Security Art Work

Cuando comencé mi carrera profesional como técnico de Sistemas hace algo más de nueve años (hay que ver cómo pasa el tiempo), una de las primeras responsabilidades que me “cayó” encima en mi anterior empresa fue la gestión del sistema de monitorización de la infraestructura TIC propia y de clientes. La situación entonces era muy diferente de la actual. Nagios acababa de nacer a partir de NetSaint, y la madurez de este tipo de software distaba mucho de ser la actual; el sistema que utilizábamos (Big Brother) no era el colmo de la usabilidad, aunque su interfaz era extremadamente intuitivo. Los monitores eran bastante más rudimentarios que hoy en día, pero aun así, conseguíamos saber si las cosas funcionaban, por la cuenta que nos traía; teniendo en cuenta que por aquel entonces alojábamos la web de varios clientes importantes, una caída solía ser la antesala de problemas, así que si además no la detectábamos, imagínense. En definitiva, puede decirse que durante un buen puñado de años, tanto en aquella empresa como en la actual, mis andanzas como informático han estado ligadas entre otras cosas a gestionar sistemas de monitorización.

Aunque hoy en día aún es posible encontrar alguna empresa sin ningún sistema de monitorización TIC básico o uno que “ahí está” pero nadie mantiene ni “escucha”, las cosas han cambiado mucho. Ha habido una mejora significativa al menos en el primer paso: la detección de las incidencias. Ahora ya nadie se extraña de que sea necesario un sistema de monitorización TIC que al menos nos avise de cuándo el servidor de correo ha dejado de funcionar y así evitar los gritos de la alta dirección. Podría decirse que casi nos felicitamos por ello, como si eso fuese un gran logro. Vamos a dejar de lado aspectos de monitorización más complejos y todo el capítulo de gestión, tratamiento de las incidencias y análisis histórico; aunque debería ser inseparable de lo anterior, seguramente eso es demasiado.

No sé qué les parece a ustedes, pero a mí todo esto que les cuento me parece extremadamente básico y evidente. Quizá es que estoy demasiado acostumbrado a trabajar con estos sistemas, pero poder saber que el puerto 80 de un equipo tarda más de 5 segundos en contestar y eso es un problema no me parece nada extraordinario; al contrario, me parece de lo más ordinario. Es como hablar de las copias de seguridad. No cabe en mi cabeza que una empresa no tenga copias de seguridad; sería una temeridad, una imprudencia, una estupidez, una insensatez, un ejercicio de ignorancia y todas ellas juntas. Como decía aquel eslógan de la DGT hace unos años: las imprudencias se pagan, y cada vez más. Así que, resumiendo, desde que comencé a trabajar en esto de la informática, han pasado poco más de nueve años y ahora cualquier empresa con un mínimo de sentido común dispone de un sistema de monitorización TIC, mejor o peor gestionado, mejor o peor montado. Bravo por ellos. Applause.

Pasemos a temas más interesantes. Hace casi ocho años que Gartner acuñó el término BAM: Business Activity Monitoring (ya hemos hablado de esto en Security Art Work). Dicho en una frase y sin pretender total exactitud, se trata de monitorizar, analizar y gestionar indicadores propios del negocio basados en información en tiempo real. Cualquiera diría que parece lógico; de hecho, mucha parte del funcionamiento de las empresas de inversión financiera es precisamente ese. Saber que un sistema ha caído puede tener su gracia, pero saber cuándo el margen de una venta es inferior a un 5% sobre el precio de coste tiene mucho más sentido para el negocio y, francamente, es más interesante. Al fin y al cabo, la disponibilidad o capacidad remanente de un servidor o un router no deja de ser un indicador para el personal de Sistemas y Comunicaciones, pero que no tiene o no debería tener mucho más sentido fuera de ese ámbito. Sin duda, cualquier departamento puede identificar un puñado de indicadores que no sólo les resultarían extremadamente útiles en sus tareas diarias, sino que les ayudarían a detectar situaciones anómalas o que requieren su intervención; piénsenlo dos minutos. La idea detrás de BAM es saber qué pasa: sistematizar y automatizar el tratamiento de información en tiempo real asociada a los procesos corporativos que permitan a la organización tomar decisiones de manera más rápida y eficiente. ¿Saben aquello de que la información es poder? Pues eso, ni más ni menos.

No sé qué les parece todo esto. No sé si están de acuerdo conmigo o todo esto les parece un rollo macabeo. Como pueden imaginarse, a mí me parece de lo más coherente, y por eso me cuesta entender que a estas alturas, los sistemas de monitorización BAM no estén tan extendidos ni madurados como los TIC que les comentaba. Sin querer ser duro y pensar que se trata de simple falta de visión o miopía generalizada (les apuesto a que la mayoría de sistemas de monitorización TIC de la mayor parte de las empresas tienen menos tiempo del que nos creemos), la razón quizá sea la excesiva dependencia geek de muchas empresas, donde los sistemas/aplicaciones se conciben como mucho más que meros “sustentadores” de los procesos de negocio, quizá la escasez de recursos o simplemente la resistencia natural y poca “disponibilidad” del personal para aceptar este tipo de novedades. Claro que después de todo, nadie dijo que fuese fácil y como decía Jane Fonda, No pain, no gain.

La cuestión aquí, si me permiten ponerme algo trascendente, es que BAM es el principal camino —que conozco— a la mejora de la eficiencia de los procesos corporativos y de la productividad, algo que, a decir por los datos oficiales y si acudimos al discurso económico diario, no es algo de lo que vayamos sobrados en este país. Por eso, que sistemas BAM implantados sean hoy por hoy casi una rareza, es algo que me causa estupor. Y les prometo que no exagero un ápice.

(Comenzamos la semana con la colaboración de un amigo al que muchas veces hemos invitado a escribir, pero hasta ahora no se había decidido. Nos ha pedido, no obstante, que desea firmar anónimamente y que su colaboración aparezca firmada con el pseudónimo Walt Kowalsky. Esperamos que les parezca interesante)

Llevo tiempo siguiendo este interesante blog, que se ha convertido en uno de mis favoritos y después de un tiempo queriendo aportar mi granito de arena, me he lanzado a la piscina y he preparado la siguiente colaboración que espero que les sea de agrado.

A pesar del título del post, no esperen un enfrentamiento a lo Quevedo-Gongora, puesto que por ahí no van los tiros. Voy a ponerles en situación comenzando con el recurso fácil de la pregunta retórica: ¿se han copiado de ustedes en algún examen? Seguramente contestarán que sí y si no me equivoco muchas veces habrá sido de mutuo acuerdo. Pero, ¿se han copiado de ustedes sin su permiso? Si ha sido así traten de recordar la sensación de aquel momento. Llevaban semanas preparando ese examen concienzudamente, noches sin dormir, cafeína recorriendo su torrente sanguíneo para al final tener la certeza de que el día del examen la cosa va a ir bien y que pasaremos la prueba con nota. Entran al examen y comprueban que a su lado se sienta aquel compañero que únicamente vieron el primer día de clase, aquel que se dedicó a salir todos los jueves y a llegar a laboratorio para que el compañero le haga las prácticas. Comienza el examen y todo marcha de acuerdo con su plan maestro, pero entonces se dan cuenta de que el compañero de al lado está copiando descaradamente nuestro examen… Se acaba el examen y unas semanas más tarde cuando salen las notas comprueban que aquel jeta ha sacado casi la misma nota que nosotros, pero sin asistir a clase, SIN DEDICARLE RECURSOS. En ese momento piensan en todo el tiempo y esfuerzo que han dedicado a prepararse para aprobar ese examen, y lo poco que ha invertido nuestro compañero en aprobar, y piensan que la vida no es justa.

Alguien les susurra C´est la vie….

[Read more…]

(Para acabar la semana en que hemos superado los 1000 suscriptores al feed, hoy tenemos una colaboración de Rafael García, amigo, antiguo colaborador de S2 Grupo y con extensos conocimientos y experiencia en la gestión de centros de proceso de datos, como muestra en su blog. Esperamos que les guste la entrada tanto como a nosotros; por lo demás, pasen un buen fin de semana, nosotros nos vamos hasta el lunes, aunque esporádicamente puede que aparezcamos por “el” Twitter)

Hace casi un año, el pasado 28 de Febrero de 2009 YouTube dejó de funcionar durante 2 horas. La incidencia —una incidencia de su conectividad— no se debió ni a la falta de redundancia de sus infraestructuras, ni a un fallo coordinado de todos sus proveedores, ni a un apagón simultáneo de todos sus centros de datos; ni siquiera al súbito interés simultáneo y mundial por el último vídeo de la Obama girl. YouTube dejó de funcionar debido al secuestro de parte de su direccionamiento IP por parte del operador Pakistan Telecom. ¿Secuestro? Sí, secuestro o suplantación del direccionamiento IP, algo tan antiguo como el propio protocolo BGP.

BGP4 (RFC 1771 y RFC 1772) es el protocolo que se utiliza para intercambiar tráfico entre los proveedores de servicios de Internet. Sus funciones son bastante simples: básicamente permite que los sistemas autónomos (AS) —las subdivisones organizativas que gestionan los prefijos de enrutamiento en Internet, habitualmente un ISP— comuniquen a otros sistemas autónomos cómo alcanzar redes en Internet. Específicamente BGPv4 intercambia prefijos de direcciones de Internet seguidas de los identificadores de los sistemas autónomos a través de los cuales se alcanza dicho direccionamiento. Todos los ASs intercambian esta información entre ellos asumiendo que es correcta. BGP, aunque permite implementar políticas sobre los prefijos que anuncia o deja de anunciar, no tiene ningún mecanismo para saber si la información de sus tablas de enrutamiento es válida y si realmente se la está suministrando quien debe suministrársela. Este funcionamiento se denomina confianza transitiva, vamos, que si me creo lo que me dices me estoy creyendo lo que a tí te dicen todos tus vecinos y los míos te creerán. Transitive faith podrían haberle puesto.

[Read more…]

Hace poco tuvimos la necesidad de incluir unos certificados SSL firmados por VeriSign para la navegación HTTPS en un proxy inverso Squid. El problema fue el hecho de que el cliente que lo requería había gestionado personalmente la creación y firma del certificado con una entidad certificadora internacional, la cual realizó todo el proceso con una herramienta propietaria basada en JAVA. Esto hizo que nosotros recibiéramos un fichero binario ilegible por OpenSSL, y sobre todo, por Squid.

Tras indagar un poco y averiguar que la aplicación del cliente había hecho uso de la herramienta keytool de JAVA respiré aliviado, pues suponía que seria trivial obtener los datos. Primeramente, pensando que en 20 minutos podría estar almorzando inspeccione el contenedor mediante el comando:

# keytool -list -v -keystore server_keystore

[Read more…]

Tras introducir el pasado viernes algunos aspectos teóricos relevantes de RFID, en esta segunda parte entraremos en cuestiones prácticas que nos darán resultados muy interesantes.

Comencemos profundizando un poco más en como Mifare realiza el proceso de autenticación. En primera instancia el lector le comunica a la tarjeta que quiere realizar una operación sobre un sector de datos determinado N. El tag o tarjeta en ese momento remite un número aleatorio Nc (Nonce del cliente) de 32 bits a modo de reto, para que sea cifrado con la clave privada compartida previamente. Como respuesta, el lector remite el reto cifrado y un número aleatorio Nr (Nonce del lector) para que el tag lo cifre con la clave privada, generando una trama de 64 bits. En última instancia la tarjeta le envía al lector su reto cifrado. En este momento ambos tienen la certeza de que los dispositivos son legítimos. Destacar que los dos últimos intercambios se realizan ya de forma cifrada, permaneciendo en claro tan solo el envío de la petición de lectura y Nc. La figura de la izquerda ilustra el proceso de handshake.

Este proceso de saludo a 4 bandas es importante ya que de él extraeremos la información necesaria para inferir la clave privada del sector.

Procedamos ahora a realizar una prueba de concepto que nos permitirá, a partir de la captura de la información anterior, inferir la clave privada. Pero, ¿cómo podemos capturar una comunicación real entre un tag y un lector? Aquí es donde juega un papel importante el PROXMARK III. Este dispositivo desarrollado por Jonathan Westhues permite realizar sniffing de varias tecnologías RFID desde baja frecuencia (LF 125 Khz) a alta frecuencia HF (13.56 Mhz) y entre ellas la que nos interesa ISO14443 tipo A sobre la que se basa Mifare. En un principio el PROXMARK III supondría el Hardware sobre el cual se pueden implementar diversas capas físicas y de enlace, de diferentes protocolos, simplemente programando sus integrados con la especificación que se requiera.

[Read more…]

¿Quién vigila a los vigilantes?, Juvenal, Satiras VI, 347

Ayer leí un interesante post de Microsiervos en el que se resumen las ideas principales expuestas por Fernando Rueda en el programa radiofónico La rosa de los vientos, de Onda Cero, sobre el uso y capacidades del sistema SITEL. Hace tiempo que quería preparar un resumen similar, pero, ya que se me han adelantado, me basta con referenciarlo. Básicamente, aunque está claro que sólo se pueden grabar conversaciones telefónicas de aquellas líneas que se han “pinchado” previamente, sí se puede tener información de las llamadas que cualquier línea ha hecho y de los SMS intercambiados y del geoposicionamiento de los móviles, aunque no se haya decidido previamente espiarlos. Es una cuestión de espacio de almacenamiento. Aunque, ya saben, como consecuencia de la ley de Moore y visto la evolución de Google, YouTube, etc. está claro que esto es un impedimento pasajero, ya que el almacenamiento tiene un coste residual cercano a cero, en la práctica.

En resumen, que dentro de poco, quien controle SITEL (y los otros sistemas similares que hay por el mundo) podrá escuchar cualquier conversación telefónica que desee, aunque no se le haya ocurrido con anterioridad que sería interesante grabarlas.

[Read more…]

(Esta semana la empezamos con una colaboración de D. Jorge Bermúdez, fiscal especialista en cibercrimen de la Fiscalía Provincial de Guipúzcoa, y miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado, relacionada con la entrada que publicamos hace algún tiempo sobre posesión o distribución de pornografía infantil. Más allá de agradecer a su autor el esfuerzo de escribirla y de intentar acercar dos mundos en principio tan diferentes como es el de la Judicatura y el de las Tecnologías de la Información, estoy seguro de que la encontrarán interesante y muy ilustrativa.)

El pasado 27 de octubre de 2009 di una ponencia en el III ENISE, en León, que pareció ser del agrado de uno de los autores de su blog, José Rosell. Como Google Reader ha tenido a bien recomendarme su blog, y he leído una entrada sobre la posición del Tribunal Supremo en cuestiones de distribución de pornografía infantil a través de redes P2P, he considerado oportuno escribir unas líneas, algo un poco más extenso que un mero comentario, y dar mi opinión como jurista.

Una cuestión esencial al analizar estos delitos es la aparición de un término extraño para los ajenos al mundo del Derecho. Se trata de la palabra “dolo”. En derecho penal, dolo es la voluntad de cometer un delito, y se contrapone a la imprudencia, el mero descuido. Si no hay dolo ni imprudencia, estaríamos en el caso fortuito, que no es sancionable. La imprudencia que da lugar a un delito sólo se castiga cuando ese delito incluye formas imprudentes. Por ejemplo, el homicidio lleva una pena si es doloso, artículo 138, y otra si es imprudente, artículo 142.

[Read more…]

(Actualización: Ya tenemos el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad aquí, recién salidos del horno. Real Decreto 3/2010 y 4/2010, respectivamente. Véase la página del BOE del 29 de enero para acceder a los PDFs)

En este post y los siguientes de la serie vamos a ver cómo conseguir romper la seguridad de las tarjetas de proximidad RFID basadas en tecnología Mifare. Ello conllevará la lectura y modificación interna de sus datos e incluso el clonado de las mismas.

La tecnología RFID (Identificación Mediante Radio Frecuencia), conforma, hoy en día, una solución extensamente utilizada en sistemas de pago en transportes públicos, controles de acceso a edificios u oficinas, pasaportes, monederos electrónicos o sistemas de control de encendido en automóviles entre otras aplicaciones. Existen diversas soluciones como Mifare, Keeloq o RFID EM4102, que permiten al portador interactuar de forma inalámbrica con los sistemas desplegados. La seguridad de este tipo de tecnologías presenta deficiencias que pueden permitir a usuarios malintencionados realizar acciones ilícitas como fraude en sistemas de pago, bypass del sistema de encendido de automóviles, suplantar la identidad de personas o acceder a áreas de acceso restringido, entre otras cosas.

[Read more…]

Como ya hicimos el año pasado, aprovechando que hoy es el Día Europeo de la Protección de Datos y como “pasatiempo” entre la entrada de ayer sobre la cualificación de los auditores y la de mañana sobre RFID, me gustaría recordar a todos nuestros lectores lo siguiente:

1. Si usted es una persona, por perogrullada que parezca, recuerde que los datos de carácter personal son, como indica su propio nombre, de la persona. Es decir, sus datos son de usted y de nadie más.

2. Si “usted” es una empresa, recuerde que los datos que gestiona no son suyos, sino de las personas propietarias de éstos, que los han puesto bajo su responsabilidad. Sea coherente con el punto anterior y piense que sus datos también son gestionados por múltiples empresas.

Por hoy, nada más. Pasen una feliz tarde.

[Read more…]

Aún recuerdo cuando empecé a introducirme en el mundo de la auditoría y seguridad allá por el año 2001, en una asignatura de la universidad, con un profesor que daba una asignatura enfocada a la gestión de empresas, y pensé este hombre habla de cosas interesantes y no de teoremas y algoritmos que probablemente no emplearé en esta vida. A partir de ese momento comencé a asistir a charlas en las que me dejaba impresionar por la corbata y la dialéctica de los ponentes y asistentes que disponían de sabiduría sobre todos los campos de la materia. Ya sabéis: corbatas, trajes, y retórica (nada nuevo bajo el sol).

Pensaréis que a qué viene todo esto. Pues bien, hubo un momento a partir del cual me di cuenta de que no era oro todo lo que relucía; que no todos los profesionales del sector eran eruditos de las tecnologías ni expertos en todos los campos de la informática. Lo recuerdo como si fuera ayer. Estaba una charla en la que se hablaban de subvenciones relacionadas con proyectos tecnológicos, y en un momento se produjo una discusión sobre LOPD entre dos personas. Uno de ellos dijo que su formación universitaria provenía de un campo diametralmente opuesto a las ingenierías, aunque defendía vehemente sus ideas en cuanto a LOPD. En ese momento me pregunte a mí mismo si mi vecino el charcutero podría firmar un informe de auditoría del RDLOPD.

Releyendo la LOPD obtuve la respuesta, que se imaginarán: efectivamente, mi vecino el charcutero podría firmar auditorías del RDLOPD, lo que más adelante tuve ocasión de confirmar en una charla de la propia Agencia de Protección de datos a la que asistí. Una de las transparencias exponía lo siguiente:

• ¿La auditoría es LOPD? ¿quién debe realizarla? ¿debe notificarse?
• No se define o reconoce el perfil funcional o profesional de los auditores

Resulta curioso que el charcutero pueda firmar auditorias LOPD pero no pueda hacer la prevención de riesgos laborales. Pasado el tiempo podemos llegar a aceptar que esto sea así, pero cual fue mi sorpresa cuando el otro día acabe con el libro de mesita de cama y empecé con el borrador del Esquema Nacional de Seguridad (véase I, II y III) y no encontré ningún requisito para el auditor, más que lo siguiente:

Lo que me hace pensar en la necesidad imperante de subsanar estos “vacíos legales” por el órgano pertinente. Reflexionando sobre esto, me queda claro que no es un asunto trivial, y que realmente si no se ha especificado más detalladamente el perfil del auditor, es por la problemática asociada: ¿a qué colectivos favorecemos y a qué colectivos dejamos fuera? Lo que está claro es que no va a llover a gusto de todos.

No dispongo de cifras pero estamos hablando de algo más que un puñado de millones de euros, y como todos sabréis, todos quieren su parte del pastel, lo que supone un claro conflicto de intereses.

¿Cómo y a quien otorgar la calificación de auditor?

En una de las últimas jornadas que asistí, este fue uno de los temas a tratar y se comentó tangencialmente la creación de asociaciones privadas “sin ánimo de lucro” tanto en el ámbito LOPD como el de la seguridad, que tuvieran el privilegio de nominar auditores a golpe de varita mágica; la existencia de una Sociedad General de Auditores, una especie de SGAE II, me pone los pelos como escarpias de solo pensarlo. Imaginen la cúpula de esa asociación, formada por los directores mejores relacionados de las auditoras y consultoras más influyentes, limitando únicamente la ejecución de auditorías a sus empresas… oligopolio es la palabra que me viene a la cabeza, y no exagero un ápice.

Descartemos este acercamiento al problema por “mercado de libre competencia”, y ataquemos el asunto de los auditores por la vertiente de la formación. Tras examinar el Esquema Nacional de Seguridad, se observa que éste aboga por una vertiente puramente técnica, al contrario que la LOPD, donde se considera de facto la presencia de un abogado en la auditoria, y la figura técnica queda difusa pudiendo ser realizada por cualquier “técnico”.

Por tanto partamos de la hipótesis de que el auditor debe ser ingeniero, pero vamos a hilar más fino. Cojamos un punto del esquema, “4.2 Control de accesos” y veamos qué ingenierías dan formación específica en este punto. Obviamente en Industriales la materia más difícil es “configura tus servidor radius para autenticación remota”, y en telecomunicaciones donde el primer año te explican cómo configurar LDAP para integrarlo con el dominio…

¿Se os ocurre qué ingeniería debería ocupar ese puesto? Una vez más la ingeniería más agraviada, la única que no dispone de atribuciones.

Pero aceptemos que una ingeniería de carácter técnico pueda acometer estos proyectos, y limitamos el agravio comparativo. Pensemos en el futuro en el plan Bolonia, aceptemos los estudios de grado. Llegados a este punto es posible que se cumplan los requisitos y no se dispongan de las destrezas necesarias; ¿cómo damos esas destrezas a las personas?

Una propuesta que se me ocurre sería la creación de un postgrado oficial en seguridad de la información, reconocido por el estado e impartido por universidades públicas, que sería convalidable por aquel titulado universitario que pudiera acreditar X años de experiencia en el sector y los méritos apropiados. Pero queda claro que únicamente el personal cualificado debería acometer este tipo de proyectos y mientras esto no sea así, seguiremos asociando la profesión del consultor de seguridad a la venta de humo.

¿Están ustedes de acuerdo? ¿Qué opinan al respecto y qué alternativas se les ocurren?