary Master Key” (PMK) se encuentra al final de nuestro diccionario, estoy totalmente de acuerdo: se debería considerar el caso medio. Los cálculos reflejan el coste de computar las “Rainbow Tables” (tablas hash precomputadas) para un ESSID y una PSK concreta, obteniendo un ratio mas desalentador (300 p/s) del propuesto inicialmente en el post (400 p/s, y ya dije que fui benévolo) según el estudio realizado en el proyecto final de carrera adjunto [Seguridad en Redes 802.11, PDF, 5MB]. Para ello se compararon los dos algoritmos que actualmente pueden realizar ataques de fuerza bruta a WPA/WPA2: Cowpatty y Aircrack-ng, utilizando para ello diversos procesadores.

Los resultados obtenidos fueron que en un Intel 3 Ghz Core Duo se llegaron a computar un ratio máximo de 300 palabras por segundo, por lo que recalculando tendríamos que para el caso medio, utilizando un alfabeto de 100 caracteres (mayúsculas, minúsculas, números y símbolos) y una PSK de 8 caracteres, un espectro de (100)^8 = 10.000.000.000.000.000 posibles palabras del lenguaje. Multiplicando por 100 la capacidad de cálculo anteriormente comentada (300 palabras/seg.), según dice el fabricante del software:

“With the latest version of Elcomsoft Distributed Password Recovery, it is now possible to crack WPA and WPA2 protection on Wi-Fi networks up to 100 times quicker with the use of massively parallel computational power of the newest NVIDIA chips. Elcomsoft Distributed Password Recovery only needs a few packets intercepted (with any network sniffer that can export data in tcpdump format) in order to perform the attack.” [Referencia]

tardaríamos 10569,930661255 años en el peor de los casos y 5284,965330627 años en el caso medio. Como se puede ver los resultados todavía son mas desalentadores que los comentados en el post inicial.

Ahora supongamos que tenemos una granja de 1000 tarjetas NVIDIA GFORCE y que dividimos el espacio de palabras a calcular repartido en todas ellas. Se tardaría 10,5 años en el peor de los casos y 5,2 años en el caso medio, lo que parece acercarse a valores temporales manejables. No obstante, todos estos cálculos se habían realizado para el mejor de los casos, es decir que el usuario hubiera utilizado una PSK de 8 caracteres. Aumentar tan sólo en 1 la longitud de la contraseña multiplica por un factor de 100 el tiempo necesario para la recuperación, por lo que con sólo 12 caracteres el tiempo necesario tanto en el peor como en el caso medio se dispara de nuevo. Ni cabe tiene que decir que si seguimos aumentando el tamaño de la PSK obtenemos tiempos de recuperación inmanejables.

Por lo que respecta a los comentarios de ValaV afirmado que consigue un incremento “de unas 5000 – 1000 tests por segundo, a 50 millones”, pueden ocurrir dos cosas: que estés confundiendo de protocolo de seguridad (esos cálculos se asemejan más a ataques estadísticos WEP), o que estés utilizando tablas precomputadas, las cuales dudo que lleguen a 50 millones como afirmas. A eso hay que añadir que esas tablas solo son válidas para un ESSID concreto, por lo que no sirven para un ataque genérico.

“Pobrecito Hablador” comenta “deja de pensar en ataques de fuerza bruta que ya no se usan desde hace 20 años”. No voy a comentar tal afirmación, pero sí que me gustaría que comentara cómo realizar un ataque criptológico a RC4 (WPA) o AES (WPA2) sin el uso de la fuerza bruta; quizá estemos ante un nuevo “Bruce Schneier”. Es relevante indicar que con unos simples paquetes capturados de la red no es posible obtener la PSK, dado que lo único que se consigue es la PTK temporal, que no te serviría de mucho ya que que se regenera para cada sesión (se necesita el Handshake). Te aconsejo pegues un vistazo a la serie de posts sobre WPA.

Por lo que respecta a los comentarios de Heffeque, que dice que se aplican datos falsos e ignoran detalles, respeto su opinión pero en ningún momento presenta información que contradiga lo analizado en el post. El calculo CPU:GPU que indicado está basado en la información que la empresa fabricante del software ha dado, para mí “Phising Comercial”, término que parece que ha levantado ampollas.

En relación con este aspecto, cuando una empresa realiza afirmaciones demasiado aventuradas, desde mi punto de vista, sobre una tecnología ampliamente extendida tirando por tierra al grupo de trabajo de IEEE 802.11i, para mi es un Phising en toda regla. Tratando de vender un producto que permite reducir en tiempo de recuperación de la PSK de WPA/WPA2 pero que dista mucho de las afirmaciones que algunas publicaciones han reflejado “WiFi encryption cracked by Russians using Nvidia graphics cards“, me parece apropiado utilizar este término cuando lo que se pretende es “Pescar Clientes”.

Por último, agradezco a todos los comentaristas sus intervenciones (a pesar, en algunos casos, de las formas utilizadas), e insto a los lectores a que tras leer la serie de entradas sobre seguridad en WPA publicados en este mismo blog, aporten argumentos de peso que permitan mostrar que estoy equivocado, o que al contrario estoy en lo cierto y esto no es más que una estrategia comercial apoyada (no intencionadamente, en cualquier caso) por varios medios de comunicación.

¿Romper WPA/WPA2 con GPUs? ¡Chorradas!

17 de octubre de 2008 Por

Se ha publicado recientemente que la empresa Elcomsoft ha desarrollado una nueva tecnología que permite utilizar la GPU de la tarjeta gráfica Nvidia para romper el cifrado de WPA/WPA2 hasta 100 veces más rápido que utilizando un PC normal [engadget, ItWire, securityandthe.net]. Aunque no dudo en absoluto que dicho anuncio sea cierto, permitidme una sarcástica carcajada para lo que es un phising comercial en toda regla, y veamos por qué.

Dado que la longitud mínima de una PSK de WPA o WPA2 es de 8 caracteres y el alfabeto manejado es de [A-Za-z0-9Sym32], tenemos (29+29+10+32)8 = 10.000.000.000.000.000 posibles palabras del lenguaje, que son… bastantes. Teniendo en cuenta que, siendo benévolo, los procesadores actuales mas potentes (utilizando el algoritmo de Aircrack) pueden a lo sumo barrer 400 palabras por segundo, y multiplicando por el incremento de la capacidad de procesamiento de la tarjeta Nvidia tenemos un total de 40.000 palabras del lenguaje por segundo.

Echando cálculos, y si no me equivoco, se tardarían 7.927 años en barrer todas las posibles cadenas, y eso suponiendo que has acertado con el ESSID (ya que la cadena de cifrado depende de él) y que la PSK es ¡sólo de 8 caracteres!, cuando la longitud de la cadena en WPA puede ser mayor de 60 caracteres. Teniendo en cuenta además que cada incremento de la longitud en 1 caracter multiplica por un factor de 100 el tiempo necesario, pueden hacerse una idea de la magnitud temporal si tomamos 12 caracteres en lugar de 8.

Así que este producto esta bien, sí, pero esta muy muy lejos de lo que anuncian, y es más un reclamo comercial que otra cosa. He visto varios anuncios de este tipo con gente que vende colecciones de DVD’s con tablas precomputadas, que aseguran que rompen todos las claves WPA. Chorradas; el verdadero problema de seguridad de WPA son los usuarios y solo será vulnerable cuando se rompa el cifrado (RC4/AES).

Para acabar, si les gusta el tema de aparatillos hardware que permiten incrementar la potencia de cálculo, Picocomputing contruye mediante ASICs y FPGAs dipositivos que pueden llegar a barrer 1000 palabras por segundo. Aunque vistos los cálculos previos, no se hagan ilusiones…

Actualización 20/10, 13:15h (N.d.E.): El autor, Roberto Amado, ha publicado una segunda entrada rebatiendo algunos comentarios.

Actualización 20/10, 11:45h (N.d.E.): Mientras espero la contestación de Roberto Amado a los comentarios realizados, tanto aquí como en menéame.net, hay varios aspectos que es necesario comentar.

El primero es que aunque quizá el término “phising comercial” esté algo cogido por los pelos, decir que “WPA/WPA2 protected networks are not immune against distributed attacks performed with GPU-accelerated algorithms“, como Elcomsoft hace en su nota de prensa, es cuanto menos amarillista; sólo hay que echar un vistazo a Google para ver hasta qué punto ha calado el mensaje. La seguridad de WPA2 sigue siendo igual de robusta hoy que antes del anuncio de Elcomsoft, siempre y cuando, como es habitual, la contraseña tenga una longitud mínima y sus correspondientes reglas de complejidad.

En segundo lugar, aunque no se menciona el uso de una única GPU, utilizar 5, 10, 100 o 1000 no resulta un factor decisivo comparado con el incremento temporal que tienen dos o tres caracteres adicionales; descontando por supuesto que no todo el mundo dispone de tal cantidad de dispositivos.

En tercer lugar, comparar la seguridad de WEP con WPA/WPA2 carece totalmente de sentido, y no hay mucho más que decir al respecto.

En cuarto lugar, para la velocidad de crackeo por fuerza bruta es necesario el uso de tablas precomputadas, que pueden incrementar la velocidad hasta cerca de 40,000 passwords por segundo; no obstante, dichas tablas, aparte de tener que calcularlas, dependen del SSID de la red, por lo que en muchas ocasiones resultan de escasa utilidad. Al respecto, alguno parece haber asumido que el crackeo se hace haciendo pruebas con la Wifi, cuando en el artículo jamás se menciona ese punto. Otra persona dice que los ataques de fuerza bruta no se usan desde hace 20 años, pero me abstendré de contestar a dicha afirmación.

Para acabar, resulta más bien decepcionante (aunque previsible, por otro lado) que en lugar de aportar argumentos convincentes, algunas personas (no todas, afortunadamente) se limiten a insultar o a rebatir el artículo con afirmaciones vacías. En breve espero tener una respuesta de Roberto con todos los detalles. Hasta entonces, espero que apliquemos, antes de soltar los dedos, esa cautela que tanto se pide.

Irresponsabilidad Corporativa y Mal Gobierno

16 de octubre de 2008 Por

Ahora que está tan de moda la Responsabilidad Corporativa y el Buen Gobierno (ver la reciente entrada de José Rosell), parece que los eventos que estamos viviendo a nivel mundial se empeñan en demostrarnos que éstas brillan por su ausencia, o que al menos se están entendiendo más como una moda o una cuestión de imagen de cara a la galería, que como un compromiso real. Sólo así se entienden hechos como el desplome financiero de grandes (y hasta hace poco, reputadísimas) entidades financieras que han incurrido en situaciones de riesgo operacional tan irracionales como irresponsables, o problemas como los que está sufriendo Islandia. Estos acontecimientos hacen cada vez más patente la necesidad de supervisión y control interno real en las organizaciones, y remarcan la necesidad (y al mismo tiempo, su insuficiencia) de la existencia de leyes como la SOX; evidentemente mejorables, pero imprescindibles.

Aunque también habría que implantar controles relacionados con la Responsabilidad Moral o Ética para algunas de estas empresas y sus directivos, pero para esto, así a bote pronto, me cuesta más plantearme el diseño de los controles. Discúlpenme, pero necesitaba desahogarme.

La necesaria segregación de funciones

15 de octubre de 2008 Por

En una ocasión tuve la oportunidad de revisar el procedimiento que asegura que en una cadena de montaje el tornillo que sujeta la barra de la dirección de un vehículo se introduce correctamente, aspecto como comprenderán de vital importancia por sus implicaciones en seguridad. Dicho procedimiento era el siguiente:

1. Un operario colocaba el tornillo.
2. Otro operario apretaba dicho tornillo con otro par de apriete.
3. Un tercer operario pintaba de blanco el tornillo, y no por una cuestión estética, sino para obligar a que alguien tuviera que hacer algo sobre el tornillo existente.
4. Finalmente, un último operario de calidad revisaba que estaba dicho tornillo y además estaba pintado de blanco, y procedía a anotar el resultado en una hoja de control de calidad; por supuesto, si el operario no encontraba el tornillo no se limitaba a apuntar que éste no estaba y dejaba el coche continuar por la cadena de montaje como si nada.

Con este procedimiento los responsables del proceso estaban razonablemente tranquilos de que todos los coches salían con su tornillo en la barra de la dirección, ya que cualquiera de los intervinientes podía levantar la alarma ante la falta del tornillo. Como pueden imaginar, otro tipo de revisiones más “ligeras” nos podrían llevar a que si el primer operario no pone el tornillo, nadie se da cuenta y el vehículo sale sin dicho elemento, con el problema evidente que eso supone.

Si extrapolamos este caso al campo de las Tecnologías de la Información, aunque en muchos casos las consecuencias del fallo de un proceso no suelen ser del mismo calibre (aunque en ocasiones, como sistemas SCADA de entornos críticos, sí que lo son), tenemos que las responsabilidades de instalación, mantenimiento y auditoría recaen a menudo sobre la misma persona/grupo o departamento en su totalidad.

Así pues, procesos como el parcheado y la configuración segura de servidores, gestión de cortafuegos, cambios de arquitectura, o seguridad perimetral deberían auditarse y revisarse con rigurosidad, por terceras partes ajenas a aquellas que han intervenido en el proceso de instalación o los mantienen funcionando en el día a día; porque además lo más probable, por un simple factor psicológico, es que una persona que tiene un fallo en una instalación o en la gestión de un servidor de producción no se percate de ello aun en el caso de tener que auditar estos elementos.

Por ello, y aquí es donde quería llegar, es imprescindible que el Departamento de Seguridad esté segregado, y revise y audite los elementos de cualquier proceso relacionado con la seguridad con total independencia y desde su propio punto de vista. Es más, en cualquier organización la posición jerárquica del responsable de seguridad debe de estar por encima o en paralelo del responsable de TI, pero nunca por debajo de éste. Eso nos asegurará que dispone de libertad para “levantar la voz” cuando lo considere necesario, y promover iniciativas propias que no son relegadas a un segundo plano por las necesidades inmediatas de TI; en otras palabras, que cuando vea que un tornillo no está donde debe, pueda anotarlo sin que se considere que un tornillo es sólo un tornillo y que es mejor que el coche siga por la cadena de montaje.

En definitiva, no tenemos que olvidar que además de operarios que ponen tornillos, es necesario tener personal que revisa que esos tornillos están donde deben estar, por lo que pueda pasar. Para acabar, les contaría por qué se estaba revisando con detenimiento el tema del tornillo, pero eso es otra historia…

La dificultad de la detección de intrusiones

13 de octubre de 2008 Por

Supongamos que sospecha padecer una enfermedad que afecta a 1 de cada 1000 habitantes. Para salir de dudas, decide someterse a un test cuya precisión, según su médico, es del 99%, habiendo clasificado como enfermos a 1 de cada 100 pacientes sanos en promedio a lo largo de los años. Para su desgracia, el test resulta positivo. ¿Hasta que punto debería preocuparse? Sorprendentemente, la probabilidad de que realmente usted esté enfermo es tan sólo de aproximadamente el 9%; contrariamente a lo que tenderíamos a pensar, unas 91 personas de cada 100 en su situación estarán sanas pese a haber dado positivo en el test.

Este sesgo en nuestra intuición probabilística, conocido como la falacia de la tasa base, la paradoja del falso positivo, la confusión de la inversa o la falacia de la probabilidad condicional, suele presentarse cuando el índice de incidencia de un suceso (esto es, su probabilidad a priori) es bajo. Y éste es precisamente el caso en el problema de la detección de intrusiones en seguridad informática, como observó el investigador sueco Stefan Axelsson en un artículo de 1999. Veámoslo con un poco más de detalle.

Si llamamos A al suceso “el detector de intrusiones ha emitido una alerta” e I al suceso “se ha producido una intrusión”, tenemos que la probabilidad condicional P(A|I) es la medida de la “precisión” de nuestro detector (la probabilidad de que cuando se produzca una intrusión se emita una alarma), por lo que nos interesa que sea cuanto más alta mejor. Por otro lado, P(A|no I) es la probabilidad de falso positivo: la emisión de una alerta más a atender por parte del personal técnico de seguridad que nos aporta más bien poca información. Obviamente, nos interesa que esa probabilidad sea lo más baja posible.

En el fondo, lo que nos interesa es que el detector de intrusiones sea “efectivo”: que detecte el mayor número de intrusiones pero manteniendo la tasa de falsas alarmas en un nivel aceptable. Nos interesa también que, cuando vemos una alarma, la probabilidad de que corresponda a un ataque, P(I|A), sea lo más alta posible. Relacionando todo lo anterior con ayuda del Teorema de Bayes, tenemos que:

P(I|A) = P(I) x P(A|I) / [ P(I) x P(A|I) + P(no I) x P(A|no I) ]

Como estimación, el detector de intrusiones ubicado en la zona desmilitarizada de un cliente relativamente pequeño ha procesado unos 500 millones de datagramas IP en los últimos 4 meses, a partir de los cuáles ha generado 339 alertas. De esas alertas, 128 se corresponden con ataques reales. Suponiendo una precisión del 100% (que ya es suponer), P(A|I) = 1, tenemos que las intrusiones detectadas son todas las que se han producido, y que la probabilidad de intrusión, tomando 10 datagramas por cada una de ellas, es P(I) = (128*10) / (500*10+6) = 2,56*10-6. Como P(no I) = 1 – P(I) se aproxima mucho a 1, sustituyendo en la anterior ecuación nos queda, aproximadamente:

P(I|A) = 2,56·10-6 x 1 / [ 2,56·10-6 x 1 + 0,99 x P(A|no I) ]

con lo que se observa claramente que el factor dominante es ese 0,99 de P(no I), y que la probabilidad de falso positivo tendría que ser muy baja para contar con una efectividad adecuada. Cualquiera que haya trabajado atendiendo las alertas generadas por un detector de intrusiones actual convendrá en que no es ni mucho menos el caso: la mayor parte del tiempo es dedicado a descartar falsos positivos. La cuestión es: ¿es realmente posible obtener una tasa de falsos positivos tan baja? El tiempo lo dirá, pero a día de hoy la solución quizá pase por facilitarle la vida al técnico de seguridad en forma de herramientas que le faciliten la gestión de las alertas generadas y la consulta de la información necesaria para procesarlas cómodamente.

P.S. La falacia de la probabilidad condicional también es aplicable a otros ámbitos de la seguridad. Por ejemplo, dado el bajo número de población terrorista con respecto a la población total de un país, aun suponiendo que los gobiernos cuentan con herramientas de vigilancia masiva altamente precisas, es difícil que la tasa de falsos positivos (no terroristas identificados como terroristas) sea tan baja como para asegurar una detección eficaz según los parámetros anteriores. Además, ¿cuál sería el coste de ser clasificado como un terrorista cuando no lo eres? ¿Y el de la pérdida de derechos civiles asociada a ese tipo de vigilancia?

No todo son irregularidades

10 de octubre de 2008 Por

Siguiendo con mi serie de entradas “basadas en hechos reales”, a lo cine de sobremesa de Antena 3, ayer me llegó al buzón de casa un “Aviso Urgente” procedente de una empresa hotelera perteneciente al grupo Marsans. Al parecer, por arte de birlibirloque había sido premiado con un sistema “Home Cinema Dolby Dolby Digital 7.1 + 2 noches de hotel en Europa”, aunque por supuesto, para acceder a ellos debía acudir con mi pareja a una “charla promocional” de 90 minutos, en la que sin duda intentarían vendernos alguna multipropiedad o ingenio similar, y en la que acabarían concluyendo que no entrábamos dentro de perfil adecuado y por tanto sin derecho a regalo.

Como pueden imaginarse, mi reacción inicial fue averiguar de dónde habían sacado mis datos. Echándole un vistazo al impreso y las normas de entrega impresas al dorso, destaco los siguiente puntos:

2.- Este envío es una entrega promocional gratuita remitida por Mundiprom como muestra de agradecimiento a su participación en su programa promocional […]

8- La información para esta campaña ha sido suministrada por DATA INTEGRAL ACTION, S.L. […] a la cual Vd. puede dirigirse para acceso, rectificación o cancelación de sus datos.

[Read more…]

Buen Gobierno. Una reflexión en voz alta.

7 de octubre de 2008 Por

No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.

Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.

No podemos trabajar en Buen Gobierno y no analizar en profundidad las evidentes implicaciones que tienen los sistemas de información y la información misma en las decisiones que toman los equipos directivos de las grandes compañías. No podemos hablar de un proyecto sostenible de una empresa y no tener en cuenta la evaluación continua de riesgos, riesgos que pueden afectar a la cuenta de resultados de la empresa de forma impredecible, tanto a través de un problema de la imagen de marca como de una sanción de la LOPD.

Dicen que en cuestión de protección de datos de carácter personal en España tenemos el régimen sancionador más duro de Europa; y tal vez sea muy duro para una PYME que no puede transferir un riesgo. O quizá lo sea para una PYME que por falta de conocimiento se enfrenta a sanciones por parte de la administración que llevan al empresario a la quiebra y a la ruina personal. Pero más allá de la PYME, no creo que sea tan duro para grandes organizaciones que se dedican a aprovisionar fondos en su cuenta de resultados porque prefieren pagar las multas a perder negocio, o que transfieren y comparten los riesgos a través de primas específicas de seguros. En estos casos no se puede alegar desconocimiento; grandes despachos de abogados se encargan de forma continua de pleitear para minimizar el impacto.

España no es el país con un régimen sancionador de protección de datos más duro para todos, sino en realidad, sólo para unos pocos, o muchos, según se mire, pero menos poderosos. En otros lugares de Europa, como Suiza o Alemania, además de tener sanciones económicas, aunque sean de menor importe, los administradores o infractores se pueden enfrentar a penas de cárcel. Interviene por tanto el Código Penal y eso, señores, sí que lo entiendemos los equipos directivos de compañías porque, independientemente de que la empresa pague la correspondiente multa, los directivos pagamos con nuestra libertad, nuestro prestigio y nuestra carrera.

¿Por qué entonces hablamos de Buen Gobierno en España? ¿Por qué olvidamos cuestiones tan importantes en el Gobierno de las sociedades? Por supuesto que el cuidado del entorno es importantísimo en los tiempos que corren y no es algo que cabe poner en duda, pero simplemente lo dejo en un comentario de Juan Alfaro, Secretario del Club de Excelencia en Sostenibilidad, al que en más de una ocasión le he oído una reflexión en voz alta que me parece de lo más apropiada: ¿conciencia o conveniencia?

Para acabar, no quiero con esto decir, ni mucho menos, que los temas tratados en los códigos de Buen Gobierno escritos en España no sean importantes. Por supuesto que lo son, pero no están ni mucho menos todos los que son, y esta situación debería cambiar para poder empezar a hablar de una forma seria de Buen Gobierno en España.

¿Viene o no viene el lobo?

3 de octubre de 2008 Por

Aunque no soy partidario de “colgar” dos entradas el mismo dia, la verdad es que en ocasiones las circunstancias obligan a ello; no podíamos dejar pasar el artículo de Antonio Villalón en referencia a la Operación Carrusel desarrollada esta semana, publicada hace un rato, pero tampoco podemos ignorar las noticias que hablan de una “nueva y terrible” vulnerabilidad descubierta por técnicos de la empresa Outpost24, y que parece ser capaz de realizar denegaciones de servicio en virtualmente cualquier dispositivo.

Por supuesto, y como cualquier vulnerabilidad de relativa importancia que se precie, tiene su correspondiente parte de salsa rosa; me resulta particularmente lúcido el comentario del creador de nmap, Gordon Lyon, aka Fyodor, sobre el bombo y la importancia que se le da en los medios a cada nueva vulnerabilidad (véase The Register: DoS attack reveals (yet another) crack in net’s core, Slashdot: New Denial-of-Service Attack is a Killer, y Search Security: TCP is fundamentally borked) hasta el punto que parece que vaya a acabar literalmente con Internet, y como el virus en el chiste, vaciar la nevera, robarte a la novia y llevarse tu coche. Parece que esto se haya convertido, sin dejar de lado la importancia de la seguridad, en una carrera de a ver quién da más; claro que a nadie se le escapa el componente meritocrático que hay detrás de mucho de estos “anunciamientos”.

En cualquier caso, a estas horas hay ya una innumerable cantidad de blogs y fuentes de información hablando del tema, que les aportarán todos los detalles técnicos que necesiten, pero si les gusta el cotilleo, pueden empezar por la entrada de Fyodor, en la que argumenta, además de lo que les comentaba, que el problema de seguridad no es tan nuevo como sus descubridores lo presentan, y seguir con la contestación de uno de los descubridores, Robert E. Lee. Y de ahí, al infinito y más allá.

Nada más. Buen fin de semana a todos.

Operación ‘Carrusel’

3 de octubre de 2008 Por

Esta semana se producía en España la mayor —una vez más— operación contra la pornografía infantil en Internet, denominada Operación Carrusel (podemos ver las noticias en periódicos de tirada nacional como elmundo.es y ElPaís.com), y que se ha llevado a cabo cuando aún coleteaban las últimas actividades de la Guardia Civil en la Operación ?lbum, muy similar a la anterior pero de menores dimensiones.

Obviamente, en primer lugar mostrar mi más completa repulsa ante determinadas conductas —sexuales o no— en las que se abusa de personas indefensas, en este caso de niños, con cualquier propósito; en especial para conseguir placer o beneficio propio, como presuntamente es el caso. Ójala todo el peso de la Ley (a pesar de la tibieza del Código Penal que comentaremos en otra ocasión) caiga sobre los que abusan sexualmente de menores y sobre los que encuentran placer viendo dicho abuso.

En segundo lugar corresponde felicitar a todos los que han hecho posible estas operaciones, en especial al Cuerpo Nacional de Policía y a la Guardia Civil que, una vez más, han ejecutado de forma satisfactoria las investigaciones necesarias para llegar a los domicilios de algunos pederastas; en especial, si tenemos en cuenta la precariedad de medios con los que en muchas ocasiones estos cuerpos se ven obligados a trabajar.

Finalmente, un comentario: sé que en los medios se indica que, en el caso particular de la operación ‘Carrusel’, el rastreo era en base a ficheros con nombres tan explícitos como preteen y similares, lo cual deja poco lugar a dudas acerca del contenido del archivo descargado; pero en otras ocasiones, la Policía Nacional y la Guardia Civil investigan en base al contenido real del fichero y no a su nombre, lo que puede implicar que se meta a inocentes en el saco de los pedófilos. Dicho de otra forma, si alguien descarga un fichero que se llama bambi.mpg —ejemplo típico, aunque podríamos tratar de descargar videos aparentemente de sexo entre adultos y encontrarnos un contenido pedófilo— que contiene pornografía infantil, y lo deja olvidado en su incoming (hay gente que descarga cantidades ingentes de películas y videos que a menudo casi nunca revisa), la Policía puede entrar (orden en mano) cualquier día en su casa y requisar su equipo, convirtiendo a ese alguien en un presunto, con todo lo que eso implica (abogados, juicios, vistas, comparecencias…). Es así, y lo es porque realmente esa persona está compartiendo pornografía infantil (aunque sin saberlo).

Evidentemente, un juez o un perito sabrá distinguir —eso espero— en cada caso si la persona que tiene delante simplemente tenía un fichero con un nombre inocente en su incoming, que resultó ser pornografía infantil, o si se trata de un individuo con multitud de archivos pedófilos en su disco duro, DVDs, etc. Pero en cualquier caso, pasar por dependencias policiales o judiciales en un tema como la pedofilia —en especial si eres el acusado— es un trago que no es agradable para nadie, y menos para alguien inocente.

La Edad Media

1 de octubre de 2008 Por

Después de la prehistoria, viene la edad media

Hace no mucho tiempo, digamos que unos 20 años, muchas empresas trabajaban con sistemas propietarios de las marcas que en aquella época estaban en auge. Podía encontrarse uno con los sistemas de Digital Equipment Corporation, Bull, etc., pero sin duda, toda aquella PYME de la época que tuviese cierto nivel de administración algo complejo optaba por los sistemas de IBM. Habían nacido los primeros mini ordenadores que eran asequibles, programables por el usuario, o por una empresa subcontratada.

El sistema operativo de aquellos “mini” ordenadores —el peso de la máquina podía llegar a unos 400 Kg.— era el SSP, que en sus diferentes versiones cubrió el abanico de los S/3X de IBM. El más utilizado en la época era el S/34, aunque ya existía el S/36, pero en cierto modo era bastante inalcanzable para aquellos que conservaban su S/34.

Mi trabajo en la época era de ingeniero de campo, por lo que me dedicaba a solucionar los problemas de dichas máquinas. Por lo general eran problemas de cableado de las pantallas, pero también ocurrían cosas como el bloqueo del sistema de frenado de los discos duros (que iba de 5 a 64 Mb). Hay que tener en cuenta que aquellos discos podían pesar unos 35 a 40 kilos, por lo que parar la inercia del giro era una ardua tarea, y para lo que se aplicaba la fuerza de un freno eléctrico con una zapata sobre el eje. Otros de los problemas podía ser que un módulo de memoria (de 8 Kb) fallase, y el peor desastre que podía ocurrir era que aterrizasen (literalmente, porque “volaban” controladas por un flujo de aire) las cabezas de lectura del disco duro.

Pues bien, en ese problema me vi metido en algunas ocasiones, pero la peor que recuerdo fue cuando en la empresa que me encontraba, filial de otra recientemente desaparecida, además de no tener las copias de seguridad al día, no sabían la contraseña del administrador del sistema. Restauré el contenido del disco a partir de la copia de seguridad más reciente, y tras ello arrancó el sistema operativo, pero para poder configurar lo básico y poder funcionar, se debía introducir la contraseña del administrador.

Hallé la solución por casualidad, en base a unas explicaciones ciertamente poco claras y no manuscritas: había que arrancar con el soporte de instalación del sistema operativo y utilizar la opción Debug. Esto proporcionaba una visión del contenido, byte a byte y en hexadecimal, del disco duro. En el primer segmento, aparecían varios caracteres diferentes de los 00 iniciales, por lo que deduje que la primera información que aparecía debía ser la que estaba buscando. Al no tener traducción a caracteres EBCDIC legibles, hice una sencilla operación: resté lo que estaba escrito del hexadecimal FF y me dio la clave: era el nombre del operador al revés.

Desde ese día, y con una pequeña orientación por mi parte en cuanto a seguridad básica, construyeron una verdadera fortaleza en cuanto al acceso al sistema. No hay nada cómo sufrir problemas de seguridad para que se despliegue la imaginación de los responsables.

Mi pregunta es: ¿Por qué no se conciencian desde el primer momento en que tienen a su cargo un sistema, que la seguridad es vital? Otra pregunta obvia que se me ocurre es: ¿Seguro que se le piden responsabilidades a aquellos que administran un sistema sin seguridad definida? Y la siguiente y última sería: ¿Es consciente el director general, al administrador, el gerente o el responsable de la empresa, de que su departamento de TI tiene una infraestructura de seguridad sólida y fiable?

Dejo la respuesta a esas preguntas como ejercicio para el lector.