Blog de Seguridad de la Información de S2 Grupo
Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita. Seguro que se han encontrado con ellos, pero a continuación pueden ver tres ejemplos de este tipo de instrumentos:
No deja de ser increíble que cuando en España hablamos de Buen Gobierno pasemos totalmente por alto conceptos como el Gobierno de la Seguridad de la Información o el cumplimiento legal en determinados ámbitos; abrimos la boca y con palabras grandilocuentes y grandes expresiones hablamos de la “Empresa Responsable”, del “Desarrollo Sostenible” o de la “Responsabilidad Corporativa”, cuyo análisis nos lleva a tres dimensiones: la medioambiental, la social y la económica. Esto es y debe ser así, y está bien, pero cuando desarrollamos cada una de las dimensiones dedicamos tomos para hablar del medioambiente, de los grupos de interés, de los accionistas, etc… olvidando por el camino capítulos muy importantes en esta materia.
Es evidente que todo lo que está debe estar, pero, ¿por qué cuando se tratan todos estos temas no se habla también de seguridad, de seguridad de la información, de cumplimiento normativo, de protección de los datos de las personas, de gestión de riesgos incluidos los operacionales, de planes de continuidad de negocio y de contingencia, etc…? Me resulta ciertamente sorprendente que este tipo de cuestiones se dejen fuera del ámbito del Buen Gobierno, y lo achaco tal vez al desconocimiento de la materia por parte de los equipos de trabajo en España.
No podemos trabajar en Buen Gobierno y no analizar en profundidad las evidentes implicaciones que tienen los sistemas de información y la información misma en las decisiones que toman los equipos directivos de las grandes compañías. No podemos hablar de un proyecto sostenible de una empresa y no tener en cuenta la evaluación continua de riesgos, riesgos que pueden afectar a la cuenta de resultados de la empresa de forma impredecible, tanto a través de un problema de la imagen de marca como de una sanción de la LOPD.
Dicen que en cuestión de protección de datos de carácter personal en España tenemos el régimen sancionador más duro de Europa; y tal vez sea muy duro para una PYME que no puede transferir un riesgo. O quizá lo sea para una PYME que por falta de conocimiento se enfrenta a sanciones por parte de la administración que llevan al empresario a la quiebra y a la ruina personal. Pero más allá de la PYME, no creo que sea tan duro para grandes organizaciones que se dedican a aprovisionar fondos en su cuenta de resultados porque prefieren pagar las multas a perder negocio, o que transfieren y comparten los riesgos a través de primas específicas de seguros. En estos casos no se puede alegar desconocimiento; grandes despachos de abogados se encargan de forma continua de pleitear para minimizar el impacto.
España no es el país con un régimen sancionador de protección de datos más duro para todos, sino en realidad, sólo para unos pocos, o muchos, según se mire, pero menos poderosos. En otros lugares de Europa, como Suiza o Alemania, además de tener sanciones económicas, aunque sean de menor importe, los administradores o infractores se pueden enfrentar a penas de cárcel. Interviene por tanto el Código Penal y eso, señores, sí que lo entiendemos los equipos directivos de compañías porque, independientemente de que la empresa pague la correspondiente multa, los directivos pagamos con nuestra libertad, nuestro prestigio y nuestra carrera.
¿Por qué entonces hablamos de Buen Gobierno en España? ¿Por qué olvidamos cuestiones tan importantes en el Gobierno de las sociedades? Por supuesto que el cuidado del entorno es importantísimo en los tiempos que corren y no es algo que cabe poner en duda, pero simplemente lo dejo en un comentario de Juan Alfaro, Secretario del Club de Excelencia en Sostenibilidad, al que en más de una ocasión le he oído una reflexión en voz alta que me parece de lo más apropiada: ¿conciencia o conveniencia?
Para acabar, no quiero con esto decir, ni mucho menos, que los temas tratados en los códigos de Buen Gobierno escritos en España no sean importantes. Por supuesto que lo son, pero no están ni mucho menos todos los que son, y esta situación debería cambiar para poder empezar a hablar de una forma seria de Buen Gobierno en España.
Aunque no soy partidario de “colgar” dos entradas el mismo dia, la verdad es que en ocasiones las circunstancias obligan a ello; no podíamos dejar pasar el artículo de Antonio Villalón en referencia a la Operación Carrusel desarrollada esta semana, publicada hace un rato, pero tampoco podemos ignorar las noticias que hablan de una “nueva y terrible” vulnerabilidad descubierta por técnicos de la empresa Outpost24, y que parece ser capaz de realizar denegaciones de servicio en virtualmente cualquier dispositivo.
Por supuesto, y como cualquier vulnerabilidad de relativa importancia que se precie, tiene su correspondiente parte de salsa rosa; me resulta particularmente lúcido el comentario del creador de nmap, Gordon Lyon, aka Fyodor, sobre el bombo y la importancia que se le da en los medios a cada nueva vulnerabilidad (véase The Register: DoS attack reveals (yet another) crack in net’s core, Slashdot: New Denial-of-Service Attack is a Killer, y Search Security: TCP is fundamentally borked) hasta el punto que parece que vaya a acabar literalmente con Internet, y como el virus en el chiste, vaciar la nevera, robarte a la novia y llevarse tu coche. Parece que esto se haya convertido, sin dejar de lado la importancia de la seguridad, en una carrera de a ver quién da más; claro que a nadie se le escapa el componente meritocrático que hay detrás de mucho de estos “anunciamientos”.
En cualquier caso, a estas horas hay ya una innumerable cantidad de blogs y fuentes de información hablando del tema, que les aportarán todos los detalles técnicos que necesiten, pero si les gusta el cotilleo, pueden empezar por la entrada de Fyodor, en la que argumenta, además de lo que les comentaba, que el problema de seguridad no es tan nuevo como sus descubridores lo presentan, y seguir con la contestación de uno de los descubridores, Robert E. Lee. Y de ahí, al infinito y más allá.
Nada más. Buen fin de semana a todos.
Esta semana se producía en España la mayor —una vez más— operación contra la pornografía infantil en Internet, denominada Operación Carrusel (podemos ver las noticias en periódicos de tirada nacional como elmundo.es y ElPaís.com), y que se ha llevado a cabo cuando aún coleteaban las últimas actividades de la Guardia Civil en la Operación �?lbum, muy similar a la anterior pero de menores dimensiones.
Obviamente, en primer lugar mostrar mi más completa repulsa ante determinadas conductas —sexuales o no— en las que se abusa de personas indefensas, en este caso de niños, con cualquier propósito; en especial para conseguir placer o beneficio propio, como presuntamente es el caso. Ójala todo el peso de la Ley (a pesar de la tibieza del Código Penal que comentaremos en otra ocasión) caiga sobre los que abusan sexualmente de menores y sobre los que encuentran placer viendo dicho abuso.
En segundo lugar corresponde felicitar a todos los que han hecho posible estas operaciones, en especial al Cuerpo Nacional de Policía y a la Guardia Civil que, una vez más, han ejecutado de forma satisfactoria las investigaciones necesarias para llegar a los domicilios de algunos pederastas; en especial, si tenemos en cuenta la precariedad de medios con los que en muchas ocasiones estos cuerpos se ven obligados a trabajar.
Finalmente, un comentario: sé que en los medios se indica que, en el caso particular de la operación ‘Carrusel’, el rastreo era en base a ficheros con nombres tan explícitos como preteen y similares, lo cual deja poco lugar a dudas acerca del contenido del archivo descargado; pero en otras ocasiones, la Policía Nacional y la Guardia Civil investigan en base al contenido real del fichero y no a su nombre, lo que puede implicar que se meta a inocentes en el saco de los pedófilos. Dicho de otra forma, si alguien descarga un fichero que se llama bambi.mpg —ejemplo típico, aunque podríamos tratar de descargar videos aparentemente de sexo entre adultos y encontrarnos un contenido pedófilo— que contiene pornografía infantil, y lo deja olvidado en su incoming (hay gente que descarga cantidades ingentes de películas y videos que a menudo casi nunca revisa), la Policía puede entrar (orden en mano) cualquier día en su casa y requisar su equipo, convirtiendo a ese alguien en un presunto, con todo lo que eso implica (abogados, juicios, vistas, comparecencias…). Es así, y lo es porque realmente esa persona está compartiendo pornografía infantil (aunque sin saberlo).
Evidentemente, un juez o un perito sabrá distinguir —eso espero— en cada caso si la persona que tiene delante simplemente tenía un fichero con un nombre inocente en su incoming, que resultó ser pornografía infantil, o si se trata de un individuo con multitud de archivos pedófilos en su disco duro, DVDs, etc. Pero en cualquier caso, pasar por dependencias policiales o judiciales en un tema como la pedofilia —en especial si eres el acusado— es un trago que no es agradable para nadie, y menos para alguien inocente.
Después de la prehistoria, viene la edad media
Hace no mucho tiempo, digamos que unos 20 años, muchas empresas trabajaban con sistemas propietarios de las marcas que en aquella época estaban en auge. Podía encontrarse uno con los sistemas de Digital Equipment Corporation, Bull, etc., pero sin duda, toda aquella PYME de la época que tuviese cierto nivel de administración algo complejo optaba por los sistemas de IBM. Habían nacido los primeros mini ordenadores que eran asequibles, programables por el usuario, o por una empresa subcontratada.
El sistema operativo de aquellos “mini” ordenadores —el peso de la máquina podía llegar a unos 400 Kg.— era el SSP, que en sus diferentes versiones cubrió el abanico de los S/3X de IBM. El más utilizado en la época era el S/34, aunque ya existía el S/36, pero en cierto modo era bastante inalcanzable para aquellos que conservaban su S/34.
Mi trabajo en la época era de ingeniero de campo, por lo que me dedicaba a solucionar los problemas de dichas máquinas. Por lo general eran problemas de cableado de las pantallas, pero también ocurrían cosas como el bloqueo del sistema de frenado de los discos duros (que iba de 5 a 64 Mb). Hay que tener en cuenta que aquellos discos podían pesar unos 35 a 40 kilos, por lo que parar la inercia del giro era una ardua tarea, y para lo que se aplicaba la fuerza de un freno eléctrico con una zapata sobre el eje. Otros de los problemas podía ser que un módulo de memoria (de 8 Kb) fallase, y el peor desastre que podía ocurrir era que aterrizasen (literalmente, porque “volaban” controladas por un flujo de aire) las cabezas de lectura del disco duro.
Pues bien, en ese problema me vi metido en algunas ocasiones, pero la peor que recuerdo fue cuando en la empresa que me encontraba, filial de otra recientemente desaparecida, además de no tener las copias de seguridad al día, no sabían la contraseña del administrador del sistema. Restauré el contenido del disco a partir de la copia de seguridad más reciente, y tras ello arrancó el sistema operativo, pero para poder configurar lo básico y poder funcionar, se debía introducir la contraseña del administrador.
Hallé la solución por casualidad, en base a unas explicaciones ciertamente poco claras y no manuscritas: había que arrancar con el soporte de instalación del sistema operativo y utilizar la opción Debug. Esto proporcionaba una visión del contenido, byte a byte y en hexadecimal, del disco duro. En el primer segmento, aparecían varios caracteres diferentes de los 00 iniciales, por lo que deduje que la primera información que aparecía debía ser la que estaba buscando. Al no tener traducción a caracteres EBCDIC legibles, hice una sencilla operación: resté lo que estaba escrito del hexadecimal FF y me dio la clave: era el nombre del operador al revés.
Desde ese día, y con una pequeña orientación por mi parte en cuanto a seguridad básica, construyeron una verdadera fortaleza en cuanto al acceso al sistema. No hay nada cómo sufrir problemas de seguridad para que se despliegue la imaginación de los responsables.
Mi pregunta es: ¿Por qué no se conciencian desde el primer momento en que tienen a su cargo un sistema, que la seguridad es vital? Otra pregunta obvia que se me ocurre es: ¿Seguro que se le piden responsabilidades a aquellos que administran un sistema sin seguridad definida? Y la siguiente y última sería: ¿Es consciente el director general, al administrador, el gerente o el responsable de la empresa, de que su departamento de TI tiene una infraestructura de seguridad sólida y fiable?
Dejo la respuesta a esas preguntas como ejercicio para el lector.
Clickjacking es una técnica reciente que ha sido descrita por varios especialistas de seguridad que han podido tener acceso a los detalles de la vulnerabilidad como TERROR�?FICA. Según los datos que se han facilitado, la vulnerabilidad permitiría a un atacante preparar un sitio web malicioso mediante el cual podría realizar un “secuestro de clicks”, es decir, cada click que hagamos en el navegador podriamos estar clickando en otro sitio que no es el que pensamos, con el consiguiente riesgo de ejecución de malware y amenazas similares.
Los detalles de la vulnerabilidad, que afecta a practicamente todos los navegadores, iba a ser presentada en la OWASP AppSec de Nueva York pero parece ser que ha sido cancelada debido al riesgo de dar los detalles antes de que los fabricantes hayan podido desarrollar sus parches, hecho complicado puesto que según han confirmado ellos mismos no es una vulnerabilidad de fácil solución.
Por los datos que se han podido obtener, exploradores “lynx-like” no son vulnerables a este tipo de ataques. Otro de los datos que se ha publicado es que no tiene nada que ver con Javascript, por lo que usar complementos tipo NoScript no será 100% efectivo (aunque por lo que se ha podido averiguar sí que protegerá de algunos vectores de ataque).
A partir de estos datos que se han ido filtrando, varios especialistas en seguridad han “teorizado” sobre la posible vulnerabilidad, localizandola en un problema sobreponiendo un iframe transparente sobre otro que contenga otra web, de tal manera que al clickar en la web que consideramos inofensiva estamos clickando al mismo tiempo en enlaces de la web maliciosa. Hay sitios en los que incluso han creado una pequeña prueba de concepto.
Efectivamente, la solución teorizada parece tener sentido a partir de la información que ha sido facilitada de forma pública, pero no existe ninguna seguridad de que este sea el único vector de ataque.
Por ello, realizamos las siguientes recomendaciones a seguir hasta que se conozcan más detalles sobre la vulnerabilidad:
Entiendo que en algunos casos, mi posición respecto a determinadas cuestiones en materia de seguridad pueda parecer algo “fundamentalista”; no obstante, sepan que admito que en este mundo, y a la hora de evaluar servicios o aplicaciones, existen otras cuestiones que también es necesario tener en cuenta, como la interoperatividad, la funcionalidad o la usabilidad, por citar algunas. Pero como suele decirse, la cabra tira al monte, y mientras paseaba por el blog de Mercè Molist, Port 666 me he encontrado con una entrevista a Lourdes Muñoz, portavoz de Sociedad de la Información y Telecomunicaciones del Grupo Socialista, en la que afirma que:
—Un hacker es alguien que intenta saltarse un poco el sistema para conseguir algo, pero no es un delincuente.
Hace ya meses hablamos en este mismo blog de la convergencia de la seguridad, y en ese mismo post dedicábamos un escueto párrafo a la figura del nuevo Director de Seguridad (el CSO, como les gusta decir a los americanos).
Hasta hace unos años, en la mayor parte de organizaciones había dos figuras clave para la seguridad corporativa: el CSO (Chief Security Officer) y el CISO (Chief Information Security Officer); mientras que el primero era el responsable de las 3G (Guards, Guns and Gates), es decir, de la seguridad física o tradicional, el otro lo era de la seguridad de la información —en la mayor parte de casos, ocupándose únicamente de los aspectos tecnológicos de la misma—. Habitualmente, la relación entre ambos no solía ser la óptima (los “frikis” contra los “seguratas”), ya que por supuesto hay mucho terreno en común e incluso muchos “reinos de taifas” en juego; esta dualidad desembocaba en situaciones tan absurdas e indeseables como duplicidad de inversiones, duplicidad de esfuerzos o responsabilidades en materias de seguridad no definidas, con los consiguientes riesgos que esto implica.
Conforme los conceptos y las ideas que sustentan la convergencia de la seguridad (de nuevo, consultad aquel post de este mismo blog) comienzan a afianzarse en las organizaciones, la figura de un Director de Seguridad único se hace cada vez más necesaria. Este nuevo CSO, único en la organización, debe ser la referencia corporativa en materias de seguridad y el contacto único de la organización en este tema; obviamente, en la actualidad se trata de huir del Director de Seguridad clásico, focalizado en las 3G, y todos tendemos a buscar un CSO holístico, con una alta capacidad de gestión y capaz de gestionar el riesgo corporativo desde un punto de vista global. Como siempre, son factores críticos para garantizar el éxito -y por tanto, la seguridad- que el Director de Seguridad reporte directamente a la Dirección corporativa y que la confianza en el CSO sea total desde cualquier punto de la organización.
En España, la figura y funciones del Director de Seguridad vienen recogidas en la Ley 23/1992, de 30 de julio, de Seguridad Privada, y son autorizadas por el Ministerio del Interior. Para obtener el título de Director de Seguridad reconocido por este ministerio es necesaria, entre otras, la superación del examen o curso oficial de Director de Seguridad, realizado periódicamente en universidades y centros de estudio de todo el país; en Valencia, dicho curso puede realizarse en la Universidad de Valencia o en Florida Universitaria. Dicho curso aporta conocimientos generales de gestión de la seguridad, dirección de empresas, seguridad tecnológica, seguridad operativa y legislación, entre otros. Obviamente es un curso generalista en materias de seguridad, dirigido a su gestión efectiva y a conocimientos a grandes rasgos de diferentes áreas técnicas, que debe complementarse con la experiencia en la Dirección de Seguridad que sólo aportan los años de trabajo; en cualquier caso, un servidor echa en falta un pequeño punto en el que se hable de las tendencias internacionales en materias de seguridad, es decir, en el futuro de la seguridad desde un punto de vista holístico, que sin duda es hacia donde los directores de seguridad nos venimos dirigiendo consciente o inconscientemente.
Ahora que está tan de moda revivir sucesos y acontecimientos de los años 70 y 80 (no hablo de D.C., sino del siglo pasado), antes de que existiese la necesidad de protegerse de los accesos exteriores de “curiosos” (por no llamarles de otra manera) a nuestras redes y sistemas, ya existía la preocupación por la seguridad. Recuerdo el primer sistema que vi en funcionamiento en una empresa: un IBM, del que no recuerdo el modelo pero posiblemente se llamaba P6 ó P36. El caso es que era similar a una máquina de escribir, con una esfera de caracteres que imprimía sobre el papel continuo todo aquello que se procesaba. Servía, además de consola de control del sistema y recepción de los mensajes del mismo, para obtener la salida de la información que procesaba el operador. El sistema operativo se cargaba mediante fichas perforadas, y cada uno de los programas con paquetes individuales de fichas muy similares, pero de colores diferentes. Contabilidad rosa, facturación verde, gestión de almacén azul, y sistema operativo gris. No existían usuarios y claves, ni tampoco bloqueos para el acceso, sino algo tan simple cómo un sitio seguro, como una caja fuerte controlada muy de cerca por la gerencia de la empresa. Al fin y al cabo, aquello había que protegerlo: había costado millones. Y entonces un coche de “categoría” valía 150.000 Pesetas.
Sin duda era la seguridad al uso, el no perder aquello por lo que se había pagado tanto. Sin embargo, debo decir que en aquella época no tenían consciencia del peligro que una máquina similar representaba: todo aquello que se imprimía en la consola acababa en la basura en forma de grandes cajas de papel continuo. Yo iba a la escuela en esa época, concretamente terminaba el bachiller y pasaba aquello que se llamaba reválida, y al salir de casa podía ver esas cajas de papel, e incluso utilizarlo para escribir en el reverso (sí, era buen chico y no cogía el extremo del papel y salía corriendo hasta la puerta del colegio con unos cuatrocientos metros de desastre detrás de mí).
Sin duda, situaciones tan aberrantes cómo aquellas en materia de seguridad de datos se seguirían viendo años después, y en la línea de una entrada anterior, debemos suponer que más de una empresa ha perdido sus clientes por saber la competencia el producto o productos que les servían, a qué precios y en qué escalado de tarifas según las cantidades servidas. De todos modos, en ocasiones da la sensación de que no nos hemos movido de los 70 en esa materia, cuando se encuentra en la basura de un juzgado los datos completos de maltratados y maltratadores en fichas perfectamente legibles.
Y a veces también nos preguntamos si es que las mentalidades de los empresarios formados entonces siguen ancladas en el pasado.
Esta mañana me he sorprendido al encontrar en mi buzón personal el siguiente e-mail (la ausencia de algunos acentos es del original):
De conformidad con lo dispuesto por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de caracter personal, le informamos que sus datos, obtenidos de fuentes accesibles al publico asi como de entidades dedicadas a la venta de base de datos, seran incorporadas a un fichero responsabilidad de [Nombre Apellidos], siendo tratados con el objeto exclusivo del envio de publicidad sobre nuestros productos y servicios.
En este sentido. le indicamos que dispone de treinta dias para manifestar, por escrito, su negativa al tratamiento de datos descrito. Si transcurrido dicho plazo no hubiese manifestado su disconformidad en el sentido indicado, se entendera que presta su consentimiento para el tratamiento de sus datos de caracter personal en los terminos anteriores indicados.
Por otra parte, le comunicamos que podra usted ejercitar los derechos de acceso, rectificación, cancelación y oposición dirigiendose a [Nombre Apellidos] en [Dirección postal]; o bien remitiendo un mensaje a la dirección de correo electronico [e-mail].
