Security Art Work

(Comenzamos la semana con la colaboración de un amigo al que muchas veces hemos invitado a escribir, pero hasta ahora no se había decidido. Nos ha pedido, no obstante, que desea firmar anónimamente y que su colaboración aparezca firmada con el pseudónimo Walt Kowalsky. Esperamos que les parezca interesante)

Llevo tiempo siguiendo este interesante blog, que se ha convertido en uno de mis favoritos y después de un tiempo queriendo aportar mi granito de arena, me he lanzado a la piscina y he preparado la siguiente colaboración que espero que les sea de agrado.

A pesar del título del post, no esperen un enfrentamiento a lo Quevedo-Gongora, puesto que por ahí no van los tiros. Voy a ponerles en situación comenzando con el recurso fácil de la pregunta retórica: ¿se han copiado de ustedes en algún examen? Seguramente contestarán que sí y si no me equivoco muchas veces habrá sido de mutuo acuerdo. Pero, ¿se han copiado de ustedes sin su permiso? Si ha sido así traten de recordar la sensación de aquel momento. Llevaban semanas preparando ese examen concienzudamente, noches sin dormir, cafeína recorriendo su torrente sanguíneo para al final tener la certeza de que el día del examen la cosa va a ir bien y que pasaremos la prueba con nota. Entran al examen y comprueban que a su lado se sienta aquel compañero que únicamente vieron el primer día de clase, aquel que se dedicó a salir todos los jueves y a llegar a laboratorio para que el compañero le haga las prácticas. Comienza el examen y todo marcha de acuerdo con su plan maestro, pero entonces se dan cuenta de que el compañero de al lado está copiando descaradamente nuestro examen… Se acaba el examen y unas semanas más tarde cuando salen las notas comprueban que aquel jeta ha sacado casi la misma nota que nosotros, pero sin asistir a clase, SIN DEDICARLE RECURSOS. En ese momento piensan en todo el tiempo y esfuerzo que han dedicado a prepararse para aprobar ese examen, y lo poco que ha invertido nuestro compañero en aprobar, y piensan que la vida no es justa.

Alguien les susurra C´est la vie….

[Read more…]

(Para acabar la semana en que hemos superado los 1000 suscriptores al feed, hoy tenemos una colaboración de Rafael García, amigo, antiguo colaborador de S2 Grupo y con extensos conocimientos y experiencia en la gestión de centros de proceso de datos, como muestra en su blog. Esperamos que les guste la entrada tanto como a nosotros; por lo demás, pasen un buen fin de semana, nosotros nos vamos hasta el lunes, aunque esporádicamente puede que aparezcamos por “el” Twitter)

Hace casi un año, el pasado 28 de Febrero de 2009 YouTube dejó de funcionar durante 2 horas. La incidencia —una incidencia de su conectividad— no se debió ni a la falta de redundancia de sus infraestructuras, ni a un fallo coordinado de todos sus proveedores, ni a un apagón simultáneo de todos sus centros de datos; ni siquiera al súbito interés simultáneo y mundial por el último vídeo de la Obama girl. YouTube dejó de funcionar debido al secuestro de parte de su direccionamiento IP por parte del operador Pakistan Telecom. ¿Secuestro? Sí, secuestro o suplantación del direccionamiento IP, algo tan antiguo como el propio protocolo BGP.

BGP4 (RFC 1771 y RFC 1772) es el protocolo que se utiliza para intercambiar tráfico entre los proveedores de servicios de Internet. Sus funciones son bastante simples: básicamente permite que los sistemas autónomos (AS) —las subdivisones organizativas que gestionan los prefijos de enrutamiento en Internet, habitualmente un ISP— comuniquen a otros sistemas autónomos cómo alcanzar redes en Internet. Específicamente BGPv4 intercambia prefijos de direcciones de Internet seguidas de los identificadores de los sistemas autónomos a través de los cuales se alcanza dicho direccionamiento. Todos los ASs intercambian esta información entre ellos asumiendo que es correcta. BGP, aunque permite implementar políticas sobre los prefijos que anuncia o deja de anunciar, no tiene ningún mecanismo para saber si la información de sus tablas de enrutamiento es válida y si realmente se la está suministrando quien debe suministrársela. Este funcionamiento se denomina confianza transitiva, vamos, que si me creo lo que me dices me estoy creyendo lo que a tí te dicen todos tus vecinos y los míos te creerán. Transitive faith podrían haberle puesto.

[Read more…]

Hace poco tuvimos la necesidad de incluir unos certificados SSL firmados por VeriSign para la navegación HTTPS en un proxy inverso Squid. El problema fue el hecho de que el cliente que lo requería había gestionado personalmente la creación y firma del certificado con una entidad certificadora internacional, la cual realizó todo el proceso con una herramienta propietaria basada en JAVA. Esto hizo que nosotros recibiéramos un fichero binario ilegible por OpenSSL, y sobre todo, por Squid.

Tras indagar un poco y averiguar que la aplicación del cliente había hecho uso de la herramienta keytool de JAVA respiré aliviado, pues suponía que seria trivial obtener los datos. Primeramente, pensando que en 20 minutos podría estar almorzando inspeccione el contenedor mediante el comando:

# keytool -list -v -keystore server_keystore

[Read more…]

Tras introducir el pasado viernes algunos aspectos teóricos relevantes de RFID, en esta segunda parte entraremos en cuestiones prácticas que nos darán resultados muy interesantes.

Comencemos profundizando un poco más en como Mifare realiza el proceso de autenticación. En primera instancia el lector le comunica a la tarjeta que quiere realizar una operación sobre un sector de datos determinado N. El tag o tarjeta en ese momento remite un número aleatorio Nc (Nonce del cliente) de 32 bits a modo de reto, para que sea cifrado con la clave privada compartida previamente. Como respuesta, el lector remite el reto cifrado y un número aleatorio Nr (Nonce del lector) para que el tag lo cifre con la clave privada, generando una trama de 64 bits. En última instancia la tarjeta le envía al lector su reto cifrado. En este momento ambos tienen la certeza de que los dispositivos son legítimos. Destacar que los dos últimos intercambios se realizan ya de forma cifrada, permaneciendo en claro tan solo el envío de la petición de lectura y Nc. La figura de la izquerda ilustra el proceso de handshake.

Este proceso de saludo a 4 bandas es importante ya que de él extraeremos la información necesaria para inferir la clave privada del sector.

Procedamos ahora a realizar una prueba de concepto que nos permitirá, a partir de la captura de la información anterior, inferir la clave privada. Pero, ¿cómo podemos capturar una comunicación real entre un tag y un lector? Aquí es donde juega un papel importante el PROXMARK III. Este dispositivo desarrollado por Jonathan Westhues permite realizar sniffing de varias tecnologías RFID desde baja frecuencia (LF 125 Khz) a alta frecuencia HF (13.56 Mhz) y entre ellas la que nos interesa ISO14443 tipo A sobre la que se basa Mifare. En un principio el PROXMARK III supondría el Hardware sobre el cual se pueden implementar diversas capas físicas y de enlace, de diferentes protocolos, simplemente programando sus integrados con la especificación que se requiera.

[Read more…]

¿Quién vigila a los vigilantes?, Juvenal, Satiras VI, 347

Ayer leí un interesante post de Microsiervos en el que se resumen las ideas principales expuestas por Fernando Rueda en el programa radiofónico La rosa de los vientos, de Onda Cero, sobre el uso y capacidades del sistema SITEL. Hace tiempo que quería preparar un resumen similar, pero, ya que se me han adelantado, me basta con referenciarlo. Básicamente, aunque está claro que sólo se pueden grabar conversaciones telefónicas de aquellas líneas que se han “pinchado” previamente, sí se puede tener información de las llamadas que cualquier línea ha hecho y de los SMS intercambiados y del geoposicionamiento de los móviles, aunque no se haya decidido previamente espiarlos. Es una cuestión de espacio de almacenamiento. Aunque, ya saben, como consecuencia de la ley de Moore y visto la evolución de Google, YouTube, etc. está claro que esto es un impedimento pasajero, ya que el almacenamiento tiene un coste residual cercano a cero, en la práctica.

En resumen, que dentro de poco, quien controle SITEL (y los otros sistemas similares que hay por el mundo) podrá escuchar cualquier conversación telefónica que desee, aunque no se le haya ocurrido con anterioridad que sería interesante grabarlas.

[Read more…]

(Esta semana la empezamos con una colaboración de D. Jorge Bermúdez, fiscal especialista en cibercrimen de la Fiscalía Provincial de Guipúzcoa, y miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado, relacionada con la entrada que publicamos hace algún tiempo sobre posesión o distribución de pornografía infantil. Más allá de agradecer a su autor el esfuerzo de escribirla y de intentar acercar dos mundos en principio tan diferentes como es el de la Judicatura y el de las Tecnologías de la Información, estoy seguro de que la encontrarán interesante y muy ilustrativa.)

El pasado 27 de octubre de 2009 di una ponencia en el III ENISE, en León, que pareció ser del agrado de uno de los autores de su blog, José Rosell. Como Google Reader ha tenido a bien recomendarme su blog, y he leído una entrada sobre la posición del Tribunal Supremo en cuestiones de distribución de pornografía infantil a través de redes P2P, he considerado oportuno escribir unas líneas, algo un poco más extenso que un mero comentario, y dar mi opinión como jurista.

Una cuestión esencial al analizar estos delitos es la aparición de un término extraño para los ajenos al mundo del Derecho. Se trata de la palabra “dolo”. En derecho penal, dolo es la voluntad de cometer un delito, y se contrapone a la imprudencia, el mero descuido. Si no hay dolo ni imprudencia, estaríamos en el caso fortuito, que no es sancionable. La imprudencia que da lugar a un delito sólo se castiga cuando ese delito incluye formas imprudentes. Por ejemplo, el homicidio lleva una pena si es doloso, artículo 138, y otra si es imprudente, artículo 142.

[Read more…]

(Actualización: Ya tenemos el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad aquí, recién salidos del horno. Real Decreto 3/2010 y 4/2010, respectivamente. Véase la página del BOE del 29 de enero para acceder a los PDFs)

En este post y los siguientes de la serie vamos a ver cómo conseguir romper la seguridad de las tarjetas de proximidad RFID basadas en tecnología Mifare. Ello conllevará la lectura y modificación interna de sus datos e incluso el clonado de las mismas.

La tecnología RFID (Identificación Mediante Radio Frecuencia), conforma, hoy en día, una solución extensamente utilizada en sistemas de pago en transportes públicos, controles de acceso a edificios u oficinas, pasaportes, monederos electrónicos o sistemas de control de encendido en automóviles entre otras aplicaciones. Existen diversas soluciones como Mifare, Keeloq o RFID EM4102, que permiten al portador interactuar de forma inalámbrica con los sistemas desplegados. La seguridad de este tipo de tecnologías presenta deficiencias que pueden permitir a usuarios malintencionados realizar acciones ilícitas como fraude en sistemas de pago, bypass del sistema de encendido de automóviles, suplantar la identidad de personas o acceder a áreas de acceso restringido, entre otras cosas.

[Read more…]

Como ya hicimos el año pasado, aprovechando que hoy es el Día Europeo de la Protección de Datos y como “pasatiempo” entre la entrada de ayer sobre la cualificación de los auditores y la de mañana sobre RFID, me gustaría recordar a todos nuestros lectores lo siguiente:

1. Si usted es una persona, por perogrullada que parezca, recuerde que los datos de carácter personal son, como indica su propio nombre, de la persona. Es decir, sus datos son de usted y de nadie más.

2. Si “usted” es una empresa, recuerde que los datos que gestiona no son suyos, sino de las personas propietarias de éstos, que los han puesto bajo su responsabilidad. Sea coherente con el punto anterior y piense que sus datos también son gestionados por múltiples empresas.

Por hoy, nada más. Pasen una feliz tarde.

[Read more…]

Aún recuerdo cuando empecé a introducirme en el mundo de la auditoría y seguridad allá por el año 2001, en una asignatura de la universidad, con un profesor que daba una asignatura enfocada a la gestión de empresas, y pensé este hombre habla de cosas interesantes y no de teoremas y algoritmos que probablemente no emplearé en esta vida. A partir de ese momento comencé a asistir a charlas en las que me dejaba impresionar por la corbata y la dialéctica de los ponentes y asistentes que disponían de sabiduría sobre todos los campos de la materia. Ya sabéis: corbatas, trajes, y retórica (nada nuevo bajo el sol).

Pensaréis que a qué viene todo esto. Pues bien, hubo un momento a partir del cual me di cuenta de que no era oro todo lo que relucía; que no todos los profesionales del sector eran eruditos de las tecnologías ni expertos en todos los campos de la informática. Lo recuerdo como si fuera ayer. Estaba una charla en la que se hablaban de subvenciones relacionadas con proyectos tecnológicos, y en un momento se produjo una discusión sobre LOPD entre dos personas. Uno de ellos dijo que su formación universitaria provenía de un campo diametralmente opuesto a las ingenierías, aunque defendía vehemente sus ideas en cuanto a LOPD. En ese momento me pregunte a mí mismo si mi vecino el charcutero podría firmar un informe de auditoría del RDLOPD.

Releyendo la LOPD obtuve la respuesta, que se imaginarán: efectivamente, mi vecino el charcutero podría firmar auditorías del RDLOPD, lo que más adelante tuve ocasión de confirmar en una charla de la propia Agencia de Protección de datos a la que asistí. Una de las transparencias exponía lo siguiente:

• ¿La auditoría es LOPD? ¿quién debe realizarla? ¿debe notificarse?
• No se define o reconoce el perfil funcional o profesional de los auditores

Resulta curioso que el charcutero pueda firmar auditorias LOPD pero no pueda hacer la prevención de riesgos laborales. Pasado el tiempo podemos llegar a aceptar que esto sea así, pero cual fue mi sorpresa cuando el otro día acabe con el libro de mesita de cama y empecé con el borrador del Esquema Nacional de Seguridad (véase I, II y III) y no encontré ningún requisito para el auditor, más que lo siguiente:

Lo que me hace pensar en la necesidad imperante de subsanar estos “vacíos legales” por el órgano pertinente. Reflexionando sobre esto, me queda claro que no es un asunto trivial, y que realmente si no se ha especificado más detalladamente el perfil del auditor, es por la problemática asociada: ¿a qué colectivos favorecemos y a qué colectivos dejamos fuera? Lo que está claro es que no va a llover a gusto de todos.

No dispongo de cifras pero estamos hablando de algo más que un puñado de millones de euros, y como todos sabréis, todos quieren su parte del pastel, lo que supone un claro conflicto de intereses.

¿Cómo y a quien otorgar la calificación de auditor?

En una de las últimas jornadas que asistí, este fue uno de los temas a tratar y se comentó tangencialmente la creación de asociaciones privadas “sin ánimo de lucro” tanto en el ámbito LOPD como el de la seguridad, que tuvieran el privilegio de nominar auditores a golpe de varita mágica; la existencia de una Sociedad General de Auditores, una especie de SGAE II, me pone los pelos como escarpias de solo pensarlo. Imaginen la cúpula de esa asociación, formada por los directores mejores relacionados de las auditoras y consultoras más influyentes, limitando únicamente la ejecución de auditorías a sus empresas… oligopolio es la palabra que me viene a la cabeza, y no exagero un ápice.

Descartemos este acercamiento al problema por “mercado de libre competencia”, y ataquemos el asunto de los auditores por la vertiente de la formación. Tras examinar el Esquema Nacional de Seguridad, se observa que éste aboga por una vertiente puramente técnica, al contrario que la LOPD, donde se considera de facto la presencia de un abogado en la auditoria, y la figura técnica queda difusa pudiendo ser realizada por cualquier “técnico”.

Por tanto partamos de la hipótesis de que el auditor debe ser ingeniero, pero vamos a hilar más fino. Cojamos un punto del esquema, “4.2 Control de accesos” y veamos qué ingenierías dan formación específica en este punto. Obviamente en Industriales la materia más difícil es “configura tus servidor radius para autenticación remota”, y en telecomunicaciones donde el primer año te explican cómo configurar LDAP para integrarlo con el dominio…

¿Se os ocurre qué ingeniería debería ocupar ese puesto? Una vez más la ingeniería más agraviada, la única que no dispone de atribuciones.

Pero aceptemos que una ingeniería de carácter técnico pueda acometer estos proyectos, y limitamos el agravio comparativo. Pensemos en el futuro en el plan Bolonia, aceptemos los estudios de grado. Llegados a este punto es posible que se cumplan los requisitos y no se dispongan de las destrezas necesarias; ¿cómo damos esas destrezas a las personas?

Una propuesta que se me ocurre sería la creación de un postgrado oficial en seguridad de la información, reconocido por el estado e impartido por universidades públicas, que sería convalidable por aquel titulado universitario que pudiera acreditar X años de experiencia en el sector y los méritos apropiados. Pero queda claro que únicamente el personal cualificado debería acometer este tipo de proyectos y mientras esto no sea así, seguiremos asociando la profesión del consultor de seguridad a la venta de humo.

¿Están ustedes de acuerdo? ¿Qué opinan al respecto y qué alternativas se les ocurren?

(N.d.E. Durante el fin de semana hemos estado haciendo algunos cambios en el blog, para lo que tuvimos que desactivar algunas funcionalidades. En cualquier caso, ahora todo debería funcionar correctamente)

No hace falta que les hable sobre las ventajas de los snapshots. Tener una “foto” del servidor antes de hacer cualquier intervención crítica (o no tan crítica) en ella, es un valor por el que hubiésemos dado un brazo hace unos años. Con la difusión de la virtualización, esta práctica se ha vuelto mucho más común. La sencillez de hacer un simple “click” y tener las espaldas cubiertas hace que se llegue a utilizar más de lo necesario. Pero como casi todo en esta vida, los excesos se pagan. En ningún momento nuestra intención es desaconsejar su uso, al contrario, se pretende compartir errores y problemas tenidos para aprovechar al máximo y con seguridad esta gran herramienta.

La teoría del snapshot en un entorno virtual es sencilla. Cuando se lanza un snapshot, el disco virtual (vmdk) queda en un estado congelado, y se crea un nuevo disco virtual, separado del primero, donde se almacenan todos los cambios generados desde ese punto. Hay que tener cuidado al manejar estos “discos hijo”, intentar manipularlos o cambiar la configuración de estos vmdk, ya que esto puede ocasionar una pérdida total de datos.

Otra cuestión a tomar en cuenta es la generación de snapshots sobre snapshots. Me explico con un ejemplo: antes de una intervención hemos generado un snapshot, todo ha ido bien, pero no lo borramos “por si acaso”. Al poco tiempo tenemos otra intervención en el mismo servidor, y generamos de nuevo otro snapshot. Esto es totalmente posible y se hace habitualmente, pero no creo que sea una práctica recomendable. El resultado es que se van generando “discos hijos”, cada uno con sus puntos de cambios, y al final el disco virtual inicial acaba siendo una segregación de ficheros, los cuales en caso de error son mucho más complicados de tratar. Personalmente, después de una intervención tras comprobar que todo ha ido bien siempre consolido los snapshots, con lo cual se vuelven a fundir los discos en uno sólo. Tal vez el gráfico que se muestra (fuente VmWare) ayude un poco más en la comprensión del problema.

Pero esto no es todo. Uno de los descuidos más comunes es el llenado de los “datastores”, (donde se almacenan las máquinas virtuales) por culpa de estos snapshots. El espacio ocupado por un disco virtual en un datastore es un valor fijo, es decir, si tenemos libre 400Gb y montamos un servidor con un disco de 300Gb, el espacio libre en ese datastore será SIEMPRE de 100Gb. Pero ojo, una vez hagamos un snapshot de ese disco, el vmdk de 100Gb quedará congelado y se generará un nuevo disco donde se irán almacenando los nuevos cambios. Es decir, ese espacio libre que creíamos que teníamos puede llenarse y darnos una sorpresa. Una buena manera de evitar este problema es tener bien monitorizados los datastores de nuestra infraestructura, pero ese es un tema que trataremos en otra entrada….