10 enero 2015

¿Se puede prevenir todo el malware?

Me surge la duda leyendo el artículo de José López Arredondo en Cinco Días sobre el informe de FireEye ("Maginot Revised: More real-world results from real-world tests").

Es evidente que el malware es actualmente uno de los grandes caballos de batalla en el mundo de la seguridad. Es utilizado ampliamente para infectar nuestros equipos, bien incrustándolo en correos electrónicos o ficheros enviados por correo o también difundiéndolo a través de sitios web infectados aprovechando navegadores vulnerables. En cualquier caso, con independencia del vector utilizado, las herramientas de protección (End Point Protection) sufren para detectar y evitar las infecciones dado el alto volumen de malware generado de manera continua y las variaciones utilizadas, por no hablar de los ataques dirigidos (que diseñan malware específico para cada ataque).

Pero, ¿quiere esto decir que hoy por hoy sea imposible detener al malware? Mi opinión es que, clarísimamente, sí que se puede evitar el malware. Pero, evidentemente, no haciendo lo mismo que venimos haciendo hasta ahora.

Actualmente los mecanismos utilizados están basados en lo que se denomina listas negras. Es decir, tenemos una lista que incluye todo aquello que es malo (o que se parece mucho a algo malo que ya hemos visto) y que no se debe ejecutar. Este tipo de mecanismos tiene varias cosas buenas, pero esencialmente, que son fáciles de mantener, sobre todo desde la implantación de modelos cloud que permiten una mayor agilidad para compartir información. Sin embargo, tienen una cosas muy mala y es que si un malware es nuevo y no se ha visto antes, va a poder ejecutarse puesto que no encajara en los patrones implementados por estas soluciones (es como si para abrir una cerradura, dejáramos que cualquier llave la abriera, excepto las que sabemos que no son buenas).

Pero existen otro tipo de soluciones, denominadas listas blancas. Este tipo de soluciones, por contra, solo dejan ejecutarse aquellas aplicaciones en las que podemos confiar (lo que las hace, por otra parte, muy eficientes). De forma que solo debemos incluir en la lista blanca las aplicaciones que hemos verificado previamente y estamos seguros de que son legítimas y no incluyen ningún tipo de malware, lo cual es mucho más eficaz, desde un punto de vista de seguridad.

Entonces, si las listas blancas son más eficaces y más eficientes, ¿por qué no se utilizan? Pues la respuesta es la de siempre, son mucho más difíciles de mantener, nos obliga a identificar las aplicaciones a autorizar, a probarlas previamente, a discutir con los que quieren incluir aplicaciones no-corporativas y a mantener dicho listado actualizado con las nuevas versiones de los ejecutables, etc... en definitiva, muchísimo trabajo que muy pocos están dispuestos a asumir para estar más seguros.

En definitiva, podría prevenirse el malware pero habría que estar dispuesto a asumir el coste que supone el mantenimiento de una lista blanca de ejecutables autorizados... ¿merece la pena? El apetito al riesgo y el impacto asumible de tu organización lo dirán.

03 enero 2015

A vueltas con Sony, Corea del Norte y Estados Unidos

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

No es que seamos amantes de las teorías conspiranoicas, pero es que nos lo ponen muy fácil. Nos referimos al reciente anuncio de Estados Unidos de aumentar las sanciones a Corea del Norte en relación con el ciberataque a Sony. Esta circunstancia supone señalar directamente al gobierno de Corea del Norte como autor material de los hechos, lo cual no es, en absoluto, trivial. Sobre todo, teniendo en cuenta que multitud de expertos (como Bruce Schneier o Brian Krebs entre otros, entre muchos otros, podríamos decir) dudan de que se pueda atribuir este ataque a Corea del Norte a pesar de las similitudes que se hayan podido detectar con herramientas presuntamente utilizadas por hackers de Corea del Norte previamente y de que nadie dude de las capacidades técnicas de Corea del Norte para llevar a cabo ciberataques. [Incluso en el caso de que se pudiera atribuir el ataque a Corea del Norte, ¿hasta qué punto se puede considerar un acto de guerra y no un "simple" acto de vandalismo como el propio Obama declaró en un principio? Podéis leer más sobre esta duda en este artículo de Chris Weigant]

Pero es que si analizamos las sanciones impuestas por EE.UU. nos encontramos que afectan a diez funcionarios relacionados con la venta de misiles y armas (dos son representantes en Irán y otros cinco actúan en Siria, Rusia, China y Namibia), es decir, nada que ver con el ataque a Sony y a tres entidades norcoreanas: la Oficina General de Reconocimiento (principal organización de inteligencia), la Corporación de Comercio para el Desarrollo de Minas (principal proveedor de armas y exportador de equipamiento relacionado con misiles y armas tradicionales) y la Corporación de Comercio Tangun de Corea (responsable de la compra de tecnología y equipos para soportar los programas de defensa).

Como decíamos al principio, todo este escenario hace que le salten las alarmas a cualquier persona por medianamente cabal que sea: Si a un ataque lleno de incertidumbres, le unimos unas sanciones que alcanzan a entidades que nada tienen que ver con el asunto, cualquiera podría pensar que a todos les ha venido bien señalar con el dedo a Corea del Norte: Al gobierno de Estados Unidos porque quiere enviar una señal a todos aquellos que estén pensando en (ciber)atacarles y también a su Senado para que siga aprobando dotaciones presupuestarias para mejorar sus cibercapacidades, a Sony porque le resultará más fácil defenderse en los juicios que tiene por delante y, si nos apuráis, al gobierno de Corea del Norte que "muestra su capacidad" para enfrentarse a un gigante... pero, en el fondo, no puede dejar de sonarnos a algo que ya vivimos hace algunos años en relación a la supuesta existencia de unas armas masivas en un país de Oriente Medio.

Lo que desde luego sí que es una realidad es que el ciberespacio es ya utilizado por todos los Gobiernos como un escenario más en el que realizan sus operaciones y dónde cada vez más tendremos que ser muy escépticos para no creernos todo lo que nos dicen (como dice @lawwait en su análisis de este mismo asunto), al menos, mientras no mejoren nuestras capacidades para atribuir los ataques que están sucediendo.

27 diciembre 2014

¿Hackers de la mafia piratean la fiscalía Anticorrupción?

Me ha resultado muy interesante la lectura del artículo publicado ayer en el diario El Mundo sobre los accesos no autorizados a los equipos de varios fiscales adscritos a la Fiscalía Anticorrupción.

En primer lugar porque al fin parece que empiezan a pasar cosas en España; entiéndaseme bien, no me refiero a que me alegre de que pasen, sino de que empecemos a enterarnos cuando pasan, porque lo normal hasta el momento era que no se diera publicidad a este tipo de sucesos. Y por este motivo, mi más sincera enhorabuena a Esteban Urreiztieta y a Eduardo Inda, autores de dicho artículo.

Pero una vez dicho esto, creo que habría que tratar estos temas con algo más de rigurosidad. Ya sé que vender periódicos / noticias estos días es difícil, pero creo que la noticia es igual de buena sin añadirle salsa... Trataré de explicarme a continuación.

Lo primero es que creo que quienes piratean los ordenadores, no son 'hackers', en todo caso serían mafiosos. Así evitaríamos seguir asociando la figura del hacker a la comisión de delitos; algo que no es cierto, pero que, a base de repetirlo, alguno va a acabar creyéndoselo.

Y el segundo asunto sería el de la atribución del acto. Debemos ser conscientes de que aunque se haya detectado un acceso no autorizado desde una IP localizada en Rusia, eso no significa que un ruso haya sido el autor del acceso no autorizado, ni tan siquiera de que fuera alguien situado en Rusia. Existen mecanismos para que alguien desde otro país (por ejemplo, España) pueda navegar utilizando una IP rusa (china, cubana o americana).

Finalmente, me ha llamado poderosamente la atención que, por un lado, pueda considerarse un acceso a una cuenta personal de un fiscal como un "ataque" a la Fiscalía Anticorrupción... ¿no significaría eso que los fiscales hacen uso de servicios personales para la provisión de Justicia? Espero que se refiera a que alguien intentaba obtener información del fiscal para luego intentar acceder a los sistemas "corporativos" del mismo fiscal. Pero, sobre todo, las repetidas referencias a las pérdidas de información... ¿me van a decir que archivos cruciales para las investigaciones no tienen varias copias de respaldo y que, incluso algunos de ellos, solo se encontraban en los equipos de los fiscales? Seguro que no y lo estoy entendiendo mal.

En cualquier caso, no deberíamos extrañarnos de que los potencialmente afectados por las investigaciones de los fiscales intenten, por cualquier medio, incluyendo el acceso no autorizado a sistemas de información, dificultar y torpedear dichas investigaciones. Lo que debe extrañarnos es que no se adopten medidas que asuman que eso va a pasar, es más que asuman que si lo intentan con suficientes medios, tiempo y habilidades lo van a conseguir y se implemente medidas que garanticen la confidencialidad, integridad y disponibilidad de la información incluso cuando los equipos sean accedidos por terceros no autorizados.

En esto precisamente es en lo que se enfoca algo en lo que algunos venimos haciendo énfasis hace algún tiempo: La ciberseguridad nos exige adoptar un nuevo enfoque a la protección de los activos, un enfoque ágil que asegure la resiliencia de los sistemas y de la información.

14 julio 2014

SPDY, ¿héroe o villano?

SPDY, para aquellos que aún no lo conozcan, es un nuevo protocolo desarrollado principalmente por Google que incorpora una mejora en la eficiencia de las comunicaciones y que, además, lleva asociado el cifrado por defecto de todas ellas.

De hecho, este cifrado por defecto es el que hace que merezca la pena analizar en detalle las consecuencias que tendría su implementación desde una perspectiva de seguridad, puesto que SPDY ha servido como base para los primeros borradores del futuro HTTP 2.0.

En primer lugar, y basándonos en el análisis realizado por Jorge Dávila en su artículo titulado "La Internet opaca de SPDY" publicado en el número 110 de la revista SIC (junio 2014), habría que destacar que este nuevo protocolo ya se encuentra implementado en la mayoría de los navegadores (Chrome, Safari, Firefox, Opera...) e incluso por algunos servidores (pocos, pero significativos, como Google Search, Facebook o Twitter). No obstante, mientras se realiza la transición de todos los servidores a SPDY, será necesario contactar con unos servidores que ejerzan de traductores entre HTTP 1.1 y HTTP 2.0 (habiendo sido Google [lógicamente], la primera organización en poner este tipo de servidores proxy a disposición de los usuarios).

Por tanto, para analizar las consecuencias de SPDY tendremos que tener en cuenta dos momentos muy distintos:
  • la fase transitoria durante la que unos servidores proxy nuevos conocerán todos los detalles de navegación de los usuarios, puesto que deben realizar la traducción de HTTP 2.0 a HTTP 1.1.
  • la fase final en la que todas las comunicaciones de los usuarios con los servidores a los que se conectan se encontrarán cifradas, utilizando el conocido protocolo TLS (y las cabeceras comprimidas con el algoritmo DEFLATE).


Fase transitoria

El hecho diferencial de esta fase se deriva de la existencia de unos nuevos jugadores en la arquitectura de Internet, unos servidores proxy, que a modo de pasarela canalizan todas las comunicaciones de los usuarios y que tienen conocimiento de las comunicaciones realizadas a diferencia del resto de actores (para los que las comunicaciones están cifradas) al encargarse de traducir entre versiones de protocolos HTTP.

Esta circunstancia supone, claramente, un riesgo para la privacidad de las comunicaciones, en tanto en cuanto, todas las comunicaciones llegarán en claro a dichas pasarelas que se encargarán de adaptarlo a SPDY. No obstante, no deberíamos presuponer que es una situación peor que la actual, en la que todo el mundo puede escuchar las comunicaciones de una persona. En la transición, solo serán las pasarelas, y cualquiera puede implementar pasarelas. Por ejemplo, si los ISPs crearan estas pasarelas, estaríamos en una situación idéntica a la actual. Si utilizamos otras pasarelas, entonces tendremos que "confiar" en los operadores de esas pasarelas.

No obstante, ¿podremos confiar en estos nuevos actores? ¿se les podrá imponer algún tipo de requisito a sus operadores, tipo "que no puedan utilizar la información que gestionan para otros fines distintos a los propios de la pasarela"? En ese caso, ¿quién debería hacerlo y quién podría tutelar que se cumplen?

Finalmente, esta nueva actividad no deja de ser también una oportunidad para aquellos que provean servicios con confianza, ¿por qué no crear "pasarelas" robustas y confiables en el marco de la UE que sean utilizadas por los usuarios que deseen utilizar pasarelas "de confianza"?


Fase final

En este momento, la situación mejorará claramente, puesto que todas las comunicaciones serán secretas y se podrá asegurar la privacidad de las mismas, puesto que se cifrarán punto a punto (siempre quedarán riesgos como ataques man-in-the-middle, o vulneración de los extremos de las comunicaciones - troyanos, etc.) pero al menos, todo lo relativo a las escuchas pasivas se verá reducido, siendo necesario vulnerar un extremo o la connivencia del mismo para escuchar la comunicación.

Por tanto, en general, la confianza debería mejorar puesto que los usuarios podremos estar tranquilos de que las comunicaciones que mantenemos son secretas y solo se conocen por nosotros y por aquellos con los que nos comunicamos y que no pueden ser "espiadas" de manera masiva (tipo NSA).


Reflexión final

Hablando con algunos colegas sobre el protocolo y las motivaciones de Google para impulsar SDPY creo que tengo un punto de vista quizás, un poco diferente.

En mi opinión, está claro que Google está intentando escapar del efecto negativo que el "caso NSA" está teniendo sobre la confianza de los usuarios en los servicios de Internet, asegurándose de que nadie (ni siquiera la propia Google) podrá acceder al contenido de las comunicaciones (para que tampoco el gobierno americano pueda usar la Patrioct Act) y en este sentido creo que, claramente, tendrá un efecto sobre las prácticas habituales de seguridad nacional: A partir de SPDY no se podrán hacer "escuchas pasivas" de las comunicaciones y será necesario que cuando el Estado quiera escuchar mis comunicaciones tenga que "atacar" mis dispositivos de comunicación (smartphone, tablet, PC..) - algo que, por otra parte, no les es ajeno, o eso me parece. Evidentemente esto es mucho menos "eficiente", pero también es mucho menos "intrusivo" y supondrá una acción mucho más orientada de las "escuchas" a objetivos específicos (lo que será más fácil de justificar).

¿Todavía no me sigues en twitter.com/antonio_ramosga?

12 enero 2014

Tendencias en ciberseguridad (I): Protección "pegada" a los datos

(Artículo publicado originalmente en mi página de Medium)

Desde los principios de la informática, el paradigma de la protección ha sido crear un perímetro robusto alrededor de los equipos (física y lógicamente).

Pero, en los últimos años, la emergencia de la computación en la nube y del bring your own device — BYOD ha hecho que el perímetro desaparezca. Nunca más paredes, puertas, cortafuegos, sistemas securizados... serán suficientes para mantener la confidencialidad, la integridad y la disponibilidad de nuestra información.

Hoy en día la información fluye por diferentes tipos de dispositivos, proveedores de servicios y redes de comunicaciones, todos ellos controlados y asegurados por terceras partes, completamente independientes de nosotros (de nuestras organizaciones).

Por esta razón, vamos a ver un cambio de este tipo de medidas de protección a otras "pegadas" a la propia información, con el objetivo de mantenerla segura, con independencia de los dispositivos que se usen para leerla, los servicios utilizados para almacenarla y gestionarla o las redes por las que se intercambia.

De hecho, no es ciencia ficción, tecnologías como prot-on (una start-up española) va justo en esta dirección... y vamos a ver más ejemplos en el futuro próximo... ¿conoces otros ejemplos?

¿Todavía no me sigues en twitter.com/antonio_ramosga?

18 diciembre 2013

Estrategia de Ciberseguridad Nacional 2013 (yII)

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)


Tras un par de semanas en el que hemos podido digerir con un poco de sosiego la Estrategia de Ciberseguridad Nacional (ECSN) [pdf] y tras mis comentarios iniciales (aquí), creo que ya podemos analizarla con un poco más de detalle.

No creo que aporte mucho repasando los objetivos y las líneas estratégicas, puesto que eso ya ha sido más que comentado, por lo que me centraré en resaltar los aspectos que para mí han sido más positivos y los que me han gustado menos. Todo ello, partiendo de la consideración de que soy de la opinión de que contando con una Estrategia de Seguridad Nacional (ESN) que ya trata la ciberseguridad, esta estrategia no era estrictamente necesaria, aunque entiendo que existen motivadores que hayan llevado a su desarrollo.

En primer lugar, si hubiera que hacer un resumen general, yo diría que es un documento que trata todo lo que tiene que tratar. Es decir, si a cualquier experto le hubieran preguntado qué incluiría, los temas que habrían salido son los que podemos encontrar en el documento: coordinación, mejora instrumentos legales, mejora de capacidades, capacitación y concienciación, impulso al I+D+i... por tanto, empezamos bien.

De hecho, incluye el que para mí es el aspecto básico, la cultura de seguridad [puesto que con una adecuada cultura, el resto de cosas vendrán solas] y también, el enfoque más adecuado para la ciberseguridad del siglo XXI, enfocarnos en detectar y responder [porque prevenir por dónde nos va a llegar el ataque es imposible].

No obstante, esto no trata de hacer un ejercicio de seguidismo, sino de dar mi opinión del documento y he de decir que he encontrado algunas cosas dignas de comentar:
  • Yo soy muy cuadriculado y que no cuadren las 6 líneas estratégicas de la ESN con la ECSN, me produce cierto desasosiego.
  • También se puede percibir una cierta relación entre las líneas de acción con ciertos actores. Por ejemplo, apostaría a que la línea de actuación primera ha sido propuesta por el Departamento de Seguridad Nacional, la segunda por el Centro Criptológico Nacional, la tercera por el Centro Nacional para la Protección de Infraestructuras Críticas, la cuarta por la Secretaría de Seguridad del Ministerio de Interior, la quina por INTECO... cuando en mi opinión necesitábamos algo más coral.
    Digamos que en lugar de hacer un traje a medida de los actores, me hubiera gustado un perfilado de la realidad al que hubieran tenido que amoldarse los actores. [wishful thinking]
  • En línea con lo anterior, hecho en falta un análisis detallado del escenario de riesgo al que nos enfrentamos. Dicho diagnóstico debería haber constituido el punto de partida para la estrategia, pero en lo que figura en el documento vemos que hay cierta confusión entre amenazas, actores, tipos de ataques...
  • Por último, no me parecen elegantes algunos deslices para que iniciativas actuales aparezcan en el documento de estrategia, como el apoyo a las certificaciones de producto... ¿acaso no debería importarnos más las certificaciones de los servicios? Los productos al fin y al cabo, son todos, por definición, inseguros (con mayor o menos probabilidad todos tendrán vulnerabilidades), ¿no?
Para finalizar, me gustaría añadir algunos aspectos que, a mi juicio, aún figurando en el presente documento deberían haber contado con un mayor respaldo / apoyo / protagonismo:
  1. Los mecanismos de detección y respuesta. Estos fundamentos de la seguridad ágil constituyen el paradigma actual de la seguridad; aunque los mecanismos de defensa siguen siendo útiles, hemos de reconocer que la posibilidad del incidente no la vamos a poder eliminar y tenemos que estar preparados para detectarlo a la mayor brevedad posible y estar preparados para responder con mecanismos ágiles para minimizar el impacto.
  2. Los incentivos para fomentar la adopción de mecanismos de seguridad. Aunque se reconoce la importancia de contar con un entorno ciber seguro, no se mencionan los mecanismos que se van a adoptar para conseguirlo, excepto desde el ámbito normativo y el cumplimiento no es la vía para conseguirlo... Quizás se podría haber iniciado el camino de explorar otras vías (incentivos fiscales, de contratación, ¿mercado de derecho de entornos inseguros?...)
  3. Consideración de la ciberseguridad como materia escolar. Está clara la apuesta de la estrategia por la capacitación, pero quizás una apuesta más clara, habría sido de agradecer; en el sentido de haberse "mojado" más.
  4. Apoyo decidido a la industria nacional de ciberseguridad. No estoy hablando de mecanismos proteccionistas, ni favoritismos, ni nada por el estilo, pero todos los países de nuestro entorno lo están haciendo (EE.UU., Francia, Alemania, Inglaterra...) y eso esta generando que dependamos de terceros para nuestra seguridad. La ciberseguridad puede ser un polo de atracción para talento, inversiones y empresas, por lo tanto, dada nuestra actual situación, podríamos haber aprovechado esta oportunidad.
Pido disculpas por la longitud de esta entrada, pero dada la importancia del documento, creo que merecía la pena.

¿Cuál es vuestra opinión al respecto?

Puedes seguirme en twitter.com/antonio_ramosga

04 diciembre 2013

Estrategia Española de Ciberseguridad (I)

Parece que, por fin, llega la Estrategia Española de Ciberseguridad. Al margen de lo que algunos podamos pensar sobre la verdadera necesidad de un documento como éste (al fin y al cabo ya tenemos una Estrategia de Seguridad Nacional que identifica las ciberamenazas como fundamentales, ¿no? - ver algunas reflexiones previas aquí y aquí), no creo que podamos esperar muchas novedades respecto al borrador que circuló hace ya muchos meses...

Quizás lo único que cabría esperar serían dos cosas y me temo que ninguna de las dos se ha resuelto:

  • ¿Quién asume las riendas de la ciberseguridad en España? (en definitiva, ¿cual es el modelo de gobierno de la ciberseguridad?)
  • ¿Qué presupuesto nos vamos a dotar para luchar contra las ciberamenazas?
Pues, o mucho me equivoco, o para las dos nos vamos a quedar como estábamos.

Para la primera, va a ser una responsabilidad rotativa anual entre los cuatro que se peleaban por ser el líder en este tema (CNI, INTECO, CNPCI y Defensa), es decir, que nadie, en un año, va a poder hacer nada. En el fondo, me parece muy triste que por no dar nadie su brazo a torcer, nos encontremos en esta situación; creo que dice muy poco por los actores implicados... ¿se imaginan una empresa con un Director General que cambie cada año?

Para la segunda, no hay ninguna dotación presupuestaria, por lo que estamos abocados a seguir tirando con lo que podamos arañar de aquí y de allá... en definitiva que, en España, vamos a volver a hacer el paripé: Vamos a publicar el documento, nos vamos a reunir "cienes y cienes" de veces y ya está... mientras tantos los chinos forman un ejército, el Reino Unido contrata (busca) a 4.000 expertos y de EE.UU., para qué vamos a hablar. Me temo que, al final, vamos a estar fuera de juego y lo peor es que ni siquiera vamos a poder alegar que es que no nos habíamos enterado, porque estando sobre aviso, no hemos sabido jugar la pelota...

Siento decirlo así, porque conozco a varias personas que están trabajando muy duro en este tema y, no les envidio por el reto que tienen por delante, con tan pocos mimbres...

¿De verdad nos vamos a sentir más (ciber)seguros a partir de ahora? ¿A alguien le parece una apuesta seria por la ciberseguridad?

Sinceramente, para haber llegado aquí, podíamos haber sacado este documento al día siguiente de la Estrategia Nacional...

Puedes seguirme en twitter.com/antonio_ramosga