Security Art Work

Imagino que a todos nosotros nos han enseñado que cuando tenemos que abordar un nuevo proyecto por primera vez, cuando tenemos que hacer algo que no hemos hecho nunca o cuando queremos mejorar un proceso -o lo que sea- debemos fijarnos y aprender de otros que lo hayan hecho antes. Y si nadie lo ha hecho antes, debemos aprender de los que han hecho cosas parecidas en otros ámbitos que no tengan nada que ver con el nuestro. Y si esto tampoco existe, pues ya nos vamos a I+D+i.

Particularizando para el campo de la seguridad lógica, a mí personalmente me gusta mucho fijarme en los compañeros de la seguridad física -con sus pros y sus contras- a la hora de abordar proyectos que no he hecho jamás. Desde luego, en campos como los modelos de negocio de seguridad gestionada o la gestión de incidentes nos llevan años de ventaja (a otro nivel y con otros problemas, pero años de ventaja), así como en temas legislativos, relación con FFCCSE y mil cosas más. Entonces, ¿por qué no tratamos de aprender de los profesionales que trabajan en este campo?

Sin querer generalizar, a los tecnólogos nos cuesta mucho darnos cuenta de que podemos aprender algo de gente que no sabe informática o telecomunicaciones más alla del nivel usuario (de hecho, para los técnicos la palabra “usuario” tiene connotaciones negativas ;). Por tanto, es impensable que nos planteemos los puntos que tienen en común la gestión de incidentes tecnológicos y la protección de personas -que los tienen, y muchos- o que nos fijemos en los modelos de colaboración o la regulación existentes en seguridad privada y los apliquemos en protección de la información, por poner unos ejemplos. Si lo hiciéramos, cada uno en su ámbito, podríamos aprender de los demás y mejorar nuestro trabajo… pero claro, ¿qué nos puede enseñar alguien que no sabe hablar en ensamblador? :)

Fijémonos en los que saben de nuestro campo de trabajo o en los que hacen cosas parecidas y apliquémoslas en nuestro día a día; seguramente de Bruce Schneier podremos aprender mucho, pero también podemos hacerlo de un policía que apatrulla la ciudad, de un guardia civil destinado en cualquier puesto de Cuenca o del vigilante de seguridad de un banco, aunque no tengan ni idea de tecnología. A fin de cuentas, nos cansamos de repetir que los delitos tecnológicos, sin ir más lejos, son equivalentes a los delitos tradicionales pero ejecutados con otros medios… y los ejemplos que he puesto antes sin duda saben mucho de delitos, aparte de ser probablemente más accesibles que Schneier. Y también nos cansamos de repetir todo aquello de la convergencia de la seguridad, la protección integral y demás…

Por supuesto, no todo lo que viene del ámbito de la seguridad física es bueno ni aprovechable; el mayor problema (IMHO) es el inmovilismo de muchos profesionales, desde personal de seguridad a FFCCSE pasando por legisladores, que una vez han logrado algo se dedican a defenderlo a toda cosa durante años -muchos- pensando que el mundo se paró en el instante en que ellos escribieron la Biblia. Señores, las cosas cambian y, sobre todo, se mejoran; no pueden ustedes dedicarse a argumentar -al menos fuera de El Club de la Comedia- que el phishing no es un problema de seguridad o que algo que no se proteja con una pistola no merece ser protegido, y tampoco pueden aferrarse con uñas y dientes a leyes de hace dos décadas sin plantearse si pueden cambiarse. Hay vida después de los ochenta :)

Hace ya algún tiempo, Toni Villalón nos hacia referencia a una técnica habitual en las auditorías de seguridad hace algunos años, el basureo (trashing), a partir de la cual podíamos obtener gran cantidad de información a partir de una papelera o cubo de basura. Sin embargo, ¿por qué ir rebuscando en la basura (que es algo sucio, desagradable y no sabemos con que podemos encontrarnos) si existen maneras mucho más fáciles, cómodas y limpias de obtener información? Además, sin ir muy lejos ni que te miren raro.

¿Dónde? En su impresora más cercana. Levántese, diríjase a ella y observe la documentación que nadie recoge, bien porque la envió a imprimir y olvidó que la había enviado, porque ya no la necesita, o por cualquier otra razón que se le ocurra. En realidad, el porqué no nos importa, lo que nos interesa es la información que contiene. Cójala y llévela a su sitio. Quizá le preocupe que su dueño legítimo aparezca de repente y le vea hacerlo, pero no se preocupe; lo más probable es que la haya abandonado, y en cualquier caso si acude a la impresora y ve que no está, la volverá a mandar imprimir, y probablemente volverá a olvidarla.

Una vez en su sitio, observe detalladamente la información que acaba de obtener. Con un poco de suerte, a lo largo de un par de semanas, habrá podido hacerse con información como la siguiente:

• Contratos para la prestación de servicios a clientes junto con sus acuerdos de confidencialidad. También ofertas para el suministro de material, donde indicaba precios y tarifas ofertadas.
• Listado de nombres, apellidos, teléfonos y correo electrónico de todo el personal de la empresa.
• Manuales de instalación de software junto con sus números de licencia.
• Informes para clientes, correos electrónicos impresos, correspondencia postal, etc.
• Documentación generada por los clientes de la empresa, donde aparecen las incidencias reportadas.

Además, si tiene la fortuna de que la impresora dispone de funciones de fax y servidor de correo electrónico, también podrá obtener sin demasiados problemas los listados de faxes enviados y recibidos durante los últimos meses, con los teléfonos de destino, cuentas de correo y nombres de usuario, junto con algunos reportes de faxes enviados, donde aparece la propia información enviada de forma parcial.

Quizá le parezca que la información que le comento no tiene apenas valor, pero lo cierto es que piensa eso porque probablemente no la tenga para usted. Ese es, entre otros, el propósito de un sistema de clasificación de la información: identificar y clasificar la información en base a criterios objetivos, evitando que cada uno valore la información con la que trabaja según le afecte más o menos. Ahora, para acabar esta pequeña simulación, imagine ahora que usted no trabaja allí. Usted es “sólo” un externo que trabaja allí de manera temporal. Dentro de un par de semanas se irá de allí, con una carpeta llena de información que nadie jamás echará de menos (sus dueños piensan, extrañamente, que se la comió la impresora, por lo que la volvieron a imprimir).

La conclusión lógica a este pequeño episodio es que dedicamos muchos esfuerzos en implantar medidas de seguridad técnicas, como cortafuegos, controles de acceso lógico, sistemas de monitorización, o detectores de intrusos, para asegurarnos de que las personas no autorizadas puedan acceder a información sensible de la empresa. Sin embargo, muchas veces nos olvidamos o dedicamos menos esfuerzos en la implantación de medidas menos técnicas y más organizativas, como podrían ser destructoras de papel, controles de acceso físico, políticas para el uso correcto de las impresoras y faxes, política de mesas limpias…

Ahora, acérquese a su impresora. Quizá descubra algún tesoro oculto sin dueño.

Durante estos días, como cualquiera que lea el periódico sabrá, ha salido a la luz un supuesto caso de espionaje industrial contra Renault, relativo al robo de información del coche eléctrico por parte de unos intermediarios que a su vez habrían facilitado la información a China. Por supuesto, muchos medios generales se han hecho eco de esta noticia, y también por supuesto ha sido analizada en blogs y canales especializados en seguridad.

El caso de Renault que ahora se publicita ni es el primero ni será el último en esto del espionaje industrial; simplemente pone de manifiesto un problema al que casi todas las empresas, grandes o pequeñas, están expuestas en la actualidad: el robo de información. Lo de siempre: se roba lo que vale, de una u otra forma, dinero; antes eran bienes materiales (un coche, un cuadro, una pieza concreta) y ahora lo que vale dinero es la información. Como dice Javier Cao en su blog, todos los que trabajamos en seguridad nos cansamos de repetir que la información es un activo de toda organización y, como tal, debe ser protegido. En plata: la información es dinero (o poder, o como lo queramos llamar) y por tanto tiene interés para los delincuentes.

¿Qué es lo que puede suceder en una empresa como Renault para que ocurran estas cosas? ¿Qué se ha hecho mal? Imagino -no lo sé, pero lo imagino- que tendrán un SGSI estupendo que habrá costado miles de euros, que entre su personal tendrán ingenieros con todas las certificaciones de seguridad habidas y por haber y que la inversión en protección de sus diseños costará anualmente cifras que a los simples mortales nos llegarían a marear. Ya sé que todo esto no garantiza la impunidad absoluta, pero ayudar, ayuda. Entonces, ¿qué sucede? Creo que se nos escapa, una vez más, el factor humano, el más difícil de controlar cuando hablamos de seguridad.

Protección de la información y personas. Dos conceptos que en ocasiones son difíciles de mantener en armonía, en especial cuando la información manejada vale miles de millones de euros y las personas, como los sistemas, presentan vulnerabilidades de uno u otro tipo. Sin ser tan drástico como el Arcipreste de Hita, que decía aquello de que el mundo por dos cosas trabaja: la primera, por aver mantenençia…, sí que es cierto que las personas funcionamos en ocasiones por dinero, por ideales (amor, política, religión…) o incluso por amenazas; confiar en la lealtad de las personas a una organización simplemente por pertenecer a ella y sentirse parte de la misma es obviamente un error, y lo peor de todo es que solemos darnos cuenta de este error cuando el problema estalla en nuestras narices.

¿Qué podemos hacer para minimizar (no quiero decir “evitar”) problemas de seguridad derivados de las personas? Al hablar de la protección de bienes tangibles las soluciones suelen ser muy claras, pero al hablar de protección de la información quizás no lo sean tanto; bajo mi punto de vista, aparte de las recomendaciones clásicas (segregación de tareas, need to know…) lo que hoy en día necesitan las organizaciones es contrainteligencia: mecanismos que permitan detectar potenciales conductas anómalas (e investigarlas) antes de que las fugas de información, los daños reputacionales o cualquier otro problema se materialicen y nos causen un impacto significativo. Lo mismo que se ha hecho en inteligencia desde hace décadas -ellos siempre han estado acostumbrados a trabajar con información valiosa- aplicado ahora al negocio; frente al espionaje, contraespionaje, con unas técnicas similares a la contrainteligencia clásica pero con el añadido del punto de vista empresarial (contrainteligencia competitiva lo llaman por ahí, aunque es un término que no me acaba de gustar). A diferentes escalas -no será lo mismo un alto directivo de una multinacional- que un técnico de una empresa pequeña- pero con el mismo fin: proteger la información como activo crítico, igual que protegemos a las personas o a los edificios.

Por supuesto, por mucha contrainteligencia, por mucho need to know, por mucho SGSI o por mucha seguridad lógica que implantemos, este tipo de cosas seguirán pasando; quizás dentro de unos meses veamos por las calles coches eléctricos Lenault con un diseño muy similar al que ahora se ha robado. O quizás no, quién sabe. Lo que sí que es cierto es que los robos de información o el espionaje industrial están a la orden del día; casos como este saltan a los medios -se trata de empresas muy conocidas-, pero son muchos más los que se quedan enterrados en una organización cualquiera o, como mucho, en un juzgado; y siempre es lo mismo: personas con acceso a información que por uno u otro motivo (principalmente dinero) hacen un mal uso de ella.

Por cierto, hablando de estos temas, un libro muy interesante que trata de la relación entre personas y protección de la información es Managing the Human Factor in Information Security, de David Lacey (nos lo recomendó chmeee en este mismo blog). Lo estoy leyendo ahora y cuenta cosas más que interesantes (gracias chmeee ;)

Cuántas veces hemos hablado en este blog de los riesgos de compartir datos personales en Internet, de que la web no olvida, que nada se borra…… pues nada.

Aún hay incautos que, así y todo, no nos hacen caso. Y además en muchos casos no se trata de personas que se han acercado a esto de Internet y las nuevas tecnologías hace un par de meses y arrastrados por las modas sociales, sino de personas que provienen del mundo de las tecnologías, que desarrollan su trabajo con ellas, incluso como expertos en seguridad y dando clases sobre, por ejemplo, cómo securizar las comunicaciones a través de la red mediante el cifrado de la información.

El Sr. Iraitz Guesalaga, etarra y presunto informático, facilitaba sus datos personales en diferentes webs de contacto profesional, ofreciendo sus servicios. Figuraba su nombre, apellidos, datos fiscales, incluso el domicilio en el que ha sido detenido. Qué desastre de hombre.

Por cierto, hay cosas que no cambian: ya se ha abierto un debate en la web sobre la inconveniencia del nombre dado a la operación conjunta realizada por las FFCC de Seguridad españolas y francesas: “Operación Linux”. Hay rumores de que Microsoft ha patrocinado la operación…

La entrada de hoy es la segunda colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones.

Su carrera profesional se ha desarrollado alrededor de la gestión de la seguridad de la información en todas sus vertientes: ISO 27002/27001, Continuidad de Negocio, Protección de datos, etc., tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de Firma, Proyectos y Formación y participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.

Como segundo post relacionado con la medición y evaluación de la seguridad de la información (véase el post anterior), quiero reflexionar sobre varios aspectos esenciales que deben ser tenidos en cuenta a la hora de desplegar nuestro posible cuadro de mandos de la seguridad.

Como ya comentamos en el post anterior, los objetivos se estratifican a diferente altura teniendo como niveles las decisiones estratégicas, tácticas y operativas.

En este contexto y dentro del marco de trabajo de la serie ISO 27000, se publicó el año 2009 la norma ISO 27004 Information technology — Security techniques — Information security management – Measurement que tal como se expresa en la introducción, tiene por objetivo permitir a las organizaciones dar respuesta a los interrogantes de cuán efectivo es el SGSI y qué niveles de implementación y madurez han sido alcanzados por los controles seleccionados en la declaración de aplicabilidad. Estas mediciones permitirán comparar los logros obtenidos en seguridad de la información sobre períodos de tiempo en áreas de negocio similares de la organización y como parte del proceso de mejora continua servirá para evaluar los avances del proceso de mejora continua.

[Read more…]

Recientemente me llego a mis manos un pendrive, cuyo dueño no usaba desde verano, para que le copiara un par de archivos de mi equipo personal de casa a su pendrive. Al conectarlo me llamaron la atención un par de cosas del pendrive, por lo que decidí echarle un vistazo a ver que me encontraba.

Primero me hice una copia en raw de nombre imagen:

# dc3dd if=/dev/sdb1 of=imagen bs=512 conv=noerror,sync hash=sha256 hashlog=ressha

Luego me puse a analizar que ficheros se habían eliminado del pendrive (símbolo *) y… ¡voilà! Un fichero “_autorun.inf” y “_gt.exe” no paraba de eliminarse, y si consultábamos el inodo, no paraba de ejecutarse:

[Read more…]

(N.d.E. Tendrán que disculparnos por la prolongada ausencia de entradas, pero los compromisos navideños, los polvorones y los Reyes Magos nos han tenido ocupados más tiempo del esperado. Sea como fuere, retomamos la actividad habitual del blog esperando que tal interrupción no se repita, al menos, hasta el 30 de diciembre de 2011.)

La última semana de 2010 se celebró en Berlin, un año más, la 27 edición de la CCC, uno de los congresos de scene underground de más renombre y tradición de Europa. El evento tuvo lugar en el Berliner Congress Center, y ofrece cada año una gran variedad de charlas repartidas en cantidad de temáticas: comunidad, cultura, hacking, creación, ciencia y sociedad. Se pueden ver las conferencias y los slides en su wiki o en este otro enlace.

Security Art Work estuvo en Berlin (a pesar del frío y la nieve ;) para conocer de primera mano las últimas novedades que se hicieron públicas en el congreso. Destacable la charla de SMS-o-Death, donde demostraron los bugs que presentan la mayoría de los actuales smartphones a la hora de manejar SMS, donde debidamente modificados a bajo nivel, pueden dejar una terminal sin servicio, o incluso brickearlo, con sólo recibir un SMS. Otra esperada charla fue la Console Hacking 2010, donde el equipo fail0verflow (compuesto por entre otros el español marcan), dieron un repaso a las vulnerabilidades de la PlayStation3 y publicaron nuevos métodos de evasión de las protecciones hasta hace poco infranqueables.

[Read more…]

Hace unas semanas les comentábamos que el Presidente de la Generalitat, D. Francisco Camps, había inaugurado el proyecto ProtegITs, en el cual les dábamos algo de información sobre esta iniciativa. Aprovechando que el pasado domingo se abrió la web al público y estamos presentes en ExpoJove (Feria Juvenil de Valencia, típicamente navideña), creo que es el momento de dar algunos detalles.

ProtegITs es un proyecto que nació hace ya casi dos años a partir de una preocupación de José Rosell, uno de los socios directores de S2 Grupo, sobre la seguridad de los menores en Internet. Tras varias experiencias no muy agradables en peritajes, la cada vez más frecuente aparición de noticias de pederastia y pedofilia en prensa, y tras un periodo de maduración, se decidió dar forma al proyecto, y proponerlo a la Generalitat Valenciana como proyecto social. Como es evidente, ésta se mostró tremendamente interesada en él y fue lo que le dio el respaldo definitivo a un proyecto, ProtegITs, cuyo propósito es hacer conscientes a niños y niñas de entre 9 y 16 años de los riesgos que existen en el uso de Internet, y enseñarles cómo evitarlos. Algún tiempo después, entidades de la importancia de Consum Cooperativa y la Fundación Bancaja se unieron al proyecto, mostrando un apoyo clave para un proyecto de clara repercusión social. Adicionalmente, tal y como se puede ver en la página del proyecto, se cuenta con la participación de diversas empresas de carácter tecnológico y deportivo, tanto del ámbito local como nacional e internacional.

Dicho esto, ¿qué es ProtegITs? Pues ProtegITs es un proyecto que, a través de tres iniciativas claramente delimitadas, intenta cubrir todos los componentes de un modelo de seguridad en relación con los menores en Internet. Dichas iniciativas son las siguientes:

[Read more…]

Leía anoche el post de Damià sobre tecnologías de posicionamiento y no pude por menos que pensar -una vez más, no era la primera- en el nivel de control que las nuevas tecnologías pueden llegar a tener sobre nosotros y nuestra privacidad, si es que aún nos queda algo de eso. Acerca de degradaciones de la privacidad hemos hablado largo y tendido en este mismo blog, desde múltiples puntos de vista -incluso incluyendo los menos tecnológicos-, con lo que toca ahora el turno de las tecnologías de posicionamiento; en este caso, basadas en algo que, como el teléfono móvil, no está pensado exclusivamente para posicionar pero puede usarse con cierta facilidad para ello: me refiero a las tarjetas de crédito (o débito, por supuesto ;)

Las tarjetas de crédito no sólo nos posicionan en un momento determinado, a nosotros o al poseedor de nuestra tarjeta (que suele interesar que coincidan ;) sino que dicen mucho de nuestra vida; sin ir más lejos, si yo pago habitualmente la gasolina de mi coche con mi tarjeta, y casualmente suelo llenar el depósito, y además suelo hacerlo de camino al trabajo, cualquiera con acceso a esos datos puede saber (o imaginar) ya unas cuantas cosas sobre mí:

• Zona habitual de paso. Aparentemente, Valencia; en concreto, la zona norte de la ciudad.
• Misma gasolinera, mismo horario: suelo hacer ese recorrido a diario; si alguien quiere asesinarme, ya sabe dónde encontrarme :) Además, soy un tipo de costumbres…
• Horario: completamente laboral, con lo que presumiblemente tengo trabajo y no puedo irme de fiesta todos los martes. Muy interesante para el banco de cara a concederme una hipoteca (¿cuál sería mi nivel de riesgo si usara la tarjeta habitualmente en zonas de copas, por las noches y de vez en cuando tuviera descubiertos?).
• Importe. Como he dicho, suelo llenar el depósito y gracias al precio del combustible, eso se traduce en casi sesenta euros, con lo que a priori tengo un coche grande (y con estos precios, afianzo la hipótesis de que por fortuna tengo trabajo).
• Frecuencia de repostaje. Suelo llenarlo una vez al mes, con lo que o hago pocos kilómetros o mi coche consume poco. Podría comprobarlo si tuviera acceso a los datos de otras estaciones de servicio… pero la frecuencia de repostaje, unida al importe repostado y a que teóricamente tengo un coche grande me hace pensar en pocos kilómetros. Ya os confirmo que es así (fuera de temporada de setas, claro está ;)

En resumen, simplemente con el repostaje habitual de camino al trabajo, alguien ya puede saber de mí en qué zona vivo, qué ruta sigo, mis horarios, mi tipo de coche, si trabajo o no… Evidentemente, se trata de un ejemplo simple; si nos queremos complicar, podemos fijarnos en movimientos globales durante, pongamos por caso, un mes: si me he ido de viaje, dónde he ido, si suelo comer o cenar fuera de casa, en qué tiendas compro y dónde están… Con el análisis de estos movimientos no sólo posiciono en cada uso al titular de la tarjeta -o a la tarjeta en sí- sino sus gustos, lugares frecuentados, nivel de gastos, estilo de vida, etc. Geoposicionado. Y tanto :)

Este tipo de geoposicionamiento, o simplemente información, puede resultar muy interesante en aspectos como la lucha antiterrorista (por ejemplo, para saber en qué ciudad se encuentra un sospechoso que acaba de sacar dinero de un cajero) o la detección de tarjetas duplicadas (no puedo comprar en Valencia y en Vigo con una diferencia de una hora entre ambas operaciones), pero, como siempre, tenemos el mal uso que podamos hacer de los datos derivados del uso de las tarjetas; desde publicidad dirigida hasta intromisiones en la privacidad difícilmente justificables (¿qué sucede si suelo pagar en locales de alterne o en un sex shop?). Los sistemas de detección del fraude implantados en redes de medios de pago hacen uso de esta información con fines lícitos, pero si cayera en malas manos… en fin, lo de siempre, el WikiLeaks de los pobres :)

Para acabar, si alguien se aburre, que invierta una horita en analizar los movimientos de sus tarjetas durante el último mes, verá como dicen muchas cosas de él.