Falsos positivos

Esta mañana he tenido que realizar la visita a un cliente. El problema que me comunicó ayer por la tarde es que su navegador web no le mostraba ninguna de las páginas que solicitaba, pero en cambio el cliente de correo funcionaba sin problemas. Curioso, comprobé que no era problema de DNS, ya que el nivel de seguridad estaba configurado igual que en el resto de navegadores que su red local. La única pista que tenía era que suponía que todo se había producido tras una actualización del sistema operativo.

Así que acudo a la cita para solucionar el problema, puesto que se trataba de una persona de cierta responsabilidad y no debía realizar gestiones a través de internet desde otro equipo que no fuera el suyo. Tras darle un par de pensadas y comprobar que efectivamente la configuración de red era la correcta, recordé un caso que me había pasado hace tiempo.

Me dirijo a la configuración del software antivirus (que incorpora funcionalidad de firewall personal) y ahí estaba el problema. Este programa había detectado la actualización del navegador como un cambio en un software que solicita salida a internet, como un si se tratara de un troyano; mi cliente había confiado plenamente en el corttafuegos personal y éste había tomado la decisión por sí mismo de bloquear el ejecutable.

Es necesario recordar algo que se menciona en numerosas ocasiones; este tipo de herramientas, así como las de detección de intrusos y similares, se mueven por patrones de comportamiento, pero es un entrenamiento adecuado de dicho software el que puede conseguir, que por sí solo, se comporte con la inteligencia y la capacidad de decisión que esperamos de él. Mientras esto no sea así, no dejemos de lado al operador humano y echemos un vistazo por si las moscas.

(N.d.E.: Nos van a disculpar si la frecuencia de actualización disminuye —quizá de manera sensible— durante estos días, pero entre el turrón, los Reyes Magos, unas cosas y otras, no sabe uno de dónde sacar el tiempo para todo…)

El cazador cazado

Cada vez más, tanto los particulares como las empresas realizan uso de las tecnologías inalámbricas en su infraestructura técnica. La posibilidad de tener conectividad entre dispositivos sin necesidad de cables permite un alto nivel de movilidad que resulta muy útil en determinadas circustancias.

No obstante, las tecnologías inalámbricas presentan algunos riesgos inherentes a su medio físico de transmisión, es decir, el aire, lo cual incorpora un factor de riesgo tanto en cuanto a eficiencia como a seguridad.

Evidentemente no podemos certificar “el aire» de nuestra oficina como lo hariamos con un cable de red para verificar la calidad de la conexión, pero este es un tema de eficiencia que quizá sea más conveniente tratar en otro artículo. Por el momento en este artículo nos vamos a referir al otro aspecto destacable de este tipo de redes, que es la seguridad.

Históricamente la tecnología Wifi (802.11) ha adolecido de diversos problemas de seguridad que han permitido a los intrusos entrar en nuestras redes inalámbricas, bien sea en nuestra red doméstica para obtener un acceso gratuito a Internet, bien sea a la red de nuestra empresa para obtener información sensible, y evadiendo de esta manera las restricciones de nuestro cortafuegos.

Una de las vulnerabilidades existentes en la tecnología Wifi es la posibilidad de suplantar puntos de acceso. Según el protocolo, varios puntos de accesos que presenten en mismo SSID corresponden a una misma red, por lo que cada dispositivo inalámbrico escoge de entre todos los puntos de acceso sobre los que tiene visibilidad el recibe con mayor potencia, lo cual a priori le permitirá disfrutar de una mejor calidad de señal.

Pero, ¿qué pasa si un intruso configura un punto de acceso falso con nuestro mismo SSID? Esto puede verse en el diagrama siguiente:

Efectivamente, si el intruso consigue que su señal llegue al destinatario del ataque con más potencia que alguno de los puntos de acceso reales, el equipo cambiará de punto de acceso (o se conectará al falso directamente sin pasar por el verdadero) y pasará a utilizar el falso, permitiendo de esta manera al intruso realizar todo tipo de ataques de Sniffing, Man-In-The-Middle y una gran variedad de otros ataques.

Una de las cosas que puede hacer es un ataque de DNS Spoofing (o suplantación de DNS), como se muestra en el diagrama adjunto.
[Read more…]

Un viaje en metro por la gran ciudad

Ayer, como muchos otros días, iniciaba mi día laboral viajando en mi transporte público favorito: el metro, el cual me permite divagar, pensar, y reflexionar mientras viajo. O algo parecido. El caso es que observé que en el espacio que separa los vagones del metro hay un cartel que prohíbe quedarse detenido en ese espacio por cuestiones de seguridad, alertando de un riesgo si te detienes en ese lugar. Acto seguido me fijé y ví que por lo que parece éste es un sitio habitual de estacionamiento para los viajeros, y que incluso muchos de ellos se apoyan en las gomas que son usadas como interconexión de los vagones; que todo sea dicho, parecen bastante apetecibles y cómodas, y más a primera hora de la mañana (se asemejan a una colchoneta típica con la que uno va a la playa). Este problema es un tema relacionado con la responsabilidad de cada viajero, para lo cual sería necesaria una concienciación mayor de los pasajeros acerca del cumplimiento de las normas y la señalización. Pero, ¿es suficiente con poner ese cartel, o por el contrario es necesario tomar más medidas más restrictivas?

Por poner un ejemplo de una situación en la que no es suficiente con que haya un cartel que prohibe una acción, ¿cuánta gente no respeta la señal de prohibición en autopistas de circular como máximo a 120 km/h? A causa de ello se han tomado una serie de medidas (multas, sanciones penales, etc.) para concienciar al conductor de que debe respetar las normas de circulación, dado que las consecuencias en este caso son fatales. Todas estas situaciones, que reflejan cómo es el comportamiento natural de nuestra sociedad, pueden ser trasladadas al campo de la informática: en la gran mayoría de ocasiones no es suficiente únicamente con advertir del peligro al usuario sino que es necesario tomar las medidas pertinentes. Por lo tanto, en última instancia uno se debe plantear, como en el caso del cartel del metro, si es suficiente con la presencia de éste ó por el contrario deben establecerse medidas para que el cumplimiento sea efectivo.

La conclusión que obtuve de esta pequeña reflexión es que esta sociedad necesita madurar, dado que si ni cuando las consecuencias pueden ser fatales se respetan las normas, ¿por qué se van a respetar en el caso de que no lo sean? Y aplicando esto a nuestro campo, un profesional de la seguridad informática deberá siempre tener en cuenta que cualquier medida restrictiva y preventiva nunca estará de más. Les invito finalmente a realizar el siguiente ejercicio, párense durante 5 minutos (no más) y piensen: ¿cuántas normas/restricciones/reglas no cumplimos o nos saltamos a veces en nuestra vida cotidiana? Cada uno que obtenga sus propias conclusiones ;).

Como *no* hacer las cosas

Hace unos días, leyendo una entrada sobre la evolución del spam de un conocido tecnólogo 2.0 (con el que, a título personal, estoy habitualmente más que en desacuerdo), me sorprendió —relativamente, visto lo visto— encontrar comentarios como los siguientes:

«En la cuenta de mi trabajo recibo más de mil correos diarios de spam. […] Ahora simplemente tengo una cuenta de Gmail que “chupa» el correo de mi trabajo y aparta el spam. Por último bajo lo que queda, el correo “bueno», vía POP […]»

«Hace ya 6 meses que “puenteé» mi email de trabajo a través de Gmail, puesto que los filtros antispam de mi proveedor dejaban mucho que desear»

Estas dos declaraciones son, si aprecian su trabajo y le dan alguna importancia a la información que manejan en él —sea del tipo que sea—, otro ejemplo de cómo no hay que hacer las cosas.

¿Dónde están las copias? matarile-rile-rile…

Hace unas semanas, al entrevistar a un usuario durante la realización de una auditoría, le preguntamos si poseía portátil corporativo y lo llevaba a casa consigo. Efectivamente, como suele suceder en cargos de cierta importancia, nos confirmó que así era, pero que además, él mismo realizaba las copias con una grabadora de DVD de su casa y que dichos soportes los guardaba en su domicilio. Como anécdota, al darse —sólo parcialmente— cuenta del problema, se apresuró a decirnos que por supuesto, su mujer y él eran una misma unidad.

Entrar en el tema del portátil no es la intención de esta entrada, ya que podríamos empezar y no parar; se puede escribir un libro con las no conformidades y problemas a los que puede dar lugar, así que lo dejaremos para otro día. En su lugar, y de manera breve ya que muchos de ustedes estarán ya pensando (como mínimo) en el puente (para algunos) que viene, quería hablar de esas copias en DVD que esta persona almacena en su casa —probablemente con la mejor voluntad del mundo— estrictamente desde el punto de vista del RMS. Y digo esto porque a fin de cuentas, almacenar copias de información corporativa en casa de uno puede ser una actividad poco recomendable en unos casos (la mayoría) y justificada en otros, pero me aventuro a afirmar que por lo general no supone una infracción de ninguna reglamentación legal. Almacenar datos de carácter personal de los que la empresa es responsable, en la propia vivienda, eso sí lo es.

Y lo cierto es que es más habitual de lo que parece que un directivo, director de departamento o persona de cierta responsabilidad de la empresa decida hacer y —sobre todo— almacenar las copias en su propia casa, mediante un disco duro portátil, CDs, DVDs, llaves USB o, peor aún si cabe, en su propio equipo personal, al que pueden tener acceso terceras personas o que puede estar conectado a una línea ADSL privada de dudosa seguridad. Esto puede ser debido a una mala política de copias de seguridad por parte de TI, a una falta de confianza justificada o injustificada en el personal técnico, a un exceso de celo sobre los —incorrectamente considerados— datos propios, o a cualquier otra razón; en cualquier caso, insisto, desde el punto de vista del RMS, ninguna de estas causas es una razón justificadora, aunque muchas veces sea comprensible. Como comprenderán, en el caso particular que les mencionaba al principio, analizar los artículos que inciden en el registro de entrada/salida de soportes, o la necesidad de que la salida de éstos fuera de los locales en los que esté ubicado el fichero deba ser autorizada por el responsable del fichero, resulta un poco kafkiano desde el momento en el que tales soportes no salen, sino que se crean directamente fuera de las ubicaciones inventariadas, pero imagino que adivinan por dónde voy.

Es decir, si no quiere usted tener que inventariar su comedor o despacho en el Documento de Seguridad como zona de acceso restringido, no quiere tener que llevar un registro de entrada a su casa (sus amigos van a mirarle muy raro), o no quiere llevar a los auditores a su casa —imagine la cara de su pareja y sus hijos— para que examinen las medidas de seguridad, no guarde copias de seguridad en su casa. Si no desea que su casa se convierta en una prolongación de su empresa, repito, no guarde copias de seguridad con datos de carácter personal en su casa. Su pareja se lo agradecerá —Manolo, ¿es necesario que la puerta del comedor sea acorazada y haya cámaras de seguridad en el recibidor?—, sus hijos se lo agradecerán —Daniel, ¿has vuelto a perder tu tarjeta identificativa? ¿Y esta chica que va contigo, ha firmado en el registro de entrada?—, y en caso de sufrir una inspección de la AEPD, su empresa se lo agradecerá.

Háganos caso, y pase un buen y largo fin de semana.

El justiciero que llevamos dentro

A finales del pasado mes leí un artículo de Raúl Morales titulado «Proponen nodos suicidas para proteger las redes de los hackers». En él se comentaba la propuesta de la Universidad de Cambridge para la protección de redes descentralizadas o distribuidas: permitir a cualquier nodo de una red terminar con un nodo considerado malo con la contrapartida de que el nodo «ejecutor» se vea obligado a «suicidarse» (desconectarse) como justificación al acto de «eliminación» de ese nodo malo (en pocas palabras, doy mi vida por el bien común).

Hay que remarcar que se trata de una propuesta, y claro, para eso estamos los «chicos» de Security Art Work, para sacarle punta a (casi) todo. Teniendo eso muy en cuenta, ¿qué soporte tiene esta propuesta? ¿No nos lleva a sacar al justiciero que llevamos dentro?

Puesto que los investigadores de Cambridge se basan en la naturaleza para establecer este mecanismo de autodefensa (las abejas atacan con su aguijón perdiendo con ello la vida), se puede establecer como hipótesis de trabajo el argumento contrario basado en la naturaleza humana, por ejemplo, los terroristas suicidas. Al otorgarse total derecho a eliminar nodos malignos sin otro fundamento legal que la obligación de desconectar nuestro propio nodo, esta medida podría utilizarse por parte de grupos criminales con gran capacidad para establecer nodos «nacidos para el suicidio», de manera que, al amparo de esta propuesta, se dediquen a destruir con carta blanca nodos que realmente no tienen actividad sospechosa o delictiva.

Por otro lado, de sobra es conocida la existencia de mecanismos reguladores para la obtención de licencias de armas, en los que se deben pasar exámenes médicos y psicológicos que ratifiquen nuestra capacitación. Si la libertad de agredir a otro nodo está al alcance de la mano de cualquiera, por muy loable que sea el fin de esta acción, podremos llegar al caso de nodos de «gatillo fácil», es decir, nodos que no estén lo suficientemente preparados o entrenados para distinguir patrones de ataques que en algunos casos puedan tratarse de falsos positivos (mi nodo pensó que el tuyo era maligno).

Tanto por el hecho de dejar una puerta a la impunidad, como por la capacidad de no estar lo suficientemente preparados para tomar la decisión correcta, considero que debe dejarse en manos de los profesionales la investigación y análisis de las actividades que puedan considerarse delictivas en el entorno de la red, y no delegarla en mecanismos semiautomáticos que pueden fallar o ser utilizados con fines poco dudusos. Porque para ello ya existen las Brigadas de Delitos Informáticos de los distintos Cuerpos de Seguridad del Estado.

En seguridad informática o en cualquier otro aspecto de la vida, más vale prevenir que curar.

El riesgo de la movilidad

Se habla cada día más de la seguridad —o inseguridad— relacionada con los dispositivos móviles que todos, en mayor menor medida, llevamos con nosotros en nuestro día a día. Sin duda, nos encontramos ante uno de los principales quebraderos de cabeza que en la actualidad comparten todos los responsables de seguridad, y previsiblemente seguirá siéndolo a medio plazo. Y aunque la amenaza no es nueva, conforme avanza la tecnología aumentan el riesgo y el impacto asociados a ella. Un ejemplo: si hace unos años, lo que podíamos perder (o lo que nos podían robar) era una agenda (de papel, de las de toda la vida), un bloc de notas o, a lo sumo, un par de diskettes, hoy podemos perder gigas de información en un simple lápiz de memoria USB, una detallada agenda electrónica con nuestros contactos, o incluso el portátil en el que tenemos almacenado todo nuestro trabajo.

Nadie pone en duda los beneficios que introducen en nuestro trabajo diario este tipo de dispositivos, pero igualmente nadie pone en duda los problemas de seguridad que nos pueden acarrear; ninguno de nosotros está exento de perder uno de estos gadgets (o chismes, en una posible acepción castellana), así que es imprescindible implantar controles que, en caso de robo o pérdida, minimicen el impacto para la organización. Para empezar, una buena salvaguarda es la definición de procedimientos, normativas, políticas o como les queramos llamar, para regular el uso de estos dispositivos. Estas normas deben marcar el tipo de datos que podemos almacenar en los mismos, las medidas de prevención básicas para evitar un compromiso (robo, pérdida o ataque), los pasos a seguir si dicho compromiso se produce, etc. Además, una medida técnica siempre recomendable es el cifrado de los datos almacenados: se trata de una medida barata y efectiva, que todos deberíamos implantar.

Antes de acabar, un ejercicio sencillo. Marque cada uno, mentalmente, los dispositivos que lleve consigo en su trabajo diario:

— Teléfono móvil.
— PDA.
— Ordenador portátil.
— Memorias USB.
— Tarjetas inteligentes.

Ahora piense en la información almacenada en cada uno de estos dispositivos, o en los privilegios que otorgan… y en qué sucedería si perdiera cada uno de ellos, o si se los robaran. Es como para tomarlo en serio, ¿verdad?

Todos tenemos un pasado…

La semana pasada, durante una amena sesión de formación ISO 9001, me tacharon de «paranoico», «fundamentalista», y similares por defender los procedimientos duros de verificación (corrección y completitud) de Curriculum Vitae para las personas que van a entrar a formar parte de una organización, lo que se viene a llamar CV Screening; más en concreto, por defender la necesidad de asegurarnos de la completitud de un curriculum.

Mientras que las verificaciones destinadas a comprobar que una persona es lo que dice ser (si yo afirmo ser Ingeniero en Informática, debo aportar «algo» —un título original en este caso— que lo confirme) son comúnmente aceptadas, las que tienen por objeto comprobar que alguien es lo que no dice ser parece que chocan de frente con el derecho a la privacidad de las personas. Un ejemplo: si a un candidato a puesto de mantenimiento —quizás, a priori, no relacionado directamente con la seguridad— le solicito el título de técnico electricista, sin ningún problema lo aportará junto a su Curriculum y podrá ser cotejado por el departamento de Seguridad; si a ese mismo candidato se le pregunta a qué se debe un llamativo «hueco» en su historial, pongamos por ejemplo de tres años y un día, se llevará las manos a la cabeza alegando su derecho a la privacidad, los ataques a su intimidad y no sé cuántas cosas más.

Por supuesto, todos podemos ser engañados; pero si una norma como ISO 27002 incluye un control ad hoc para la revisión curricular de los aspirantes al puesto de trabajo, por algo será, y debemos al menos evaluar la conveniencia de implantarlo en nuestras organizaciones. Los que tenemos un perfil técnico nos centramos con frecuencia en cortafuegos, detectores de intrusos, permisos de ficheros o analizadores de puertos, olvidándonos muchas veces de aspectos tan críticos para la seguridad global como el CV Screening o la ingeniería social. Y al final, la cadena se rompe por su eslabón más débil, volviendo a lo que solemos decir los del «mundillo»: un atacante nos hará daño de la forma que le sea más fácil. ¿Para qué perder el tiempo aprovechando vulnerabilidades, si le puedo preguntar a un empleado las claves de los servidores?

Todos tenemos un pasado; quizás ese pasado no sea determinante para el acceso a un puesto dentro de la organización, pero bajo ciertas circunstancias puede serlo. El hecho que entre las aficiones de una persona se encuentren los deportes de aventura, que haya estado en la cárcel por un delito concreto, que haya trabajado para nuestra competencia más directa, o que haya sido un pirata informático, puede introducir niveles de riesgo en la organización que, para que sean mitigados o asumidos, deben ser al menos conocidos. Si nos limitamos a creernos a pies juntillas lo que pone en un curriculum y no vamos más allá, tarde o temprano nos encontraremos con aquello de que las personas son el eslabón más débil de nuestra seguridad.

Modelos de negocio

facebook.jpgNo se si conocen Facebook, empresa que les introduje el otro día sin demasiados detalles. La idea básica del sistema de esta compañía es la de proveer al usuario de un espacio en el que poder «centralizar» sus imágenes, su blog, sus aficiones, sus amigos, etc. Facebook es, junto con MySpace, una de las principales redes sociales de Internet, y ese término seguro que les suena más. La cuestión es que hace unas semanas, esta compañía anunció en qué iba a basar su modelo de negocio, y como no podía ser de otra forma, éste era la publicidad. La verdad es que a este tipo de cosas ya nos estamos acostumbrando, con el omnipresente Google y su publicidad contextual, pero en este caso, le habían dado otra vuelta de tuerca a la idea original.

En pocas palabras, su idea es que si un usuario compra el producto ‘X’, todos los miembros de su lista de amigos —que suelen ser bastantes gracias a las características de estas redes sociales— reciben un mensaje en el que se les indica que tal amigo suyo ha comprado tal producto, en lo que puede pensarse como un aprovechamiento de las sinergias grupales adolescentes, o visto de otra manera, explotación de las tendencias de imitación juveniles. No niego que la idea es buena, pero esa vuelta de tuerca ha resultado demasiado para algunas personas, que están viendo seriamente amenazada su privacidad, e incluso la Unión Europea ha avisado de que podría decir algo al respecto, aunque probablemente, pasará lo mismo de siempre (y no es por criticar).

Por una vez, no voy a entrar a analizar esta forma de hacer negocio como una crítica a la empresa, en este caso Facebook. Al fin y al cabo, desde un punto de vista estrictamente económico, son los organismos públicos los que deben regular —y limitar cuando sea necesario— la manipulación de este tipo de información por parte de empresas privadas, y son los usuarios los que tienen la libertad de cambiar si consideran que sus derechos se están vulnerando. En este caso, lo que me resulta particularmente curioso es que una compañía realize el desarrollo de un sistema que le supone probablemente muchos miles de dólares y cuyo mantenimiento es sin duda muy costoso económicamente (cuarenta millones de usuarios registrados aproximadamente, aunque es cierto que parte de ellos pueden permanecer inactivos), sin tener la garantía de que el modelo económico en el que van a basarse será aprobado tanto por las instituciones públicas que han de velar por la privacidad y los derechos de los ciudadanos, como por los usuarios que deben —o deberían— proteger su propia intimidad.

Resumiendo, ¿por qué confía tanto una empresa como esta en que su modelo de negocio seguirá adelante? ¿Es una apuesta segura o un farol? ¿Tan escasa es la autoridad de los poderes públicos, sobre todo en contextos internacionales (Internet)? Y, desde el punto de vista de los afectados, ¿tan poca importancia dan los usuarios a sus datos personales?

¿Alguien tiene respuestas?

Memorias de un auditor

Reunión en cliente, departamento técnico, durante una auditoría:

—¿Existen especificaciones técnicas adjuntas a los contratos con proveedores?
—Depende del proveedor, pero sí, es habitual.
—¿Y qué se hace con los contratos que es necesario destruir?
—Los llevamos a la destructora de papel que tiene Administración.
—¿Podría proporcionarnos una copia de algún contrato?
—Sí, un segundo… Vale, aquí en la papelera tengo uno para reciclar.

(10 segundos después…)

—Ehhmmm… Creo que no debería haber dicho eso de que es para reciclar… ¿no?

(Buen fin de semana a todos)