Security Art Work

A estas alturas todos estaremos de acuerdo en que nos enfrentamos a cambios singulares en la forma de entender la gestión de las infraestructuras TIC. La irrupción de los servicios de cloud computing, y con ellos la IAAS “Infraestructure as a service”, va a provocar en los próximos años una reestructuración de gran calibre en este tipo de servicios, en buena parte consecuencia del desarrollo masivo de los servicios de virtualización que nos permite cambiar nuestras máquinas virtuales de CPD o datacenter en un abrir y cerrar de ojos, al menos teóricamente.

Todo esto tiene unas implicaciones en materia de seguridad de proporciones colosales. Los modelos de seguridad actuales, fundamentalmente “estáticos”, tienen que evolucionar a modelos de seguridad “dinámicos” adaptados a las necesidades de los servicios en la nube, porque esta tendencia no tiene vuelta atrás. No se trata de que opinemos si es mejor o peor la seguridad de los servicios “cloud”, se trata de que diseñemos servicios de seguridad adecuados a esta realidad, que como todo tiene aspectos positivos y aspectos negativos.

Ganamos en algunas cosas. Uno de nuestros puntos débiles en la seguridad ha sido siempre la disponibilidad y la continuidad de negocio. En este caso, en la nube, con escenarios de siniestro complicados como la caída de un datacenter por un desastre natural, la solución parece al alcance de cualquiera y los RTO parecen asumibles por cualquier tipo de negocio. Es evidente que hay muchas cosas que rediseñar en los servicios de seguridad en la nube.

Tomemos el caso de Google que tenía, en 2008, 36 localizaciones para sus centros de procesos de datos con entornos virtualizados que les permite cambiar estas ubicaciones de forma, digamos, “ágil”. Uno de sus objetivos es, lógicamente, minimizar el coste de hospedaje de su infraestructura y dado que podemos asumir que en un datacenter el 50% del coste es el coste energético de la refrigeración, entenderemos que los gestores de la infraestructura de Google busquen términos de eficiencia energética cada vez mejores. Por lo que hemos leído el factor PUE (Power use efficency) alcanzado por Google es impresionante: 1,21 de media. Esto supone que cada watio útil que llega a una máquina que da servicio a sus clientes necesita 1,2 watios de consumo real. Evidentemente esto se puede conseguir haciendo uso de datacenters que requieren poco uso energético para refrigerar las maquinas y por tanto llevándose, por ejemplo, los sistemas a localizaciones frías que utilicen aire del ambiente para refrigerar las salas técnicas. Todo esto se puede además complicar utilizando estrategias tipo “follow the moon” mediante las que buscamos tarifas nocturnas de consumo energético y por tanto tarifas económicas que, en definitiva, permiten reducir el coste de suministro eléctrico de la máquina y directamente el coste del servicio.

Si en este entorno empezamos a pensar en seguridad la primera reacción es la de estupefacción. Si ya es complicado conseguir un nivel de seguridad adecuado en entornos estáticos desde el punto de vista físico, si el entorno lógico, con la virtualización, es un entorno altamente cambiante y además el físico también, el resultado es directamente un manicomio especializado en la práctica de torturas, como medida terapéutica, para los profesionales de la seguridad.

Evidentemente este escenario que se nos viene encima no es compatible con las prácticas de seguridad actuales de la mayor parte de las empresas especializadas en este tipo de servicio. Este escenario nos está pidiendo a gritos que adaptemos las políticas, los procedimientos, los controles, los sistemas de monitorización y gestión de la seguridad a estos entornos que cambian a una velocidad endiablada.

Pensemos, por ejemplo, en un análisis de riesgos tradicional. En nuestra opinión, los análisis de riesgos tradicionales son ya de por si poco útiles, sobre todo si hacen uso de metodologías pesadas y complejas como puede ser el caso de algunas metodologías que todos conocemos ;-). Vaya por delante que son metodologías muy valiosas y que conforman un buen punto de partida teórico, pero que en mi opinión no pueden ser utilizadas de forma práctica sin los matices pertinentes. ¿Por qué? Básicamente porque nos enfrentamos a entornos en continuo cambio. Cuando se diseñaron este tipo de metodologías se hicieron pensando en infraestructuras manejables, con evoluciones tranquilas, y en las que revisar el análisis de riesgos periódicamente una vez al año podía ser suficiente. Estas no son las hipótesis de partida a las que nos enfrentamos hoy y por tanto estas metodologías no sirven cuando las aplicamos tal cual fueron diseñadas.

Nos enfrentamos a entornos cambiantes desde el punto de vista lógico, con continuas variaciones que tienen impactos en la estrategia de seguridad clarísimos y por si fuera poco, en virtud de lo comentado en la introducción de esta entrada, nos enfrentamos también a entornos físicos cambiantes. En estas circunstancias las amenazas son variables, sus probabilidades también y por tanto los riesgos también. En definitiva, dentro del marco de servicios dinámicos de seguridad al que nos hemos referido, tendremos que diseñar metodologías ágiles de análisis de riesgos en tiempo real.

Mucho vamos a tener que trabajar para poder definir un marco global de productos y servicios de seguridad dinámica en este nuevo entorno, y mucho tienen que opinar lectores asiduos de este blog en esta materia… pasen en cualquier caso, ya sea pasados por agua o no, un buen fin de semana.

Aquellos que me conocen saben que hace aproximadamente cuatro meses comencé un curso de escalada, en concreto de la modalidad denominada “deportiva” (que es a la que me referiré el resto de la entrada, aunque en gran parte es aplicable a la clásica), casi por curiosidad, y aquello ha desembocado en lo que es sin duda mi principal afición hoy en día. La cuestión es que no se me ocurren muchos ámbitos en los que la seguridad tenga un componente tan importante, tanto en material, como en técnicas; es tan importante que el arnés esté en perfecto estado como saber cómo montar una reunión a 250 m. de altura. Como casi cualquier actividad, la escalada tiene sus riesgos intrínsecos, derivados de desprendimientos de rocas, una mala caída, material defectuoso,o el simple azar que hace que la cuerda vaya por un lado y no por otro; no por nada cualquier material de escalada trae una leyenda que advierte de los peligros mortales de la actividad.

Uno de los temas más importantes y costosos en la escalada (y en el montañismo en general) es el material. Mientras que para jugar al baloncesto el material deportivo puede ser más o menos importante, para la escalada es algo vital, literalmente, y eso se paga: una cuerda en mal estado puede dar con tus huesos en el suelo, y pueden imaginarse que lo siguiente es organizar el funeral. Por ello, todo el material de escalada tiene que pasar una serie de normas de seguridad ISO, que comprueban la resistencia del elemento y certifican que el material es adecuado para dicha actividad; luego, cada cual que lo utilice bajo su responsabilidad. En cierto modo, es similar a nuestro sector: una hoja Excel sirve para lo que sirve, y no es válida (en general) para gestionar datos de salud de un centro médico; no obstante, eso queda a discreción de la empresa, que deberá asumir la responsabilidad si se enfrenta a una inspección de la AEPD o a una pérdida de datos.

Como en la seguridad a la que probablemente usted esté acostumbrado, en este contexto también existe una dura riña entre la “funcionalidad”, representada principal pero no únicamente por el peso, y la seguridad; podríamos hacer cuerdas que fuesen capaces de aguantar la caída de un coche, pero su peso supondría una dificultad añadida e innecesaria que no quieres tener cuando estás escalando. En el otro extremo, subir con una cuerda de 5 mm que apenas aguante 5 Kn es lo más cómodo después de subir en libre, pero no muy recomendable si aprecias tu vida en algo. La idea, como en cualquier otro ámbito, es conseguir la mayor funcionalidad posible, con las mayores garantías de seguridad (más Kn, más caídas de nivel 2, más resistencia, etc.).

Dicho esto, la cantidad de material que se utiliza en escalada susceptible de deteriorarse y cuya degradación conlleva un gran peligro es muy grande: mosquetones de seguridad (HMS), cuerdas, arneses , cintas express (véase la imagen), etc. Lo cierto es que aunque uno preste atención al material, es imposible asegurar que todo él se encuentra en perfecto estado; es difícil llevar la cuenta del número de caídas que se han tenido, o de la fuerza de una caída. Debido a ello, el material de escalada tiene fecha de caducidad aproximada: aunque no hayamos utilizado apenas una cinta express, su uso no está recomendado más allá del tercer o cuarto año, y si el uso ha sido intensivo, este periodo puede reducirse de manera importante. Algunos fabricantes incluso indican la fecha de fabricación, de manera que uno puede saber cuánto tiempo hace que la cuerda se manufacturó.

Por supuesto, todas estas recomendaciones vienen directamente dadas por el fabricante. Sin embargo, algunas voces del mundo de la escalada critican que esta política se deriva no siempre de una situación real de riesgo, sino del interés económico de las compañías; nadie puede negar que el negocio del miedo es algo muy lucrativo. Recuerdo haber leído que Petzl había realizado pruebas de resistencia sobre algunos arneses con muchos más años de los recomendados, y los resultados fueron muy superiores a lo esperado, manteniéndose dentro de los parámetros aceptables.

Tras esta breve pero interesante (no me lo negarán) introducción, llega la aplicación a nuestro sector, en la que aunque somos juez y parte, haré más de juez que de parte. Por tanto, déjenme, sin perder el hecho de que S2 Grupo es una empresa de seguridad, plantearlo desde una perspectiva externa: ¿hasta qué punto podemos decir que las compañías de seguridad, informática en este caso, se parecen a las empresas de material de escalada en lo que les comentaba? ¿Son necesarios todos los sistemas, aplicaciones, estructuras y personal implicado en la gestión de la seguridad? Ya sea el desarrollo de un Plan de Continuidad de Negocio, un programa antivirus o antispyware, la adaptación a la LOPD, los sistemas cortafuegos software o hardware, la implantación de SGSIs, la monitorización de infraestructuras o la formación de los trabajadores ¿Está el negocio de la seguridad alimentado en parte y de manera intencionada por falsas amenazas? ¿Exageran las empresas los riesgos de seguridad a los que las organizaciones están expuestos? Visto de otra forma, ¿somos presa de organizaciones paranoicas que ven incendios, virus, intrusiones y criminales hasta en la taza del váter? ¿Es Internet realmente tan insegura? ¿Nos estamos volviendo todos locos?

O por el contrario, ¿están las empresas de seguridad en lo cierto, y en realidad sólo hemos visto la punta del iceberg de lo que se avecina? ¿Son los ataques de denegación de servicio, o los robos de información confidencial y personal no sólo algo mucho más habitual de lo que suponemos, sino también más serio? ¿Nos estamos preparando correctamente para las actividades de redes de criminales que operan, gracias a Internet, de manera global? ¿Estamos olvidando con demasiada facilidad la importancia, capacidad y habilidades de miles de usuarios malintencionados repartidos por el globo, a menudo sin un control legislativo nacional que limite e impida sus actividades? ¿Tenemos en cuenta los intereses geopolíticos que se juegan en Internet las grandes potencias? ¿Ignoramos demasiado a menudo las consecuencias de conectar un sistema a Internet, potenciando la funcionalidad sobre la seguridad? Dicho de otra forma, y volviendo a la analogía con la escalada, ¿hasta qué punto nos la estamos “jugando”?

Más allá de los comentarios que puedan dejar a continuación (que espero que sean muchos), ¿cual es su opinión al respecto?

A la hora de verificar el estado de nuestra red o en caso de detectar alguna anomalía, es práctica habitual hacer uso de un analizador de protocolos de red. Una de las herramientas más utilizadas para llevar a cabo esta función es Wireshark, la cual nos proporciona una forma cómoda y gráfica (aunque para aquellos de la línea “clásica”, dispone de línea de comandos) de capturar los paquetes de red para su análisis.

Normalmente, para llevar a cabo esta tarea, debemos configurar una interfaz del switch de nuestra red en modo monitor (mirroring o SPAN), habitualmente la que nos conecta con el firewall, y configurar el switch para que reenvíe todo el trafico a un equipo donde tenemos el analizador; esta configuración también la podemos encontrar en implantaciones de NIDS, puesto que a grandes rasgos, trabajan de forma similar.

Para la captura de tráfico de nuestra red, existen no obstante otras opciones que se basan en la captura realizada en los propios firewalls de nuestra red, o si estamos llevando a cabo el análisis de una gran red, es posible que ésta disponga de equipos Cisco con sistema Cisco NX-OS (antiguo SAN-OS), un sistema operativo diseñado para entornos de datacenter. Estos sistemas nos pueden facilitar la tarea de análisis de trafico en el plano de control (control plane), es decir, el tráfico que mantiene la funcionalidad de la red (protocolos de enrutamiento, gestión de infraestructura de red,.. ).

El sistema Cisco NX-OS se encuentra implantado en equipos de comunicaciones de ultima generación, como por ejemplo, las series Cisco Nexus 7000 (o Nexus 5000), una plataforma modular altamente escalable que soporta velocidades de 10Gigabit Ethernet (e incluso 100Gbps), pensada para unificar entornos LAN y SAN, convirtiendo el equipo Nexus en múltiples switches lógicos, los cuales ejecutan procesos totalmente independientes. Para facilitar tareas como el análisis de red, estos sistemas incorporan el comando Ethanalyzer, basado en la version 1.0.8 de Wireshark, que nos permite de forma cómoda capturar y decodificar los paquetes de red, usando el mismo tipo de filtros que la herramienta original, pudiendo salvar las distintas capturas para analizarlas posteriormente.

Aunque debido a su coste es poco probable que la mayoría de nuestros lectores dispongan de un sistema como los descritos, para aquellos que tengan la suerte de poder administrarlos, Ethanalyzer puede hacerles la vida un poco más fácil. Los demás tendrán que conformarse con la versión de servidor de Wireshark, que no es poco.

Por extraño que nos parezca, mucho me temo que la lógica de los usuarios en el ámbito de la seguridad es bastante similar al de la tira cómica. Quizá es hora de que alguien elabore un estudio antropológico al respecto, que desentrañe los misterios que encierra la mente del usuario. No por nada, y como dice Toni, la mayor parte de los problemas técnicos, incluyendo los de seguridad, se reducen a “PLBKAC”: Problem lies between keyboard and chair.

(Tira cómica por Marco Canepa, en juanelo.cl. Gracias a Paco Benet por la referencia.)

Para hoy martes traemos una entrada de Cristina Martínez Garay, de la firma Rocabert & Grau Abogados, bufete que en adelante colaborará periódicamente en Security Art Work.

Cristina está relacionada con la protección de datos y la e-Administración, y actualmente se encuentra realizando el Máster en Sistemas y Servicios en la Sociedad de la Información de la Universitat de València. Esperemos que les guste la entrada.

El pasado 15 de julio de 2010 el Tribunal Supremo, a instancias de la Federación de Comercio Electrónico y Marketing Directo, Experian Bureau de Crédito, S.A y la Asociación Nacional de Establecimientos Financieros y de Crédito, anuló diversos artículos del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en adelante RLOPD, por entender que no eran conforme a derecho.

Pese al gran número de artículos impugnados, la Sala únicamente ha estimado la anulación de los artículos 11, 18, 38.1, 38.2 y 123.2 del RLOPD. La supresión de los preceptos citados no constituye un gran cambio en el marco de la Protección de Datos. Sin embargo, podríamos decir que afecta a todos los Responsables de Ficheros con independencia de su naturaleza privada o pública.

[Read more…]

Para empezar la semana, hoy tenemos una entrada de uno de nuestros colaboradores habituales, Francisco Benet, sobre ingeniería social. Esperamos que les guste.

Imaginemos que queremos introducirnos en una oficina con el objetivo de robar datos, colocar artefactos de escucha o simplemente comprometer la seguridad de dicha empresa por motivos de auditoria o reputación. Empecemos por el traje y la corbata, vestimenta que suele ser muy efectiva ya que en la mayoría de los casos denota diferencia de clases entre el empleado y el jefe o cliente. Añadamos una nota adicional de status color que puede ser un iPhone, un Blackberry o el reciente iPad. Con estos pequeños detalles tenemos asegurada la pertenencia a un grupo tal vez superior.

En este momento estamos en disposición de encararnos al edificio, imaginémoslo céntrico y de oficinas, que nos llevará a nuestro objetivo. Durante la primera visita podemos recabar información sobre el lugar y la organización, determinando por ejemplo si poseen identificación y si la llevan consigo o no. Pasar unos minutos a primera hora de la mañana cerca de la entrada/salida del edificio en cuestión simulando hablar por teléfono debería ser suficiente. Suele ser habitual que los empleados que disponen de identificación permanezcan con las tarjetas visibles cuando bajan a fumar o almorzar a la calle, lo que nos proporciona información con la que pasar relativamente desapercibidos. Imaginemos que sí llevan identificaciones personalizadas con fotografia, nombre, apellidos, número de empleado y contienen un código de acceso. Imaginemos también que nuestro objetivo es una gran empresa de desarrollo de software que está en un proyecto X y tiene sucursales en dos grandes ciudades, o al menos tres.

[Read more…]

Nos despedimos de esta semana con un post de Pedro Quirós acerca de seguridad en SCADA, tan de moda estos días gracias a Stuxnet y a los medios de comunicación generalistas. Que pasen un buen fin de semana y vengan todos con las pilas recargadas para los últimos días previos al puente (sobre todo aquellos que no lo tengan ;)

A día de hoy hay pocos procesos productivos que no tengan una alta dependencia del ámbito TIC. Si bien en muchas organizaciones el número de usuarios de oficina es relativamente bajo y la complejidad es muy reducida, muchas veces disponen de entornos productivos con líneas de montaje que están controladas por equipos Scada. Estos equipos son auténticos ordenadores que controlan la operatividad y la eficiencia de las líneas de montaje o fabricación. Infraestructuras tan críticas con la nuclear, eléctrica, de alimentación, distribución de agua o de transporte usan entornos Scada a gran escala. Generalmente se consideran entornos seguros dado que suelen estar separados en áreas de la red diferenciadas, o incluso su propia subred. Muchos gestores las consideran “redes seguras” porque “no tienen acceso a internet”, además de considerarlos “entornos de bajo riesgo” dado que son entornos propietarios con un número muy limitado de expertos. Así que sus principales bazas eran el desconocimiento y el aislamiento.

Sin embargo no es necesario tener acceso directo a internet para presentar un problema, pues, como lamentablemente todos sabemos, hay otras muchas formas de infectar un equipo. En primer lugar, para un control de la producción en tiempo real, es necesario el envío de información desde cada uno de los equipos a un centro de control, que puede estar expuesto, con lo que exponemos a todo nuestro entorno productivo. Por otro lado no dejan de surgir ataques, especialmente virus como el ya famoso Stuxnet, que ataca directamente a entornos de producción en plataforma Siemens. El método de contagio es una simple llave USB, que a primera vista no representaba ninguna amenaza porque en entornos Microsoft no se detectaba ningún tipo de virus. Otros ataques típicos son el fingerprinting a través del puerto TCP 502, ataques a implementaciones ICCP, etc. Muchas veces estos entornos son especialmente vulnerables dado que los equipos de control utilizan sistemas operativos con soporte descontinuado, dado que “para el uso que se les da, no necesitan nada mas”. Este motivo explica por qué podemos encontrar PLCs que son auténticos agujeros de seguridad.

Es importante entender que un entorno SCADA no es un entorno seguro “per se”, requiere de la misma atención -o más- que un equipo de oficina, y que el simple aislamiento no resuelve la seguridad. La monitorización desde el punto de vista de la seguridad es indispensable. Ya es hora de empezar a contemplar estos equipos como una capa más en nuestra infraestructura dado que, como todos sabemos, una organización es tan segura como su eslabón mas débil. ¿Qué medidas habéis tomado en vuestras organizaciones?

Ya se lo decía Rod Tidwell a Tom Cruise en la película Jerry Maguire: ¡Enséñame la pasta! Y es que en el mundo en el que nos movemos, a la hora de tomar decisiones (decisiones que afectan a nuestras organizaciones), no podemos desestimar el factor económico.

El entorno exige una “Mejora continua” y este objetivo está presente en cada momento. Todos los días se nos bombardea con cuestiones sobre la eficiencia, optimización, racionalización de costes, etc. Tenemos a nuestra disposición una amplísima gama de elementos que contribuyen a este fin. Estamos familiarizados con los términos y somos conscientes de la importancia que tiene en nuestro día a día. Está bien, entremos en el juego, nos disponemos a mejorar […] ¿Por dónde empezamos?

¿Implantamos un ERP? ¿Mejoramos nuestros procesos siguiendo guías de buenas prácticas? ¿Incrementamos la robustez de nuestra organización tomando acciones orientadas a mejorar la seguridad? Todas estas actuaciones llevarán asociado un coste: licencias, sistemas físicos, horas de trabajo y algunos más complicados de cuantificar como puede ser el impacto en la política de la empresa, la responsabilidad social, la imagen corporativa, cuestiones éticas, etc.

Llegado a este punto habría que preguntarse, ¿qué beneficios vamos a obtener? Y no me refiero a las ventajas que obtenemos inherentes a cada una de las opciones, sino a beneficio económico. Como muchos habréis deducido, me refiero al ROI o Return of Invesment: Retorno de la Inversión. Podríamos entrar en debate sobre qué acciones de mejora son las más relevantes, priorizarlas y tratar de definir un “Plan de Mejora”, pero… ¡Uff! No dudo que sería interesante pero me gustaría realizar un análisis un tanto más concreto sobre el ROI: el correspondiente a la Seguridad de la Información. Pero a la hora de tratar las inversiones consideraremos una cuestión que no siempre se tiene en cuenta, el factor “disuasión”.

Existen diversas metodologías para realizar análisis de riesgos. Es recomendable acudir a ellas ya que nos ayudarán a identificar los activos que queremos proteger y una vez detectados, protegerlos de una forma racional y así evitar “matar moscas a cañonazos”. Ahora bien, es muy importante considerar el valor del activo teniendo en cuenta su “aportación al servicio” y no considerarlo de forma aislada. Es posible que algunos lectores consideren que esto es de perogrullo, y yo personalmente era consciente de ello (al menos en la teoría).

Hace relativamente poco viví una situación en la que se ve reflejada esta idea, que cuento a modo de anécdota pues creo que se trata de un ejemplo muy didáctico. Nos habíamos reunido unos amigos para tomar un café y charlar un rato, y al despedirnos acompañé a uno de ellos hasta donde había dejado su bicicleta. Mi amigo llevaba un casco “top”, lo cual me hizo pensar que llevaría una buena bicicleta. Al llegar al lugar, ahí estaba “el siniestro”… porque no se me ocurre otra forma de llamarlo. La bici tendría unos 20 años y costaba creer que aquello pudiera aguantar el peso de una persona; ¡desde luego era casi impensable que no se hiciera a pedazos al pedalear! Todavía quedé más sorprendido cuando vi el dispositivo antirrobo; ¡ese candado debía ser para barcos! Trataré de reproducir la conversación que mantuvimos:

— Carai tío, ¿dónde vas con eso?
— “Eso” es mi bici, es vintage y ahora está de moda (risas).
— Con lo que cuesta el casco y el candado te compras once.
— Si uso candados malos me la intentan robar cada dos por tres. La última vez rompieron la cerradura y no pudieron llevársela. Yo no pude abrirla tampoco. Al día siguiente tuve que venir con una cizalla y cortar la cadena.
— No creo que puedas cortar ese candado con una cizalla.
— Con este candado ni lo intentan.
— […]

Supongo que al igual que yo habréis pensado “Mata moscas a cañonazos”… y en parte lo sigo pensando, pero quiero darle una vuelta más de rosca. ¿Tenía sentido llevar aquel casco? Estaba claro que la aerodinámica no era el factor principal a tener en cuenta, sino que él pretendía incrementar la seguridad, su seguridad. Para ello invirtió en un casco que aportaba cierto valor añadido respecto a otros modelos “convencionales”: era más cómodo que los otros modelos, llamaba más la atención, era más visible y, por tanto, no sólo le otorgaba protección frente a golpes, también reducía su riesgo de accidente.

¿Y el candado? Trato de ponerme en el lugar del supuesto ladrón y la verdad es que se me quitan las ganas de llevarme la bici: “Demasiado esfuerzo para tan poca recompensa”. Eso considerando que estuviera la bici sola (que no era el caso). Viendo el resto de bicis, seguro que hubiera tratado de llevarme otra, en definitiva “buscar una presa más fácil”. Lo que vengo a decir es que el hecho de usar ese candado para proteger una bici de escaso valor dotaba al sistema antirrobo de un importante valor añadido: lo dotaba de una fuerte componente disuasoria. (Antonio Villalón nos comentaba recientemente algunas cuestiones sobre Disuasión y Ciberdisuasión).

¿Qué retorno de inversión puedes esperar cuando compras un casco? ¿Y cuando compras un mecanismo antirrobo? Estoy seguro que lectores habituados a establecer salvaguardas para los activos de su organización estarán pensando “el mecanismo de protección no debe valer más que el activo a proteger”, “la inversión en seguridad no debe superar el valor”,… al enunciar estas afirmaciones ¿estamos considerando el valor añadido que podemos obtener gracias a la componente “disuasión”?

¿Consideramos la aportación al servicio? Volviendo al ejemplo, si tratáramos de evaluar la inversión del casco posiblemente sería excesivamente elevada pero considerando el valor añadido (comodidad, reducción del riesgo de accidente, etc.) la inversión no parece descabellada. En el caso del candado ocurre algo similar: si evaluamos el coste del candado respecto al de la bici posiblemente nos encontremos ante un caso de “matar moscas a cañonazos” pero si tenemos en cuenta su valor añadido (disuasión) nos encontramos ante una decisión acertada.

No pretendo justificar la compra en el caso concreto que he comentado sino demostrar o al menos plantear que, antes de evaluar el beneficio que puede aportar una inversión, debe considerarse el servicio concreto ya que en algunos casos podemos descubrir que ciertos elementos aportan valor añadido cuando a priori, al considerarlos individualmente, ese aspecto no parecía evidente. Espero que os haya resultado interesante este enfoque para evaluar las inversiones en seguridad teniendo en cuenta el valor añadido que aporta la componente disuasión. Estáis invitados a compartir otras anécdotas/ejemplos que contribuyan a enriquecer esta pequeña reflexión.

Como vimos hace un tiempo, el tiempo de reacción ante un ataque se vuelve un proceso crítico para nuestra organización. Si en la entrada anterior (orden shun), vimos como realizar un filtrado, tanto de las conexiones actuales como de futuras conexiones en un firewall Cisco ASA, hoy veremos como realizar el mismo proceso en un Firewall-1 de Check Point.

Antes de ver las opciones que FW-1 nos ofrece para el filtrado de conexiones, debemos tener en cuenta qué sucede cuando aplicamos la política en nuestro Gateway. Habitualmente, es normal que los firewalls mantengan las conexiones establecidas y denieguen (si así lo indica la política), las nuevas conexiones. Sin embargo, en Firewall-1 esta forma de funcionamiento es configurable, por lo que dentro de las opciones ‘connection persistence’ del propio gateway podemos encontrar las siguientes:

• Keep all connections: mantiene todas las conexiones de control y datos hasta que finalizan. La nueva política únicamente se aplica a las nuevas conexiones.
• Keep data connections: mantiene las conexiones de datos hasta que finalizan. Las conexiones de control son finalizadas.
• Rematch connections: todas las conexiones no permitidas por la nueva política son finalizadas.

Por lo tanto, podríamos llegar a filtrar las conexiones sospechosas aplicando una nueva política de seguridad y comprobando de nuevo, todas las conexiones usando la nueva política de seguridad. Tras ver las distintas alternativas posibles de instalación de la política, vamos a realizar un filtrado más rápido sobre las conexiones mediante la aplicación Smartview Tracker (también podríamos usar el comando fw sam del propio Gateway)

Smartview Tracker es la herramienta de Check Point que nos permite la supervisión en tiempo real de la red. Contiene un módulo de gestión de logs de los distintos gateways, registros de auditoria y control de cambios, etc. Al arrancar la herramienta podemos distinguir tres pestañas: Log, Active y Audit. Active es la pestaña que nos interesa, puesto que nos permite ver todas las conexiones activas en el firewall donde cada una de ellas tiene un identificador de conexión (Conn. ID).

Al seleccionar la pestaña Active, y una vez tenemos a la vista todas las conexiones (es posible que afecte al rendimiento del sistema), podemos situarnos en una de ellas y mediante el menú Tools -> block intruder seleccionar las distintas opciones de filtrado que nos proporciona el sistema. Dentro de esta ventana nos podemos encontrar el ámbito del filtrado (conexiones con la misma IP origen, la misma IP destino, o el grupo IP origen – IP destino – servicio), el tiempo de filtrado (infinito o un número determinado de minutos) y los módulos donde podemos realizar el filtrado.

Como vimos en la entrada de introducción a Firewall-1, por debajo del Smartcenter Server, encontramos los distintos gateways (firewall), por lo tanto, nuestras acciones se verían reflejadas en ellos; al realizar el filtrado anterior, el Gateway internamente modificará su base de datos SAM (Suspicious Activity Monitoring), concretamente en la tablas sam_requests (información acerca del origen, destino y servicio filtrado) y sam_blocked_ips (intentos de conexión filtrados y el tipo de servicio), las cuales podríamos comprobar mediante los comandos fw tab –t sam_requests y fw tab –t sam_blocked_ips.

Con esto, tenemos los conceptos básicos para el filtrado de conexiones en los dos de los sistemas FW-1 más utilizados actualmente: Cisco ASA y Checkpoint FW-1. Si tienen alguna duda o cuestión, no tienen más que dejarla en los comentarios.

Para hoy viernes, he de advertirles de antemano que les he preparado una entrada un tanto atípica, y que desvela cuestiones importantes sobre las tres primeras temporadas de la serie “24” (y los primeros capítulos de la cuarta). Así que si tienen intención de verla o están en ello, no continúen leyendo. Luego no les digan que no les he advertido.

Para el resto, una pequeña introducción. “24” es una serie norteamericana emitida por la FOX que narra las “peripecias” de la UAT (Unidad Anti Terrorista) de Los Ángeles, a lo largo de diferentes situaciones de crisis. El personaje principal se llama Jack Bauer, y es protagonizado por Kiefer Sutherland. Éste es un agente de campo de pasado militar (operaciones especiales), una gran cantidad de recursos, y poca simpatía por las normas y los protocolos. Alrededor de éste existen un número indeterminado y variable de personajes secundarios, con mayor o menor relevancia a lo largo de las diferentes temporadas. La principal característica de la serie es que cada una de las temporadas se corresponde con una situación de crisis comprendida en las 24 horas de un día, de modo que cada una de las horas del día corresponde a un capítulo. Aunque se indica al principio de los capítulos que los hechos transcurren en tiempo real, los capítulos duran 45 minutos aproximadamente, por lo que no es del todo cierto dado que 60 minutos en tiempo real no pueden comprimirse de ninguna forma en 45 minutos de emisión (o yo no acabo de entender la idea).

Dicho esto, mientras veía acabar la tercera temporada hace unos días, me puse a pensar en algunos aspectos relacionados con la seguridad que son bastante llamativos. Por supuesto, todos ellos deben tomarse como meras anécdotas, por tratarse de una serie de ficción obviamente exagerada. En algunos casos es complicado categorizarlas dentro de un dominio de control o ámbito, pero haré lo que pueda. Vamos con ellas:

• Detalles del “mundillo”. Como en cualquier serie o película que aparezca algo relacionado con la informática, y en concreto con la seguridad, los aspectos técnicos muestran una apariencia extremadamente compleja, pero se solucionan en cuestión de minutos; cualquier técnico sabe qué es lo que pasa cuando ve una pantalla llena de código hexadecimal de color rojo, lo que provoca en éste la necesidad imperiosa de decir frases que no tienen ningún sentido. Los virus no es que sean sofisticados, es que parece que tengan vida propia (temporada 3). También es común el uso de la “técnica CSI”, según la cual tomando como base una imagen tomada a resolución X, generalmente de una cámara de vigilancia, se pueden obtener los detalles más ínfimos; me sorprende que aún haya gente que no sepa que esto es literalmente imposible. Por último, como no podría ser de otra manera cualquier mensaje cifrado es roto no en cuestión de días, sino horas; ojalá las organizaciones terroristas fuesen así de tontas.
• Privacidad. He de confesarles que si 24 se parece en algo a la realidad, que espero que no, deben dejar de lado cualquier esperanza de privacidad. Esta unidad es capaz de mover satélites en cuestión de minutos y obtener imágenes detalladas de cualquier edificio, monitorizar y alterar cualquier elemento de Internet, obtener datos privados de cualquier persona que puedan imaginar, pinchar teléfonos, conectar con circuitos cerrados de cámaras ubicados hasta en un quirófano (temporada 3, Tony Almeida), y hacer absolutamente todo lo que puedan imaginar, todo ello sin necesidad de una autorización judicial ni nada parecido (dejemos de lado los aspectos técnicos y centrémonos en los legales). La UAT dispone de una capacidad de obtener información francamente impresionante.
• Niveles de acceso. El acceso a información confidencial por parte de personal interno que no debe tener acceso a ésta es un aspecto que está a la orden del día en la UAT. Entre usuarios que acceden a información restringida a su nivel de acceso tan sólo pidiéndolo al compañero, que utilizan las claves de acceso de otro (con su beneplácito), o que modifican su propio nivel de acceso cuando el técnico informático se ausenta de su puesto (temporada 2), casi podría decirse que la información que manejan es pública. Además, resulta curioso que cuando quieren acceder a información de otras divisiones o agencias a la que no tienen acceso, tiendan a pensar en ataques lógicos contra dichos servidores, como si fuese algo tan natural.
• Recursos Humanos. Este es, para mí, uno de los aspectos más llamativos de la UAT. En el lado más relacionado con la seguridad, la verdad es que el CV screening les es totalmente desconocido; en la primera temporada la UAT tenía no sólo uno, sino dos topos que proporcionaban información a los terroristas, y estoy seguro de que a lo largo del resto de temporadas habrá más. Por otra parte, desde un punto más propio de la gestión de Recursos Humanos, es evidente que el departamento responsable (si es que lo hay) necesita revisar seriamente sus procedimientos de selección del personal, porque puede decirse que en general, el personal de la UAT se lleva a matar. Se ocultan información, se molestan unos a otros, se critican, se chantajean, se entorpecen, se sabotean y desconfían unos de otros, lo que difícilmente puede ser beneficioso para el funcionamiento de la unidad. Si no fuese por Jack Bauer, que acostumbra a actuar en solitario (francamente, yo haría lo mismo), la UAT sería totalmente inoperativa.
• Autorizaciones. La gestión de autorizaciones de acceso en la UAT sigue un procedimiento bastante similar al de la vida real en muchas organizaciones: autorización verbal. En ocasiones por teléfono, en ocasiones presencial. Aunque podría uno esperar algún tipo de trámite electrónico o manual más o menos sofisticado, la verdad es que al final todo se limita a una autorización de palabra de la que no queda ninguna traza. No me extraña que luego les salgan topos como setas…
• Procedimientos operativos. Aunque según parece para prácticamente cualquier situación imaginable existen protocolos definidos, que conoce el personal de la UAT, lo cierto es que su aplicación es puramente anecdótica, y su único propósito es poder emplearlos para la frase “eso va contra el protocolo”; me atrevería a decir que están ahí con el único propósito de saltárselos. Los ejemplos son múltiples: ignorar la cadena de mando, basar el flujo de información en la confianza o amistad con otros miembros, llevar a cabo investigaciones y acciones aisladas no autorizadas, dar acceso a recursos confidenciales a personal no autorizado, proporcionar información confidencial a terceras personas, falsear pruebas, etc.
• Aspectos “técnicos”. En la tercera temporada, la delegación del MI-6 (servicio secreto británico) en Los Ángeles sufre un atentado terrorista, y Jack Bauer llega justo a tiempo para extraer el disco que contiene los datos relevantes del rack del CPD del MI-6. Vamos a ignorar que dicho CPD carece de control de acceso y de las medidas más básicas de seguridad. Pasemos por alto que un disco como el que aparece en la serie tiene toda la pinta de ser un hot-plug y que se extrae en mucho menos tiempo del requerido por Jack. Ahora bien, ¿cabe suponer que el MI-6 no tiene copias de seguridad remotas? ¿es necesario jugarse la vida por ello?

En definitiva, que para ser una unidad antiterrorista, el seguimiento de los controles implantados deja a menudo mucho que desear. Como atenuante, debe destacarse que las temporadas reflejan las 24 horas correspondientes a situaciones de crisis extrema (armas biológicas, nucleares, y cosas así), por lo uno podría esperar un cierto relajamiento en cuanto a los protocolos y la burocracia, si ello facilita la resolución del incidente. Claro que a lo largo de los capítulos, queda claro que dicha laxitud en la aplicación de procedimientos no trae en general buenas consecuencias, y es de esperar que una Unidad Antiterrorista tenga protocolos ágiles para situaciones de crisis. En cualquier caso, como les decía al principio, se trata sólo de ficción, o eso espero. ¿Qué otros “fallos” han detectado ustedes en esta u otra serie? Será divertido comentarlos.

Pasen un buen fin de semana; les vemos aquí mismo el próximo lunes.