Search Results for: cloud

Evolucionando la red

Algo habitual a la hora de configurar una red donde podemos encontrar dispositivos de distintos fabricantes como switches o routers, es configurar los equipos de forma manual y por separado, lo cual, dependiendo de la complejidad de la red, puede llegar a hacer prácticamente imposible disponer de mejoras de forma rápida. Por ejemplo, para cubrir por ejemplo las necesidades de ancho de banda o conectividad de nuestros clientes.

Teniendo esto presente y más con la evolución en la actualidad de los sistemas cloud, donde ya se dispone de herramientas para gestionar y desplegar sistemas de forma prácticamente automática, disponer de una red compleja es algo poco factible de mantener de esta forma, por lo que grandes compañías están dedicando gran cantidad de recursos en encontrar una solución, de forma que la gestión de la red no sea nodo a nodo, como hemos dicho, muchas veces cada nodo de un fabricantes distinto, sino de forma centralizada. En la actualidad, ya se disponen de herramientas de gestión centralizada pero habitualmente suelen ser propietarias de cada fabricante.

Desde hace algunos años, todo esto ha dado lugar al concepto conocido como SDN (Software Defined Network), una red donde existe una separación entre el plano de control (control plane) y el de datos (data forwarding plane), dando lugar a la aparición de interfaces independientes que se encargan de gestionar este plano, de forma que sea posible disponer de redes más flexibles y automatizables.

Aparte de la mejora notable a la hora de gestionar la red, por ejemplo a en cuanto a tiempo se refiere, podríamos pensar en la simplificación de los dispositivos de red, ya que éstos dejarían de entender y procesar protocolos diversos y simplemente aceptarían instrucciones del controlador SDN. A nivel de seguridad, también podríamos filtrar el tráfico anómalo en distintos dispositivos de forma centralizada o redirigir dicho tráfico a nuestro IDS o firewall para inspeccionarlo.


(Imagen de la Wikipedia por Denwid)

Dentro de estas interfaces destacaría, por ser la primera, OpenFlow, un protocolo abierto creado por Open Networking Foundation, para permitir la gestión remota de tablas de enrutamiento. No obstante, existen otras interfaces como ONOS, de Open Networking Lab, Netconf/Yang, o directamente la gestión habitual mediante SNMP.


(Imagen de Etherealmind.com)

Actualmente, SDN se encuentra en una etapa inicial donde esta siendo adoptada por grandes operadores, proveedores de cloud o centros de investigación, aunque se prevé que para final de este año empiecen a aparecer de forma masiva aplicaciones y controladores SDN en el mercado. A pesar de ello, ya se dispone de una lista de equipos con soporte en la web de ONF, como la arquitectura Cisco ONE para la progamacion y provision automaticada de la red, o contrail de Juniper.

Dumb-Down atacando redes Wifi empresariales

En la pasada RootedCON de 2013 Raúl Siles introdujo una mejora al clásico ataque de Joshua Wright a redes WiFi empresariales llamado Dumb-Down, desconozco si el término o la vulnerabilidad que explota fue contribución suya o de algún otro gurú, pero la verdad es que no he encontrado referencias sobre la implementación/descripción del ataque en otras fuentes. Como no identificamos referencias básicamente sobre su realización técnica pasamos al “do it yourself”. La verdad que esta vulnerabilidad, desde mi punto de vista, ha pasado bastante desapercibida por lo que al impacto en la red se refiere (blogs, comentarios, etc.) y me sorprende especialmente por el terrible impacto que tiene. En las próximas líneas veremos una prueba de concepto de cómo configurar un sistema capaz de ejecutar el ataque, desde los cimientos aportados por Joshua a la mejora propuesta por Raúl.

En primer lugar comentar que el ataque Dumb-Down permite obtener directamente las credenciales en claro de los clientes WiFi que por una mala configuración de sus terminales autentiquen a una red empresarial que utilice EAP como método de autenticación.

Para ello necesitamos primero desplegar la infraestructura que nos permita autenticar a los clientes inalámbricos, para ello utilizaremos “Freeradius-WPE”, el cual habilita capacidades de registro para las credenciales suplidas por los usuarios víctima. No voy a describir su proceso de instalación ya que hay cientos de blogs que ilustran el ataque, destacar tan solo que, este es capaz de capturar diversos métodos de autenticación EAP como son: EAP-TTLS PAP, EAP-TTLS CHAP, PEAP-MSCHAPv2, EAP-TTLS GTC y por supuesto sus versiones sin tunelizar, entre otros.

Lanzaremos por tanto una vez instalado, el Freeradius-WPE mediante el siguiente comando.

Pondremos un Tail en su fichero de registro que es donde nos irá guardando las credenciales de los clientes WiFi.

En este momento necesitamos levantar un punto de acceso que autentique contra nuestro servidor Radius modificado en el puerto 1812 UDP. Podemos usar un AP físico o montar un hostapd, esta segunda opción nos permitirá utilizar una tarjeta WiFi con una antena con bastante ganancia. La configuración utilizada para el hostapd es la siguiente, lanzando posteriormente el demonio.

Ahora que ya tenemos la infraestructura preparada vamos a hacer una prueba de conexión sin aplicar todavía el ataque Dump-Down. Desde un teléfono móvil por ejemplo conectamos al AP requiriendo inmediatamente en la pantalla de nuestro terminal las credenciales de acceso a la red.

Nuestro terminal nos alerta de que el certificado de seguridad no es válido, en numerosas ocasiones el usuario simplemente lo aceptará por simple desconocimiento, pero como veremos en el estudio realizado más adelante para una red concreta, la mayoría de equipos están configurados para no comprobar la autenticidad del servidor de validación. Esto conlleva un gran problema ya que en nuestro registro podemos ver el usuario que ha conectado y la huella tanto del challege como del response de MSCHAPv2. Con esta información podemos utilizar aplicaciones como “John the ripper” versión “Jumbo”, “asleap” o servicios en la nube de crackeo de contraseñas por el módico precio de 17$ la unidad.

Como vemos en el log del Freeradius-WPE de la captura anterior, el método de autenticación ha sido Mschapv2 con un protocolo de protección y cifrado del proceso PEAP.

Veamos ahora como conseguir que el cliente en lugar de remitirnos un challenge/response que deberemos crackear, nos remita la contraseña directamente en claro, que es la gracia de Dump-Down. Muchos de los suplicantes inalámbricos delegan en el servidor Radius el método de autenticación a negociar, de esta manera si el terminal le comunica que se va a validar a través de MSCHAPv2 y nuestro FreeRadius-WPE replica forzándole a utilizar por ejemplo, EAP-GTC, conseguimos evitar realizar la fuerza bruta sobre MSCHAPv2. Si queréis saber que clientes son presas de este ataque, el estupendo estudio de Raúl realizado para la Rooted puede aportaros más detalles. Adelantaros que, en entornos Windows, EAP-GTC no es aceptado de forma nativa (así como LEAP o EAP-TTLS), ¿por qué? Pues porque ya tienen su propio método creado por ellos, Microsoft CHAPv2. Donde comienza la verdadera fiesta es con los terminales móviles; IOS 5, 6 y 7 sucumben al ataque; Android, dependiendo del grado de configuración; Windows Phone, peor escenario posible. Lo verdaderamente terrorífico en este punto es la capacidad por defecto de los teléfonos inteligentes de conectar automáticamente a aquellas redes que aparecen en su lista de favoritos, es decir, todas con las que previamente se ha realizado una asociación satisfactoria.

Configuremos por tanto nuestro FreeRadius-WPE editando el archivo “/usr/local/etc/raddb/eap.conf” y cambiando el método de autenticación por defecto a EAP-GTC como muestra la imagen.

Agradecimientos en este punto a nuestro compañero David Lladró por la configuración anterior.

En estos momentos, lanzaremos nuevamente nuestro Radius y repetiremos el intento de conexión con los siguientes resultados.

Como vemos en la imagen, el servidor ha forzado al cliente a utilizar EAP-GTC revelándonos directamente las credenciales en claro.

Un estudio que trató de analizar el impacto y el nivel de seguridad de este tipo de redes arrojó resultados escalofriantes. El objetivo propuesto fue una popular red universitaria. En su página web podemos leer:

XXX es el servicio mundial de movilidad segura desarrollado para la comunidad académica y de investigación. XXX persigue el lema “abre tu portátil y estás conectado”.

Para los que no la conozcáis es la red que da conectividad inalámbrica a los alumnos, independientemente de la universidad donde se encuentren. Tras un breve proceso de Wardriving por la ciudad con un punto de acceso simulando un nodo de XXX y un rápido paso por un par de campus, los resultados fueron los siguientes:

  • 59 Challenge/response de MSCHAPv2 capturados, con el consiguiente 100% de crackeo de la contraseña.
  • 36 credenciales en claro.

Como ellos mismos dicen “abre tu portátil y estás conectado”, paradójico ¿no…?

Pero este tipo de ataque Dump-Down, todavía puede dar mucho más juego, podemos utilizarlo para realizar ataques de ingeniería social. Supongamos que tenemos que realizar un test de intrusión sobre una empresa llamada Duff. Podemos levantar una infraestructura Dump-Down con un SSID por ejemplo “Duff WiFi mail service”, “Duff WiFi VPN” o cualquier otro nombre atractivo que pueda hacer que un usuario se autentique con sus credenciales de dominio, ya que lo único que se le requerirá al cliente que intente conectarse es un par usuario/contraseña, siendo muy fácil que asocie el nombre de la red con las credenciales de acceso al servicio (por ejemplo el correo). Al margen de esto, se me ocurre que podría ser interesante levantar por ejemplo, un punto de acceso en Barajas que se llamara “Google free WiFi” a ver cuántas “polillas” se pueden llegar a capturar… Dejamos esta práctica (que no recomendamos realizar en absoluto) para aquellos lectores Underground.

No hay que olvidar que normalmente, este tipo de sistemas de seguridad WiFi empresariales están integrados con el dominio Windows corporativo, es decir que no sólo pueden suponer el acceso a la red inalámbrica de una compañía, sino a todos los recursos internos que estén integrados con el dominio: escritorio remoto en servidores, correo electrónico, ERP, servidores de ficheros, OWA, VPN, etc.

Por lo tanto y como conclusión, el riesgo de una red EAP mal configurada es mucho mayor que una que directamente no presenta contraseña de acceso (OPN).

Nota final: Recomendación que desde Security Art Work nos gustaría realizar, SI NO ESTÁS UTILIZANDO UN SERVICIO WIFI, EL INTERFAZ INALÁMBRICO MANTENLO APAGADO SIEMPRE.

2013 se nos va…

Y con él, muchas noticias relacionadas con la seguridad. Los casos de ciberacoso, la evolución del cloud computing, las dichosas cookies, los chinos haciendo de las suyas por un lado, la NSA haciendo de las suyas por otro… una año realmente movido en nuestro ámbito.

Pero sin solución de continuidad nos llega 2014. ¿Qué nos traerá?

Pues me temo que algunos de los temas que he citado antes seguirán con nosotros. Pero sin duda nos traerá nuevos retos. Algunos ya los prevemos: el desarrollo del BYOD y los riesgos que implica para las organizaciones, la ciberseguridad industrial, las smart cities… Otros retos, aún no acertamos ni a imaginarlos.

Pero lo que es seguro es que aquí en SAW seguiremos para contárselos, y para seguir haciendo lo que nos apasiona: hablar, compartir y seguir aprendiendo sobre seguridad, en todas sus vertientes. Y, si es posible, con su compañía.

Con nuestros mejores deseos para el año entrante.

Certificados en la nube

Por enésima vez en este blog, vamos a hablar de un asunto que por norma general, suele levantar ampollas… Estamos hablando, como no, de las certificaciones. Si a eso le añadimos otro tema de moda (aunque bueno este ya está un poco más trillado) como es el de la nube, solo nos queda agitar y… ¡Eh voilà! Obtendremos certificaciones tanto para entidades como para profesionales. ¡Que tiemble el campo del titular del perfil de LinkedIn! Así pues, vamos a introducir a nuestros queridos lectores en estas nuevas certificaciones. Antes de empezar, me gustaría aclarar que probablemente nos dejemos muchas certificaciones sin mencionar.

Con lo dicho, vamos a comenzar con un clásico en el mundo de las certificaciones profesionales en el ámbito TI, como son las provistas por EXIN, y como no, con un curso de… traten de adivinarlo… ¡Efectivamente! Un curso de fundamentos en Cloud Computing (como ven EXIN nunca deja de sorprendernos). Sin entrar en detalle, los cursos que se ofrecen para la consecución de esta certificación suelen tener una duración aproximada de 2 a 4 días. El objetivo de esta certificación es acreditar conocimientos en los conceptos básicos del cloud computing, que van desde aspectos conceptuales hasta una serie de nociones básicas que permitan la correcta selección de un proveedor de cloud. Este curso, al igual que otros cursos de fundamentos, suele estar dirigido a un público que quiere iniciarse en la materia y no dispone de amplios conocimientos previos en esta área. Para presentarse a este examen, no se requiere la asistencia obligatoria a ningún curso; no obstante se considera recomendable.

Si os parece que este título nobiliario se queda corto, también es posible subir de nivel y obtener la certificación EXIN Certified Integrator Secure Cloud Service; sin embargo la consecución de esta certificación no implica la realización de otro curso relacionado con cloud computing sino que requiere estar acreditado en Cloud Computing Foundation, IT Service Management Foundation (ISO 20000), e Information Security Foundation (ISO 27002). El disponer de estos tres certificados presupone que el acreditado dispone de conocimientos que le permitan tener en cuenta aspectos de seguridad y de gestión de servicios en relación a servicios de Cloud Computing.

Además de las certificaciones de EXIN existen otras certificaciones a título personal. Una de ellas viene de la mano de CompTIA, no tan conocida por estos lares en comparación con EXIN. La certificación en cuestión se denomina CompTIA Cloud Essentials y no deja de ser una certificación equiparable a la propuesta por EXIN. El temario de esta certificación es el siguiente:

1. Características de los servicios Cloud desde la perspectiva del negocio.
2. Cloud computing y valor de negocio.
3. Perspectiva técnica y tipos de Cloud.
4. Pasos para conseguir una satisfactoria adopción del Cloud Computing.
5. Impacto y cambios del Cloud Computing en la gestión de servicios TI.
6. Riesgos y consecuencias del Cloud Computing.

Las demás certificaciones que me gustaría presentarles son las que propone la CSA (Cloud Security Alliance), quizá el organismo más representativo en cuanto a seguridad en el Cloud Computing. La primera de ellas, al igual que las anteriores, es una certificación para profesionales. Esta certificación se denomina CCSK (Certificate of Cloud Security Knowledge) y cabe destacar que está más enfocada a aspectos de seguridad, en comparación con las anteriores. En este sentido quizá es la más recomendable para los profesionales interesados en la seguridad de los servicios Cloud. El temario para preparar esta certificación se encuentra disponible en la propia web de la entidad y consta de:

Los exámenes que hay que realizar para conseguir estas certificaciones son de tipo test. En el caso de la certificación de EXIN consta de 40 preguntas y en los otros casos, de 50 preguntas.
Me he dejado para el final la parte referente a la certificación de proveedores de Cloud Computing. El marco propuesto por la CSA se denomina STAR (Security, Trust & Assurance Registry) y básicamente consiste en la creación de un registro de proveedores de Cloud Computing que proporcione información a los clientes acerca del grado de implicación de los proveedores en materia de seguridad. Este marco define tres niveles de certificación:

El primero consiste en una autoevaluación, por parte del propio proveedor, mediante el uso de un cuestionario proporcionado por la CSA. Este cuestionario está disponible en la propia web del organismo. Destacar que este primer nivel ha sido realizado por muchos proveedores importantes en referencia sus servicios Cloud. Entre éstos podemos encontrar: Amazon, HP, Microsoft, Red Hat, Symantec y un largo etcétera. Todos los cuestionarios de estas entidades están accesibles públicamente en el registro de la CSA. Les invito a echar un vistazo al cuestionario de Amazon para entender exactamente de qué va la cosa.

El siguiente nivel de certificación consiste en la certificación por parte de un tercero de la seguridad del proveedor de servicios cloud, partiendo de la consecución de la certificación ISO 27001 y el cumplimiento de una serie de criterios específicos definidos por la CSA, en una matriz de controles para el Cloud Computing. Existen entidades certificadoras que ya ofrecen servicios conjuntos de certificación en ISO 27001 y STAR, como es el caso de BSI. El último nivel de certificación, CSA STAR Continuos, actualmente está en desarrollo y se prevé que se encuentre disponible durante 2015.

Como pueden comprobar, poco a poco los servicios de Cloud Computing van conquistado cuota de mercado. Este hecho es irrefutable. Allá donde aparezca una nueva tecnología, habrá una nueva certificación. Y yo me pregunto ¿para cuándo las certificaciones en Big Data? Me van a permitir una última reflexión en lo que atañe a nuestra legislación. Ya sabemos que en el ámbito del cumplimiento del ENS, el CCN propone el uso de productos certificados; en este sentido quizá tendría cabida pensar en la certificación de servicios de Cloud Computing que den cumplimiento a los requisitos del ENS. Who knows?

Una visión global de la ciberseguridad de los sistemas de control (II)

(N.d.E. Este artículo fue publicado en el número 106 de la revista SIC, correspondiente a Septiembre de 2013. Sus autores son Óscar Navarro Carrasco, Responsable de ciberseguridad industrial, y Antonio Villalón Huerta, Director de seguridad. Ambos trabajan en S2 Grupo y pueden ser contactados vía onavarro en s2grupo.es y avillalon en s2grupo.es)

La semana pasada finalizábamos el artículo haciendo al lector una pregunta ¿tiene en cuenta el enfoque actual de la ciberseguridad industrial este contexto?

Y la respuesta, en nuestra opinión, es que NO.

En primer lugar, y siempre en términos generales, los elegidos dentro de las empresas para gestionar la ciberseguridad industrial y todo lo referente a la LPIC son, como no debe ser de otra forma, los departamentos de seguridad, en el mejor de los casos, o los responsables de seguridad tecnológica; incluso si no existen estos roles, es directamente el departamento TI quien pasa a hacerse cargo de cualquier cosa que tenga el prefijo “ciber”. Esta elección puede parecer obvia en ciertas ocasiones, pero como ya indicamos al principio, saber conducir no es equivalente a conocer la ruta.

Estas personas tienen que librar una batalla con departamentos en ocasiones más antiguos, con directivos ‘pata negra’ que han trabajado en el núcleo del negocio –o eso creen- toda la vida (posiblemente en el sentido estricto), que perciben la seguridad como un simple gasto y cualquier cosa tecnológica como algo recién llegado que carece de una importancia real y que llega a invadir su territorio, su reino. Y lo que es peor, es muy posible que en las reuniones quede patente que, efectivamente algunos departamentos de seguridad –o de tecnologías- no conocen ni siquiera este lenguaje, al igual que esos “expertos” en negocio no entienden ni una palabra del riesgo tecnológico. El resultado de las confrontaciones las debe resolver un superior jerárquico que posiblemente proceda, igualmente, del ‘núcleo duro’ y que entiende lo que dice una parte, pero por desgracia posiblemente no lo que dice la otra. Y es muy difícil convencer a alguien cuando el único argumento que queda es el de la amenaza, especialmente si ésta no se percibe como tal. Otras amenazas, como las consecuencias de un fallo en el sistema de control a causa de una intervención incorrecta (medible en repercusión social y lucro cesante) son mucho más fácilmente asimilables, ya que suponen la preocupación diaria de estos directivos.

Es poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en el Mapa de ruta de ciberseguridad industrial en España. Guste o no, en un sector donde algunos PLC todavía usan sistemas operativos y protocolos de más de 20 años de antigüedad, 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Es posible, incluso, que los responsables de los sistemas de control industrial intenten adoptar medidas en este ámbito, siempre bajo su supervisión. El problema de esta aproximación es que ni la formación ni la cultura facultan al personal de este departamento para trabajar en esta cuestión, siempre hablando en términos generales. Incluso puede que estas medidas no tengan más objeto que justificar que se están ‘haciendo cosas’, una razón más para apartar de la cuestión al departamento de seguridad o al departamento TI y proseguir con esa lucha entre reinos que tanto suele preocupar a esos directivos “pata negra” y tan poco preocupa a la sociedad.

Certificaciones polémicas

Es fácil caer en la tentación de trasladar directamente las estrategias y experiencias que han dado buen resultado en el ámbito TI al ámbito industrial. Recuérdese el dicho: “cuando todo lo que tenga sea un martillo, todo lo que vea le parecerá un clavo”. Sólo un ejemplo, existe ya una certificación expedida por el IACRB denominada CSSA (Certified SCADA Security Architect). En primer lugar, en el campo profesional industrial un pie de firma repleto de acrónimos correspondientes a certificaciones resulta, cuando menos, extravagante —al igual que a muchos nos parece ridículo en el ámbito tecnológico—. La pregunta es: ¿Cuántos sistemas SCADA o procesos industriales han diseñado los poseedores de tal acreditación? ¿Es necesaria experiencia previa en sistemas SCADA para obtenerla? Más aún, los profesionales que se dedican, por ejemplo, a programar PLC ¿poseen la base necesaria para alcanzar la certificación? Antes de responder afirmativamente, rogamos al lector que se pregunte con cuántos programadores de PLC ha hablado. La realidad es que tal certificación está en posesión, al menos en España, de profesionales del ámbito TIC. Es fácil y obvio imaginar la escasa disposición de un responsable de un sistema de control a aceptar recomendaciones de un CSSA sin experiencia en diseño, operación o mantenimiento de sistemas SCADA.

fotoOtro error consiste en pretender que el sector industrial y de infraestructuras adopte cambios o acometa acciones radicales a la velocidad a que suele ocurrir o es posible en las TIC. En este caso hay que buscar un término medio entre pretender lo imposible y retrasar lo inevitable, dos caminos que conducen al desastre. En este sentido es, en nuestra opinión, poco realista fijar objetivos a largo plazo considerando como tal el horizonte 2017-2018, como se propone en la recientemente publicado Mapa de ruta de ciberseguridad industrial en España del Centro de Ciberseguridad Industrial. Guste o no, en un sector donde algunos PLC todavía utilizan sistemas operativos y protocolos de comunicaciones de más de 20 años de antigüedad (un éxito, sin duda, de sus creadores), 5 años constituye un plazo, a lo sumo, medio, al menos de momento. Es a consecuencia de todo ello que se llega a una situación de bloqueo como la actual, lo que tiene como resultado que los plazos previstos en la LPIC y en el Reglamento que la desarrolla se estén incumpliendo.

Lo dicho anteriormente no se basa en especulaciones sin fundamento. Es el resultado de nuestra experiencia al respecto, tanto de S2 Grupo como la nuestra en particular. Uno de los autores es Ingeniero Industrial y hasta su incorporación a S2 Grupo había desarrollado su carrera en el ámbito de la ingeniería y construcción; nunca había trabajado con ingenieros informáticos. Por el contrario, otro de los autores es Ingeniero Informático, especializado en seguridad, por lo que para él hablar de meses o años para corregir una vulnerabilidad, o utilizar sistemas operativos de hace lustros es, sencillamente, algo no asumible. Tanto uno como otro llegan a afirmar que la relación con los otros profesionales es comparable a la del contacto con alienígenas y sólo cuando han desarrollado un lenguaje común y tenido una noción del trabajo llevado a cabo por la otra parte ha sido posible iniciar una relación fructífera. A la vista de todo lo expuesto, cabe cuestionar si el enfoque actual de la ciberseguridad industrial es el adecuado o si los que trabajamos en seguridad desde hace tiempo estamos pensando que la situación —y la solución— es sólo cosa nuestra. Se dice que no por mucho madrugar amanece más temprano y lo urgente de la cuestión no justifica adoptar medidas precipitadas, más aún cuando éstas pueden resultar contraproducentes.

Se ha hablado mucho de la falta de formación en ciberseguridad de los profesionales del ámbito industrial, asi como de concienciación. Sin duda, son aspectos en los que se debe trabajar. Pero hay dos cuestiones en las que no se suele reparar y que son de la mayor importancia: la inercia/conservadurismo y el corporativismo.

En nuestra opinión, el trabajo de mejora de la ciberseguridad industrial no puede realizarse de espaldas a los profesionales que han diseñado, construido y mantienen en explotación las infraestructuras que se deben proteger, igual que esos profesionales no pueden vivir ni un minuto más sin concienciarse –siempre es el primer paso- de la importancia de la seguridad. Es evidente que ambas partes tienen mucho que aportar y su participación es imprescindible. Los expertos en seguridad tecnológica poseen la experiencia y las herramientas técnicas, mientras que los profesionales en procesos y sistemas de control industrial deben aportar su conocimiento de los sectores productivos, los procesos controlados y las limitaciones que el contexto impone a las soluciones específicas.

Por ejemplo, hay cuestiones que el sector tecnológico ha resuelto de forma excelente y que deben incorporarse, con las consideraciones específicas oportunas, al ámbito de los sistemas de control. En primer lugar, el empleo de técnicas de correlación compleja para la identificación y caracterización de incidentes de seguridad. Ello es tanto más importante por cuanto los ataques a estos sistemas están adoptando la forma de APT y son, por tanto, bastante más complejos que una simple orden de ‘shutdown’. En segundo lugar, el modo en que se gestionan los incidentes en el ámbito tecnológico; los sistemas industriales están diseñados para hacer que el fallo sea algo extremadamente raro (tanto más raro cuanto más peligroso resulte). Su gestión está poco regulada y depende altamente de las personas y su experiencia y conocimiento de la instalación controlada. En cambio, en las TIC se ha aprendido a convivir con el fallo, razón por la cual se han desarrollado herramientas, sistemas y procedimientos de gestión que permiten tratar eficazmente las consecuencias, por ejemplo, de un ciberataque. A modo de ejemplo y en esta línea en S2 Grupo disponemos de un iSOC (industrial Security Operation Center) destinado a tratar estas incidencias con un enfoque mixto.

En definitiva, creemos que la estrategia actual en ciberseguridad industrial ha descuidado, hasta el momento, algunos aspectos cruciales. Como consecuencia, el progreso ha sido más lento de lo esperado a pesar de las exigencias legislativas. Para corregir esta situación hay que incidir en cuestiones que hasta el momento no han recibido la atención necesaria:

1. Tener en cuenta que el sector industrial es muy heterogéneo, por lo que no existen soluciones generales. Es imprescindible conocer las particularidades de cada uno de ellos para realizar un enfoque adecuado. Este trabajo sólo pueden hacerlo profesionales de los sectores implicados.
2. Recordar que un sistema SCADA no es sólo el software de supervisión, el servidor SCADA o la red de comunicaciones (elementos familiares para un profesional TI). Se trata de un sistema complejo en el que también hay elementos físicos (como, por ejemplo, instrumentación y actuadores). En este sentido, posibles soluciones para problemas específicos irresolubles a nivel TI pueden pasar por volver a recuperar cosas como la lógica cableada y los enclavamientos físicos y eléctricos, viejos conocidos de los profesionales industriales.
3. Tener en cuenta el ritmo a que se asimilan los cambios en el sector industrial para no fijar horizontes no realistas.
4. Prestar la máxima atención al factor humano, evitando que se den situaciones de enfrentamiento tipo Nosotros vs. Ellos que acaben en posiciones ultradefensivas o de bloqueo.
5. Desarrollar aproximaciones sucesivas teniendo en cuenta las largas vidas útiles de equipos e instalaciones.
6. Las Administraciones y otras entidades licitadoras de infraestructuras deben incluir en los pliegos exigencias concretas relativas a la ciberseguridad industrial de las instalaciones proyectadas, de forma que estas condiciones pasen a formar parte del proceso proyecto-construcción.
7. Es imprescindible la formación de equipos interdisciplinares lo que debe alcanzar también a la interlocución con los responsables de la gestión de las infraestructuras críticas. De esta forma, éstos podrán comunicarse, además de con expertos en ciberseguridad, con personas de formación y experiencia afines, lo que ayudará a salvar los obstáculos culturales (especialmente a un nivel intermedio).
8. Se hace mucho énfasis en la formación, especialmente en la forma de másteres específicos. Pero no debe olvidarse que, en muchas ocasiones, los propios programadores disponen de gran autonomía en la toma de decisiones técnicas específicas en el diseño de los sistemas, por lo que no se debe descuidar ningún nivel educativo o profesional.
9. Siguiendo con la formación, creemos que debe evitarse extender el modelo basado en certificaciones específicas, tan habitual entre los profesionales TIC, a los especialistas en sistemas de control industrial.
10. Se deben desarrollar instalaciones dotadas de sistemas de control, industrial suficientemente realistas como para permitir adquirir experiencia en ciberseguridad (tanto en estrategias de ataque como de defensa o gestión de incidentes). Estas instalaciones son el ámbito idóneo para los equipos mixtos que deben trabajar en ellos desde el momento mismo del diseño. Además, constituyen un medio de demostración importantísimo para el personal no formado en ciberseguridad.
11. A modo de resumen final: evitar trasladar tal cual la experiencia y procedimientos de ciberseguridad en el ámbito TI al ámbito industrial. Una nueva cultura común debe surgir del trabajo conjunto de todos.

Pueden descargar el artículo original desde este enlace: Una visión global de la ciberseguridad de los sistemas de control. Revista SIC, número 106, Septiembre 2013.

¿Hasta dónde va a llegar Apple con la censura?

Recientemente he leído un artículo en “diaroti.com” referido a la censura que realiza Apple mediante el sistema iCloud donde, no solo los destinatarios del mensaje leen el mensaje sino que Apple también lo hace, y no solo el asunto del mismo, sino el cuerpo del mensaje. El exceso de celo que presenta Apple con todo lo relacionado con el sexo es por todos sabido, pero ha llegado al extremo.

La compañía ha sido recientemente acusada de bloquear todos los correos enviados a usuarios de iCloud con el texto “barely legal” (apenas legal). Esta frase es empleada en sitios pornográficos con la finalidad de dar a entender que “los participantes” acaban de llegar a la mayoría de edad, por lo que los correos que la incluyan (ya sea en el cuerpo del email o en el asunto) son eliminados sin importar que no incluyan contenido sexual o se trate de contenido de ficción. Aparte de ello, el correo que elimina, nunca va a parar a la papelera, ni a la carpeta de correo no deseado, sino que directamente lo elimina del servidor.

Este procedimiento de censura, quedó al descubierto cuando la edición británica de MacWorld realizó una prueba para comprobar la eficacia de este filtro. La prueba consistió en enviar un mensaje que contenía el siguiente texto: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s a barely legal teenage driver? What on earth is John thinking.” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es un conductor adolescente, que apenas ha superado la edad mínima legal. ¿En qué está pensando John?). Al contener la frase en cuestión (“barely legal”), el correo fue automáticamente eliminado de los servidores de Apple.

Posteriormente, se reformuló la frase de la siguiente manera: “My friend’s son is already allowed to drive his high-powered car. It’s ridiculous. He’s barely a legal teenage driver? What on earth is John thinking” (El hijo de mi amigo ya tiene permiso para conducir su coche de alta potencia. Es ridículo; ya que es apenas un conductor adolescente con edad mínima legal. ¿En qué está pensando John?). Fue suficiente con trasladar la letra “a” (que aparentemente, traducido al español no varía en nada su significado), para que el filtro no actuase.

Apple ha mantenido su habitual mutismo pero sí ha desbloqueado esta combinación de palabras. Aunque como siempre, tienen las espaldas bien cubiertas, ya que en los términos de uso de iCloud (que la mayoría ni leemos y aceptamos como si nada) permiten exactamente lo que ha ocurrido.

Otros que se han topado con esta censura han sido la revista “Playboy” que movió cielo y tierra para sacar una versión íntegra de su revista para Ipad y al final se han tenido que conformar con hacerlo vía web, y recientemente la revista “Muy Interesante” era motivo de censura al publicar la palabra pene y colocar la foto de un modelo desnudo que cubre sus genitales, por lo que la revista debió modificar la palabra de su artículo de portada para la versión Ipad con el pertinente retraso en su publicación y con ello las disculpas a sus lectores.

(Las fotos pertenecen a “eldiario.es” y “iphonefan.com“)

El discurso universal

Hay gente que tiene la envidiable capacidad de hablar horas y horas durante un tema -del que quizás no tengan ni idea- diciendo cosas coherentes, con una forma perfecta pero sin ningún tipo de fondo: (algunos) políticos, (algunos) speakers, (algunos) periodistas… Voy a intentar imitarles con un post sobre seguridad, que para algo estamos en Security Art Work…

Hoy en día nadie discute que la seguridad es vital para lograr con éxito los objetivos de cualquier organización, y dicha seguridad debe aplicarse mediante una aproximación holística, que facilite una garantía global desde el punto de vista operativo, pero también desde los puntos de vista táctico y estratégico, por supuesto siempre alineada con el negocio, la legalidad y la ética de la propia organización y de las personas que la componen.

Sin duda los avances de nuestra sociedad ponen en jaque este modelo de seguridad al que hacemos referencia; tendencias como el cloud computing o el BYOD, normativas como la Ley de Protección de Infraestructuras Críticas o aspectos de privacidad o reputación digital, por citar sólo unos cuantos ejemplos, amenazan al modelo tradicional de seguridad global al que estamos acostumbrados.

Ante esta situación los profesionales individuales, las asociaciones, empresas, Administraciones Públicas, grupos de interés… en definitiva, cualquier actor involucrado actualmente en el ámbito de la seguridad debe reaccionar adecuadamente para adaptarse a la nueva situación sin degradar los niveles mínimos aceptables en su ecosistema profesional. Y para ello sólo cabe una posibilidad: el buen gobierno. Un gobierno alineado con la legalidad vigente, la ética personal y profesional y las buenas prácticas en materias de seguridad internacionalmente reconocidas, verificado de forma independiente y periódica mediante un esquema correcto de aditoría.

Sin este buen gobierno al que hacemos referencia jamás podremos hablar de una seguridad adecuada a los requisitos que nuestros clientes y usuarios, y en definitiva la sociedad en su conjunto, demandan; es necesario que todos trabajemos en la misma dirección, aunando esfuerzos, colaborando, intercambiando información y construyendo los cimientos de una seguridad empotrada en las bases de cualquier iniciativa: lo que se ha venido a denominar la cultura de seguridad. Solo así podremos hacer frente, de manera correcta y completa, a las nuevas situaciones o tendencias de las que hablábamos al principio; si no abordamos el problema mediante esta aproximación no tendremos más que iniciativas aisladas sin un marco de trabajo adecuado, que mejorarán la seguridad en ámbitos de trabajo concretos pero no en su conjunto.

Bien, ¿no? Todo lo expuesto parece coherente, correctamente expresado y seguramente alguno que otro, si no lo hubiera puesto en cursiva, lo habría considerado un post aceptable… es más, habría votado el “Me gusta” :) Hasta aquí todo normal…

Sustituyamos ahora la palabra seguridad con un término que nosotros podamos considerar cercano:

sed s/seguridad/tecnología/g

Ummm… tampoco tiene mala pinta, ¿no? Intentémoslo con otras palabras “cercanas”:

sed s/seguridad/informática/g
sed s/seguridad/defensa/g
sed s/seguridad/inteligencia/g

Sigue siendo bastante coherente, ¿no? A fin de cuentas, estamos diciendo tantas obviedades y generalidades que las mismas se podrían aplicar a cualquier cosa “cercana”… Sigamos entonces con cosas menos “cercanas”:

sed s/seguridad/justicia/g

¡Vaya! ¡Sigue sin quedar mal del todo! A ver…

sed s/seguridad/economía/g
sed s/seguridad/marca/g
sed s/seguridad/imagen/g
sed s/seguridad/"responsabilidad corporativa"/g
sed s/seguridad/...

Acabamos de generar un discurso universal; una serie de vaguedades e indefiniciones tan obvias, tan obvias, que todo el mundo está de acuerdo con ellas y se pueden aplicar a cualquier rama. Vamos, lo que muchas charlas de algunos congresillos esconden, ¿verdad? :) Y eso que es un discurso semi-hilado… Si lo intentamos con frases sueltas, la cosa es aún más sencilla (ojo, a veces hay que cambiar también el artículo):

“El paradigma del cloud computing introduce nuevos riesgos en la seguridad corporativa que es necesario tratar de forma adecuada.”

sed s/"cloud computing"/BYOD/g
sed s/"cloud computing"/movilidad/g
sed s/"cloud computing"/convergencia/g
sed s/"cloud computing"/...

“Si no gestionamos la seguridad no podremos introducir la mejora continua como factor de éxito.”

sed s/seguridad/finanzas/g
sed s/seguridad/empresa/g
sed s/seguridad/proceso/g
sed s/seguridad/...

Y si encima metemos anglicismos en nuestra presentación, aunque no vengan a cuento, ya el auditorio alucina:

“Un problema habitual en organizaciones grandes es el time to market de los nuevos servicios.”
“El desarrollo de non lethal weapons es un área de investigación crucial para la seguridad.”
“Como Chief Security Officer debes velar por la protección global del negocio, incluyendo aspectos de compliance y policy.”

And so on…

FITURTECH 13

Del 30 de enero al 1 de febrero se celebra en Madrid Fiturtech’ 13, el foro de innovación y tecnología turística.

Y ustedes dirán… ¿y por qué hablan de esta noticia en un blog de seguridad? Pues si dan un vistazo al programa del foro verán que en la segunda jornada ya empiezan a hablar del papel que juegan las redes sociales, y que la tercera jornada se dedica casi en exclusiva al cloud, a la gestión de la información en la nube y a su seguridad. Incluso está prevista una intervención de Chema Alonso.

Vamos, que sí va teniendo sentido un post que hable sobre la seguridad y el sector turístico.

[Read more…]

/join #espana

/join #espana
<aaaa> BBBB, eres BBBB el de siempre?
<bbbb> AAAA?
<aaaa> El mismo :) Qué tal tío???
<bbbb> Coño, cuánto tiempo… Me alegro de que sigas vivo ;)
<aaaa> Aquí ando, de vuelta a Internet… por fin me he podido conectar…
<bbbb> Y eso?
<aaaa> Ya ves, lo he intentado con Infovía y con varios 900, pero o el modem no negocia bien o los 900 los han cortado…. así que he tenido que pasarme por la uni y me he enganchado un rato desde el aula, a leer el mail atrasado de la bugtraq y a ver quién estaba por el canal… Todo ok??
<bbbb> Vamos tirando ;) Tú qué tal?? Hacía que no te dejabas caer por EFNet… Has estado por Undernet??
<aaaa> Sí, mucho tiempo… No, no, nada de conexiones… Unos amigos a los que no les caía bien y he tenido que chapar una temporada… Quince años y un día para ser exactos… No me han dejao ni leer la Phrack impresa que me traía un colega, con eso te lo digo todo… tendré que ponerme al día desde ahora… Cosas que pasan ;)
<bbbb> Joder cómo está el patio…
<aaaa> Pero bueno cuéntame… Cómo va todo?? Y la peña?? Imagino que sigue igual, no?
<bbbb> Hombre, la verdad es que todo esto ha cambiado un poco… Has entrado en #hack?
<aaaa> Me he pasado pero no me sonaba nadie… No estaban los de siempre… Raro, no?
<bbbb> Ya te digo… Se han casado, tienen hijos y ahora trabajan ;)
<aaaa> No jodas!!! Jajajaja, yo que pensaba que estaban con otra campaña para Timor Oriental o algo de eso, o peor, que los había trincao Anselmo…
<bbbb> Qué va… Ahora todos tienen nombre y apellidos… Te acuerdas de ****?? De Director de Seguridad Informática en un banco… Y **** acabó la carrera y ahora va dando charlas por ahí, y **** con Linkedin y Facebook y todos así… Alucinarías…
<aaaa> Linkedin y Facebook? Yesoqués???
<bbbb> Pues… Redes sociales les llaman… Sirven para… Bueno, más o menos para que todo el mundo sepa lo que haces en cada momento, cambiar mensajes, decir chorradas, criticar…
<aaaa> Como las news?? Cuánto tiempo :) Voy a lanzar el screen para abrir el tin en otra terminal y ver como va alt.2600, alt.hackers y todo eso…
<bbbb> Ufffffff puedes ahorrarte el trabajo… Está muerto, ahora lo que se lleva es el Twitter…
<aaaa> El qué???
<bbbb> Na, una red de esas sociales que te decía, en la que te haces seguidor de gente que te interesa y lees lo que van escribiendo… Está curioso, la verdad…
<aaaa> Un RSS??
<bbbb> Pues… Más o menos, es una forma de verlo :) Ahora nos hemos puesto todos uno para decir tonterías sobre la nube…
<aaaa> Qué nube?
<bbbb> A ver cómo te cuento esto… Antes cifrabas con PGP todo por si te trincaban el disco… Ahora para ahorrar desplazamientos tú das toda la información en claro, bien clasificadita y organizadita, en lo que llamamos Dropbox, y así evitas sustos por la noche porque nadie tiene que ir allí para pillar los datos…
<aaaa> No jodas que hacéis eso… Madre mía, suena mal… **** no, verdad??? No me lo imagino…
<bbbb> Si lo vieras… Ayer justo dio una charla que se llamaba “Cloud privacy and Data Protection: a risk appetite approach” en la que la principal conclusión fue que “en la nube hay que gestionar los riesgos de forma alineada con la estrategia corporativa de seguridad”…
<aaaa> Pero no me jodas, no sé lo que es esa nube… pero esa conclusión es lo mismo que decir que el agua es transparente…
<bbbb> Sí, sí, como casi todas en este tema… pero bueno, el caso es que la gente puesta en pie aplaudiendo y todo dios encantado… lo quieren nombrar ahora International Chief Risk Enterprise Manager de su compañía…
<aaaa> Flipo con lo que me cuentas… Entonces quién queda del mundillo??
<bbbb> Todos muertos o jubilados ;)
<aaaa> Ni de phreaking?? Ni de virii? Alguien quedará… coño, estarán los de 29A, que eran unos cracks, no???
<bbbb> Qué va, chaparon el garito!! Eso ahora lo llevan las mafias, muy buenas algunas… Trabajan por dinero, no por placer, y tienen monopolizada la scene…
<aaaa> Por dinero? Quién les paga??
<bbbb> Nadie, lo roban haciendo phishing o vendiendo datos
<aaaa> Haciendo qué???
<bbbb> Phishing. Engañan a los usuarios haciéndose pasar por el banco para sacar las claves de acceso…
<aaaa> Carding, para el cajero o para comercio?
<bbbb> Nop. Para la banca online…
<aaaa> No jodas que la gente conecta al banco por INet así en general…
<bbbb> Ya te digo ;) Es lo más normal…
<aaaa> No lo entiendo… Para qué??
<bbbb> Cómo que para qué??
<aaaa> Joer, comprar en los USA lo entiendo, no te vas a ir allí para pillar un libro, pero pal banco… quitando de cuatro que tenemos modem, los demás tendrán que ir a la uni para conectarse a hacer transferencias en lugar de al banco a hacer esas mismas transferencias, no le veo las ventajas…
<bbbb> Qué va… Todo dios tiene conexión ADSL en casa… De cuatro megas, de cincuenta megas, de cien megas…
<aaaa> De cien megas?!?!?! Mbps???
<bbbb> Xasto. Mbps ;)
<aaaa> Joer la gente, qué ancho de banda, ni que fueran la NASA… Yo que pensaba que con mi módem de 56K y el dialup de siempre iba a flipar…
<bbbb> Jejejejeje… Te veo algo desactualizado… Ves a una tienda, pide un teléfono móvil con datos y verás lo que te cabe en el bolsillo…
<aaaa> Desactualizado yo??? Pues cuando salga el ****, que era punto de fidonet, va a flipar ;)
<bbbb> Ufffffff, el ****… qué es de su vida??
<aaaa> Allí anda, convenciendo a la gente que donde se ponga Veronica que se quite Archie y todo eso ;) En tres añitos sale…
<bbbb> Jajajajajaja… A tope!!!!
<aaaa> Como siempre ;) Bueno tío, voy a chapar esto que el operador del aula me mira mal y un par de chavales ya me han llamado señor y me han preguntado por qué la pantalla está tan negra… Dicen que tienen prácticas de nosequé, algo de diseño multimedia o parecido…
<bbbb> Está todo fatal ;)
<aaaa> Tenías razón, esto ha cambiado…ya no es lo que era… Cualquier día hasta sueltan al Kevin para que monte una empresa ;)
<bbbb> Estooooo… Sí, cualquier día ;)
<aaaa> Ale, nos vemos… A ver si engancho un dialup y hablamos con calma…
<bbbb> O por Facebook ;)
<aaaa> Sí, o por eso…
<bbbb> Cuídate
<aaaa> Lo mismo digo. Recuerdos a la peña
<bbbb> Se los daré si conectan ;)
<aaaa> Muacs :*
<bbbb> Chaito :)

LOPD para nostálgicos

Ahora a todo el mundo se le llena la boca hablando de la próxima directiva europea de protección de datos, del cloud, etc. Pero de vez en cuando está bien echar una mirada atrás para ver de dónde venimos. En este post voy a rememorar una aplicación clásica en protección de datos: el RGPD.

Recientemente comentaba con unos compañeros del trabajo si se acordaban de la aplicación que había antes del formulario NOTA para inscribir ficheros ante la Agencia de Protección de Datos. Lo único que recibí fue miradas extrañadas por su parte. Empecé a pensar que quizás mi memoria me estaba jugando una mala pasada, pero en mi fuero interno yo sabía que esa aplicación existió, tenía que desentrañar aquella intrincada cuestión.

Así pues fui a hablar con la persona de mi empresa que más tiempo lleva en esto de la protección de datos, es decir mi Responsable. Cuando le plantee la cuestión al principio mostró cierto grado de escepticismo, pero luego recordó que así era… esa aplicación existía… Para más inri, todavía tenía el instalable y lo que es mejor, aun sigue funcionando en Windows 7.

La aplicación era propia de la Agencia de Protección de Datos y dejó de tener soporte si no recuerdo mal allá por 2007, lo que quiere decir que nunca fue adaptada a las disposiciones del RD1720/2007. Únicamente la utilicé durante menos de un año, puesto que por aquel entonces la aplicación convivía ya con los formularios NOTA. Al igual que el NOTA existían dos versiones, una dedicada a entidades públicas y otra para entidades privadas.

Si me permiten voy refrescarles la memoria para que se hagan una idea. Básicamente se trata de lo que podemos encontrar en una formulario NOTA pero en aplicación local.

El menú principal de la aplicación nos permitía trabajar con las notificaciones, la copia de las mismas a un soporte “magnético”, y el envío a través de las notificaciones a la Agencia. Por otra parte también permitía importar y exportar notificaciones a formato .DAT. Aunque sea únicamente por el “valor arqueológico” e “histórico”, vamos a mostrar en unas cuantas capturas el proceso de creación de fichero (los datos empleados son ficticios, salvo el CIF el cual debe ser válido).

En primer lugar accedemos al menú de notificaciones y pulsamos sobre nueva notificación.

En ese instante la aplicación nos ofrece la posibilidad de creación, supresión y modificación. Accediendo a creación nos muestra un formulario con los apartados a cumplimentar:

Como han podido comprobar existe una correlación directa con la información requerida del formulario NOTA, si bien existe algún apartado que no se encuentra en los NOTA como es el punto 6. Sistema de Tratamiento.

Una vez cumplimentados todos los apartados podíamos guardar todas las notificaciones y enviarlos a la AEPD. Personalmente creo que esta aplicación presentaba alguna ventaja con respecto a los formularios NOTA. Resulta más “ligera” y más operativa dado que podemos replicar ficheros y cambiar solo la información que consideremos oportuno, lo que supone el ahorro de no tener que volver a introducir toda la información común como cuando creamos las notificaciones de una organización.

Hay una cosa que me ha resultado curiosa, y es lo difícil que ha sido encontrar información sobre esta aplicación en la red, y es que hay veces que incluso internet olvida. Obviamente la aplicación no es un modelo SaaS preparada para uso en smartphones, tablets. Pero no me pueden negar que tiene su encanto ¿no?