Security Art Work

Los fans del dibujante Quino quizás recordaréis una tira de Mafalda en la que está ella mirando un documental en la tele donde una voz en off dice “Desde el arco y la flecha hasta los cohetes teledirigidos, es sorprendente lo mucho que ha evolucionado la técnica”, a lo que Mafalda replica “Y deprimente lo poco que han cambiado las intenciones”.

¿Qué intenciones tiene un hacker? Llevamos meses hablando del gusano Stuxnet, sin que se sepa realmente cuales eran las de sus creadores (hay incluso quien propone que se les conceda el Nobel de la Paz). En cualquier caso, a pesar de que todo indica que la mayor parte de piratas informáticos se mueven actualmente por motivos económicos, delictivos o como les queramos llamar, aún parece existir un importante grupo de hackers (a veces llamados free spirits) para los cuales las intenciones han variado poco en 25 años de historia del hackeo: éstas suelen consistir en colgarse una medalla virtual. Los motivos económicos no parecen formar parte de este particular negocio, más allá de oscuras teorías conspirativas.

Pues bien, esto último puede estar a punto de cambiar, si los señores del DARPA (la agencia de I+D del Departamento de Defensa estadounidense) se salen con la suya. Estas mentes pensantes (que también las hay en Defensa, ¿quién dijo que no?) se han dado cuenta del potencial de tanto hacker como hay suelto y se han propuesto sacarlos del “lado oscuro”. La idea es atraerlos hacia la noble misión de encontrar los errores en su software, antes de que lo hagan los verdaderamente “malos”. Evidentemente, como ser bueno no es tan cool como ser malo, les proponen una compensación económica. Y la intención de toda la vida, la medalla virtual, no sólo permanece intacta, sino que puede verse potenciada, dado que en este caso los hackers no tendrían que esconderse de la Justicia y podrían alardear de sus acciones sin necesidad de seudónimos (esto sí se puede poner en el curriculum).

El programa, denominado Cyber Fast Track, está orientado a organizaciones pequeñas con presupuestos bajos y que proporcionen resultados rápidos. Todas estas características suponen un verdadero reto para el propio Departamento de Defensa, acostumbrados como están a proyectos multimillonarios y de duración prolongada. Quién sabe si nuestro ministerio tomará buena nota y se decidirá a hacer algo parecido dentro de nuestras fronteras (no, yo tampoco lo creo…)

Hay quien objeta que iniciativas de este tipo serían equivalentes a pagar a pirómanos para controlar los incendios forestales. Aunque la analogía es un poco forzada y yo personalmente no la comparto, no hay que negarle algo de razón. Pero eso será tema para otro post…

Imagen cortesía de http://www.expower.es/

En España, hay 12.000 incendios domésticos al año por electricidad, que causan un número de muertes un 50% superior al de los países comunitarios. El 67% de las casas presenta dos o más deficiencias en la instalación eléctrica, el 19% tienen un único fallo y sólo un 14% de las casas son seguras.

Este problema viene relacionado con el incremento de electrodomésticos y aparatos de alto consumo. Más de dos tercios de los hogares de la UE tienen más de 30 años, pero en España -pese al fuerte ritmo constructor- el 56% de las casas son anteriores a 1970. Según el Consejo General de Aparejadores y Arquitectos Técnicos de España (CGATE) “las causas más habituales de deficiencias eléctricas son la escasa sección de los circuitos para la potencia real utilizada”. Y es que estamos obsoletos. Si tenemos revisiones obligatorias en nuestras instalaciones de gas, ¿Por qué no están reguladas igualmente las eléctricas?

[Read more…]

INTECO-CERT ha publicado un informe sobre “Análisis de tráfico con Wireshark” dirigido a administradores y técnicos de seguridad, que pretende ser una ayuda a la hora de analizar el tráfico de red para detectar problemas o ataques.

S2 Grupo, consciente de la importancia de la formación continua, recomienda esta guía en la que se describen brevemente algunos tipos de problemas o ataques con los que nos podemos encontrar en una red, y cómo mitigarlos. Incluye ejemplos prácticos y capturas de pantalla para facilitar la comprensión a aquellos que desconocen esta herramienta para analizar capturas de tráfico. Para aquellos que ya la conocen, siempre pueden descubrirnos algo que desconocíamos.

En la guía han colaborado, entre otros colaboradores, técnicos de CSIRT-cv, que con sus ejemplos y experiencia en este tipo de análisis, han aportado información para apoyar y facilitar las tareas de administración de redes.

Destacar por último que SecurityArtWork ha servido de referencia en algunos puntos de esta guía, por lo que nos honra e impulsa a seguir difundiendo artículos y opiniones sobre seguridad.

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat de la Comunidad Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico de CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

La semana pasada acudimos desde el Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-cv) a la reunión de los grupos CSIRT.es, TF-CSIRT y FIRST que ha tenido lugar en Barcelona en CaixaForum. En distintas sesiones durante cuatro días, nos hemos reunido con grupos de respuesta a incidentes de nivel nacional, europeo e internacional. Estos foros suelen celebrarse periódicamente en distintas ciudades (incluso distintos continentes en el caso del FIRST), pero al coincidir todos en Barcerlona, era ineludible presentarnos al III Symposium FIRST.

Para aquellos que no nos conozcan, un CSIRT o CERT es un grupo que incluye técnicos especializados encargados principalmente de la respuesta a incidentes de seguridad informática que ocurran dentro de su ámbito de actuación; aunque no es este el único servicio que pueden ofrecer, es ineludible su acreditación para que se les considere un CSIRT/CERT.

[Read more…]

Parece mentira, pero es realidad. Hace tan solo unos años parecía que en Internet los “piratas cibernéticos” eran seres raros pero entrañables que se dedicaban a reivindicar derechos de colectivos desfavorecidos. Desde luego hoy no es ni mucho menos así. Los piratas de la red son peligrosos, están organizados y saben mucho. Sí señores, están muy preparados y saben perfectamente lo que quieren. Emplean el tiempo necesario en preparar sus ataques, en estudiar sus objetivos. Están durmientes esperando la mejor de las ocasiones y cuando tienen su objetivo a tiro se lanzan a por él. Se lanzan virtualmente, claro, desde los rincones más recónditos del planeta, con un riesgo personal mínimo y con una tasa de éxito bastante elevada.

La verdad es que yo no me hubiese imaginado que esto era un objetivo de un grupo de piratas en la red, pero una vez leída la noticia aparecida en Expansión el pasado 4 de febrero, te das cuenta de que los objetivos de ataque son cada vez mayores y lo que los piratas quieren y pueden robar está a su alcance con varios clicks. Suena un poco a ciencia-ficción pero, en este caso, consiguieron “robar” 2 millones de derechos de emisión de CO2 que entiendo serán vendidos en el mercado negro al mejor postor.

Al parecer un grupo de piratas, cuyo origen se establece en la República Checa, Austria y Grecia, atacaron con éxito, el pasado 19 de enero, los registros europeos que dan soporte a las bolsas de CO2 del continente. Como consecuencia de este ataque los registros de los 27 países de la Unión tuvieron que cerrar sus operaciones y el precio de la tonelada de CO2 a futuro se disparó.

Parece mentira lo frágil que resulta nuestro modelo económico. Sin entrar a valorar la gravedad de todo lo que está sucediendo en torno a la crisis económica mundial y sobre todo a la imposibilidad de previsión o detección de determinados comportamientos, ¿no les parece a ustedes inquietante que un grupo de sinvergüenzas, parapetados en la red, puedan “robar” los derechos de emisión de CO2 de algún país y como consecuencia de esta acción, además del “robo”, el mercado responda con una escalada del precio de la tonelada de dióxido de carbono? ¿No creen ustedes de que ya va siendo hora de tomarse en serio la implantación de medidas de seguridad eficaces en la red?

Evidentemente vamos a seguir teniendo siempre incidentes de seguridad, en todos los frentes, pero, en mi modesta opinión, los relacionados con las tecnologías de la información aún suceden porque los directivos de las compañías y los dirigentes de las naciones no han valorado la magnitud del problema en su justa medida.

En esta entrada de hoy voy a contar una historia de hardware acontecida en este mes de Enero, que pese a que no está enfocada ciertamente a la seguridad, podría repercutir en la seguridad de nuestros sistemas. Antes de empezar introduciremos un término de hardware llamado socket o zócalo, que es la forma de conexión entre la CPU y la placa base (puerto norte). Los sockets se indican por una numeración que identifica el número de pines entre la CPU y la placa base, por lo que un socket 350 indica que el zócalo tiene 350 pines.

Ahora comencemos con nuestra historia. Érase una vez una empresa llamada Intel que sacó al mercado el socket 1366 en sus deslumbrantes i7 9XX. Aproximadamente un año después sacó otro socket, el 1156, para la gama baja i3 y i5, pero curiosamente y pese a lo que se había pensado primeramente, también daba soporte a los i7 8XX dejando el socket 1156 también para la gama media-alta. ¿Entonces, tan necesario era tener dos sockets distintos y por tanto incompatibles entre ellos?

No contento con ello, Intel presento a principios de Enero del 2011 un nuevo socket, el 1155, sí, tan sólo con 1 pin menos que su anterior socket y por tanto impidiendo la compatibilidad entre ambos. A dicha plataforma se le conoce como Sandy Bridge y su nuevo puente norte “Cougar Point”. Lógicamente y por usar un pin menos, los usuarios que quisieran los nuevos micros i5 y i7 de Intel en su nueva plataforma tendrían que cambiar la placa base y comprar una nueva con el chipset “Cougar Point”.

De este modo, Intel se aseguraba tanto la venta del micro como la de la placa base, ya fuera de forma directa con su marca comercial, o mediante ensambladores tipo Asus, GigaByte, MSI, etc. ¿Bueno, y qué? Es normal. es su negocio. Pues sí, pero el problema viene cuando una vez sacado al mercado el producto, se detecta un fallo en el SATA 2 del puente norte que origina degradación, pérdidas de información y posible daño a los dispositivos que estén conectados a él. Esto ocurre en todos los “Cougar Point”: Q67, B65, H67, P67, QS67, QM67, HM67, HM65 o UM67.

Debido a este fallo Intel ha tenido que paralizar la producción de sus chips, retirarlos del mercado y anunciando que el nuevo chipset con la corrección del fallo saldrá al mercado en Abril, es decir dentro de tres meses. Esto implica que Intel pierde las ventas de sus placas durante tres meses, únicamente vendiendo el producto antiguo (1366 y 1156), y al haber cambiado de socket por un pin, de 1156 a 1155, sus nuevos micros no tienen placas donde ser montados. Este es el problema de Intel, pero, ¿qué ocurre con el stock de los mayoristas y pequeñas empresas que hayan comprado este micro si el cliente final no tiene placa donde montarlos?

Por otro lado, las reclamaciones de los clientes a los ensambladores no cesan, obligando a éstos a ofrecer formularios para la devolución de las placas base:

Asus: http://event.asus.com/2011/SandyBridge/notice/
GigaByte: http://www.anandtech.com/show/4146/gigabyte-announces-6series-motherboard-replacement-program

¿Pero a cargo de quién corre el coste de la devolución? ¿Quien mandará la placa a la tienda, y al mayorista, y al ensamblador, y a Intel? ¿Que ocurrirá con esas placas? ¿Se volverán a ensamblar? ¿Que hará el cliente con su nuevo ordenador al cual le falta una placa base?

Dejando al margen el daño de la imagen a Intel, el coste económico le costara unos 300 millones de dolares. Pueden encontrar muchos más detalles técnicos en este post de Noticias3d.

Recientemente ha sido publicado en el foro de lampiweb un algoritmo que genera la contraseña de los routers Comtrend que despliega Movistar y Jazztel a sus clientes de ADSL. Esta vulnerabilidad es más grave si cabe que los famosos cifrados WEP con ssid WLAN_XX, puesto que este último usaba claves de 13 letras con 4 dígitos hexadecimales aleatorios, y era necesario generar un diccionario con las 65536 posibles combinaciones.

En este caso la obtención de la clave es directa y la forma de conseguirla es la siguiente:

• Dadas la ESSID y BSSID del router vulnerable, usaremos como ejemplo WLAN_ABCD y A1:B2:C3:D4:E5:06 respectivamente.
• Sustituimos las 4 últimas letras de la BSSID por las 4 últimas letras del ESSID, quedando: A1B2C3D4ABCD
• Concatenamos la BSSID original al final de la cadena: A1B2C3D4ABCDA1B2C3D4E506
• Concatenamos la cadena “bcgbghgg” al principio de la cadena: bcgbghggA1B2C3D4ABCDA1B2C3D4E506
• Calculamos el hash md5 de la cadena anterior: 302046464638ba887cb3d9afc11105a1
• Nos quedamos con los 20 primeros caracteres del hash resultante: 302046464638ba887cb3

[Read more…]

Hace cosa de un mes jugando con Nmap en un entorno de pruebas me topé con un detalle “curioso” que paso a contaros. Para que os situéis, el equipo sobre el que estaba haciendo las pruebas era un equipo con Windows XP SP3 con una máquina virtual con Debian GNU/Linux desde la se realizaban las pruebas (configuración no apta para escaneos).

Entre las diferentes pruebas me encuentro con algo inesperad: el puerto 21/tcp —puerto por defecto del servicio FTP— estaba abierto en uno de los equipos víctima de mis escaneos. Era un equipo que ni mucho menos tenía controlado que ahí pudiera estar ese servicio abierto. Reviso el equipo y al ver que no hay nada a la escucha, lanzo el escaneo sobre otro activo de la misma subred desde el mismo equipo origen. Mi sorpresa fue que tanto si hacía un nmap desde el equipo virtual, como si hacía un Telnet desde el equipo anfitrión con destino el puerto 21/tcp sobre diferentes destinos, daba la sensación de que había un servicio a la escucha en todos los destinos. ¿Suena raro, verdad? (por lo menos a un servidor le resultó raro). Ante este comportamiento se me ocurre escoger una dirección IP que no perteneciera al rango de direcciones de mi red local (IP elegida: 192.168.111.11) y lanzar el comando Telnet al puerto 21/tcp. El resultado era el siguiente:

[Read more…]

A estas alturas de la película todos somos conscientes del encarecimiento del Kw; sin entrar en discusiones sobre la bondad de las renovables, el mantenimiento de Garoña y disquisiciones de carácter político, el coste energético asociado a IT no es algo a infravalorar. Aunque este no es un tema específicamente relacionado con la Seguridad de la Información, voy a hacer una pequeña “parada” en la temática habitual para hablar, cómo no, de Green IT.

Lo primero que hay que decir es que aunque este término ha cobrado mayor importancia en los últimos años, no se trata una nueva corriente New Age, sino que hace referencia a la optimización de recursos IT para reducir el consumo energético, reducción de huella de carbono, etc. En definitiva, el Green IT intenta hacer de las IT algo más “ecológico y sostenible”, o lo que es lo mismo ahorrar en la factura de la luz de su empresa. A su favor podemos destacar que tiene un retorno de inversión tangible inmediato, lo que es una ventaja sobre muchas inversiones en TI a la hora de conseguir la aprobación de la dirección —siempre resulta interesante para gerencia la palabra ahorro—, aunque el coste de inversión es considerable.

Pasemos a ver en esta entrada cómo afrontar la reducción la factura de la l… perdón, implantar el Green IT. Empezaré por una medida que aunque no es propiamente Green IT, se debe llevar a cabo como en cualquier otra área en la que intervengan proveedores externos: negociar con las compañías suministradoras. Sin ir más lejos un amigo me comentaba recientemente que un familiar suyo se dedicaba a esta tarea en nombre de empresas, y que el ahorro conseguido podía llegar hasta un 20% de ahorro sobre el consumo total.

Pasando ya a Green IT, la primera decisión a tomar tiene que ver con la clásica pregunta ¿interno o externo? En el caso externo, podemos optar por colgar la mayor parte de nuestro servidores en la nube o similares, pero en este artículo vamos a asumir que queremos preservar nuestros sistemas en nuestras instalaciones, bien sea por comodidad de acceso, privacidad, confidencialidad o aspectos legislativos.

Por la parte de servidores, encontramos a priori las siguientes propuestas:

• Consolidación a través de virtualización. Este aspecto no sólo puede conseguir una reducción del consumo del 40%, sino que además aporta mejoras como la alta disponibilidad y facilita la implantación de soluciones de contingencia, disminuyendo el número total de servidores, y por tanto el espacio físico requerido y el gasto en climatización.
• Uso de servidores blade frente a servidores independientes de 1U o 2U. De esta manera, se eliminan fuentes de alimentación por servidor, se disminuye espacio en rack y se reduce el gasto en climatización. De esta manera puede obtenerse una reducción del 40% – 70% sobre el consumo total de servidores.
• Limitar horario de activación de servidores y aplicaciones. A menudo los servidores están activos 24×7, sin que en muchos casos los servicios que prestan requieran un tiempo de disponibilidad o funcionamiento tan algo, como durante festivos o fines de semana. En este caso es más complejo hacer una estimación generalizada, ya que este aspecto requiere un estudio más pormenorizado por parte del Director de Informática.

Por la parte de instalaciones del CPD:

• Optimización y correcta disposición de racks para facilitar la climatización de los mismos. En este caso, les remito a un post anterior de un colaborador nuestro Rafa García, Subiendo la temperatura en el datacenter y ¿descontrolando la humedad?, en el que se puede comprobar cómo puede afectar al consumo la gestión física del CPD.

Por parte de los equipos de oficina:

• La más económica de todas, salvo por la inversión en el ancho de banda para la conexión, continúa siendo el teletrabajo, ya que en este caso la luz corre a cargo de los empleados. Por supuesto que esto tiene otras implicaciones, pero en nuestro caso, estamos únicamente valorando aspectos de ahorro energético para la organización.
• La implantación de thin clients reduce en gran medida el consumo, puesto que sustituye los equipos de escritorio por terminales “tontos” que conectan a un servidor de escritorios y que requieren mucho menos mantenimiento y consumo energético. De esta manera se optimiza el proceso de administración, configuración y restitución del dispositivo.
• El cambio de equipos de sobremesa por portátiles o nettops. A menudo me pregunto por qué se adquieren equipos de sobremesa de seis cores para tareas relativamente poco intensivas como utilizar el office o utilizar aplicaciones en la red. En su lugar, se deberían dimensionar los equipos de acuerdo a las necesidades de los perfiles de los usuarios, ya que en el 80% de los casos es posible realizar todas las tareas con un simple nettop conectado a un monitor, y proporcionar servidores compartidos con mayor potencia para la ejecución de aplicaciones específicas. Como indicación, el consumo del nettop viene a estar aproximadamente en 35 W frente a los 350W de un sobremesa. En este sentido, también es aconsejable la compra de equipos portátiles antes que sobremesa puesto que el consumo de un portátil puede rondar los 40-80W. Si la empresa tiene un parque de 100 ordenadores hagan sus números.
• Compra de monitores con tecnología LED. Éstos permiten que el consumo se reduzca en un 15%.
• Configuración de paso a suspensión de equipos con cierre de sesión.

También existe otra clase de medidas, que pueden suponer ahorro no tanto energético pero ambiental, principalmente de papel y toner, como es la configuración de impresoras por defecto a doble página y en blanco y negro.

Estas medidas en suma pueden proporcionar a la empresa un ahorro mensual considerable en cuanto a TI se refiere, y a la vista de las tendencias alcistas de las tarifas eléctricas, se convierten en una opción muy atractiva. Por supuesto, la implantación de algunas de ellas requiere un coste significativo, y más si se hace de manera poco progresiva, pero no tiene porqué ser así. Introduciendo estas medidas en los procesos normales de sustitución y actualización de hardware, es posible ir incrementando el ahorro energético poco a poco, con su reflejo en la factura de la luz.

Por último, para comprobar este ahorro se aconseja implantar soluciones para la medición de consumos en instalaciones empresariales, lo que nos permitirá poder cuantificar el ahorro efectivo. Yendo más lejos, si queremos gestionar, medir y certificar la implantación del Green IT, podemos implantar un SGE (Sistema de gestión energética) de acuerdo con la norma UNE 16001, ciñendo el alcance al ámbito TIC. Cabe destacar que esta norma tendrá su homóloga ISO (50001) oficialmente durante el último trimestre de 2011.