Colaboración

El martes pasado estuvimos en unas jornadas organizadas por la Fundación Borredá en las que se presentó la capacidad conjunta del CNPIC e INTECO para el establecimiento de un CERT orientado a la Protección de Infraestructuras Críticas; en línea con las hipotéticas líneas de trabajo de esa futura Estrategia Española de Ciberseguridad, se potencia la capacidad de respuesta a incidentes y la Protección de Infraestructuras Críticas en una única iniciativa en la que INTECO y el CNPIC unen sus esfuerzos para mejorar las capacidades de detección, prevención y respuesta a incidentes en el ámbito de la PIC. Y de nuevo en este evento surgieron dos conceptos mágicos que, como el de convergencia del que hablamos en su momento, hasta la fecha están only available for Powerpoint: intercambio de información y colaboración.

Hace poco leía en el blog de @lostinsecurity una entrada bastante clara -y dura, pero real- en la que se referenciaban ambos términos, especialmente significativa después de ver a David Barroso en una mesa redonda en el CNIS de este año, con una frase en negrita con la que lamentablemente no puedo estar más de acuerdo: no existe la colaboración e intercambio de información que debería existir. Como con la convergencia, se nos llena la boca de colaboración y de information sharing… pero como suele pasar, el PPT es muy sufrido y la realidad, muy cruel… Colaboramos como amigos (conozco a fulanito y me hace el favor de darme la info que necesito porque mañana él me pide algo y yo le hago el favor, y luego nos tomamos unas cervezas) pero sin formalizar la relación entre organizaciones, y eso no puede ser; ojo, no es que esté mal, pero por sí mismo, no puede ser por los mil motivos que todos sabemos. Ya lo decía en su post @lostinsecurity: Dejemos el PowerPoint y el Word. Es hora de empezar a hacer algo útil.

Ya en 2007 Jeffry Brady, del National Joint Terrorism Task Force identificaba en Barriers to information sharing los problemas de los que hoy hablamos, cuatro tipos de obstáculos que es necesario afrontar para una compartición efectiva de información; a saber: tecnológicos (como la incompatibilidad entre sistemas de información diferentes), humanos (el más importante, la habitual resistencia al cambio), organizativos (el peor, esa cultura de muchas organizaciones de no compartir datos) y sistémicos (¿leyes?). Han pasado exactamente seis años y los problemas, a pesar de que las soluciones teóricas son muy conocidas, básicamente son los mismos; en opinión de muchos, entre los que personalmente me incluyo, “sólo” tenemos que poner dos cosas sobre la mesa para que estas palabras dejen de ser una utopía y pasen a ser una realidad (y si es efectiva, mejor que mejor): la primera, confianza y la segunda, bidireccionalidad. Tengo que confiar en los que van a recibir -anonimizados o no- información sobre mis incidentes, en muchas ocasiones sensibles; si no confío en ellos, lo que les envíe será poco o nada relevante salvo que un tercero con poder (¿por qué no?) me obligue: y aún así en este caso ya me buscaría la vida para cumplir la obligación dando la menor información posible… y si doy información útil, también quiero recibirla. No es algo nuevo que hayamos descubierto ahora; ya se decía hace años: do ut des. Si sólo soy yo el que aporta a una relación, mal acabará… ¿verdad?

Bien, tenemos claros los problemas y las soluciones… ¿qué pasa entonces? Ni confiamos ni nos gusta dar información. Como hace años, exactamente igual… ¿Qué hacemos? No voy a dar aquí la disertación de siempre sobre establecimiento de relaciones de confianza, modelos de intercambio de información y blablabla… ¿Para qué, si ya la sabemos y no le hacemos caso? Es el mismo discurso que en 2006 o 2007 pero con una diferencia: mientras lo mantenemos hemos perdido seis añitos que seguro que alguien, en algún lugar del mundo, ha aprovechado. Y si seguimos haciendo lo mismo, obtendremos los mismos resultados… a ver si la iniciativa del CNPIC e INTECO rompe esta línea.

Completamente de acuerdo con lo que decía @lostinsecurity: dejemos el PPT y las palabras bonitas y pongámonos manos a la obra. Señores de las Administraciones Públicas: lideren estas iniciativas; desde la empresa privada NO PODEMOS aunque queramos. Potencien el intercambio de información y la colaboración. Oblíguenme si hace falta, pero mejor convénzanme de que es lo mejor para todos (a mí particularmente no, ya estoy convencido ;). Compartamos información, colaboremos… y en especial en la protección de infraestructuras críticas, que tanta falta nos hace. Como decía, confiemos en que la iniciativa conjunta de INTECO y el CNPIC de la que hablábamos al principio tenga éxito y potencie la colaboración y el intercambio de información entre todos los actores involucrados en la PIC, llevándolas a la realidad y, más importante, convirtiéndolas en una salvaguarda de verdad. Nos hace falta como el comer. Ah, y ójala lo podamos hacer antes de que nos llevemos un susto, o algo peor.

El discurso universal

Hay gente que tiene la envidiable capacidad de hablar horas y horas durante un tema -del que quizás no tengan ni idea- diciendo cosas coherentes, con una forma perfecta pero sin ningún tipo de fondo: (algunos) políticos, (algunos) speakers, (algunos) periodistas… Voy a intentar imitarles con un post sobre seguridad, que para algo estamos en Security Art Work…

Hoy en día nadie discute que la seguridad es vital para lograr con éxito los objetivos de cualquier organización, y dicha seguridad debe aplicarse mediante una aproximación holística, que facilite una garantía global desde el punto de vista operativo, pero también desde los puntos de vista táctico y estratégico, por supuesto siempre alineada con el negocio, la legalidad y la ética de la propia organización y de las personas que la componen.

Sin duda los avances de nuestra sociedad ponen en jaque este modelo de seguridad al que hacemos referencia; tendencias como el cloud computing o el BYOD, normativas como la Ley de Protección de Infraestructuras Críticas o aspectos de privacidad o reputación digital, por citar sólo unos cuantos ejemplos, amenazan al modelo tradicional de seguridad global al que estamos acostumbrados.

Ante esta situación los profesionales individuales, las asociaciones, empresas, Administraciones Públicas, grupos de interés… en definitiva, cualquier actor involucrado actualmente en el ámbito de la seguridad debe reaccionar adecuadamente para adaptarse a la nueva situación sin degradar los niveles mínimos aceptables en su ecosistema profesional. Y para ello sólo cabe una posibilidad: el buen gobierno. Un gobierno alineado con la legalidad vigente, la ética personal y profesional y las buenas prácticas en materias de seguridad internacionalmente reconocidas, verificado de forma independiente y periódica mediante un esquema correcto de aditoría.

Sin este buen gobierno al que hacemos referencia jamás podremos hablar de una seguridad adecuada a los requisitos que nuestros clientes y usuarios, y en definitiva la sociedad en su conjunto, demandan; es necesario que todos trabajemos en la misma dirección, aunando esfuerzos, colaborando, intercambiando información y construyendo los cimientos de una seguridad empotrada en las bases de cualquier iniciativa: lo que se ha venido a denominar la cultura de seguridad. Solo así podremos hacer frente, de manera correcta y completa, a las nuevas situaciones o tendencias de las que hablábamos al principio; si no abordamos el problema mediante esta aproximación no tendremos más que iniciativas aisladas sin un marco de trabajo adecuado, que mejorarán la seguridad en ámbitos de trabajo concretos pero no en su conjunto.

Bien, ¿no? Todo lo expuesto parece coherente, correctamente expresado y seguramente alguno que otro, si no lo hubiera puesto en cursiva, lo habría considerado un post aceptable… es más, habría votado el “Me gusta” :) Hasta aquí todo normal…

Sustituyamos ahora la palabra seguridad con un término que nosotros podamos considerar cercano:

sed s/seguridad/tecnología/g

Ummm… tampoco tiene mala pinta, ¿no? Intentémoslo con otras palabras “cercanas”:

sed s/seguridad/informática/g
sed s/seguridad/defensa/g
sed s/seguridad/inteligencia/g

Sigue siendo bastante coherente, ¿no? A fin de cuentas, estamos diciendo tantas obviedades y generalidades que las mismas se podrían aplicar a cualquier cosa “cercana”… Sigamos entonces con cosas menos “cercanas”:

sed s/seguridad/justicia/g

¡Vaya! ¡Sigue sin quedar mal del todo! A ver…

sed s/seguridad/economía/g
sed s/seguridad/marca/g
sed s/seguridad/imagen/g
sed s/seguridad/"responsabilidad corporativa"/g
sed s/seguridad/...

Acabamos de generar un discurso universal; una serie de vaguedades e indefiniciones tan obvias, tan obvias, que todo el mundo está de acuerdo con ellas y se pueden aplicar a cualquier rama. Vamos, lo que muchas charlas de algunos congresillos esconden, ¿verdad? :) Y eso que es un discurso semi-hilado… Si lo intentamos con frases sueltas, la cosa es aún más sencilla (ojo, a veces hay que cambiar también el artículo):

“El paradigma del cloud computing introduce nuevos riesgos en la seguridad corporativa que es necesario tratar de forma adecuada.”

sed s/"cloud computing"/BYOD/g
sed s/"cloud computing"/movilidad/g
sed s/"cloud computing"/convergencia/g
sed s/"cloud computing"/...

“Si no gestionamos la seguridad no podremos introducir la mejora continua como factor de éxito.”

sed s/seguridad/finanzas/g
sed s/seguridad/empresa/g
sed s/seguridad/proceso/g
sed s/seguridad/...

Y si encima metemos anglicismos en nuestra presentación, aunque no vengan a cuento, ya el auditorio alucina:

“Un problema habitual en organizaciones grandes es el time to market de los nuevos servicios.”
“El desarrollo de non lethal weapons es un área de investigación crucial para la seguridad.”
“Como Chief Security Officer debes velar por la protección global del negocio, incluyendo aspectos de compliance y policy.”

And so on…

Malas ideas: la competencia

De nuevo, esta historia es completamente ficticia y, como se suele decir, cualquier parecido con la realidad es pura coincidencia… Por supuesto, SAW no se hace responsable de nada ;)

Imaginemos que una empresa, competencia directa nuestra, busca un perfil como los que nosotros tenemos: sin ir más lejos, y sólo por poner un ejemplo, gente de seguridad; y sigamos imaginando que un compañero se ve tentado por una fabulosa oferta de esa empresa. Nada extraño, ¿no? A fin de cuentas, algo bastante habitual: si alguien de seguridad busca cambiar de empleo rara vez se va a ir a programar páginas web… seguirá en el mismo campo pero en otro sitio y ese otro sitio será, casi seguro, competencia del actual.

Pero pensemos ahora malas ideas… Por ejemplo en una persona que realmente no quiere cambiar de empresa, sino pasar un tiempo en la competencia. ¿Para qué? Muy sencillo: para tener acceso a su información importante (espionaje industrial le llaman). ¿Qué precios hora y qué perfiles maneja para un proyecto? ¿Qué líneas de negocio está intentando desarrollar y cómo y dónde lo está haciendo? Desde luego, a cualquiera de nosotros nos interesaría información como ésta u otra parecida… A fin de cuentas, nos posicionaría más que bien con respecto a esa competencia…

¿De cuánto tiempo estaríamos hablando para que nuestro topo llegara a su información objetivo en el nuevo destino? Depende mucho del topo, de su nuevo rol y de la organización objetivo. Si se trata de una empresa no vinculada al ámbito de la seguridad o no especialmente concienciada con este tema seguramente el acceso será muy rápido para una persona que haya conseguido el rol adecuado (por ejemplo, administrador de sistemas); no obstante, como hemos dicho, este tipo de empresas no serán las habituales, salvo excepciones, en las que nos interese meter un topo: nos gustarán más las empresas de seguridad o las que manejen información con grandes requisitos de protección (¿como las infraestructuras críticas?). De éstas se pueden sacar datos más sensibles, pero claro, a cambio de un mayor esfuerzo y de un plazo más largo (tampoco pasa nada, no solemos tener prisa… es más, seguro que hay topos que llevan toda la vida metidos en algún sitio ;). ¿Un mes? ¿Dos meses? ¿Seis? ¿Un añito? Dependeremos, ahora que tenemos claro el tipo de organización objetivo, de dos factores: de la habilidad del infiltrado y de su rol en la organización.

El tema del rol es determinante; los roles que seguramente muchos de nosotros solemos tener son siempre interesantes: técnicos con accesos privilegiados al entorno corporativo (servidores documentales, correo electrónico, elementos de comunicaciones…) o a información sensible de seguridad (logs, volcados de tráfico, entornos de monitorización…), gestores o consultores con acceso legítimo a datos sensibles (comerciales, tecnológicos, personales…) o incluso determinados perfiles con acceso a datos ya críticos para cualquier organización, como los nuevos negocios o mercados o las estrategias de aproximación a grandes clientes… En fin, en cualquier caso, información jugosa ;)

Y ya para acabar nos queda el tercer gran factor que determinará la eficacia (o la eficiencia) de esta mala idea: la habilidad del topo. Con independencia del puesto obtenido, tener acceso a la información que nos interesa será más fácil para alguien que tenemos ya dentro de la organización objetivo que para alguien que tenemos fuera. Por supuesto, si el rol que ha conseguido le da acceso directo a los datos que nos interesan la cosa será fácil a priori; si no disponemos de ese acceso nuestro trabajo se complicará y necesitaremos más paciencia: un poco de ingeniería social, algo de basureo, una oreja atenta en la máquina del café o un buen shoulder surfing ;) En cualquier caso, y en términos generales, nada que parezca muy complicado, ¿verdad?

Vale, ya tenemos la información… ¿Qué hacemos ahora con nuestro colaborador? Traerlo a casa de nuevo será contraproducente, sobre todo si lo hacemos de forma rápida y directa: la gente pensará mal (y con razón) de nosotros y eso, en un mundo como es el de la seguridad en el que trabajamos muchas veces con relaciones de confianza muy estrechas, no beneficia a nadie, ni a la persona ni a la empresa… Incluso haciéndolo indirectamente, es decir, dejando pasar un tiempo prudencial, saltando a otra organización y de ahí retornando a la nuestra es posible que quememos a la persona y que no podamos repetir un ataque de este tipo de nuevo con ella (es más, si somos tan malos que nos acostumbramos a este tipo de cosas acabaremos quemados, por lo que estas malas ideas hay que dosificarlas muy mucho). Así, parece obvio que recuperar a esta persona en nuestra organización será complicado; además, seguramente nos resultará más útil, mientras no se queme, en su nuevo destino (así nos podrá seguir pasando datos interesantes) o, por qué no, en otros destinos a los que acceda desde la nueva organización donde tenemos al topo. En este último caso será más difícil para el atacado detectarlo y asociarlo con nosotros, por lo que el trabajo será excelente y, seguramente, también lo será el resultado…

Poniéndonos ahora en el lado del atacado… ¿cómo podemos evitar que alguien con malas ideas nos haga justamente lo que nosotros estamos elucubrando en esta entrada? Con salvaguardas antes de contratar a una persona (como CV Screening, entrevistas…), durante la prestación de sus servicios (acuerdos de confidencialidad, controles de acceso físicos y lógicos, detección de robos de información, investigaciones…) y una vez finaliza la relación con la organización (monitorización, etc.). Vamos, nada nuevo, lo que dice cualquier norma de seguridad y cualquier cabeza… Sí, es fácil escribirlo en un post y difícil hacerlo… Efectivamente, de eso se trata :)

Por cierto, aprovechando esta entrada y que el Pisuerga pasa por Valladolid, os proponemos una nueva encuesta en el blog:

[poll id=”27″]

/join #espana

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)

Malas ideas: CHANCHULLASA

Nota: como siempre, Security Art Work no se hace responsable de nada, no intenten esto en sus casas y todos esos disclaimers que se suelen decir… Aquí evitaremos aquél de “cualquier parecido con la realidad es pura coincidencia”, porque esto, que de momento solo es una mala idea -y esperemos que no pase de ahí- es desde hace años una realidad en algunos países que todos conocemos…

Imaginemos que la crisis no cesa y las cosas no sólo no mejoran, sino que van a peor: paro, descontento, revueltas… E imaginemos que ante este escenario a muchos españolitos de a pie nos toca buscarnos la vida fuera de nuestro país, física o virtualmente… Sí, ya sé que en la realidad esto no puede suceder y demás, pero el caso es imaginar ;)

Y puestos a imaginar, imaginemos que un grupo de compañeros de nuestro sector decide montar una empresa de lo que mejor saben hacer: de seguridad. Pero ojo, ya cansados de las dificultades de hacer las cosas como toca, esta empresa trabajaría en el lado oscuro: parafraseando a Krahe, podríamos dedicarnos a temas legales, pero para qué vamos a hacerlo pudiendo dedicarnos a temas ilegales… Llamémosla CHANCHULLASA.

CHANCHULLASA sería una empresa de referencia, modelo a seguir por su gama de servicios sectoriales y su enfoque, plenamente convergente… Para empezar, tendríamos un departamento dedicado a la Inseguridad Física, que ejecutaría la parte de safety de nuestros servicios: inseguridad de las personas y patrimonial, incendios, accidentes… En fin, lo habitual. Otro departamento estrella sería el de Incumplimiento, dedicado a todas las tareas asociadas al incumplimiento normativo y legal: generación de falsos certificados ISO-lo-que-sea, LOPD a coste cero…

El departamento de Inseguridad ICT tendría obviamente mucho peso específico en CHANCHULLASA, ya que el presente y el futuro (y por tanto la supervivencia de la empresa) pasa de forma inevitable por todo lo relacionado con la inseguridad de las nuevas tecnologías; también tendría ese mismo peso el departamento de Fraude, focalizado tanto en el análisis y puesta en marcha de nuevas técnicas de engaño (sobre todo económico, con un Time to Market espectacular) como en el control interno de la organización, para evitar ovejas descarriadas en CHANCHULLASA que intenten volver al otro lado o, peor aún, engañarnos…

CHANCHULLASA, como buena empresa de seguridad, aunque desde el lado oscuro, valoraría muy mucho la continuidad de su negocio, por lo que tendríamos también nuestro departamento de Riesgos, encargado de todo lo relativo con la gestión del riesgo operativo, gestión de crisis e incidentes y, por supuesto, BCM. Y para acabar, un departamento que toda empresa de seguridad (o todo área de un Departamento de Seguridad) debería tener: el de formación, que en este caso llamaríamos de Desinformación, dedicado cómo no a tareas de desinformación (información negativa, confusión…) en el ámbito de la seguridad, especialmente hacia futuros “clientes” de CHANCHULLASA. Desde luego, su documento estrella sería uno que llamaríamos “Hacia una cultura de inseguridad”, donde detallaríamos las recomendaciones habituales: comparte claves, da todos los detalles posibles de tu vida en redes sociales, haz ostentación de tu dinero en cualquier momento y lugar… Vamos, que hay que labrarse el futuro de CHANCHULLASA y por tanto el nuestro…

Los departamentos anteriores trabajarían de forma conjunta para ofrecer diferentes líneas de negocio sectoriales, conformando así una estructura matricial -como ahora nos gusta organizarnos en las empresas- perfecta que estaría en disposición de prestar servicios de alto valor añadido en sectores clave para nosotros y nuestros clientes (clientes voluntarios o involuntarios, dicho sea de paso), como el aeroespacial (interceptación de satélites, robo de tecnología…), el bancario (phishing, skimming…), el industrial (alteración de contadores, control y destrucción de sistemas SCADA…) o el tecnológico (generación y mantenimiento de claves, robo y venta de 0-days…). Por supuesto, el producto estrella de CHANCHULLASA estaría muy claro: las APT, con unos precios muy asequibles y la posibilidad de configuraciones a medida (ya estamos pensando en un interfaz web que incluya pago online).

Hablando de esto último, de la venta de APT vía web, obviamente la actividad comercial de CHANCHULLASA estaría muy limitada; no podemos ir a congresos para hacer contactos, ni poner fácilmente esa web de la que hablábamos, con nuestros servicios y un correo de contacto… Bueno, qué narices, esto último sí que podemos hacerlo (y si no, fijaos en los de Gwapo). A fin de cuentas, ¿quién va a investigar un servidor dedicado, alquilado mediante un ingreso en efectivo, en un país sin legislación donde además el contacto es un correo de hotmail que cambiará una vez al mes y al que entraremos desde WiFis abiertas? Tampoco es complicado, ¿Verdad? ;)

En fin, que esperemos que todo vaya a mejor, que CHANCHULLASA no cuaje y que esta mala idea se borre de alguna que otra mente… Bromas aparte, algún conocido ya ha insinuado cosas parecidas si la cosa no mejora, y eso no puede ser…

0-day en mod_reno

Hoy ha salido a la luz que un grupo de hackers bastante activo por estas fechas, autodenominado The Three Kings (T3K) ha descubierto una grave vulnerabilidad en el módulo de Apache mod_reno, ampliamente utilizado en los servidores web que conforman la red SANTANet. Este bug permite la ejecución remota de código en el servidor, vulnerabilidad que no tiene exploit publicado aún y que ha sido aprovechada por T3K en los últimos días para atacar a las máquinas de esta red.

El problema está aparentemente en la función rudolf(), encargada de insertar en el sistema las peticiones que los niños realizan a través de los webservices que SANTANet exporta a Internet; dicha función no comprueba la longitud de la petición antes de insertarla, por lo que las peticiones muy grandes pueden causar un desbordamiento de buffer:

    void rudolf (char *wish){
    char toy[4096];
    ...
    strcpy(toy,wish);
    insert(toy);
    ...
    }

Al parecer, el grupo T3K ha aprovechado esta vulnerabilidad para robar la base de datos que hospedaba el servidor y que contenía las peticiones de todos los niños junto a sus nombres y direcciones; además, han dejado un mensaje en la web principal de SANTANet en el que se podía leer “Si en Texas no corren delante de los toros con un pañuelo rojo en el cuello y en Nueva York no hay verbenas el 15 de agosto…¿qué narices pinta Papá Noel en Cuenca?”.

En declaraciones a Security Art Work, los responsables técnicos de SANTANet han negado el robo de datos, a pesar de que la relación de peticiones registradas ya ha sido publicada en Pastebin y según han confirmado muchos niños en Tuenti, parece real. “No tenemos ningún problema de seguridad identificado. Ejecutamos SANTA contra nuestros servidores regularmente, estamos suscritos a los principales grupos de seguridad en las news y nuestras webs están hospedadas en GeoCities. Además, para evitar problemas tenemos también colgado el banner de Free Kevin…”. Al preguntarles sobre los datos pastebineados, sólo han podido exclamar “Goatse!!”.

Uno de los miembros de T3K, G4sp4r, ha emitido a través de Twitter un comunicado en nombre del grupo en el que reconoce la autoría del ataque y asegura que acciones similares van a seguir produciéndose en estas fechas. Según indica, “no podemos quedarnos cruzados de brazos ante un caso de intrusismo profesional tan claro como este. Santa go home!“; el grupo no descarta además actuaciones adicionales de protesta –“a muchos trineos les fallan los frenos sin ningún motivo” ha indicado Melch0r, otro de los miembros de T3K-.

T3K está recibiendo un amplio apoyo de otros grupos de la scene nacional, como The Krist0s The Borja (TKTB), especializado en defacements y que está lanzando un ataque masivo a las páginas web de SANTANet para sustituir las imágenes de Papá Noel por fotos del alcalde de Marinaleda, o HispaLeaks, grupo que asegura haber obtenido los datos personales de todos los renos y una copia de los mensajes de correo electrónico de SANTANet y amenaza con publicarlos antes de fin de año si Santa no cesa sus actividades.

Por su parte, la Agencia de Protección de Datos ha abierto un expediente con el objeto de analizar el posible robo de información y determinar si las medidas de seguridad de SANTANet eran adecuadas. Según uno de sus responsables, estos datos son de nivel alto y SANTANet puede ser sancionada si se demuestra que no han protegido correctamente esta información; además, el hecho de que los datos sean en su mayor parte de menores agrava aún más el problema, por lo que en caso de existir sanción esta sería máxima.

Si alguno de nuestros lectores encuentra su lista de regalos en Pastebin, por favor, que nos lo comunique; estamos elaborando unas estadísticas para nuestro próximo informe de Protección de Infraestructuras Críticas que no tienen nada que ver con esto, pero así cotilleamos un rato y vemos qué regalos queréis para estas fechas :)

¡Mucho cuidado este 28 de diciembre!

¡Felices fiestas!

Como cada año por estas fechas, desde Security Art Work queremos desearos unas felices fiestas y un próspero 2013. Cuidado con los excesos navideños (¡los polvorones los carga el diablo!), cuidado en la carretera, cuidado con esas felicitaciones en PPT que nos llegan de desconocidos (o de conocidos) y todo eso que solemos decir. No nos vamos a poner más pesados de lo necesario ;)

Que estos días nos sirvan para estar con los nuestros y pasar algún que otro buen rato; el que pueda, a descansar un poco y, los que no, a cerrar temas que tienen que estar antes de fin de año (EOQ4 2012, que dicen los auditores). Ale, a disfrutar…

Y ahora, como siempre, la cutre-felicitación navideña de Security Art Work (realmente, de Seguridad, pero sirve igual ;). No nos ha dado tiempo a construir un PDF malicioso que infecte cosas, así que este año hemos “plagiado” una imagen de WhyWeProtest y la hemos retocado con GIMP… Perdón por nuestra capacidad gráfica, pero no damos pa más :)

Segundo informe sobre Protección de Infraestructuras Críticas

Esta semana hacemos público el segundo informe relativo a la Protección de Infraestructuras Críticas, en este caso focalizado en los aspectos prácticos de dicha protección en España. El planteamiento es sencillo: tras la publicación, hace un tiempo, del primer informe —en el que se analizaban los aspectos normativos de la PIC, especialmente en nuestro país—, decidimos comprobar de forma aproximada cual era el estado real de seguridad de las infraestructuras críticas españolas. Para ello nos planteamos un análisis generalista —en ningún momento dirigido— mediante pruebas no hostiles (obvio) y el uso de herramientas no avanzadas; de otra forma, queríamos saber dónde podría llegar un atacante sin un objetivo específico ni conocimientos o herramientas avanzadas, sencillamente con algo de tiempo y una conexión a internet.

Para ello, identificamos una serie de firmas asociadas a sistemas de control —fabricantes, modelos concretos…— a operadores de infraestructuras críticas o estratégicas, a estas infraestructuras en general… y las complementamos con más información de dichas infraestructuras, como datos WHOIS o direccionamientos públicos. Con estos datos, nuestro amigo SHODAN y su estupenda API, podemos empezar a buscar entornos asociados a IICC en España que sean accesibles desde Internet.

[Read more…]

Malas ideas: el taxista

Antes de empezar este post es necesario advertir que se trata de una situación ficticia fruto de la imaginación, que cualquier parecido con la realidad es pura coincidencia, que no intenten esto en sus casas y que Security Art Work no se hace responsable de nada… Vamos, lo habitual ;)

Imaginemos por un instante una de esas reuniones de trabajo en nuestra oficina en las que negociamos con proveedores, clientes, partners… sobre tal o cual proyecto o, simplemente, en las que tratamos información que debe ser restringida. Imaginemos que al acabar esta reunión nuestros interlocutores deben volver a su lugar de trabajo y para ello -situación muy habitual- les pedimos un taxi o, mejor aún, se lo piden desde nuestra recepción (más convincente ;).

Imaginemos que ese taxista es un buen amigo nuestro y, además, trabaja para nosotros. ¿Cómo? Muy sencillo: haciendo lo que hacen los taxistas, que es llevar a pasajeros de un sitio a otro. ¿Para una empresa de seguridad? Claro, ¿por qué no? Y de paso que los lleva… ¿Por qué no regalarle a nuestro amigo una pequeña grabadora, de esas tan discretas que caben en cualquier sitio y que además pueden recoger nítidamente una conversación mantenida, por ejemplo, en un taxi? Así, cuando reciba la llamada para realizar un servicio desde nuestras oficinas, puede pulsar la tecla REC antes de acudir a por los clientes… Total, nadie se va a poner a buscar algo así en el vehículo, ¿verdad?

Imaginemos lo suculenta que puede ser la conversación mantenida tras una reunión. ¿Qué dirán de nosotros? ¿Y del proyecto? ¿Tratarán de engañarnos? ¿Nos estarán tratando bien? Y lo que es más importante… ¿Cuánto vale esa grabación (y no me refiero sólo al dinero)? Si todos hemos respondido “mucho”, ¿verdad que alguien se habrá planteado al menos conseguirla, cuando no algo más…? Pensemos una cosa: no estamos hablando de situaciones extrañas, sino todo lo contrario, en las que además el beneficio es o puede ser muy alto y el riesgo para el atacante es casi nulo. Tentador, ¿a que sí? Y si a nuestra oficina no se llega fácilmente en transporte público, mejor aún: muchos vendrán a vernos en un taxi… y tendrán luego que volver en otro, el de nuestro amigo :)

De esta forma, la próxima vez que salgan de una reunión de trabajo y se suban a un taxi -pedido desde la empresa o no, que las casualidades también existen- recuerden que no conocen de nada al conductor, ese extraño que va sentado delante conduciendo, aparentemente ajeno a nosotros. Todo lo que digamos puede ser grabado o, sencillamente, escuchado y luego retransmitido; vamos, que como se suele decir, puede ser utilizado en nuestra contra. Y recuerden también aquello de que si tenemos dos ojos, dos orejas y sólo una boca, será por algo…¿no?

Ojo, no sólo podemos tener amigos taxistas. Los camareros de las zonas de negocios también tienen cumpleaños en los que regalarles cosas y al personal de limpieza o mantenimiento le encantan las cámaras digitales. Ah, y todos ellos tienen dos ojos y dos oídos, casi se me olvidaba… ;)

El defacement del año

Sin duda a estas alturas casi todos sabemos cual ha sido el defacement más sonado del año 2012: el del Cristo de Borja. A finales del pasado mes de agosto, cuando muchos estaban aún disfrutando de sus vacaciones y el resto acababan de volver al trabajo, saltó a los medios el caso de Cecilia Giménez, una intrépida hacker que, desafiando a una de las mayores organizaciones del mundo, decidió restaurar la imagen del eccehomo de la iglesia del Santuario de Misericordia de Borja (Zaragoza), una obra de arte -por cierto, bastante desconocida hasta ese momento- de Elías García Martínez.

Se trató de un incidente que podríamos clasificar como un acceso no autorizado con modificación y/o corrupción de datos, que no implicó fugas de información y con un origen plenamente identificado; la fase de contención se ejecutó de forma inmediata y la de recuperación, si es que se ejecuta, aún llevará su tiempo. Algunas reflexiones (¿esto es la fase de lecciones aprendidas?) sobre el incidente:

  • Un incidente no tiene por qué estar motivado por una acción malintencionada: en ocasiones es causado por alguien que realmente no quiere causar ningún daño. Doña Cecilia no ha pretendido en ningún momento dañar la imagen, todo lo contrario: la restauró ella misma porque nadie prestaba atención al deterioro del Cristo de Borja.
  • Personal interno a la organización (un insider) fue colaborador necesario para la materialización del incidente, de nuevo sin mala intención: el trabajo de Doña Cecilia era conocido por el párroco y contaba presuntamente con su aprobación. Es necesario definir quién puede autorizar qué en cada caso, ya que el defacement era en principio una acción autorizada aunque, seguramente, por alguien sin la autoridad necesaria dentro de la organización.
  • Un incidente a priori de criticidad baja desde un punto de vista técnico puede convertirse en algo crítico desde el punto de vista reputacional, en especial cuando se difunde a la opinión pública: poca gente conocía el Cristo de Borja antes de la restauración y desde luego, si no hubiera tenido tal repercusión mediática, este incidente no habría pasado de una simple anécdota en el pueblo… Por este motivo, la relación con los medios de comunicación en los incidentes que saltan al público debe estar contemplada en los procedimientos corporativos de gestión de incidentes; en estos casos debe establecerse un interlocutor válido con los medios por parte de la organización afectada, que canalice de forma adecuada la información remitida a éstos.
  • Si tan importante -artísticamente hablando- es ese Cristo… ¿se habían desplegado salvaguardas adecuadas para su protección? ¿Se habían analizado los riesgos a los que estaba expuesto el Cristo de Borja? ¿Las salvaguardas han fallado porque es muy compleja la protección de estos bienes o porque realmente en este caso se decidió no invertir más de lo estrictamente necesario?
  • Si realmente la pintura no es tan importante, ¿por qué ahora se va a dedicar tiempo y dinero a su restauración (cosa que no se hizo antes)? ¿No estaremos invirtiendo más en protección que el valor de lo protegido? ¿Por qué no nos planteamos dejar al Cristo como está?
  • Al hilo de lo anterior, una situación negativa pero convenientemente tratada se convierte en una ventaja. A partir de la restauración han surgido iniciativas que, bien gestionadas, seguramente repercutirán de forma positiva en el pueblo (mucho más de lo que habría repercutido la integridad del activo atacado).
  • Ya para acabar, sería interesante analizar las diferencias entre el defacement físico y el virtual (modo convergencia ON), en especial en lo referente a la restauración de los datos alterados :)

Para acabar, quiero expresar mi total apoyo a la restauradora, Cecilia Giménez; ella solita ha conseguido para su pueblo lo que, seguramente, ninguna campaña turística de ese ayuntamiento (que incluso analizó emprender acciones legales contra su vecina) habría conseguido jamás. Y eso que no pudo acabar su obra porque, según ella misma explicó, le salió un viaje a Albarracín :)

FOTO: Centro de Estudios Borjanos