Blog de Seguridad de la Información de S2 Grupo
Aunque como dicen allá, muchos de ustedes ya lo sabrán, leo en Kriptópolis que se ha descubierto una vulnerabilidad crítica en el kernel de Linux, que permite a un usuario interno obtener privilegios de root; efectivamente, lo hemos probado y funciona. El código fuente del exploit puede encontrarse en Security Focus, así como versiones afectadas.
Afortunadamente, existe un parche oficial, del que ya se ha sacado una segunda versión.
Ya tienen trabajo para mañana. O para esta noche.
En el bus por decir un sitio; en la cafetería, en el aeropuerto, en un ascensor… No sé si alguna vez se han parado a escuchar a la gente. Yo sí lo he hecho, y les puedo asegurar que, en más de una ocasión —y dicho sea de paso, sin proponérmelo de forma especial— he oído cosas que sin duda podrían ser aprovechadas en contra de quien las dice, ya sea personal o profesionalmente. En otras palabras, volvemos a lo de siempre: las personas suelen ser el punto más débil de la seguridad.
Sin llegar a extremos (nunca he oído a alguien en el ascensor de un edificio de negocios decir algo del tipo “Mi clave es X” —N.d.E. Yo sí lo he oído, en la calle a viva voz, a propósito de una contraseña caducada—), los comentarios que en mayor o menor medida hacemos al salir de una reunión, al salir de la oficina o al tomar un café con un compañero pueden suponer un peligro para nuestra seguridad. Los típicos “Este Z, que se apunta las claves en la PDA”, “A Y le haré un 10% de descuento porque es buen cliente”, “Te has enterado del robo del portátil de X”… pueden ser sin duda un serio problema de seguridad para cualquier organización. Y es que todos estamos expuestos, cada día más, y en determinados lugares aún más todavía, a un shoulder surfing auditivo (lo que en castellano plano llamaríamos cotilleo) que implica riesgos a controlar en la organización.
Había una página estadounidense (no recuerdo la URL) que venía a llamarse “Cosas que oigo en el autobús” o algo así, en la que gente anónima enviaba posts diciendo lo que había oído comentar a unos tipos, y por supuesto dando el mayor número de detalles de la conversación (lugar, hora, zona, descripciones físicas, referencias a terceros mantenidas…); sin duda un arma de doble filo, pero un arma al fin y al cabo. Sin llegar a estos extremos, pensemos lo siguiente:
— El ascensor del edificio del cliente, en el que me encuentro al salir de una reunión comentando los resultados con mi compañero, tiene un micro.
— El taxista que me devuelve a la oficina, después de una dura negociación de precios con un cliente que estoy detallando a mi jefe por el móvil, trabaja para ese cliente.
— El chico del restaurante del centro de negocios memoriza todo lo que puede de las conversaciones que tenemos durante el almuerzo.
— …
Asusta, ¿verdad? Bien, pues es algo que, aunque a veces suene a película, se hace. Y más de lo que podamos imaginar (sobre todo si trabajamos para sectores como banca, seguros, defensa…, o para empresas con una fuerte competencia). Evidentemente, si vamos a un congreso del sector todos tenemos precauciones en los comentarios que hacemos con el que se sienta al lado o en las conversaciones por el móvil; al fin y al cabo, sabemos de antemano que el congreso está trufado de competencia, posibles clientes, partners, etc. Pero esas precauciones debemos tenerlas también en la cafetería, el ascensor, el gimnasio o el autobús.
¿Qué hacer contra esto? Dos medidas básicas: por un lado procedimientos (políticas, normativas, estándares… como les queramos llamar) que alerten a toda la organización de estos peligros y de qué podemos o no podemos decir en un sitio público, y por otro sentido común a la hora de hablar, dónde hacerlo y con quién. Con estas dos medidas sería suficiente para mitigar en buena parte un riesgo que en pocas ocasiones consideramos como tal.
No sé si se acuerdan de lo que les comentamos hace algún tiempo en relación con esas páginas en las que, a cambio de tu usuario y password de MSN, te dicen quién te tiene bloqueado en su MSN. O eso afirman ellas, porque el propósito final al parecer es muy diferente, según lo visto: generar spam (que es desde luego, casi lo más benigno que se puede hacer).
No vamos a repetir lo mismo que les dijimos aquella vez, pero al parecer, a raíz de una entrada en Genbeta (posiblemente inaccesible en estos momentos; su reproducción puede verse en el blog de Enrique Dans, a partir del cual he conocido la noticia) que advertía del peligro que supone dar este tipo de información a desconocidos, dicho blog, propiedad de Weblogs S.L., está sufriendo un ataque distribuido de denegación de servicio desde el pasado 3 de febrero.
Creo que ya lo he dicho alguna vez, y lo repito. Es un error pensar que este tipo de cosas las hacen cuatro mataos. Nada más lejos de la realidad. Estas cosas están bien organizadas, y sus responsables gestionan en la sombra (y no me refiero a la cárcel) una cantidad de recursos (botnets) en ocasiones nada despreciable, a los que muchas veces simplemente no es posible hacerles frente. Así de simple, y así de duro.
Nada más por esta semana. Para la que viene, entre otras cosas, tenemos la continuación de la serie sobre WPA-PSK de Roberto, y empezaremos a entrar en detalle con VoIP. Como siempre, pasen un buen fin de semana y nos vemos el lunes.
Actualización 09/02: Al parecer, algún otro weblog de Weblogs S.L., blogs relacionados con ellos (Error500.net, por ejemplo) y Menéame.net (directamente de su FAQ, una web que te permite enviar una historia que será revisada por todos y será promovida, o no, a la página principal) están sufriendo ataques de DDoS. Meneame incluso parece estar sufriendo algún tipo de extorsión por parte de los autores del ataque, por lo que cuentan en su blog, que se extendería a todas aquellas webs afectadas.
Actualización 10/02: Genbeta ya funciona de nuevo.
Actualización 11/02: Ricardo Galli da una explicación del ataque, procedencia, autores, y demuestra que como suele decirse, el mundo es un pañuelo: enlace.
En las ultimas décadas, el mercado de las redes de comunicaciones es uno de los que ha obtenido un mayor avance, debido principalmente a varios motivos, como son (a) la total generalización del uso del protocolo IP que ha posibilitado la difusión de servicios como el correo electrónico o el acceso a web hasta el usuario final, y (b) la apertura de la industria a las nuevas tecnologías, que ha llevado a un sistema flexible de transmisión de datos y a la aparición de tecnologías de comunicaciones ópticas, lo que a su vez ha incrementado el ancho de banda disponible para las comunicaciones.
Principalmente, las redes desarrolladas a lo largo de los años para transmitir voz se basan en el concepto de conmutación de circuitos, es decir, que la realización de una comunicación entre el emisor y el receptor requiere el establecimiento de un circuito físico durante el tiempo que dura ésta. Esto significa que los recursos que intervienen en la realización de una llamada no pueden ser utilizados en otra hasta que la primera no finalice, incluso durante los silencios que se suceden dentro de una conversación típica, por lo que las redes de conmutación de circuitos hacen un uso ineficiente de los recursos.
Como les adelanté el pasado 28 de enero, nuestro compañero Antonio Villalón —que debería prodigarse más por estos lares— participó vía videoconferencia en el I Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. A continuación, y a la espera del video de la ponencia, tienen el documento de la presentación que realizó, que pueden bajarse si lo desean de su página personal (donde encontrarán material adicional), o de este enlace (PDF, 360Kb).
Si leyeron la entrada de ayer, nos quedamos preguntándonos por los elementos que se utilizan para construir la PMK. La respuesta es muy sencilla: la contraseña precompartida, el ESSID del AP, la longitud del ESSID, y un barajado de 4096 procesos. Todo ello es generado por una función matemática llamada PBKDF2 (PBKDF2 es una función de PKCS #5 v2.0: Password-based Cryptography Standard) ofreciendo como resultado una clave PMK de 256 bits:
Una vez obtenida esta clave, comienza el proceso de autenticación con el AP al que se denomina 4-Way Handshake, o saludo inicial, que se puede ver en la imagen al final del post. En ese proceso, tanto la estación como el AP generan la PTK y la GTK utilizadas para cifrar los datos, siendo ambas diferentes en cada sesión.
[N.d.E. Comenzamos con esta entrada una serie de tres artículos, de cierto nivel técnico, en relación con WPA, concretamente con WPA-PSK. Los dos primeros posts están dedicados a la exposición teórica del problema, mientras que los dos últimos entrarán en detalles prácticos. Para aquellos menos introducidos en temas WiFi, les prometo un artículo en breve describiendo los conceptos relacionados con esta tecnología.]
El método empleado por WPA para autenticar a las estaciones WiFi supone uno de los puntos débiles de este protocolo de seguridad, como veremos a continuación. Por lo que respecta a la autenticación, en función del entorno de aplicación, es posible emplear dos modos de autenticación diferentes WPA-PSK (Pre Shared Key) o WPA-EAP (Extensible Autentication Protocol).
En entornos personales, como usuarios residenciales y pequeños comercios, se utiliza WPA con clave pre-compartida o también llamada WPA-PSK y autenticación IEEE802.1X. En estos entornos no es posible contar con un servidor de autenticación centralizado, tal y como hace la autenticación EAP. En este contexto, WPA se ejecuta en un modo especial conocido como “Home Mode” o PSK, que permite la utilización de claves configuradas manualmente y facilitar así el proceso de configuración del usuario domestico.
Probablemente conozcan un principio utilizado principalmente en el mundo de la seguridad informática, denominado “Seguridad por oscuridad”, que es la traducción del homólogo inglés “Security thru obscurity“. Básicamente, consiste en ocultar los detalles de diseño e implementación —entre otros— de un programa o dispositivo, consiguiendo (o pretendiendo conseguir, al menos) que el producto actúe como una caja negra y por tanto sus potenciales puntos débiles no puedan ser, o sean descubiertos. Pueden obtener más información de la Wikipedia [versión completa del artículo en inglés].
Por lo general, esta suele en la gran mayoría de los casos, una mala política, porque con lo ancha y vasta que es Internet, siempre hay alguien que acaba descubriendo esos puntos débiles. Entonces es cuando decimos que una vulnerabilidad esta siendo explotada “in the wild” (y eso suele ser malo). Es decir, que gracias a las prácticas oscurantistas de la compañía X, el servidor del señor Juanito queda expuesto a los ataques del señor Luisito, que conoce los problemas de seguridad que la companía X ya sabe pero no quiere decir. Ya se imaginan el resto.
Y esto venía a cuento porque la semana pasada, viendo la televisión, aparecía en un programa un sujeto cuya cara aparecía convenientemente oculta, mostrando diversos métodos para robar coches, todos ellos (los métodos) aparentemente muy sencillos y de fácil aplicación (aunque les confieso que no me he puesto a ello ni tengo intención de hacerlo, la verdad; yo ya tengo coche y a mi lo ajeno me produce mucho respeto). Y lo que ví, aparte de mostrarme —como era de esperar— que lo que les he contado en el primer párrafo no sólo se aplica en el ámbito de la informática, sino que se encuentra en otros muchos ámbitos de la “vida real”, me dejó con la duda de si los dueños de Audis TT —por ejemplo— son convenientemente informados de las “vulnerabilidades” que tienen sus automóviles en cuestión de seguridad y finalmente, si, oponiéndome al principio que les comentaba, yo debería decirles aquí cómo robar un Audi TT.
Como era de esperar, he decidido que no. Primero, porque me da cosilla hacerlo. Y segundo, porque sin una prueba de concepto, a ver quién se lo cree.
Nada más. Como siempre, pasen un buen fin de semana.
Para aquellos profesionales que estén buscando ampliar conocimientos (o gestores intentando exprimir el presupuesto departamental) y hayan pensado en realizar alguna certificación o curso, a continuación se proponen un listado de las principales certificaciones relacionadas, directa o tangencialmente, con el área de la seguridad informática. No están todas las que son, pero sí son todas las que están:
[Hemos decidido, para incrementar la participación en el blog, abrir de manera indefinida los comentarios, de modo que ya no es necesario estar registrado para realizar un comentario sobre una entrada. Por supuesto, aquellos usuarios registrados pueden seguir comentando como usuarios registrados. Esperamos que esto les motive a dejarnos sus opiniones.]
Ayer por la mañana amanecí con la noticia de FACUA de que “Protección de Datos confirma que la lectura de los correos de los usuarios para mostrarles publicidad personalizada vulnera la legislación española y comunitaria“, en patente referencia a Gmail. Esta misma noticia también ha aparecido en ALT1040, EuropaSur, y seguramente a estas alturas habrá aparecido ya en muchos otros sitios. He demorado este comentario por tres razones: la primera, por falta de tiempo; la segunda, porque Fernando se me adelanto con la entrada a propósito del escándalo de Société Générale (entrada que quizá no he dejado reposar demasiado); y la tercera, para poder encontrar argumentaciones convincentes, aunque a muchos no se lo parecerá.
Y es por esta tercera razón por donde voy a empezar, porque está claro que GMail es actualmente y con toda probabilidad el mejor sistema de correo electrónico gratuito que existe. Es eficiente, es rápido, está bien pensado y tiene una capacidad con la que, como bien publicitan, probablemente no te haga falta borrar un correo nunca más. Por ello, no es extraño que cualquier comentario en contra de GMail suela despertar un aluvión de críticas; es en mi opinión algo razonable; y es que como ya hecho en anteriores ocasiones, insisto que a título personal, soy un usuario de Google y GMail.
Lo que voy a hacer a lo largo de esta entrada es destacar algunos puntos que me parecen de interés en relación con GMail (aunque asumo que puedo estar equivocado en más de uno), y que intentan mostrar que no porque un servicio sea bueno y gratuito hemos por ello de venderle nuestra alma; Google no es al fin y al cabo una ONG ni una “Fundación por un correo electrónico mejor”, sino una empresa que presta un servicio con el cual hace negocio, y eso al menos debería mantener alerta nuestro espíritu crítico; piensen qué pasaría si Telefónica adoptase algunas de las políticas de Google en cuestión de privacidad (y no, el nivel de satisfacción del usuario no es un factor a considerar en la gestión de los datos de carácter personal, o DCP en adelante). Antes de empezar, advierto que quizá esta entrada sea algo larga, pero creo (es más una esperanza que un creencia) que no se les hará pesada:
