Security Art Work

Hoy es primero de septiembre, y como les prometimos hace un mes, volvemos a la carga no sin los dedos y el ingenio algo atrofiados —oxidados— por el sol y la vida contemplativa que cuando hay suerte acompaña a las vacaciones; si la echan de menos, pueden seguir mirando la imagen de la siguiente entrada, aunque les aviso que es contraproducente. Por ello, me disculparán si comenzamos esta nueva temporada con una pequeña reflexión personal sobre el estado de la seguridad informática.

De un tiempo a esta parte, a nadie se le escapa que la seguridad informática ha comenzado a tener su pequeño rincón en los medios generalistas, saliendo de ese nicho geek en el que permanecía hasta hace poco. Presencia lógica por otra parte, derivada de a) la popularidad que Facebook, Tuenti, Twitter, e Internet en general van teniendo y b) de las preocupaciones sobre la privacidad, los datos personales, el comercio electrónico y etc. La consecuencia es que cualquier pérdida de datos, intrusión, robo de contraseñas/tarjetas de crédito o similar aparece al poco tiempo no sólo en Kriptópolis sino también en las páginas de tecnología de El Mundo y El País, por citar algunos —dejemos aparte la exactitud con la que se abordan las noticias, que no es el tema de hoy—. Por supuesto, las especificidades técnicas de los ataques siguen siendo terreno privado del personal especializado, y ni falta que hace que deje de serlo.

[Read more…]

Como (casi) todo hijo de vecino por estas fechas, Security Art Work se va de vacaciones hasta el próximo septiembre, donde habrá más y (si es posible) mejor. Sean buenos, y recuerden ponerse crema solar.

En los tiempos que corren, creo que ya nadie duda de que disponibilidad es seguridad. Por si tenemos aún algún escéptico entre nosotros le invito a que se fije en la foto adjunta e intente preguntárselo a los pobres 22,000 “pollos” (servidores) que por una falta de disponibilidad del sistema de acondicionamiento de aire de su “granja” (CPD) perecieron todos en unas horas y nos dejaron esta siniestra imagen.

La noticia, que fue publicada el pasado mes de junio por distintos medios de comunicación, nos contaba como una tormenta fulminó el sistema automático de ventilación de una granja y los animales fallecieron asfixiados.

Esto es lo que pasa en muchas ocasiones cuando no se tiene en cuenta o no se analiza suficientemente la necesidad de que nuestros equipos y nuestras instalaciones en general estén disponibles. Esto es lo que pasa cuando, teniendo en cuenta que esto es desgraciadamente frecuente, no disponemos de los mecanismos que nos permitan verificar la seguridad de nuestros procesos, aunque estos (los procesos) sean tan simples como el enfriamiento de un recinto cerrado.

La disponibilidad es una de las principales dimensiones de la seguridad y debe ser analizada en su conjunto hablando de alta disponibilidad de una base de datos, de un servicio, de un servidor, de una línea de comunicaciones, de una fuente de alimentación e incluso —como nos recordarían si pudiesen estos “pollitos”— de las instalaciones industriales que garantizan la seguridad física de nuestra infraestructura.

Evidentemente es importante disponer de un sistema de acondicionamiento de aire (medida de protección) pero, como se ha demostrado, es tan importante o más disponer de un sistema de monitorización de funcionamiento del mismo o de la temperatura del recinto acondicionado (medidas de detección) que nos permitan poner en marcha los protocolos de actuación en caso de tener un incidente (que lo tendremos).

En definitiva, dado que es imposible evitar que los sistemas fallen, ¿no creen ustedes que deberemos prestar especial atención a vigilar el fallo de los mismos? ¿no creen por tanto que los sistemas de monitorización son igual de importantes, o incluso más, que los de protección? Yo estoy absolutamente convencido de la necesidad de disponer de un equilibrio entre protección, detección y respuesta. Hoy en día creo que, al menos, los “pollos” de la foto, me darían la razón.

Sirva esta contribución para destacar nuestra firme apuesta por los sistemas de monitorización y la gestión eficaz y eficiente de los eventos y alertas que los mismos disparan.

[Read more…]

Ayer aparecía en la prensa digital una noticia sobre la falta de coordinación entre los diferentes organismos y entes que velan por la seguridad en España, a diferencia de lo que por ejemplo está ocurriendo en Estados Unidos o el Reino Unido, países en los que se ha creado la figura de un mando único, dotado de autoridad y presupuesto, que centralice y marque las líneas de actuación a nivel nacional.
En España, lo que está ocurriendo hasta ahora, es que existen diferentes organismos dirigidos a la respuesta temprana ante incidentes de seguridad informática y la protección de infraestructuras críticas: públicos (CCN-CERT) y privados (La Caixa CSIRT), autonómicos (como el CSIRT-CV, con el que colaboramos activamente) y nacionales (IRIS-CERT, CNPIC —Centro Nacional para la Protección de Infraestructuras Críticas), pero no hay una coordinación formal entre ellos. Incluso las competencias se encuentran repartidas entre tres ministerios: Interior, Industria y Defensa.

[Read more…]

Hace años, los que nos dedicábamos de una u otra forma a seguridad solíamos hablar mucho de la seguridad informática: aspectos exclusivamente lógicos, que aglutinaban contraseñas, cortafuegos, sistemas de detección de intrusos, permisos de archivos… importando poco o nada lo que hubiera por encima (usuarios, instalaciones físicas, organizaciones…). Tiempo después pasamos a hablar de la seguridad de los sistemas de información, que venía a ser muy similar pero ya era un concepto en el que se introducía la palabra “información” (un buen avance, ya que la seguridad per se es difícilmente defendible). Con el paso del tiempo, nos fuimos dando cuenta de que lo que que realmente importaba proteger era la información —no exclusivamente los sistemas que la tratan—, tanto desde el punto de vista de lógico como desde otros muchos puntos de vista (humano, organizativo, seguridad del papel…), y dejamos de hablar de seguridad de los sistemas para pasar a hablar de seguridad de la información, algo que se mantiene casi hasta la actualidad.

De un tiempo a esta parte, estamos empezando a dejar de hablar de seguridad de la información para hablar de seguridad de los procesos de negocio, intercalando en muchos casos el adjetivo “integral”. El resumen es muy sencillo: las organizaciones actuales están —o suelen, o deberían estar— orientadas al proceso de negocio, y así una organización ejecutará unos determinados procesos para poder sobrevivir. Si alguno de estos procesos falla de forma considerable, sin importar el porqué, se degrada la seguridad global y la organización se somete a un riesgo determinado, también global. De esta forma, el riesgo global de la organización, R, puede definirse como el sumatorio ponderado de los diferentes riesgos a que están sometidos sus procesos.

¿Y cuáles son los riesgos de estos procesos, y por extensión, los de la propia organización? Cada proceso, para ser ejecutado de forma correcta, completa y continua (esto es, que funcione tal y como debe hacerlo y de forma continuada en el tiempo), necesita de una gestión determinada (riesgo organizativo) para que unas personas de la organización (riesgo humano) puedan ejecutarlo satisfactoriamente con una técnica —o tecnología— concreta (riesgo técnico) y bajo unas condiciones de contorno establecidas (riesgo físico y riesgo legal); por encima de estos tipos de riesgos, tenemos riesgos adicionales, no englobados en ninguna de las categorías anteriores —por ejemplo, el riesgo semántico—, muchas veces fuera del control de la organización pero que puede degradar de forma significativa no sólo su imagen o marca, sino también su capacidad de operación. Así, el riesgo que afecta a un determinado proceso no es más que el sumatorio ponderado de los riesgos anteriores.

Obviamente, el escenario ideal sería llegar a nuestra oficina y ver el nivel de riesgo R; si es bajo, asumible, podemos ir a tomar un café. Si es medio, debemos ver qué proceso puede degradar nuestra seguridad y, si corresponde, tomar acciones al respecto, y si es alto, preocupémonos de forma inmediata. Pensemos que al Director General de una organización le importa que sus procesos comerciales, de facturación, de operación… funcionen bien (sean seguros); si se degradan, probablemente le dará igual que sea por culpa de un pirata informático, de un servidor caído, de un butronero o de la caída de la bolsa: en cualquier caso, el negocio está en riesgo y hay que tomar acciones para mitigarlo.

Ahora la pregunta del millón: ¿cómo podemos cuantificar cada riesgo que afecta a un determinado proceso? Se admiten ideas (yo os pasaré las mías en otro post :)

— Si al menos me gustase Omaral, me haría gracia la nueva contraseña que le han puesto al servidor de contabilidad.
— Sí, sí, tiene narices que le hayan puesto “Un vuelo eterno a lo kamikaze”; hay que tener ganas.
— Al menos podrían tener haber escogido una canción de El silbido del cuerdo…

John sonrió en su asiento del autobús cuando escuchó la conversación que mantenía el grupo de empleados de Heptatlon Security, correctamente uniformados con el polo corporativo que el nuevo director general había propuesto. “Heptatlon City” —anunció el altavoz del autobús. Uno tras otro fueron bajando todos los trabajadores de la compañía y John se unió a ellos camino de su entrevista de trabajo.

— Menudo día nos espera hoy, intervención esta tarde para el cambio del firewall.
— Pues menudo palo, eso os tendrá toda la noche, ¿no?
— Quita, quita. Hoy cambiamos la cacharrería y mañana con tranquilidad ya definiremos las reglas. Total, por una noche…
— Yo ya no me sorprendo por nada, ni siquiera tenemos el IDS funcionando al 100%…

[Read more…]

Los centros WARP (Warning, Advice and Reporting Point) británicos surgen de la misma necesidad de los ISAC de proteger las infraestructuras nacionales mediante la compartición de información sensible, en este caso del gobierno británico. Los centros WARP se centran en prestar servicios a la sociedad en cuatro grandes grupos:

Servicio de alertas seleccionados

El servicio de alertas permite a los miembros del WARP recibir alertas y recomendaciones seleccionadas según las elecciones de cada uno de los miembros. La información de seguridad recibida es analizada y distribuida a los asociados. El equipo de administración del WARP recoge información de diversas fuentes, añade información adicional y envía la información sólo a aquellos miembros que han expresado su interés en la información de una determinada categoría. Los centros WARP disponen de las siguientes capacidades:

• Registrar los miembros con los perfiles seleccionados.
• Procesar alertas y avisos de diversas fuentes.
• Generar alertas y avisos para la comunidad WARP.
• Distribuir alertas y avisos a los miembros correctos del WARP.

Aunque las funciones anteriormente descritas pueden desarrollarse sin herramientas especializadas, es lógico que se desarrollen aplicativos específicos para este fin. De esta forma, se ha desarrollado un paquete de software para los WARP que facilita el tratamiento de las selecciones y preferencias de los usuarios por parte de los operadores del WARP; esta aplicación se denomina FWA (Filtered Warning Application).

El servicio descrito en este punto cubre la W (Warning), dentro de la denominación WARP (Warning, Advice and Reporting Point).

Intercambio de recomendaciones y consejos

El servicio de intercambio de recomendaciones y consejos permite que los miembros del WARP tengan diálogos entre ellos mismos en un entorno seguro. Esto posibilita el intercambio de consejos y recomendaciones sobre asuntos de seguridad, guías de buenas prácticas basadas en experiencias propias, etc. Una de las maneras de promover este diálogo puede ser a través de foros electrónicos, que pueden ser moderados por el operador del foro añadiendo información relevante, consejos de expertos, resumiendo temas de interés, etc. Esto puede ser utilizado para, una vez eliminados los datos confidenciales, alimentar al servicio de alertas. Además, puede dirigir al operador del WARP hacia las temáticas de interés de sus miembros, organizando sesiones de formación, buscando fuentes de alertas de esa temática, etc. Este servicio puede facilitar la colaboración entre los miembros, ofreciendo la experiencia que han desarrollado unos miembros frente a problemas o iniciativas que otros no habían considerado.

La realización de reuniones periódicas facilita el desarrollo de este servicio. Tales reuniones son organizadas por el operador del WARP, implicando a los miembros en su participación.

Este servicio cubre la A (Advice), dentro de WARP (Warning, Advice and Reporting Point).

Servicios seguros de compartición de información

El servicio de compartición confiada trata de crear un entorno seguro en el que se pueda compartir información sensible, como puede ser la relativa a incidentes o problemas sufridos por los miembros del centro. Los miembros del WARP deben tener confianza en que la información compartida no les va a causar daño de ningún tipo (económico, reputacional, etc.), ya que de otra manera serán reacios a compartirla. El operador del WARP debe por tanto gozar de la confianza de los miembros a través de los servicios de alertas y recomendaciones, y puede y debe anonimizar las partes de la información antes de compartirla con el resto de miembros. Esta compartición de información sensible puede ayudar mucho a los miembros en la toma de acciones preventivas, beneficiándose de la experiencia del resto, hasta tal punto que la utilidad de una alerta temprana y el evitar impactos en la organización puede ser suficiente para justificar el coste de pertenecer al WARP.

Este servicio cubre la R (Reporting), dentro de la definición de WARP (Warning, Advice and Reporting Point). La P (Point) se cubre con la propia creación de un centro a tal efecto.

Herramientas de soporte

Existen dos conjuntos de herramientas desarrolladas específicamente para dar soporte lógico a los centro WARP. Estas herramientas son proporcionadas o bien de manera gratuita o de bajo coste a los centros aprobados como WARP por el Centro Nacional para la Defensa de la Infraestructura.

• WARP toolbox.
• FW software.

Centros existentes

A fecha de Abril de 2007 existen 20 WARPS registrados, repartidos entre sector público, gobierno local, sector privado y organizaciones de voluntarios. Aunque el concepto de WARP es amplio, las organizaciones existentes hasta la fecha están principalmente focalizadas en aspectos relacionados con la protección civil. Se puede consultar una tabla con la relación de WARPS, así como información detallada en el siguiente enlace: http://www.warp.gov.uk/

Cuando estamos realizando proyectos de seguridad, desde cualquier punto de vista, casi siempre hablamos, en uno u otro momento, con el departamento de Sistemas, Explotación, Informática Interna, o como en cada caso se llame el grupo de personas que gestionan los sistemas y comunicaciones internos a una organización (servidores, aplicaciones, routers…). Este grupo de trabajo —llamémosle Sistemas, para aclararnos— es el que, total o parcialmente, dispone de las contraseñas de acceso privilegiado al entorno tecnológico de la organización, y por tanto es responsable de la custodia y protección de estos passwords.

Los passwords en cualquiera de sus modalidades y con cualquiera de sus restricciones (OTP, envejecimiento…) tienen como objetivo proteger el acceso a la información y a los sistemas que la tratan mediante algo que el usuario sabe. Resulta comprensible, pero chocante, que para estos departamentos la información más sensible de la empresa sea, en la mayor parte de ocasiones, el fichero de contraseñas privilegiadas de las máquinas corporativas. Casi todos utilizan —utilizamos— sistemas cifrados para su gestión (Password Safe, Password Gorilla…), con unas restricciones de acceso en muchos casos durísimas y reservadas únicamente al personal del grupo en cuestión (como debe ser, dicho sea de paso).

Obviamente, me parece muy bien que las contraseñas que dan privilegios totales en los sistemas estén almacenadas de forma segura y el acceso a las mismas esté estrictamente controlado, pero bajo mi punto de vista, en muchos casos nos olvidamos de lo que realmente protegen esos passwords: la información corporativa, que es lo que tiene valor para la organización. En ocasiones no somos conscientes de que las claves no dejan de ser una mera llave para el acceso a esa información, pero que mucho más importante que esta llave es lo que ésta custodia. Por tanto, quería hacer un par de reflexiones acerca de la seguridad que le damos a las claves para conocer vuestra opinión. Ahí van:

La primera de estas reflexiones es preguntarme por qué todos usamos cifrado para las contraseñas de acceso a las máquinas, pero muy pocos la usamos para proteger la información que hay en esas mismas máquinas (por ejemplo cifrando a nivel de volumen o de archivo). Lo que conseguimos si no protegemos datos a diferentes niveles es un modelo binario: o tienes la clave de “root” y accedes a todo, o no la tienes y por tanto no accedes. Debemos cifrar la información si queremos protegerla de forma adecuada, porque si no lo hacemos, demasiada gente tendrá acceso a ella —incluidos todos los administradores de sistemas—.

La segunda hace referencia también a un modelo binario de acceso: el departamento de Sistemas al completo suele tener acceso a todas las claves de una forma demasiado sencilla: o eres del área y accedes, o no eres y no accedes. ¿Por qué el último que entra al departamento de sistemas tiene acceso total a las contraseñas? Esta situación, desde el punto de vista de seguridad, me parece una aberración; dentro de un grupo de Sistemas hay personas de diferente nivel de confianza en la organización, por lo que no todos deben acceder a todo. Yo puedo tener confianza ciega en el responsable de sistemas (por ejemplo), pero no tengo por qué tenerla en una persona que acaba de incorporarse al departamento. ¿Es realmente necesario darle todas las claves a esta persona? Bajo mi punto de vista deben establecerse círculos de confianza dentro del grupo, y únicamente facilitar las contraseñas necesarias a cada persona para que desarrolle correctamente su trabajo en el día a día.

Siempre he opinado que un password debe protegerse de forma adecuada, especialmente los de usuarios privilegiados, pero también he pensado siempre que ese mismo password se cambia en un segundo, mientras que la planificación estratégica de la empresa no. Proteger mis contraseñas es, IMHO, correctísimo, pero no debemos olvidarnos de lo que a su vez protegen esas contraseñas.

NOTA: Actualizamos la entrada (¡diez años después!) para incluir el nuevo enlace de Password Safe y aprovechamos para enlazar un post de Bill Hess relativo a la reutilización de contraseñas, en PixelPrivacy. Thank you for the update, Bill!!