4ENISE. Día 1: PIC

(Toni nos remite esta entrada desde el congreso ENISE, con el aliciente añadido de que la ha escrito con la Blackberry, lo que no deja de tener su mérito)

Como algunos ya sabíais y otros imaginábais, un año más estamos en el congreso ENISE, en León, organizado por INTECO. Este año nos hemos acercado Fernando y yo, para poder repartirnos por los talleres más interesantes de cada sesión, y a mí me ha tocado el correspondiente a la protección de infraestructuras críticas. Más allá del programa, ponentes, etc. que tenéis disponibles en la web del evento, comentamos en este post algunas opiniones y reflexiones acerca de lo que escuchamos en la jornada de ayer.

Comenzó el día con una sesión plenaria sobre los esquemas nacionales de seguridad en Europa, sesión en la que lo más repetido fue el término COLABORACIÓN para poder proteger las infraestructuras críticas de los países miembros y de Europa en su conjunto de forma adecuada. ¿Recordáis el congreso del CNPIC al que acudimos en febrero y que ya contamos en este blog? Ponentes diferentes pero la misma idea una vez más; si tan necesaria es la colaboración… Por qué nos cuesta tanto potenciarla?

Tras la plenaria, un par de talleres (mañana y tarde) sobre protección de infraestructuras críticas, ahora con dos términos que destacaron por encima de los demás: SCADA y resiliencia (esta última aún no incluida en el DRAE, pero estamos en ello). Parece que el problema de la PIC se centra en la (in)seguridad en los entornos SCADA, algo que parece obvio pero que me hace plantearme algunas preguntas: ¿qué pasa con los ataques a las personas? ¿Qué pasa con los accidentes y los desastres naturales? Qué pasa con el terrorismo “clásico”? La protección frente a actos delictivos, ciberterrorismo y demás esta muy bien (por supuesto), pero no debemos descuidar ningún otro aspecto o acabaremos mal. Hablar de SCADA “mola”, pero garantizando la seguridad de estos sistemas no garantizamos la “invulnerabilidad” de una infraestructura crítica.

En cuanto a resiliencia, palabra que también está de moda, una pregunta que nos lanzó el ponente: ¿sirven los paradigmas clásicos de seguridad para proteger las infraestructuras críticas o debemos ampliar nuestra visión? ¿Seguimos hablando de confidencialidad, integridad y disponibilidad o ahora hay algo más? Casi nada :) Como decía Darwin, no sobreviven los más fuertes ni los más inteligentes, sino los que mejor se adaptan al cambio…

Para acabar, una reflexión adicional. Se habló mucho (sobre todo en la plenaria) de CERTs. El concepto clásico de CERT está a punto de cumplir 22 añitos (ahí queda eso) y, bajo mi punto de vista, la visión clásica de estos centros es necesaria pero no suficiente. Por supuesto que debemos estar preparados para responder adecuadamente a incidentes, pero en la actualidad creo que los centros de seguridad (SOC o como los queramos llamar, pero no CERT) deben ser más preventivos que reactivos y además potenciar no una respuesta focalizada en la parte técnica sino una respuesta integral, por supuesto junto a otro tipo de servicios que sobrepasan el ámbito de un CERT tradicional… ¿Por qué seguimos hablando de CERTs? Esto será un tema para otro post, del que ya tenemos el título: del gusano de Morris a Stuxnet (gracias Xavi :).

Seguiremos informando.

Congreso ISACA Valencia 2010 (II)

Como ayer apuntaba José Luis, estuvimos presentes en el congreso de ISACA Valencia 2010, realizado los días 19 y 20 de octubre en la Universidad Politécnica de Valencia. La sesión de ayer miércoles, dedicada a la e-Administración, comenzó con un par de ponencias dedicadas la primera de ellas al estado general de la administración electrónica en España, a cargo de Lorenzo Cotino (Universidad de Valencia), y la segunda a la interoperabilidad, a cargo esta de Roberto Santos, de Telefónica -o Movistar- (videoconferencia desde León con algún que otro problemilla técnico que finalmente pudo subsanarse).

Tras un café, continuó la jornada con una excelente ponencia de Manuel Caño (LBIGroup) en la que se desgranó de una forma muy clara la necesidad de la contratación electrónica para todos (AAPP, empresas…), los problemas a los que se enfrenta en la actualidad y las líneas de resolución que se están adoptando a nivel europeo -que pasan todas por la estandarización-. Tras Manuel, se formó una mesa redonda en la que participaron José Benedito (Diputación de Valencia), Mar Ibáñez (ACCV, en representación de la Generalitat Valenciana) y Ramón Ferri (Ayuntamiento de Valencia), y en la que se plantearon trabajos, problemas y reflexiones en torno a la e-Administración desde el punto de vista de la propia administración pública. Tengo que decir una vez más que lo que yo entendía por “mesa redonda” sigue sin coincidir con lo que entiende el resto del mundo, porque las mesas redondas que llevo viendo desde hace unos años se limitan simplemente a presentaciones más cortas que el resto de las expuestas en el congreso; pero salvado este detalle, decir que me gustaron especialmente las reflexiones personales de José Benedito a la hora de plantearse qué requiere un ciudadano de la administración (hablando de trámites administrativos, no asistenciales -sanidad, educación…-) y dejando en el aire si realmente hace falta todo lo que tratamos de hacer. A fin de cuentas, el 90% de los ciudadanos tenemos unas comunicaciones con las AAPP muy simples: declaración de la renta con AEAT, algunos impuestos con el ayuntamiento y poco más… ¿no estaremos matando moscas a cañonazos con tanta e-administración? Ahí queda eso :)

Para finalizar, decir que este año, para mi sorpresa, la afluencia de público al congreso ha sido mínima, tanto el primer día como el segundo (el último día había un poquito más de gente, pero nada perceptible). Comparado con el éxito de asistencia del congreso 2009, este año nos hemos llevado un chafón; confiemos en que 2011 sea mejor…

P.D. Aquí teneis la presentación con la que S2 Grupo participó en el congreso. Disfrutadla :)

La curiosidad de las number stations

Estos días, tras la vuelta de vacaciones, volví a poner en marcha mi viejo receptor de onda corta, junto al que tantas noches pasé cuando era joven :) ¿El motivo? Simple curiosidad: quería ver si la actividad de estas bandas de radio seguía siendo tan interesante como hace quince o veinte años, cuando podías escuchar desde VOA (Voice of America) o REE (Radio Exterior de España) hasta Radio Teherán -esta última con un buen número de interferencias, posiblemente provocadas-, pasando por emisoras de pequeños grupos religiosos estadounidenses y sudamericanos o la todopoderosa Radio Vaticana -con unas antenas cuyo tamaño deja pequeña a cualquier torre de alta tensión que podamos imaginar-. Tras la recepción, el escucha enviaba un informe de recepción y a las semanas recibía una tarjeta QSL junto a folletos informativos de la emisora, con horarios, frecuencias, etc. en cualquier idioma y, en algunos casos, incluso propaganda “política” de un régimen más o menos cerrado.

Efectivamente, pude comprobar que la actividad en onda corta sigue siendo ajetreada, con las grandes emisoras oficiales de todos los países emitiendo junto a pequeñas estaciones, posiblemente piratas, que transmiten desde algún punto indeterminado del mundo; pero sin duda lo que más me llamó la atención es que, como antaño, todavía siguen emitiendo las number stations. Las estaciones de números son emisoras que se limitan a transmitir códigos formados por letras o números, tanto en voz (habitualmente digitalizada) como en Morse, de una forma continua y monótona durante la emisión, que suele durar menos de una hora y que por supuesto en ningún momento identifica la emisora; la emisión comienza con unos minutos de llamada, tras los cuales (en ocasiones existe algún tipo de encabezamiento tras la llamada inicial) se comienza a transmitir una retahíla de números o letras en grupos cortos y con una pausa entre sí, para acabar después con algún código que indique el final de transmisión. Una vez alcanzado dicho final, la frecuencia utilizada queda vacía. Raro, ¿verdad?

Efectivamente, las emisiones de las estaciones de números son cuanto menos extrañas; no está muy claro su origen, y se suele especular con radiobalizas, transmisiones meteorológicas y mil cosas más. Pero la hipótesis más arraigada entre todos los escuchas es la de que estas emisiones son mensajes cifrados de las agencias de inteligencia a sus espías desplazados en otros países, y esta hipótesis cobra fuerza tanto por casos de espionaje que han llegado a los tribunales (en los que se ha demostrado el uso de la onda corta para envío de información cifrada) como por el hermetismo que las agencias tienen al respecto (si estas emisiones fueran pruebas de la BBC, dudo que hubiera tanto mutismo envolviéndolas).

En estos días de Twitter, Blackberries, Facebook, 3G y mil cosas más, parece que las agencias de inteligencia siguen enviando mensajes cifrados por el canal más público que existe: el aire. Pensémoslo bien: con un pequeño receptor de onda corta, un espía ubicado en medio del desierto puede recibir el mensaje, descifrarlo y actuar en consecuencia, sin necesidad de ningún equipamiento de alta tecnología (que en muchos países llamaría la atención y podría poner en peligro la vida del agente), de conexión a Internet o de un móvil tribanda: sólo con un lápiz y un papel. Sencillo, ¿verdad… o no? Quizás los servicios secretos las utilicen como medio alternativo cuando no existe otra posibilidad, como entrenamiento de agentes en situaciones simuladas o, simplemente, como elemento que introduce ruido en el enemigo (mientras dedica recursos a tratar de descifrar mensajes radiados sin sentido, no los dedica a intervenir otros canales).

Si las estaciones de números se usan de verdad para transmitir mensajes cifrados a los espías, más allá de discusiones criptográficas encontramos dos problemas claros en esta técnica. El primero de ellos es obviamente la unidireccionalidad de la información: puedo transmitir instrucciones a las personas desplazadas en una zona, pero si esas personas quieren comunicarse conmigo tendrán que utilizar otro medio, salvo que estén en algún sitio donde un equipo emisor de onda corta no levante sospechas :) El segundo gran problema relativo a las number stations es la correlación: quizás no pueda descifrar el mensaje concreto, pero si una emisora transmite mucho más de lo que es normal en ella, más rápido o con algo que diferencie una emisión de las demás, puedo llegar a determinar que algo pasa o va a pasar. De esto último se cuida muy mucho quien sea que emita, y de ahí que el tono monótono y pausado de las estaciones de números sea lo primero que nos hace abandonar la escucha que hemos iniciado por simple curiosidad (aunque dicen las malas lenguas que algunas estaciones rusas transmitían como locas cuando, en agosto de 1991, se produjo un intento de golpe de estado en la antigua URSS).

En definitiva, el objetivo de las number stations sigue siendo algo misterioso en nuestros días, relacionado aparentemente con los servicios de inteligencia y que tras muchos años de actividad siguen operativas: ahí están y cualquiera las puede oir. Si alguno se aburre, puede comprar un receptor -los hay de cualquier precio, y para recibir estas transmisiones no necesitamos ninguna maravilla de equipo- y pasar el rato buscando estaciones de números; es más, puede entretenerse tratando de descifrar el mensaje: todos los que hemos sido radioaficionados o radioescuchas lo hemos intentado alguna vez y dudo que ninguno de nosotros haya tenido éxito… pero para todo hay una primera vez :)

2060

Mañana es lunes cinco de diciembre de 2060 y cumplo 85 años, por lo que tras la reforma laboral de 2028 al fin puedo jubilarme… por tanto, aunque seguiré participando de vez en cuando en el blog, quería preparar un post recopilatorio de todo lo que hemos ido viendo y sufriendo durante todos estos años que hemos pasado juntos. Ha llovido mucho desde 2007, cuando empezamos con SecurityArtWork y, como siempre decimos, la seguridad cambia no de año en año, sino de segundo en segundo, tanto para bien como para mal… por lo que con 53 años a nuestras espaldas, nos podemos permitir el lujo de recapitular un poquito.

¿Quién no recuerda, por ejemplo, cuando existían ejércitos que peleaban entre sí en el campo de batalla, por tierra, mar y aire? Algo inimaginable hoy en día, pero que hasta bien entrado el siglo era lo habitual; en lugar de utilizar a fondo la ciberguerra, los países desplazaban enormes cantidades de personas y armamento para conseguir algo que tenían a un clic de distancia, con todo lo que eso implicaba (costes, riesgos, etc.). Actualmente nos parece primitivo, pero os aseguro que hasta hace unos años no era tan raro; es más, cuando hablablas de protección frente a ataques “diferentes” de paises enemigos te miraban mal, hasta aquel gran atentado que hubo sobre 2020, en el que casi se hunde a una gran potencia mediante el bloqueo de su sistema eléctrico, la interrupción de sus comunicaciones y la apertura de las presas más importantes (¿cómo era aquello, SCADA se llamaba?).

Pero sin duda, lo que más entradas y comentarios en este blog ha generado durante este tiempo fue la imposición de los tags RFID subcutáneos, allá por 2045. ¿Os acordais de toda aquella polémica? Menos mal que los gobiernos tenían todo bien atado, ya que con la proliferación de las redes sociales que se produjo a principios de siglo era fácil identificar y neutralizar a los elementos perturbadores, y al final la cosa no fue a más… cuatro críticas en favor de la privacidad y asunto olvidado, y la verdad es que, con el paso del tiempo, a día de hoy es algo que se agradece… ¿o no nos gusta a todos llegar al super y encontrar directamente ofertas personalizadas para nosotros (o mejor, no llegar al super, sino que el super directamente nos envíe a casa lo que sabe que nos hace falta)? ¿y qué quereis que os diga de la localización geográfica mediante estos tags? No sé cómo podíamos vivir antes sin saber dónde estaban nuestros amigos o familiares en cada momento… Además, otra ventaja de RFID es que ha dejado de llegarnos spam; ahora le llamamos publicidad dirigida y no llega por correo electrónico (que los más jóvenes no sabrán ni lo que es), sino directamente a nuestros tags personales gracias a las enormes antenas que todos tenemos en nuestras calles y que nos envían la información que alguien sabe que necesitamos

También nos reímos un rato con esas casas inteligentes que nos vendían como rosquillas a finales de los años 20, y que al principio no resultaron tan inteligentes como sus diseñadores creían. Y es que tener una persiana, unas luces o un electródoméstico conectados a Internet 3.0 parecía interesante, pero introducía más problemas que ventajas… y si no, que se lo digan a todos los que llegaron a casa tras unas vacaciones de verano, con 55 grados en las calles -maldito cambio climático-, y descubrieron que alguien les había encendido la calefacción desde China y necesitaban oxígeno para respirar en el salón, o que su nevera había encargado cinco toneladas de arroz por una feature no documentada de Windows 2025… ¡qué gran negocio para las empresas de seguridad… y para los supermercados! :)

¿Y os acordais cuando derogaron la LOPD? Total, en la práctica muy pocos la cumplían, gracias a aquello que nos vendieron -ya ha llovido- como “la nube”. Esa nube que al final se convirtió en nubarrón, porque a cambio de un reproductor MP4 no tuvimos problema en dejar todos nuestros datos en ella, accesibles a empresas de cualquier punto del mundo, y así nos fue… ¿Datos de carácter personal? ¿Yesoqués? Con lo que se llamó la globalización y temas similares, muchas leyes nacionales dejaron de tener sentido y se empezó a trabajar en una legislación internacional equivalente para todos y, sobre todo, efectiva. De esto hace ya bastantes años, y en ello siguen (y seguirán).

Pero por supuesto, no todo han sido cambios durante estos largos años: hay cosas que se mantienen casi como el primer día; y si no, fijaos en la Sociedad Global de Autores Digitales, la SGAD -antes tenía otro nombre que no recuerdo-, que aunque ha variado un poco desde principios de siglo -en aquél entonces no cobraban el canon de nacimiento, quizás porque los niños tarareaban canciones sin derechos de autor- en esencia sigue manteniéndose casi como entonces… antes perseguían el P2P y ahora persiguen el intercambio de archivos a través de los dispositivos humanos de almacenamiento (HSD), esos que podemos conectar a nuestro cuerpo simplemente acariciando su interfaz táctil y que nos permiten no sólo ampliar nuestra memoria, sino compartir conocimiento -y otras cosas- con los demás.

En resumidas cuentas, finalizar una etapa siempre produce nostalgia; ayer tuve que explicarle a mi nieto lo que era un libro, y sólo acerté a decirle que es parecido al resultado de imprimir en papel un archivo de unos cuantos K. ¡Y no veais lo que me costó explicarle lo que era el papel, ahora que ya no tenemos árboles! Al final, las dichosas gafas de realidad virtual personalizadas que se pusieron tan de moda hace unos años nos han hecho perder hasta las impresoras…

Disuasión y ciberdisuasión

gatoSegún el DRAE, la disuasión es la “acción y efecto de disuadir”, y disuadir significa “inducir, mover a alguien con razones a mudar de dictamen o a desistir de un propósito”; básicamente, la disuasión consiste en convencer a alguien, de una u otra forma, para que cambie su manera de actuar. Cuando hablamos de seguridad, las medidas de disuasión son las que tratan de “convencer” a alguien hostil para que cese su actitud -al menos ante nosotros-; en muchos casos, son el efecto colateral de salvaguardas reales, pero en ocasiones se utilizan de forma pura, sin ningún otro mecanismo de seguridad real más allá de la intención de “convencer” a un delincuente de que nos deje tranquilos…

Desde siempre, la disuasión ha sido uno de los pilares básicos de la seguridad, junto aspectos como la prevención, la canalización o la detección; las medidas puramente disuasorias eran habitualmente tan baratas (cámaras de seguridad falsas, carteles de conexión a CRAs inexistentes, desfiles militares con misiles de cartón…o un simple cartel de “Cuidado con el perro”) que justificar (o amortizar) su coste era trivial, así que con una rentabilidad justificada, no había impedimentos para echar mano de estas salvaguardas. Por supuesto, la efectividad de una medida estrictamente disuasoria es cuestionable: volviendo a los ejemplos anteriores, si un potencial atacante descubre que las cámaras son falsas, que no estamos conectados a ninguna CRA, que nuestros misiles se rompen si llueve o que no tenemos perro, tendrá el camino libre hacia su objetivo; así, llegado este punto, la disuasión pura habrá dejado de funcionar y deberán entrar en juego otro tipo de salvaguardas más eficaces… Adicionalmente, otro aspecto de las medidas de disuasión puras es el efecto negativo que pueden llegar a tener; si nuestra casa está plagada de controles de acceso, carteles, etc. puede llegar a convertirse, con o sin razón, en un buen reclamo para un potencial atacante, y en ese caso deberemos disponer de más medidas de seguridad para frenar el ataque. Por tanto, el uso excesivo de medidas disuasorias puede ser, en ocasiones, contraproducente.

[Read more…]

¡Vacaciones!

Como todos los años, llegan por fin las ansiadas vacaciones de verano para -casi- todos, y en Security Art Work también nos vamos a tomar nuestro (quiero creer que merecido) descanso estival. Y por supuesto, nos despedimos hasta septiembre, al igual que años anteriores, con un post titulado “¡Vacaciones!” cuyo objetivo principal no es otro que desearles un feliz verano y, de paso, agradecerles a todos su participación (escribiendo o leyendo) en nuestro blog.

Echando la vista atrás, durante estos meses han sucedido cosas muy destacables, buenas o malas, en nuestro mundillo; desde la aprobación del Esquema Nacional de Seguridad o la Ley Ómnibus a la primera BlackHat celebrada en España, pasando por los problemas de seguridad en redes sociales o en tecnologías como RFID hasta llegar a temas de Protección de Infraestructuras Críticas o de information sharing, que por fin parece empiezan a calar en nuestro país. Y por supuesto, lamentamos decir que el terrorismo ha seguido siendo noticia estos meses (ETA asesinó este año a un policía francés, y dos ciudadanos españoles permanecen secuestrados en África).

En Security Art Work hemos tratado de hacernos eco de algunos de estos temas; desde aquel post de nuestro compañero Manolo hace ahora unos once meses, titulado El cinturón de seguridad (I) hasta este que publicamos hoy, hemos “colgado” un total de 182 artículos de temática tan dispar como la monitorización de usuarios en Solaris, el RDLOPD, la esteganografía o el Esquema Nacional de Seguridad, por citar sólo unos cuantos, además de series como GOTO o Seguridad Sectorial, que mejor o peor, han tratado de poner de manifiesto realidades o ilusiones que nos encontramos en nuestro día a día todos los que trabajamos en Seguridad (seguiremos con estas series a partir de septiembre, y con alguna otra ;)

Desde aquí queremos también dar la bienvenida a todos los nuevos colaboradores que durante estos meses se han “estrenado” en el blog: Adrián, Alex, Toni, David, Iván, Ximo, José, Maite, Marcos, Pedro, Raúl, Samuel, Sergio… y creo que no se me olvida ninguno (y si se me olvida, perdón por adelantado… será que me hacen falta vacaciones ;). También queremos dar las gracias por su tiempo y sus opiniones a todos los que han escrito en Security Art Work estos meses artículos o comentarios, animando a todos una vez más (nuevos y antiguos, colaboradores ocasionales, lectores habituales…) a participar en el blog, a escribir entradas y opiniones y, sobre todo, a debatir.

Aprovechen las vacaciones para hacer lo que no han podido hacer durante el año, para recargar pilas y para pasarlo bien. Cuiden de su seguridad estos días, sobre todo al volante, y al igual que cuando salen de casa toman ciertas medidas de seguridad para evitar robos, no olviden hacer lo mismo con su información y sus sistemas. Descansen y aprovechen el tiempo (o piérdanlo ;), que las vacaciones se pasan muy rápido y, sin darnos cuenta, estamos de vuelta…

Un saludo para todos y, de nuevo, feliz verano. ¡Hasta septiembre!

(Sí, la foto es la de siempre).

Programa COOPERA

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

En segundo lugar, otro aspecto muy destacable del programa COOPERA es la colaboración entre seguridad pública y privada; de la misma forma que hace casi treinta años existía un grave problema de seguridad bancaria relacionado con el número y las consecuencias de los atracos a sucursales, y por tanto se hizo necesaria la creación de la Comisión Nacional de Seguridad (Directores de Seguridad de Cajas de Ahorros Confederadas) para reducir este problema, mediante la colaboración tanto entre entidades como con Seguridad Pública, en la actualidad existe otra tipología de amenazas, diferente de aquella, que hace necesario reforzar una vez más la colaboración entre Seguridad Pública (en este caso, Guardia Civil) y Privada, incrementando la complementariedad y reduciendo la subordinación que, aún en ocasiones, existe. A fin de cuentas, todos trabajamos en lo mismo, y si todos arrimamos el hombre, a todos nos irá mejor; además, no es de recibo que en muchas ocasiones la colaboración entre empresa privada y FFCCSE sea más personal (conozco a fulanito en la Comandancia o en la Jefatura Superior y le llamo para que me eche una mano, para compartir información, o para tomar una cerveza) que institucional y, sin descuidar la primera (seguiré tomándome una cerveza con quien me parezca :), formalizar las vías de cooperación creo que nos interesa a todas las partes.

Un tercer y último gran aspecto que queremos comentar en este blog es la convergencia reflejada en la iniciativa de la Guardia Civil, que aglutina bajo un mismo paraguas a Departamentos de Seguridad de muy diversa índole y que trabajan en sectores a priori disjuntos y sin relación directa: desde explosivos a protección de la información, pasando por CRA o medioambiente. Esta convergencia de la que a todos nos gusta hablar se traduce ahora en acciones concretas, en vías de trabajo y formación que, con los diferentes puntos de vista que cada uno de nosotros puede aportar a los demás, contribuirán sin duda a mejorar nuestras visiones, casi siempre acotadas, de la seguridad. De nuevo, no seguiremos hablando de convergencia para que no nos llameis pesados…

En definitiva, y ya para acabar, nuestra más sincera enhorabuena a la Guardia Civil, y en especial al SEPROSE, por la puesta en marcha de este programa; confiemos en que dé sus frutos, cumpliendo sus objetivos y estableciendo líneas de comunicación y colaboración robustas entre diferentes actores, públicos y privados, que permitan mejorar de forma global -más allá de empresas, departamentos, grupos…- la seguridad. Y por supuesto, que cunda el ejemplo y que salgan a la luz iniciativas similares o se mejoren las actuales; creo que, a fin de cuentas, la seguridad es algo que a todos nos afecta, por lo que debemos ser los primeros interesados en colaborar…

IDS en el cortafuegos

A la hora de hablar de detección de intrusos, un modelo dentro de los NIDS que no es muy habitual es la detección en el cortafuegos (o en los cortafuegos) corporativo; digo que no es muy habitual -al menos por mi experiencia- y no sé muy bien por qué, ya que bajo mi punto de vista se trata de algo bastante sencillo de implantar en la mayor parte de firewalls, con un mantenimiento simple y, sobre todo, con una tasa muy baja de falsos positivos. Además, creo que le ahorraría bastante trabajo a los sistemas de detección ubicados en las redes internas, algo que en el caso de seguridad pasiva (IDS) se traduce directamente en un ahorro de costes en el personal dedicado a revisar las alertas de un SNORT o similar.

Un cortafuegos suele manejarse muy bien con las cabeceras de los paquetes y menos bien (o simplemente, muy mal) con los campos de datos; así, para hablar de detección en el cortafuegos, podemos centrarnos en los ataques -o en las anomalías, por no hablar aún de ataques- de dichas cabeceras. ¿Y qué información hay en los campos de cabecera de protocolos como TCP o IP? Direcciones origen y destino, puertos origen y destino, información del protocolo, bits URG, FIN, etc. Un montón de información que, correctamente analizada, permitirá bloquear tráficos anómalos que tratan de entrar en nuestra red y nos proporcionará información útil de eventos cuanto menos sospechosos.

Para empezar, lo obvio: de una determinada zona de red -interna o externa- no puede llegar tráfico con dirección origen otra zona de red. Así, si nuestra red de usuarios tiene un direccionamiento 192.168.1.0/24, desde esa red no debería llegar nunca un paquete con origen en otro direccionamiento -al menos, en condiciones normales-, por lo que podemos definir reglas que acoten qué direcciones origen pueden provenir de cada zona de red. Y seguimos con más cosas obvias: hay puertos que deben estar filtrados sí o sí (o casi sí), y cualquier actividad con destino dichos puertos puede ser a priori considerada sospechosa. ¿Quién utiliza hoy en día el protocolo UUCP? ¿Y gopher? ¿Alguien conoce algún uso lícito y habitual de chargen? ¿Y de finger? Si en mi cortafuegos veo tráfico hacia esos puertos, lo más probable es que me encuentre ante un ataque -típicamente un barrido de puertos, un information gathering o incluso malware-, por lo que me va a interesar bloquear y registrar este tráfico. Algunos puertos interesantes para enterarnos de estas acciones -sin menoscabo, por supuesto, de que todo lo no explícitamente autorizado esté cortado en nuestro firewall- pueden ser discard, daytime, chargen, gopher, finger, pop2, biff, r-* o uucp, por citar sólo unos cuantos. En el caso de puertos utilizados por malware, algunos muy conocidos son 12345 (NetBus) o 31337 (BackOrifice), y de la misma forma podemos bloquearlos y registrar su uso con cualquier cortafuegos (ejemplo para ipf, Solaris 10):


block in log quick on hme0 from any to any port = 31337
block in log quick on hme0 from any to any port = 12345
block in log quick on hme0 from any to any port = 70
block in log quick on hme0 from any to any port = 79
block in log quick on hme0 from any to any port = 540
...

Más cosas a considerar; en el RFC 3330 se definen unos rangos de direcciones IP “especiales” -no asignadas, privadas, bucle local…-, direcciones que no deben encontrarse en determinadas patas de nuestro cortafuegos; así, por ejemplo, en la pata de conexión con Internet nunca deberemos ver tráfico -salvo configuraciones excepcionales- que provenga de estas direcciones, y si lo vemos, al menos deberemos prestarle atención:


block in log quick on hme0 from 192.168.0.0/16 to any
block in log quick on hme0 from 0.0.0.0/8 to any
block in log quick on hme0 from 172.16.0.0/12 to any
block in log quick on hme0 from 198.18.0.0/15 to any
...

Seguimos: violaciones de protocolo o uso de protocolos fuera de lo habitual. Por definición de los protocolos TCP e IP, existen ciertas combinaciones de bits que no pueden encontrarse, en situación normal, en las cabeceras de los paquetes; así, no es correcto que un paquete TCP tenga activos los bits FIN y SYN de forma simultánea, ya que eso violaría el protocolo (estaríamos solicitando un inicio de conexión y a la vez un cierre, algo no coherente), ni tampoco está aceptado que una trama IP tenga activos al mismo tiempo los bits DF (Don’t Fragment) y MF (More Fragments). Si vemos tráfico con estas violaciones, se trata de una anomalía -lo de antes, por no llamarle ataque directamente- que nos interesa conocer, ya que los ataques de fragmentación IP o los barridos de puertos en base a violaciones del protocolo TCP son el pan nuestro de cada día (una herramienta como nmap implementa diferentes técnicas de este tipo). Adicionalmente, podemos encontrarnos tramas válidas según protocolo pero no habituales, y que por lo tanto puede ser necesario registrar. Algunas reglas más para ipf (podemos encontrar auténticos recopilatorios en Internet, y escoger las que más nos interesen):


block in log proto tcp all with short
block in log quick on hme0 all with opt lsrr
block in log quick on hme0 all with opt ssrr
block in log quick on hme0 proto tcp all flags FUP
block in log quick on hme0 proto tcp all flags FUP/FUP
block in log quick on hme0 proto tcp all flags /FSRPAU
block in log quick on hme0 proto tcp all flags FSRPAU
block in log quick on hme0 proto tcp all flags SF/SFRA
block in log quick on hme0 proto tcp all flags /SFRA
block in log quick on hme0 proto tcp all flags F/SFRA
block in log quick on hme0 proto tcp all flags U/SFRAU
block in log quick on hme0 proto tcp all flags P
block in log quick on hme0 proto tcp all flags FUP/WEUAPRSF
block in log quick on hme0 proto tcp all flags WEUAPRSF/WEUAPRSF
block in log quick on hme0 proto tcp all flags SRAFU/WEUAPRSF
block in log quick on hme0 proto tcp all flags /WEUAPRSF
block in log quick on hme0 proto tcp all flags SR/SR
block in log quick on hme0 proto tcp all flags SF/SF
block in log quick on hme0 proto tcp all flags /S

Con estas líneas y algunas más tenemos de forma sencilla un mini sistema de detección de intrusos implantado en nuestro firewall ipf (en todos los cortafuegos habituales podemos hacer cosas parecidas), sistema que obviamente puede ser mejorado por todas partes pero que, de momento, será capaz de alertarnos ante tráficos sospechosos; las líneas anteriores, aparte de bloquear el tráfico, generarán un log en tiempo real (man ipmon), log que puede ser tratado con cualquier script para integrarlo en nuestro esquema de detección de intrusos global, que más allá del NIDS habitual debería recoger y procesar los registros todos los sistemas de detección que tengamos implantados, tanto a nivel de host como a nivel de red, para proporcionar información correlada en base a todos los datos de los diferentes IDS. Esto, por supuesto, sin entrar en técnicas que ya se alejan de lo que sería un NIDS en el cortafuegos, como utilizar return-rst en nuestro ipf para “contaminar” los resultados del atacante (útil frente a barridos de puertos) o ejecutar ciertas órdenes del sistema ante tráficos anómalos detectados, que ya es material para otro post :)

Seguridad sectorial (VIII): espectáculos de masas

Sin duda este fin de semana, en el que los amantes del deporte -ente los que no me incluyo- están disfrutando de los mundiales de Sudáfrica y de campeonato de Fórmula I en Valencia, es un momento inmejorable para aportar un nuevo post a la serie sobre seguridad sectorial, en este caso para hablar de los aspectos de seguridad en espectáculos de masas: competiciones deportivas, conciertos, actos políticos o sindicales, concentraciones de todo tipo…

Como en cualquier libro sobre seguridad podemos ver, toda actividad que implica grandes concentraciones de personas tiene implícitas amenazas como las avalanchas, el vandalismo, las agresiones o el terrorismo, por citar unas cuentas; sin duda la última de ellas, el terrorismo, es la más preocupante tanto para los organizadores como para la sociedad en general, ya que la simple amenaza puede causar un grave daño reputacional y cuantiosas pérdidas económicas -imaginemos un estadio que hay que “vaciar” en pleno partido por una amenaza de bomba-, por no hablar de los casos en los que la amenaza se materializa, añadiendo a los problemas anteriores daños materiales y contra la integridad física de las personas. Por ello, cualquier acto con una gran afluencia de personas debe disponer obligatoriamente de determinadas medidas de seguridad, que pueden ir desde el control de acceso -técnico o humano- a los recintos hasta un número concreto de vigilantes o policías; esto es especialmente necesario en aquellos actos en los que la amenaza pueda ser mayor, como los mítines políticos, eventos con una elevada concentración de personalidades o encuentros deportivos de los denominados “de alto riesgo”.

Por fortuna, a pesar de ser la de mayor impacto, el terrorismo no es la amenaza más probable en las concentraciones de masas. Las minorías extremistas o enfervorizadas suelen ser, más allá del terrorismo, el caldo de cultivo ideal para materializar otras amenazas propias de las grandes concentraciones, como las agresiones o el vandalismo; esto es especialmente frecuente en los encuentros deportivos -fútbol sobre todo-, en los que los grupos “ultra” deben ser controlados no sólo durante el encuentro, sino también antes y después de éste para evitar enfrentamientos con otros hinchas. También la actividad de estas minorías puede ser el origen de avalanchas humanas, aunque esta última amenaza puede ser causada de forma fortuita, simplemente por el elevado movimiento de personas en un determinado lugar (todos recordamos los problemas de seguridad que año tras año se producen en la peregrinación musulmana a La Meca).

Para evitar estos -y otros- problemas, en todas las actividades que implican una gran concentración de personas debe disponer, como hemos dicho, de personal de seguridad pública y privada y de medios técnicos suficientes para prevenir y detectar cualquier amenaza, así como para minimizar el impacto en caso de que ésta se materialice (vías de evacuación, Plan Integral de Seguridad, planes de emergencia…). Los organizadores del evento tienen una serie de obligaciones bien definidas desde el punto de vista de seguridad, que en caso de no ser cumplidas pueden acarrear sanciones más o menos duras (tema por otra parte muy discutible, ya que en ocasiones hay casos claros de incumplimiento y las sanciones aplicables son irrisorias).

Para hacernos una idea de la importancia de la seguridad en este tipo de eventos, simplemente unos datos que leía en el número de este mes de Security Management, la revista de ASIS, relativos al mundial de fútbol de Sudáfrica: SAPS (South African Police Service) ha renovado buena parte de su equipamiento de cara a la celebración del evento, incluyendo desde helicópteros a cañones de agua, ha reforzado su personal con 55.000 nuevos oficiales, y 8.500 policías del cuerpo han realizado un curso ad hoc de un año de duración en Francia, cuya Gendarmería tiene experiencia en la seguridad de estos eventos desde el mundial celebrado en 1998 en el país galo. Todo esto son simples números, sin hablar de las medidas organizativas o técnicas implantadas para el evento: perímetros de seguridad alrededor de los estadios, protección especial de altos cargos, control de acceso al país con conexión directa a bases de datos de INTERPOL, etc. Como vemos, desde el punto de vista de seguridad, la celebración de un mundial es mucho más compleja de lo que nos parece a los simples espectadores (y eso sin profundizar en protección de la información, que evidentemente también requieren estos eventos).

Habilitaciones, titulaciones… y todo lo demás

Leía esta mañana en BELT una noticia que hacía referencia a la falta de habilitación profesional del Director de Seguridad del Barça: esto es, no tiene un TIP en vigor que lo habilite como Director de Seguridad por el Ministerio del Interior. En España, las figuras contempladas en el ámbito de la seguridad privada vienen definidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP), y entre ellas encontramos al Director de Seguridad, al Jefe de Seguridad, al Escolta Privado o al Guarda Particular del Campo, por citar unas cuantas… todo lo que se salga de ahí, no está reconocido a día de hoy en España. Caso aparte es cómo las empresas de seguridad, sobre todo las que trabajan -o trabajamos- principalmente en seguridad de la información, denominen a su personal: CISO, CSO, CRO… son denominaciones que se utilizan con mayor o menor fortuna en cada caso, pero que desde luego no están oficialmente contempladas (ojo, hasta donde yo sé, y que alguien me corrija si me equivoco). Debate aparte es si es lícito, o ético, que una empresa utilice para su personal cargos que se corresponden con titulaciones oficiales si dicho personal carece de éstas, argumentando siempre que se trata de responsabilidades internas en la organización, no de atribuciones reconocidas oficialmente.

Más allá del hecho de que el Director de Seguridad del Barça tenga o no la habilitación correspondiente, esta noticia viene a plantearnos algunas cuestiones. La primera es relativa a la (necesaria, IMHO) regularización del personal de seguridad; como hemos dicho, todo lo que se salga de la LSP en España no está reconocido, y no debemos olvidar que el negocio de la seguridad de la información al que se dedican -o nos dedicamos- muchas empresas no deja de ser Seguridad Privada… pero sin legislar. Para ser Vigilante de Seguridad o Escolta Privado debes poseer una habilitación, pero para ser técnico de, consultor de o responsable de, no necesitamos nada… Volvemos a insistir en cosas ya comentadas en este mismo blog: ¿no sería necesario que se ampliaran las figuras del personal de seguridad reconocidas en la Ley de Seguridad Privada? Esta ley no se ha movido significativamente desde hace dieciocho años -una eternidad si hablamos de seguridad-, por lo que muchos creemos que ya va siendo hora de que se revise la ley y podamos empezar a hablar de otras figuras, como comentaba en mi post sobre la Ley Ómnibus. Así, todos tendríamos claro cuáles son las figuras oficialmente reconocidas con nuestra perspectiva actual de seguridad (convergencia, PIC, etc.), y quién está capacitado para dirigir un departamento de seguridad, para pertenecer a él o simplemente para desarrollar ciertos trabajos dentro del ámbito de la seguridad privada… más allá de la vertiente “clásica”.

Otra cuestión es qué pasa actualmente con estos puestos de seguridad privada “no oficial”… se trata de roles tan habituales que nadie se plantea sus implicaciones, pero lo cierto es que únicamente están reconocidos dentro de una organización, no más alla; un Director de Seguridad o un Ingeniero en Informática es eso mismo aquí y en la China Popular (como diría alguien), mientras que un “Ingeniero de Seguridad Perimetral” o un “Responsable de Riesgos” no tienen sentido fuera de la organización que les ha asignado esa categoría. Volvemos al tema de las atribuciones profesionales, al quién puede hacer qué; “Director de Seguridad” es una habilitación propia del Ministerio del Interior, mientras que “Director de Seguridad de la Información” -el famoso CISO-, o “Consultor de Seguridad” no es ninguna titulación oficial, con lo que cualquiera puede adjudicarse este papel en su tarjeta de visita… De nuevo lo de siempre: ¿quién puede firmar una auditoría? ¿quién puede dirigir un departamento de seguridad que trabaje en protección de la información? Ahora mismo no existe regulación alguna más alla de la LSP (que por supuesto no toca seguridad de la información como tal), por lo que cada organización hace de su capa un sayo; yo puedo decir que tal persona es Técnico de Seguridad, Consultor de Seguridad o Ingeniero Jefe de Seguridad… ¿y? Sólo dependerá del buen criterio -o del mal criterio- de cada empresa el titulito que se asigne a su personal de seguridad…

Creo que una regulación del personal de seguridad sería muy conveniente tanto para nuestra profesión como para nuestros clientes, que por fin podrían saber quién les puede realizar determinados proyectos o prestar ciertos servicios, y en base a qué; y por supuesto, si llegamos al punto en que el personal de seguridad se regula correctamente más allá de la seguridad tradicional, no olvidemos que dicho personal tendrá una serie de obligaciones y responsabilidades -no como sucede ahora en seguridad de la información-; en el momento en el que alguien puede retirarme mi habilitación como Director de Seguridad si hago mal mi trabajo, impidiéndome desempeñar ese puesto en un futuro, me pensaré dos veces el entregar un informe o el resultado de un análisis de riesgos, por poner un ejemplo.

Para acabar, un último apunte: no empecemos ahora con que si para dirigir, auditar o implantar hace falta un CISSP, un SANS, un CISA, un CISO o un CASI, que me entra la risa… estas -y otras- certificaciones son títulos de una “academia” concreta (ISACA, ISC2, SANS…), y por muy reconocidos que estén o dejen de estar, hasta donde yo sé no son oficiales, al menos de momento; otra cosa es si demuestran o no conocimiento, o simplemente demuestran tiempo y dinero… pero para empezar a discutir quién puede hacer qué en seguridad, prefiero hacerlo por titulaciones oficiales o por habilitaciones propias del Ministerio del Interior, nos gusten más o menos…