29 abril 2013

Ciber-armas

Leyendo acerca de la detención en España del (¿presunto?) autor del mayor colapso en Internet (enlace) [aunque, al fin y al cabo, tampoco fue para tanto, ¿no?], y supongo que debido a que ando estos días dándole vueltas al texto para la reforma de la Ley de Seguridad Privada, me surgen algunas reflexiones:
  • ¿Qué deberíamos entender por una ciberarma?
  • Considerando que la posesión de armas está regulada, ¿no debería estar regulada también la posesión de esas ciberarmas?
  • Dado que todos los equipos pueden ser utilizados como zombies de una red de ataque, ¿no se deberían pedir medidas de protección mínimas a todos aquellos que gestionen equipos (y más cuántos más gestionen o más potentes sean)?
  • ¿Por qué seguimos aplicando leyes territoriales a algo que no lo es? Quiero decir, para atacarme en el mundo físico, el atacante tiene que acercarse... ¿o no? Me explico, ¿puede atacar Corea del Norte a EE.UU.? Sí, por supuesto, puede lanzarle misiles. Entendido. ¿Y EE.UU. puede defenderse? Claro, también puede lanzarle misiles. OK. Entonces [y os pido perdón por adelantado por lo que voy a decir], si alguien me lanza un ataque desde sus equipos en forma de "pseudo-paquetes TCP/IP malintencionados", ¿no podría yo devolverle la moneda de la misma forma sin suponer ningún tipo de vulneración de no-se-qué-legislación?
  • Y, finalmente, ¿qué legitimación tiene una empresa privada para enfrascarse en este tipo de incidentes? Quiero decir, si alguien intenta robar, atacar, o atentar contra otro son las Fuerzas y Cuerpos de Seguridad las que están habilitadas para actuar, sin embargo, en este mundo online, dos empresas se pueden enfrascar en una pelea que... ¿"afecte a Internet"? ¿Quienes son estas empresas para permitirse semejante lujo? ¿En qué se fundamentan? ¿Os imagináis que trasladamos esto al mundo "físico"? Ya me veo a las compañías de seguridad privada persiguiendo por las calles de la ciudad a unos atracadores que han intentado robar una oficina bancaria disparando sus armas sin control... En fin, creo que hay que poner coto a este tema antes de que se nos vaya de las manos.

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

09 abril 2013

El Gobierno de la Seguridad y la Protección de las Infraestructuras Críticas

(Este artículo se publicó originalmente en n+1 tiende a infinito, el blog de n+1 Intelligence & Research)

cascada-objetivos
El modelo de gobierno propuesto por Cobit5 se basa, como principio fundamental, en lo que ha denominado la cascada de objetivos. Lo que propone esta cascada, en esencia, es que nuestras acciones tienen que estar relacionadas con las necesidades de todas las partes interesadas (stakeholders) de nuestra organización.

Si aplicamos este modelo a la seguridad de la información, adaptando el modelo de Cobit5 para las TICs, tendríamos una cascada como la que vemos en la figura adjunta. Es decir, partiendo de las necesidades de las partes interesadas, se fijan los objetivos empresariales, que son los que determinan los objetivos en materia de seguridad de la información y, a partir de ellos, se establecen las metas para los catalizadores de gobierno identificados por ISACA en el mencionado marco de gobierno (políticas, cultura, organización, procesos, información, herramientas y capacidades).

Pero, ¿cuál es la relación con la protección de las infraestructuras críticas?

Si se aplica este modelo a las infraestructuras críticas, lo primero que hemos de hacer es identificar a todas las partes interesadas y sus necesidades. Y si hablamos de proteger las infraestructuras críticas, una de las partes interesadas somos los ciudadanos que podemos vernos afectados por una fallo en dichas infraestructuras. El paso siguiente sería identificar nuestras necesidades y una necesidad sería, lógicamente, que se salvaguardara la seguridad de las mismas para que ningún incidente pudiera llegar a suponer un riesgo para nosotros.

Por tanto, aplicando esta lógica, los objetivos de seguridad del operador de dicha infraestructura reflejarían la necesidad de protección de los ciudadanos solucionando así uno de los grandes handicaps de la protección de las infraestructuras críticas: Que se protejan adecuadamente a pesar de ser gestionadas por operadores privados (en su mayoría) que se rigen por criterios económicos.

Por tanto, ¿debería abordarse seriamente la implantación de marcos de gobierno de la seguridad como medida de protección de las infraestructuras críticas?

... ¿todavía no me sigues en twitter.com/antonio_ramosga?

08 abril 2013

Lectura: "The Cuckoo's Egg"

Creo que fue una recomendación de @lostinsecurity, aunque no lo recuerdo bien... el caso es que es la demostración de que se puede hacer una novela sobre seguridad informática sin caer en estridencias ni en la ciencia ficción, al menos esa es mi opinión.

Personalmente, me ha parecido entretenida, se lee bien (incluso en inglés) y, a pesar de tratarse de una obra publicada inicialmente en 1989 [¡¡¡hace 24 años!!!] mantiene toda su actualidad y aborda las grandes dificultades existentes  para perseguir a los que comenten algún delito informático principalmente por dos aspectos principales a mi juicio:
  • La no-territorialidad de Internet. Mientras que las legislaciones y los instrumentos policiales están ligados a un territorio, los accesos y las comunicaciones permiten las conexiones desde cualquier punto del globo.
  • La incomprensión de la informática por parte de los legisladores y la mayoría de los nacidos no-digitales que hace que se inventen cosas nuevas para los aspectos informáticos cuando, por ejemplo, los delitos son los mismos aunque utilicen medios técnicos "nuevos".
Pero quizás el pasaje que mas me ha gustado ha sido cuando el protagonista (informático hippy) habla con su pareja y ésta le hace ver que lo que está haciendo, intentando atrapar al que ha accedido a su sistema, es actuar cómo un policía cuando se supone que el es un administrador de sistemas. Y, en realidad, hay que reconocer que tiene toda la razón... Somos conscientes de que nadie se puede tomar la justicia por su mano y que hay que recurrir a los cuerpos y fuerzas de seguridad para denunciar y que a ellos le corresponde la investigación, pero sin embargo, en lo que se refiere a la seguridad informática, estamos acostumbrados a técnicas que rozan, si no sobrepasan, la línea roja de lo que se podría entender por defenderse (acceso a equipos de los atacantes, interceptación de comunicaciones, etc.) y se realizan acciones que, en teoría, corresponderían a esos cuerpos y fuerzas de seguridad.

Para finalizar, os dejo con algunas frases extraídas de la novela que han llamado mi atención por algún motivo:
"Pregunté que policías estaban a cargo de Internet"
"No me gustó el sistema de White Sands. No soy capaz de recordar contraseñas generadas por ordenador, por eso las apunto en mi cartera o junto a mi terminal"
"Esto es cada vez más extraño", dijo Martha. "Empezó como un hobby, persiguiendo a un bromista y ahora estás hablando con esos militares con trajes y sin sentido del humor. Cliff esto no es lo tuyo [...] ¿Quieres emplear tu tiempo siendo un policía?"
"¿Cómo mantenéis vuestros sistemas [de la CIA] seguros?" "Estricto aislamiento. No hay cables conectando con el exterior"
"Mi trabajo es hacer funcionar un ordenador. No atrapar criminales"
"La gente pone más atención para cerrar sus coches que para asegurar sus datos"
"Mi salario se desvió del soporte de sistemas al contraespionaje"
"Eran dolorosamente conscientes de que la seguridad interfiere las operaciones. Equipos de alta-seguridad son difíciles de penetrar, y poco amigables en su uso".
"Cualquier sistema puede ser inseguro. Todo lo que tienes que hacer es administrarlo de manera estúpida"
"La cuestión no es "qué equipo es más rápido," no, ni siquiera "cuál es mejor". En su lugar, preguntar "¿Cuál es más adecuado?" o "¿Cuál hará que el trabajo se haga?"
"La red de la NASA [...] es una autopista conectando equipos por todo el país. Un ladrón podrá usar naturalmente esa carretera, pero eso apenas puede ser el fallo del fabricante de la carretera. La NASA solo es responsable de mantener la carretera intacta. La seguridad de cada equipo recae en las manos de la gente que los ejecuta."
"Para tener las redes como nuestro lugar de juegos, tenemos que preservar nuestra sensación de confianza; para hacer eso, tenemos que tomárnoslo en serio cuando la gente rompe esa confianza."
"Ese es el problema de hablar sobre problemas de seguridad. Si describes como hacer una bomba [...], el próximo niño [...] se pude convertir en terrorista. Pero si suprimes la información, la gente no será consciente del peligro."
"La ciencia y el progreso social solo tienen lugar en abierto. [...] Sí, puedes hacer equipos y redes seguros. Pero serán normalmente difíciles de usar y poco amigables."

... ¿todavía no me sigues en twitter.com/antonio_ramosga?