Seguridad: ¿gasto o inversión?

Ni que decir tiene que todos los que nos dedicamos al ámbito de la seguridad tenemos clara la respuesta a esta pregunta que de hecho, es retórica, por no decir estúpida (si ha respondido A en vez de B, antes de ofenderse siga leyendo por favor). Veamos otra pregunta: ¿de quién es culpa que determinadas personas en puestos de decisión en las organizaciones vean la seguridad como un gasto más que como una inversión, o al menos como una inversión aplazable hasta el infinito y más allá? Esta pregunta es igualmente retórica e igualmente estúpida, aunque no se me ofendan ahora los profesionales de la seguridad (o antes de hacerlo, lean…)

El problema es el siguiente: ¿por qué hablamos de inyección SQL, cuando no de SQL-Injection, en vez de hablar de obtener información de una base de datos a través de la Web? ¿Por qué hablamos de hacking ético o de auditorias de seguridad en vez de hablar de planes que permitan a las empresas seguir trabajando lo antes posible después de un incidente grave en su organización? ¿Que no es lo mismo? Disculpen pero sí, es lo mismito. Porque al final de lo que se trata es de mejorar la seguridad de las organizaciones, y es nuestra responsabilidad, y de nadie más, acercar estos conceptos al lenguaje de la humanidad; y éste no es C, ni scripting, ni usa NESSUS para detectar vulnerabilidades en nuestro lenguaje, ni Nagios.

¿Es responsabilidad del neófito en seguridad entender los beneficios de la seguridad de la información junto con toda la terminología técnica asociada? Obviamente no. Todos los tecnólogos tenemos una tendencia natural a utilizar un lenguaje que a nosotros nos puede parecer normal, siendo inexcusablemente erróneo para nuestro interlocutor, pero como me dijo el otro día un compañero, los tecnólogos hablamos español, los directivos griego y los financieros arameo, y esa es una difícil mezcla como para entendernos.

El hacking ético «mola mazo», y prácticamente todo responsable TIC entiende el concepto, comparte la necesidad e incluso estaría encantado de abordar estas cuestiones mañana mismo (eso sí, en el mundo de Huxley, que por feliz, dispone de recursos infinitos, tanto humanos como económicos). Pero como en la mayoría de los casos los puestos de decisión no suelen coincidir en última instancia con los puestos TIC, es nuestra responsabilidad adaptar nuestro lenguaje y la definición de nuestros servicios profesionales al lenguaje de la persona que te escucha directa o indirectamente, sea este español, griego o arameo. Y si quién escucha no decide, tendrá que contarlo después a quien sí decide, por lo que estas segundas partes, aunque indirectamente, escuchan.

Para acabar, ¿quieren un ejemplo de abuso de lenguaje tecnológico no adecuado? Fácil, retrocedan esta entrada y vean cuantas veces he dicho «TIC» sin explicar qué leches es eso de «TIC». Todos los que se han sorprendido y/o no han caído en la cuenta, es que necesitan revisar su lenguaje para acercarlo al del resto de personas que no saben (ni tienen por qué saber) que Internet está ubicado en ordenadores de todo el mundo que, en esencia, son como el que tienen en su casa para bucear por la propia red. Y por cierto, TIC significa «Tecnologías de la Información y las Comunicaciones».

Saludos cordiales y, solo por contradecirme una vez más y parafraseando a otro compañero:

:wq!

Siempre pagan justos por pecadores…

La LOPD puede a veces verse como una ley sin sentido y exagerada, pero cuando te paras a pensar y analizas el uso que gente sin escrúpulos puede hacer de la información que se maneja en el mundo hoy en día se te ponen los pelos como escarpias. Es en este momento cuando empiezas a entender el significado y el alcance de esta ley que está pensada sobre todo y ante todo para proteger el derecho de los individuos en una sociedad moderna y protectora como la sociedad en la que vivimos.

Les cuento uno de los casos que personalmente me hizo reflexionar sobre el sentido de la ley.

En un colegio indeterminado de Valencia —al menos para este post— se entregó un día a todos los alumnos entre 3 y 14 años un pequeño formulario en un papel cochambroso dónde se pedían una serie de datos aparentemente sin importancia alguna. Preguntaban a los padres por los hábitos de los niños, por su tez, por el número de pecas, por la sensibilidad de su piel y un largo etcétera. El objetivo del “papelito» era bueno a priori, pero uno, por esto de trabajar en lo que trabaja, se ha vuelto un poco paranoico y ve amenazas hasta en los recortes de la prensa.

El hecho es que con las contestaciones del “papelito», un grupo “indeterminado» de personas con un “indeterminado» conocimiento en la materia iban a pronosticar la probabilidad de que un niño, de los anteriores, desarrollase, en algún momento “indeterminado» de su vida, algún tipo de afección maligna en su piel.

Hasta el momento el único problema es la “indeterminación» con la que se trata el asunto. Eso sí, he de decir que el cochambroso papelito llevaba un sello de una institución, aunque si me preguntan diría que, por el papelito y por el sello, la institución también era “indeterminada».

Seamos serios, por favor, hablamos de datos de salud de un colectivo de niños de un colegio. Hablamos de predicciones de desarrollo de enfermedades muy serias y muy graves. Hablamos de recopilar de forma “indeterminada», por parte de gente “indeterminada», con unas medidas de seguridad “indeterminadas» y con posibilidad de acceso para un colectivo “indeterminado» de datos que para gente sin escrúpulos puede tener bastante valor. Al fin y al cabo toda esta información se convierte fácilmente en una base de datos de salud presente o futuro de 2000 o 3000 niños.

En mi humilde opinión es sobre estas iniciativas sobre las que debería caer todo el peso de la ley. Y no vale eso de decir que desconocía el alcance de la ley y de su régimen sancionador. No dudo en que el fin pueda ser incluso bueno pero no hay derecho que, a pesar de que el fin último sea bueno, se hagan las cosas de esta manera tan irresponsable…

A quién corresponda.

VoIP: Protocolos de señalización

[Como segunda entrada sobre VoIP, en este post vamos a describir los principales protocolos de señalización utilizados por VoIP, y en el siguiente entraremos en los protocolos de transporte. Estas tres entradas permitirán que los siguientes artículos, de carácter técnico, sean más accesible a aquellos no duchos en esta tecnología.]

En los últimos años, los protocolos de señalización para el servicio de transmisión de voz han experimentado una fuerte evolución, puesto que cada vez más, se están usando las redes de conmutación de paquetes para transportar tráfico de voz. Las necesidades de calidad de servicio hacen que sea necesaria una gestión de recursos que asegure la optimización de la capacidad de transporte de la voz extremo a extremo, para ello surgen los protocolos de la señalización.

Por señalización se entiende el conjunto de informaciones intercambiadas entre los dos extremos de la comunicación que permiten efectuar operaciones de:

  • Supervisión (detección de condición o cambio de estado).
  • Direccionamiento (negociación y establecimiento de llamada).
  • Explotación (gestión y mantenimiento de la red).

Para cumplir los requerimientos de señalización existen principalmente tres protocolos: H.323, SIP y MGCP.

[Read more…]

Cuando saltan chispas en la seguridad

No son muy amigas, la seguridad y las chispas, o tal vez la seguridad y los chispas. No lo son y no conozco realmente la razón, porque es habitual ver como empresas importantes invierten sumas nada despreciables en protecciones tecnológicas de sus infraestructuras TIC y olvidan de forma recurrente su protección física, en su más amplio sentido: la protección de las instalaciones que soportan sus sistemas de información. Instalaciones básicas (en el sentido de vitales) que en un porcentaje muy importante de los casos están descuidadas, mal diseñadas o mal ejecutadas y que en TODOS los casos tienen consecuencias negativas sobre alguna de las dimensiones de la seguridad: Confidencialidad, Disponibilidad o Integridad.

Sistemas de alimentación ininterrumpida mal dimensionados, elementos de protección incorrectos, cuadros eléctricos accesibles, instalaciones no documentadas, protecciones que no protejen, ausencia de selectividad en protecciones de circuitos, equipos de aire acondicionado mal dimensionados y mal colocados, tuberías de agua encima de las máquinas más críticas, armónicos y un largo etcétera son un breve ejemplo de las amenazas a las que nos enfrentamos en esta dimensión, y que he tenido el dudoso privilegio de ver a lo largo de mi carrera.

A la hora de enfrentarnos a un análisis de riesgos es habitual que, siguiendo más o menos lo que nos sugieren metodologías como MAGERIT, estructuremos nuestros activos de forma piramidal desde los procesos de negocio hasta llegar a las personas que lo soportan todo, pasando por las instalaciones y suministros. Según esto, si somos capaces de identificar los cimientos sobre los que se sustentan nuestros sistemas de información e indirectamente muchos de nuestros procesos de negocio, ¿por qué nos empeñamos en proteger solo parte de los niveles de la pirámide? Y es que por pequeñas que sean las instalaciones, son MUY grandes los activos que almacenan: información de nuestro negocio, de nuestros clientes, empleados, de las personas con las que trabajamos y para las que trabajamos. Cconocimiento al fin y al cabo… el alma de nuestras organizaciones.

Alguien podría esgrimir la lanza del presupuesto, pero lo cierto es que entre las instalaciones autoportantes e hiper-seguras de marcas muy conocidas para las que podemos necesitar hasta 60.000 euros para una sala de escasos metros cuadrados, y lo que habitualmente tenemos la oportunidad de ver, hay un abismo. Como cualquier otra instalación crítica, y el CPD en muchos casos lo es, necesitamos diseñar de forma adecuada las instalaciones, teniendo en cuenta que no es lo mismo hacer una instalación eléctrica en una casa o en una nave industrial que en una sala técnica, y que no podemos tratar las condiciones ambientales de la misma como si fuese una cámara frigorífica o una sala de cine. A lo que voy, es que cada una de las instalaciones que hospedan físicamente nuestros sistemas requieren un cuidado especial y unos conocimientos específicos.

«La selectividad no es sólo la prueba de acceso a la universidad«. Esta será la próxima entrada de esta serie sobre seguridad física que comenzamos en Security Artwork, en la que, en la línea de lo dicho hasta ahora, hablaremos de un concepto poco conocido —o poco aplicado— a la hora de diseñar las instalaciones eléctricas de los CPDs.

Virtualización: una breve introducción.

Hace ya algún tiempo que nos encontramos en un tremendo boom de la virtualización de sistemas informáticos. Gran cantidad de empresas están migrando sus sistemas a entornos virtualizados seducidos por las grandes ventajas que aportan estos sistemas encuanto a comodidad y eficiencia.

La virtualización consiste en una capa software que corre en un sistema operativo anfitrión, y que proporciona una capa de abstracción con el hardware y con el sistema operativo que hay por debajo de dicho software. Dicha abstracción es realizada de tal manera que resulte transparente al software que se ejecuta por encima de ella, es decir, cuando instalemos un sistema operativo sobre dicha capa de abstracción, esté verá el mismo tipo de procesador, espacio de direcciones y demás características hardware que vería en una máquina física, permitiendo la ejecución sin necesidad de modificaciones del software.

Dado que multiples instancias pueden ser lanzadas, la capa de abstracción es la encargada de asignar los recursos a cada una de ellas (tiempo de CPU, memoria RAM, espacio en disco, etc), permitiendo un control centralizado de las mismas desde la máquina anfitrión. Otra de las principales ventajas que aporta esta nueva vertiente es la independencias del hardware y del sistema operativo anfitrión ya que, en caso de un fallo hardware del equipo, es posible trasladar la máquina virtual a una nueva máquina física, aunque el hardware y el sistema operativo instalado en dicha máquina sean completamente diferentes a los de la máquina original, simplemente con que dicha arquitectura sea soportada por el fabricante del sofware de virtualización.

Como podéis imaginar, la aplicación de las arquitecturas virtualizadas en los planes de contingencia de los sistemas de información es inmediata, ya que en caso de desastre, simplemente con tener hardware disponible (sin necesidad de que sea igual al original) y una copia de las máquinas virtuales es posible restaurar el funcionamiento en muy poco tiempo. Sin embargo, como suele pasar en la mayoría de los casos, ninguna solución es la panacea, sino que aporta unas ventajas y unas desventajas que hay que valorar.

Concretamente, el uso de entornos virtualizados tiene algunas implicaciones de seguridad que hay que tener muy en cuenta a la hora de diseñar este tipo de entornos, con el fin de poder controlar sus riesgos de seguridad intrínsecos y reducir dicho riesgo a un nivel residual asumible por la organización.

Pero eso será otro artículo.

El Talón de Aquiles del estandar 802.11i: Proceso de autenticación PSK (y III)

Tras la introducción teórica del funcionamiento del proceso de autenticación, comentada la semana pasada (I y II), es hora de abordar la metodología utilizada por las herramientas de seguridad inalámbricas que permiten realizar ataques de diccionario a la PSK, aplicaciones como Airolib (de la suite Aircrack) o Cowpatty. Aunque en un inicio pensamos separar esta entrada en dos, hemos llegado a la conclusión de que no tiene sentido, y que aunque sea un poco largo, aquellos interesados lo agradecerán.

El estándar 802.11i, y en concreto WPA, conforma un protocolo de seguridad complejo y fiable, si es utilizado de la manera adecuada. No obstante, no esta exento de ser susceptible a ataques de diccionario y fuerza bruta. En este post se detalla de forma teórica el principal “Talón de Aquiles» que presenta este protocolo. Éste reside en el proceso de autenticación entre las estaciones de la red y el punto de acceso, el llamado saludo a cuatro vías o “4 way-handshake«; dicho proceso consta del intercambio de 4 paquetes para la gestión del acceso a la red. La brecha de seguridad a la que nos referimos, y que un atacante podría utilizar, se encuentra tanto en el segundo como en el cuarto paquete, ya que en ambos la estación transmite al AP el MIC o control de integridad, y el mensaje EAPoL en claro. (Recordad que el valor MIC conforma el resultado de aplicar el algoritmo de control de integridad “Michael» al mensaje EAPoL. Dicha función toma como entrada el paquete de datos mismo, las direcciones MAC origen/destino, y parte de la PTK; todo ello genera mediante la función de HASH HMAC_MD5 la cadena de control de integridad.)

[Read more…]

Bug en el kernel de Linux

Aunque como dicen allá, muchos de ustedes ya lo sabrán, leo en Kriptópolis que se ha descubierto una vulnerabilidad crítica en el kernel de Linux, que permite a un usuario interno obtener privilegios de root; efectivamente, lo hemos probado y funciona. El código fuente del exploit puede encontrarse en Security Focus, así como versiones afectadas.

Afortunadamente, existe un parche oficial, del que ya se ha sacado una segunda versión.

Ya tienen trabajo para mañana. O para esta noche.

Cosas que escucho en el bus

En el bus por decir un sitio; en la cafetería, en el aeropuerto, en un ascensor… No sé si alguna vez se han parado a escuchar a la gente. Yo sí lo he hecho, y les puedo asegurar que, en más de una ocasión —y dicho sea de paso, sin proponérmelo de forma especial— he oído cosas que sin duda podrían ser aprovechadas en contra de quien las dice, ya sea personal o profesionalmente. En otras palabras, volvemos a lo de siempre: las personas suelen ser el punto más débil de la seguridad.

Sin llegar a extremos (nunca he oído a alguien en el ascensor de un edificio de negocios decir algo del tipo «Mi clave es X» —N.d.E. Yo sí lo he oído, en la calle a viva voz, a propósito de una contraseña caducada—), los comentarios que en mayor o menor medida hacemos al salir de una reunión, al salir de la oficina o al tomar un café con un compañero pueden suponer un peligro para nuestra seguridad. Los típicos «Este Z, que se apunta las claves en la PDA», «A Y le haré un 10% de descuento porque es buen cliente», «Te has enterado del robo del portátil de X»… pueden ser sin duda un serio problema de seguridad para cualquier organización. Y es que todos estamos expuestos, cada día más, y en determinados lugares aún más todavía, a un shoulder surfing auditivo (lo que en castellano plano llamaríamos cotilleo) que implica riesgos a controlar en la organización.

Había una página estadounidense (no recuerdo la URL) que venía a llamarse «Cosas que oigo en el autobús» o algo así, en la que gente anónima enviaba posts diciendo lo que había oído comentar a unos tipos, y por supuesto dando el mayor número de detalles de la conversación (lugar, hora, zona, descripciones físicas, referencias a terceros mantenidas…); sin duda un arma de doble filo, pero un arma al fin y al cabo. Sin llegar a estos extremos, pensemos lo siguiente:

— El ascensor del edificio del cliente, en el que me encuentro al salir de una reunión comentando los resultados con mi compañero, tiene un micro.
— El taxista que me devuelve a la oficina, después de una dura negociación de precios con un cliente que estoy detallando a mi jefe por el móvil, trabaja para ese cliente.
— El chico del restaurante del centro de negocios memoriza todo lo que puede de las conversaciones que tenemos durante el almuerzo.
— …

Asusta, ¿verdad? Bien, pues es algo que, aunque a veces suene a película, se hace. Y más de lo que podamos imaginar (sobre todo si trabajamos para sectores como banca, seguros, defensa…, o para empresas con una fuerte competencia). Evidentemente, si vamos a un congreso del sector todos tenemos precauciones en los comentarios que hacemos con el que se sienta al lado o en las conversaciones por el móvil; al fin y al cabo, sabemos de antemano que el congreso está trufado de competencia, posibles clientes, partners, etc. Pero esas precauciones debemos tenerlas también en la cafetería, el ascensor, el gimnasio o el autobús.

¿Qué hacer contra esto? Dos medidas básicas: por un lado procedimientos (políticas, normativas, estándares… como les queramos llamar) que alerten a toda la organización de estos peligros y de qué podemos o no podemos decir en un sitio público, y por otro sentido común a la hora de hablar, dónde hacerlo y con quién. Con estas dos medidas sería suficiente para mitigar en buena parte un riesgo que en pocas ocasiones consideramos como tal.

«We’re under attack»

No sé si se acuerdan de lo que les comentamos hace algún tiempo en relación con esas páginas en las que, a cambio de tu usuario y password de MSN, te dicen quién te tiene bloqueado en su MSN. O eso afirman ellas, porque el propósito final al parecer es muy diferente, según lo visto: generar spam (que es desde luego, casi lo más benigno que se puede hacer).

No vamos a repetir lo mismo que les dijimos aquella vez, pero al parecer, a raíz de una entrada en Genbeta (posiblemente inaccesible en estos momentos; su reproducción puede verse en el blog de Enrique Dans, a partir del cual he conocido la noticia) que advertía del peligro que supone dar este tipo de información a desconocidos, dicho blog, propiedad de Weblogs S.L., está sufriendo un ataque distribuido de denegación de servicio desde el pasado 3 de febrero.

Creo que ya lo he dicho alguna vez, y lo repito. Es un error pensar que este tipo de cosas las hacen cuatro mataos. Nada más lejos de la realidad. Estas cosas están bien organizadas, y sus responsables gestionan en la sombra (y no me refiero a la cárcel) una cantidad de recursos (botnets) en ocasiones nada despreciable, a los que muchas veces simplemente no es posible hacerles frente. Así de simple, y así de duro.

Nada más por esta semana. Para la que viene, entre otras cosas, tenemos la continuación de la serie sobre WPA-PSK de Roberto, y empezaremos a entrar en detalle con VoIP. Como siempre, pasen un buen fin de semana y nos vemos el lunes.

Actualización 09/02: Al parecer, algún otro weblog de Weblogs S.L., blogs relacionados con ellos (Error500.net, por ejemplo) y Menéame.net (directamente de su FAQ, una web que te permite enviar una historia que será revisada por todos y será promovida, o no, a la página principal) están sufriendo ataques de DDoS. Meneame incluso parece estar sufriendo algún tipo de extorsión por parte de los autores del ataque, por lo que cuentan en su blog, que se extendería a todas aquellas webs afectadas.

Actualización 10/02: Genbeta ya funciona de nuevo.

Actualización 11/02: Ricardo Galli da una explicación del ataque, procedencia, autores, y demuestra que como suele decirse, el mundo es un pañuelo: enlace.

VoIP: una breve introducción

En las ultimas décadas, el mercado de las redes de comunicaciones es uno de los que ha obtenido un mayor avance, debido principalmente a varios motivos, como son (a) la total generalización del uso del protocolo IP que ha posibilitado la difusión de servicios como el correo electrónico o el acceso a web hasta el usuario final, y (b) la apertura de la industria a las nuevas tecnologías, que ha llevado a un sistema flexible de transmisión de datos y a la aparición de tecnologías de comunicaciones ópticas, lo que a su vez ha incrementado el ancho de banda disponible para las comunicaciones.

Principalmente, las redes desarrolladas a lo largo de los años para transmitir voz se basan en el concepto de conmutación de circuitos, es decir, que la realización de una comunicación entre el emisor y el receptor requiere el establecimiento de un circuito físico durante el tiempo que dura ésta. Esto significa que los recursos que intervienen en la realización de una llamada no pueden ser utilizados en otra hasta que la primera no finalice, incluso durante los silencios que se suceden dentro de una conversación típica, por lo que las redes de conmutación de circuitos hacen un uso ineficiente de los recursos.

[Read more…]