Esto no es una broma

25 de enero de 2013 Por

Noticia de hoy. La Secretaria de Seguridad Nacional de los EEUU acaba de advertir del riesgo de un “11-S informático” inminente. Habla de una amenaza real de que se produzcan ataques informáticos contra infraestructuras clave no sólo para la defensa, sino para el suministro de servicios esenciales para el funcionamiento de su país.

Aunque sabemos que los políticos hacen a veces un uso interesado de las informaciones relacionadas con amenazas y riesgos para justificar intervenciones militares u otro tipo de acciones, no creo que sea éste el caso. No hay elecciones a la vista, no se habla de un país enemigo concreto, no es sensacionalismo ni demagogia. Esto no es una broma. De hecho Janet Napolitano habla de “si no prevenir, al menos mitigar los daños”. Estamos hablando de ataques a infraestructuras críticas que gestionan y suministran agua y electricidad a la población, sin ir más lejos.

Los EEUU tienen un problema similar al que tenemos en España. Muchas de las infraestructuras críticas están en manos de empresas privadas, lo que provoca a veces falta de comunicación con las administraciones públicas, recelos y trabas a compartir información sobre posibles vulnerabilidades de las instalaciones por los riesgos que implica que esa información pueda caer en manos de posibles terroristas, de la competencia o ser conocidas por los temibles mercados.

El gobierno estadounidense está trabajando en facilitar esas vías de comunicación y en activar un plan de ayudas dirigido a que las empresas privadas mejoren los niveles de seguridad de las infraestructuras que gestionan. En mi humilde opinión creo que por ahí deben ir los tiros. Estamos hablando de seguridad nacional, de seguridad de la población civil. No basta con publicar una Ley de Protección de Infraestructuras Críticas y su Reglamento. La frase más habitual escuchada en foros y reuniones en boca de los gestores privados es “Vale, ¿y esto quién lo paga?”. Para poner en marcha los planes de protección adecuados en materia de seguridad física, lógica y organizativa de estas infraestructuras críticas hace falta dos cosas: sensibilización y concienciación de los gestores de que los riesgos son reales y dinero para abordar los planes.

Por último, un pequeño detalle que considero significativo. La noticia a la que hago mención no se publica en la sección de sociedad, o de internacional. No. Se publica en la sección de tecnología del periódico digital. Este pequeño detalle en mi opinión denota que no se acaba de ver la gravedad del nivel de riesgo real existente. Esto no es una broma de cuatro frikies.

Malas ideas: la competencia

23 de enero de 2013 Por

De nuevo, esta historia es completamente ficticia y, como se suele decir, cualquier parecido con la realidad es pura coincidencia… Por supuesto, SAW no se hace responsable de nada ;)

Imaginemos que una empresa, competencia directa nuestra, busca un perfil como los que nosotros tenemos: sin ir más lejos, y sólo por poner un ejemplo, gente de seguridad; y sigamos imaginando que un compañero se ve tentado por una fabulosa oferta de esa empresa. Nada extraño, ¿no? A fin de cuentas, algo bastante habitual: si alguien de seguridad busca cambiar de empleo rara vez se va a ir a programar páginas web… seguirá en el mismo campo pero en otro sitio y ese otro sitio será, casi seguro, competencia del actual.

Pero pensemos ahora malas ideas… Por ejemplo en una persona que realmente no quiere cambiar de empresa, sino pasar un tiempo en la competencia. ¿Para qué? Muy sencillo: para tener acceso a su información importante (espionaje industrial le llaman). ¿Qué precios hora y qué perfiles maneja para un proyecto? ¿Qué líneas de negocio está intentando desarrollar y cómo y dónde lo está haciendo? Desde luego, a cualquiera de nosotros nos interesaría información como ésta u otra parecida… A fin de cuentas, nos posicionaría más que bien con respecto a esa competencia…

¿De cuánto tiempo estaríamos hablando para que nuestro topo llegara a su información objetivo en el nuevo destino? Depende mucho del topo, de su nuevo rol y de la organización objetivo. Si se trata de una empresa no vinculada al ámbito de la seguridad o no especialmente concienciada con este tema seguramente el acceso será muy rápido para una persona que haya conseguido el rol adecuado (por ejemplo, administrador de sistemas); no obstante, como hemos dicho, este tipo de empresas no serán las habituales, salvo excepciones, en las que nos interese meter un topo: nos gustarán más las empresas de seguridad o las que manejen información con grandes requisitos de protección (¿como las infraestructuras críticas?). De éstas se pueden sacar datos más sensibles, pero claro, a cambio de un mayor esfuerzo y de un plazo más largo (tampoco pasa nada, no solemos tener prisa… es más, seguro que hay topos que llevan toda la vida metidos en algún sitio ;). ¿Un mes? ¿Dos meses? ¿Seis? ¿Un añito? Dependeremos, ahora que tenemos claro el tipo de organización objetivo, de dos factores: de la habilidad del infiltrado y de su rol en la organización.

El tema del rol es determinante; los roles que seguramente muchos de nosotros solemos tener son siempre interesantes: técnicos con accesos privilegiados al entorno corporativo (servidores documentales, correo electrónico, elementos de comunicaciones…) o a información sensible de seguridad (logs, volcados de tráfico, entornos de monitorización…), gestores o consultores con acceso legítimo a datos sensibles (comerciales, tecnológicos, personales…) o incluso determinados perfiles con acceso a datos ya críticos para cualquier organización, como los nuevos negocios o mercados o las estrategias de aproximación a grandes clientes… En fin, en cualquier caso, información jugosa ;)

Y ya para acabar nos queda el tercer gran factor que determinará la eficacia (o la eficiencia) de esta mala idea: la habilidad del topo. Con independencia del puesto obtenido, tener acceso a la información que nos interesa será más fácil para alguien que tenemos ya dentro de la organización objetivo que para alguien que tenemos fuera. Por supuesto, si el rol que ha conseguido le da acceso directo a los datos que nos interesan la cosa será fácil a priori; si no disponemos de ese acceso nuestro trabajo se complicará y necesitaremos más paciencia: un poco de ingeniería social, algo de basureo, una oreja atenta en la máquina del café o un buen shoulder surfing ;) En cualquier caso, y en términos generales, nada que parezca muy complicado, ¿verdad?

Vale, ya tenemos la información… ¿Qué hacemos ahora con nuestro colaborador? Traerlo a casa de nuevo será contraproducente, sobre todo si lo hacemos de forma rápida y directa: la gente pensará mal (y con razón) de nosotros y eso, en un mundo como es el de la seguridad en el que trabajamos muchas veces con relaciones de confianza muy estrechas, no beneficia a nadie, ni a la persona ni a la empresa… Incluso haciéndolo indirectamente, es decir, dejando pasar un tiempo prudencial, saltando a otra organización y de ahí retornando a la nuestra es posible que quememos a la persona y que no podamos repetir un ataque de este tipo de nuevo con ella (es más, si somos tan malos que nos acostumbramos a este tipo de cosas acabaremos quemados, por lo que estas malas ideas hay que dosificarlas muy mucho). Así, parece obvio que recuperar a esta persona en nuestra organización será complicado; además, seguramente nos resultará más útil, mientras no se queme, en su nuevo destino (así nos podrá seguir pasando datos interesantes) o, por qué no, en otros destinos a los que acceda desde la nueva organización donde tenemos al topo. En este último caso será más difícil para el atacado detectarlo y asociarlo con nosotros, por lo que el trabajo será excelente y, seguramente, también lo será el resultado…

Poniéndonos ahora en el lado del atacado… ¿cómo podemos evitar que alguien con malas ideas nos haga justamente lo que nosotros estamos elucubrando en esta entrada? Con salvaguardas antes de contratar a una persona (como CV Screening, entrevistas…), durante la prestación de sus servicios (acuerdos de confidencialidad, controles de acceso físicos y lógicos, detección de robos de información, investigaciones…) y una vez finaliza la relación con la organización (monitorización, etc.). Vamos, nada nuevo, lo que dice cualquier norma de seguridad y cualquier cabeza… Sí, es fácil escribirlo en un post y difícil hacerlo… Efectivamente, de eso se trata :)

Por cierto, aprovechando esta entrada y que el Pisuerga pasa por Valladolid, os proponemos una nueva encuesta en el blog:

[poll id=”27″]

El año del Big Data

22 de enero de 2013 Por

Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

2013 va a ser el año del Big Data. No lo digo yo, lo dice la consultora Gartner que sitúa este concepto entre las siete tendencias que definirán el escenario tecnológico que está por venir. No es que el concepto de Big Data sea nuevo. El concepto existe de hace varias décadas, prácticamente las mismas en las que la tecnología se ha asentado como un valor diferencial en la empresa.

Ahora disponemos de la tecnología para trabajar con grandes cantidades de información gracias a los avances en correlación de eventos, reducción de costes de almacenamiento y hardware capaz de procesar estas bases de datos masivas.

[Read more…]

¿Cuánto cuesta hacer un ping todas las direcciones de Internet?

21 de enero de 2013 Por

(Puedes comprobar el resultado de este experimento en la segunda parte de este post: Resultado de un ping lanzado a todas las direcciones de Internet)

Internet, la red de redes; todas las organizaciones modernas del mundo están conectadas a Internet. Un gran número de individuos disponemos de conexión a Internet, en el trabajo, en el domicilio particular y en el dispositivo móvil.

Esto nos puede hacer pensar que estamos hablando de un vasto rango de direcciones, dentro de las cuales los atacantes pueden centrar sus ataques en una organización determinada. Por ahora tomaremos como toda Internet el espacio de direcciones de IPv4. Cuando se despliegue y esté en uso IPv6, está claro que todo esto cambiara y habrá un nivel añadido de complejidad.

Pero, ¿y si quisiéramos realizar una acción contra todas y cada una de las direcciones de Internet? ¿Sería viable? ¿Cuánto nos costaría? ¿Recursos técnicos? ¿Recursos físicos? ¿Tiempo? ¿Dinero?
Todas estas cuestiones nos las podemos plantear de manera teórica y quizás después hacer un pequeño experimento. Para empezar con el ejercicio teórico, vamos a suponer el siguiente escenario:

  • Queremos hacerle un ping (ICMP ECHO) a todas y cada una de las direcciones de Internet.
  • Queremos almacenar el resultado de si han contestado al ping o no (vamos si han hecho pong).

Veamos algunos cálculos:

¿Cuántas direcciones IP hay?

256^4= 4.294.967.296, en números redondos 4 mil millones de direcciones.

¿Cuánto ancho de banda consume un ping?

  • En nuestro caso como vamos a considerar 58 bytes por ping.
  • Veamos el ancho de banda que consumiríamos en hacerle un ping a toda Internet: 256^4 * 58 bytes = 232 GB.

Si queremos almacenar en disco la respuesta con solo un bit por dirección nos ocuparía 512 MB. Si por comodidad de proceso guardamos un byte por cada respuesta tenemos 4GB.

Si consideramos un ancho de banda de 50 Mbits/sec tenemos que en 10 horas podemos tener el escaneo realizado.

Conocimientos técnicos necesarios: Necesitamos hacer un programa que envíe de manera continua y ciega los paquetes, y otro proceso recibirá las respuestas de manera stateless (existe software similar para escaneos TCP llamado scanrand).

Capacidad técnica: Cualquier informático con conocimiento de sockets en C, mirando el ping.c podría realizar este programa.

Potencia necesaria: Con un PC normalito es más que suficiente; en nuestros experimentos hemos podido hacerlo sin problemas con un Dual-Core 2.66Ghz 4GB de RAM y una conexión de 100Mbits a Internet.

Coste del equipo y la conexión: Pues en algún conocido hoster puede costar 30 EUR al mes. En porcentaje de uso del servidor podríamos decir que 0,42 EUR de presupuesto.

Así pues, cualquier persona con conocimientos programación en C con 30 Euros puede realizar una acción masiva y global a todas las direcciones de Internet en menos de 10 horas. Una muestra más que simplemente por estar conectado a Internet es posible recibir un ataque. En la historia de Internet han existido múltiples gusanos que han atacado de manera indiscriminada todas las direcciones de Internet, y las redes de hoy en día y la potencia de los equipos hacen que las incidencias locales se conviertan en globales en pocos minutos. Un famoso ejemplo de esto fue el gusano SQL Slammer que consiguió en poco menos de 10 minutos colapsar Internet, aprovechándose de una vulnerabilidad atacada con un solo paquete UDP de 376 bytes.

Así pues, ha quedado claro que Internet es un lugar muy, muy pequeño, y hay que estar bien protegido, ya que con tan solo estar conectado a Internet te conviertes en (al menos) un objetivo indirecto de ataques globales y automatizados. Y no estar en Internet ya no es una opción.

En el siguiente post veremos el resultado de llevar a la práctica este ejercicio teórico. Para ello, nos decidimos a realizar un simple y benigno ping, contra todas las direcciones IP de Internet. Aunque es cierto que un ping puede ser el primer paso para un ataque más sofisticado posterior, no es esta (evidentemente) la intención de este experimento. Además, el realizar un ping nos puede mostrar además el nivel de filtrado o en nivel poblacional de los rangos IP de Internet lo cual puede tener un cierto interés académico.

No se pierdan el siguiente post en el que pasaremos a describir los resultados del experimento. ¿Qué problemas técnicos nos habremos encontrado? ¿Cuántas habrán hecho un pong? ¿Cuántas quejas habremos recibido? ¿Algún contraataque? ¿Qué redes contestan más?

Deserializando objetos Java sin los .class

18 de enero de 2013 Por

En una auditoría que llevamos a cabo recientemente, surgió la necesidad de inspeccionar el contenido de ciertos ficheros en formato binario, que a todas luces se trataba de objetos Java serializados:

$ file serialized.bin 
serialized.bin: Java serialization data, version 5

En efecto, los dos primeros bytes eran el magic number de este tipo de ficheros:

0000000 edac 0500 ...
0000010 ...
0000020 ...
0000030 ...
0000040 ...

pero los objetos serializados debían ser relativamente complejos, por lo que un mero strings sobre el fichero no nos ayudaba a “descifrar” la información.

[Read more…]

Los límites de la confidencialidad

17 de enero de 2013 Por

En uno de los capítulos de la versión americana de la serie británica de humor The Office, totalmente recomendable, los empleados descubren que algunos modelos de las impresoras que están vendiendo explotan inesperadamente, lo que les genera dudas sobre lo que deben hacer. Que una impresora muestre ese comportamiento es un tema serio, pero al mismo tiempo sienten que deben guardar algún tipo de secreto respecto a este “problema” de su empresa.

Seguramente conozcan el caso de Hervé Falciani. Si no es así, la Lista Lagarde es probable que les sea más familiar. Al parecer, Hervé copió los datos de 130.000 presuntos evasores fiscales mientras trabajó para el banco HSBC en Ginebra, lo que le ha traído no pocos problemas a él y algunos menos a los integrantes de la lista.

En referencia con esto, en Estados Unidos existe el concepto de whistleblower, que según la Wikipedia es “alguien que da a conocer el comportamiento erróneo que existe dentro de una organización o conjunto de personas. La revelación de esta conducta puede ser de varios tipos: la violación de una ley, regla o regulación que puede ser una amenaza al interés público, como un fraude contra leyes de salud o seguridad y/o sobre corrupción política.“. En este sentido, los códigos éticos del buen gobierno ya incorporan este tipo de aspectos en su funcionamiento.

Probablemente muchos de nuestros lectores hayan firmado a lo largo de su carrera profesional algún compromiso, contrato o cláusula de confidencialidad, en el que se establece la obligación de guardar secreto respecto de toda información accedida durante su trabajo. Sin embargo, y esta es una pregunta que planteada desde el entorno corporativo puede despertar ciertos recelos, ¿qué límites existen a algo tan sagrado en nuestra profesión como un contrato de confidencialidad? ¿Aspectos legales? ¿Aspectos éticos de carácter más personal? ¿O para ustedes es algo, simplemente, inviolable, no matter what?

Dejen de lado las consecuencias personales y pónganse varios ejemplos. ¿Habrían actuado ustedes como Hervé Falciani? Quizá no, porque el fraude fiscal no tiene, por desgracia, toda la mala prensa que debería. Ahora bien, ¿y si descubren que se trata de blanqueo de capitales? ¿Narcotráfico? ¿Tráfico de personas? ¿Sobornos? ¿Tráfico de influencias? ¿Pederastia? ¿Información privilegiada? ¿Desvío de capitales?

[poll id=”26″]

Cómo llegar a ser ITIL Expert

16 de enero de 2013 Por

Descubrí ITIL casi por casualidad, y pronto me interesé por saber más sobre el tema. El principal problema que encontré fue la falta de información clara sobre las diferentes posibilidades de certificación que me ofrecía. Ahora que ya estoy a medio camino del Expert, y con mayor conocimiento sobre ITIL, puedo compartir un resumen de los pasos a seguir.

Para el primer nivel, ITIL Foundation, no es obligatorio (aunque sí muy recomendable) realizar ningún curso. Es suficiente con asimilar los conceptos básicos de la documentación y hacer muchos ejemplos de examen. Con un poquito de preparación, no es difícil sacar el 65% necesario para aprobar la certificación (se debe responder correctamente al menos a 26 de las 40 preguntas tipo test).

Ahora bien, para ir un poco más allá en la certificación, la cosa empieza a complicarse. A la hora de buscar información es más complicado encontrarla en castellano, y en muchas ocasiones nos remiten a la famosa pirámide sin mayores explicaciones:

El esquema de certificación de ITIL se basa en un sistema de puntos. El primer nivel, Foundation, es imprescindible para comenzar a certificarse y una vez superado nos da 2 puntos. El resto de puntos necesarios para alcanzar el Expert lo podemos personalizar entre los distintos caminos que ofrece ITIL Intermediate.

En principio, existen dos vías básicas:

  • Service Lifecycle: se compone de cinco módulos, cada uno centrado en una fase del ciclo de vida del servicio. Cada módulo superado nos da 3 puntos.
  • Service Capability: más centrado en los procesos y los roles a lo largo de todo el ciclo de vida. Se compone de cuatro módulos que otorgan 4 puntos cada uno.

También tenemos la posibilidad, aunque no es tan recomendable, de mezclar ambas vías según nuestros intereses, teniendo en cuenta que no todas las combinaciones son válidas:

Sea cual sea el camino elegido, para cada uno de los módulos intermedios es imprescindible demostrar que se ha cursado una formación en un centro convenientemente acreditado. Dicha curso puede ser presencial u online y debe ser como mínimo de 21 horas para los módulos de Lifecycle y de 30 para los módulos de Capability.

Cada módulo cuenta con su propio examen de certificación, de manera que el candidato va obteniendo títulos intermedios, teniendo la posibilidad de focalizarse únicamente en un área de conocimiento y no certificarse en el resto.

Es importante tener en cuenta que tanto la documentación de los cursos como los exámenes están en inglés. Inicialmente, los exámenes son en inglés. Sin embargo, hay disponibles traducciones para algunos de los módulos que se pueden consultar en la página web de ITIL. El idioma de la documentación proporcionada en el curso depende del centro donde se realice.

Para todos los módulos intermedios, la estructura del examen es similar: se proporcionan ocho escenarios y se plantea una pregunta sobre cada uno de ellos. Cada escenario describe una empresa diferente con una situación muy concreta, centrándose en alguno de los aspectos del temario. Dentro de dicho escenario, el candidato adopta un rol específico y se le ofrecen cuatro posibles respuestas a la situación planteada.

Las respuestas están puntuadas de mejor a peor con 5, 3, 1 y 0 puntos respectivamente. De este modo, la máxima puntuación que se puede obtener es 40, siendo necesario alcanzar el 70% (28 puntos) para superar la certificación.

La duración del examen es de 90 minutos, aunque al no estar disponible en castellano los españoles contamos si no está disponible en la lengua materna del usuario se cuenta con 30 minutos extra, y está permitido el uso de un diccionario.

Una vez conseguidos 17 puntos entre el Foundation y los Intermediate, el candidato puede comenzar el módulo Managing Across the Lifecycle que, una vez superado, proporciona los 5 puntos faltantes para alcanzar los 22 puntos necesarios para la certificación ITIL Expert.

Al igual que en los módulos intermedios, es necesario recibir formación en un centro acreditado de al menos 30 horas y superar el correspondiente examen. De nuevo, tanto la documentación como los exámenes son en inglés.

La principal diferencia es que para este nivel, se proporciona un único Case Study más completo y sobre él se plantean 10 preguntas (cada una con un pequeño escenario para poner en contexto el rol a desempeñar). De este modo, el candidato puede demostrar su amplio conocimiento de ITIL y su aplicación en toda la organización. Nuevamente, hay cuatro posibles respuestas por pregunta valoradas con 5, 3, 1 y 0 puntos. La duración del examen es de 120 minutos (150 para aquellos estudiantes cuya lengua materna no sea el inglés que realicen el examen en un idioma distinto de su lengua materna) y es necesario alcanzar el 70% (es decir, 35 puntos de los 50 posibles) para superar la certificación.

En total, son necesarios como mínimo 5 cursos y 6 exámenes de certificación para llegar a ser ITIL Expert.

Un camino largo, pero merece la pena.

La vulnerabilidad Aurora o cómo explotar el conocimiento de los procesos físicos

15 de enero de 2013 Por

Tratar de despertar la conciencia de los riesgos en cuestiones de ciberseguridad en mis compañeros a cargo de instalaciones industriales es una tarea ardua. Hemos hablado en varias ocasiones de ello, poniendo de relevancia cómo el desconocimiento del funcionamiento y procedimientos de trabajo en los entornos TIC hace que los riesgos y mecanismos de ataque sean inconcebibles para estos ingenieros. Digo inconcebibles en el sentido estricto, es decir: no algo con una probabilidad muy baja de ocurrir, sino algo en lo que ni siquiera se puede pensar por carecer de los fundamentos culturales y la experiencia necesarios para ello.

La respuesta más habitual es la negación, articulada en torno a varias falacias que suelen justificar la sensación de seguridad. Una de ellas es la confianza en los mecanismos de protección físicos de las propias instalaciones o equipos: es decir, en los enclavamientos de seguridad implementados mediante sistemas mecánicos o eléctricos que funcionan de forma autónoma, sin requerir de procesamiento o elementos de comunicación y que, por tanto, se suponen invulnerables a un ciberataque. En cierto modo, en el esquema mental de un ingeniero de control (me incluyo), estos sistemas constituyen la última línea de defensa, absolutamente aislada y autónoma de cualquier incidencia en los sistemas basados en procesadores, también cuando esos procesadores son humanos y se emplean para evitar daños por operaciones manuales indebidas.

En mi propia experiencia el diseño de la instalación de control siempre se ha basado en el establecimiento de dos niveles:

  • Un nivel superior basado en la instrumentación electrónica y en algoritmos de proceso que, por su propia naturaleza, permiten una regulación más fina y eficiente. Este nivel está basado en procesadores.
  • Un nivel inferior basado en relés y actuadores eléctricos y mecánicos que permiten el funcionamiento del sistema en caso de fallo del sistema de control. Este nivel no se basa en procesadores y, además, impide al sistema físico funcionar en condiciones no deseadas. Se construye principalmente con sistemas electromecánicos y de lógica cableada.

Es en este segundo nivel donde reside la confianza en la imposibilidad de que los equipos físicos sufran daños incluso en el caso de que un individuo u organización tomase el control del sistema. Sin embargo, hay dos hechos que cuestionan de forma seria este paradigma de seguridad:

  • Últimamente he observado que en muchas instalaciones los enclavamientos de seguridad se implementan a través de lecturas de instrumentación digital, redes de comunicación y los PLC de la red de control. El objetivo es múltiple: por un lado ahorrar costes en cableado y dispositivos que se entienden como redundantes, y por otro, confiar en la mayor precisión y posibilidad de configuración de los sistemas digitales. Conozco algunos casos de fallos con importes que se miden en decenas y cientos de miles de euros a causa de esta práctica.
  • Los enclavamientos y sistemas de protección se diseñan para evitar daños en caso de que se den circunstancias de operación fuera del espacio de condiciones de trabajo admisibles. Pero puesto que los sistemas físicos no se explican a base de 1 y 0 (hay decimales) siempre se debe contar con un margen de reserva para evitar que condiciones transitorias debidas a la operación normal del sistema (o los propios márgenes de error de la calibración de los relés) produzcan el disparo intempestivo de las protecciones: bandas muertas de regulación, histéresis, retardos, márgenes de seguridad, etc.

En este segundo caso es posible, en principio, diseñar un ataque que se aproveche de esas bandas de no actuación de las protecciones para imponer condiciones de trabajo que resulten en un daño sobre los sistemas físicos. ¿Muy complicado? ¿Especulaciones sin fundamento? Lamentablemente no. Existe al menos un caso documentado en el cual se empleó esta estrategia con resultados espectaculares: la vulnerabilidad Aurora.

Se trata de una experiencia llevada a cabo en el INL (Idaho National Laboratory) en el año 2007 y, hasta donde he podido comprobar, ha caído en el limbo existente entre los profesionales dedicados a los sistemas de control y aquellos que se dedican a la seguridad de sistemas TIC: a fin de cuentas, entender el mecanismo del ataque exige tener un pie (metafóricamente hablando) en cada mitad del campo, razón por la cual pasó inadvertido para unos y otros más allá de un vídeo difundido por la CNN que, posiblemente a causa de la espectacularidad del mismo, desencadenó la reacción típica de negación en aquellos que podrían resultar directamente afectados por la vulnerabilidad. De hecho se ha cuestionado intensamente la veracidad de lo mostrado en el vídeo, llegándose a proponer que se emplearon dispositivos pirotécnicos para aumentar el efecto visual. Podéis ver el vídeo al final de esta entrada.

¿En qué consiste esta vulnerabilidad? El enunciado es sencillo: causar daños en un generador de energía eléctrica instalado en un sistema con todas las protecciones habituales aprovechando las posibilidades de mando remoto del mismo. ¿El resultado? Un éxito posiblemente inesperado que provocó la destrucción completa de un grupo generador diésel de 400.000 dólares.

De forma muy sencilla, el mecanismo de ataque es el siguiente:

Todos los grupos de generación se protegen frente a la conexión a la red en condiciones de falta de sincronismo, esto es: que la forma de onda que está siendo generada esté desfasada respecto a la existente en la red a la que se va a conectar el generador. A este fin se supervisan tensiones, frecuencia y fase. ¿Por qué? Porque puesto que, en general, la red tendrá una potencia muy superior a la del propio generador, en caso de conexión en condiciones no adecuadas, ésta forzará la sincronización casi instantánea del mismo. Esto resultará en la imposición de un par mecánico extraordinario en el eje del generador, sobreesfuerzo para el que no está diseñado y que, en caso de producirse de forma repetida acabará produciendo el fallo del mismo. Para visualizarlo fácilmente imaginemos a alguien que quiere subir a un tren en marcha: el procedimiento indicado es correr junto al tren a una velocidad similar y entonces saltar al interior. La alternativa es esperar junto a la vía y agarrarse a las escalerillas cuando pasan junto a nosotros. Es fácil intuir que el tirón en nuestro brazo no es algo a lo que nos queramos exponer.

Sin embargo, la actuación del conjunto de protecciones posee holguras que evitan la desconexión prematura del generador en caso de pequeñas (y admisibles) desviaciones de los parámetros supervisados. Esto es, ofrece una ventana de oportunidad para forzar condiciones no deseadas en el generador sin que la protección desconecte el grupo de la red. Se puede consultar un análisis técnico detallado de las condiciones técnicas del ataque y posibles medidas de protección.

Es cierto que para realizar un ataque de este tipo con éxito se deben cumplir un buen número de condiciones: conocimiento del sistema, posibilidad de acceso remoto al mismo, ciertas condiciones de funcionamiento del sistema eléctrico, conocimiento de las protecciones existentes y su configuración… Éstos son los argumentos que serán esgrimidos durante la fase de negación. Pero esa no es la cuestión.

La cuestión es la siguiente: dado el grado de exposición de los sistemas de control industrial a ciberataques por diversas causas (cuestiones culturales y organizativas, cuestiones técnicas, etc.) en realidad a la receta sólo le falta el conocimiento de los sistemas físicos y sus sistemas de control. La vulnerabilidad Aurora es un caso muy específico. Pero debe ser suficiente para demostrar que la confianza en las protecciones físicas de los equipos tiene sus límites y de que sólo hace falta alguien dispuesto a descubrirlos. Confiar en ellas como nuestra única línea de defensa es un riesgo que nadie se debería permitir.

¿No?

El vídeo original de la vulnerabilidad Aurora pueden verlo a continuación:

La nube es tu amiga (tranquilo)

14 de enero de 2013 Por

Hace ya unos meses Marcos publicaba una entrada, sobre aplicaciones que permiten o ayudan a recuperar un smartphone (Android) cuando lo hemos perdido o nos lo han perdido. Aparte de las que él mencionaba, en los comentarios aparecieron otras aplicaciones como AndroidLost o SamsungDive. Unos meses antes, en una entrada titulada “El móvil que se pierde sin querer queriendo“, Marcos utilizaba la aplicación Cerberus para proponer una situación hipotética en la que utilizábamos un móvil como canal de espionaje a alguien poco precavido.

Aunque la utilidad de dichas aplicaciones es más que evidente, su uso masivo pone de manifiesto la confianza prácticamente irracional que tenemos la mayor parte de los usuarios en la nube. En uno de los comentarios de la primera entrada, Sergio hacía un interesante comentario en el que apuntaba a la posible doble finalidad de este tipo de aplicaciones: no sólo localizar el móvil sino también controlar al dueño del móvil. Me dirán que esto suena algo paranoico, pero lo cierto es que la paranoia y el “podría pasar” son, posiblemente, los dos principales argumentos detrás de la industria de la seguridad, tanto lógica como física.

Volvamos a los móviles. Estaremos de acuerdo en que básicamente lo que estamos haciendo al instalar una de estas aplicaciones es conceder a “un tercero” acceso a nuestro dispositivo, en ocasiones con capacidad para borrar información, geolocalizar, hacer fotografías, grabar vídeo, etc. Este tercero está en… bueno, en realidad no sabemos dónde está, ni cómo protege dicho acceso a nuestro dispositivo, ni quién tiene dicho acceso, ni cuántas personas trabajan en él, ni nada… de nada. Nil.

Se me ocurren varios escenarios posibles: un insider “malintencionado” interesado en el contenido de los móviles de los usuarios, una intrusión en una de estas empresas, o directamente un servicio ofertado por CHANCHULLASA. La aplicación Cerberus es particularmente interesante por su forma de funcionamiento; permite cualquier acción y además se oculta en el móvil como… como un troyano. Si no fuese ilegal, seguro que más de uno controlaba a su pareja o a sus vástagos mediante este sistema. ¿He dicho ya que es ilegal, verdad?

Así que tenemos un dispositivo con un software instalado que no hemos auditado con el que un usuario remoto puede hacer básicamente cualquier cosa a nuestro móvil. Yo no sé demasiado de móviles, pero suena bien, ¿no? ¿Por qué hacemos esto? Porque pensamos que eso no va a pasar, porque pensamos que nuestra información es irrelevante, porque pensamos que somos una aguja en un pajar. Al fin y al cabo, ¿quién querría hacernos daño y para qué? Claro que esto es básicamente lo mismo que piensa un usuario novato cuando ejecuta una aplicación que le ha llegado a través de un email o una pequeña empresa cuando le proponen hacer una auditoría de seguridad lógica, y si está usted leyendo este blog es que ha superado esa fase. Pero el caso es que podría pasar, así que quizá no hayamos avanzado tanto.

Al mismo tiempo, nos da miedo cifrar nuestro dispositivo, no sea que el cifrado corrompa de alguna manera mágica la información. Nos causa pavor que Google nos geolocalice y lea nuestros emails y es terrorífico que un amigo de lo ajeno nos robe el móvil, lo formatee y no lo volvamos a encontrar. Es preferible, claro que sí, darle acceso remoto y control total a nuestro dispositivo a alguien del que no sabemos nada. Por supuesto, qué duda cabe. Si está en la nube no puede ser malo.

Claro que quizá nada de lo que planteo sea posible técnicamente. Al menos, hasta que alguien encuentre una forma de que lo sea. Ya saben, hay que ser paranoico.

/join #espana

11 de enero de 2013 Por

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)