Switch Security

Muchas organizaciones securizan su infraestructura pensando en que los ataques siempre provienen desde fuera y nunca desde dentro de su propia plataforma, a menudo se toman medidas de seguridad filtrando paquetes basándose en las cabeceras de las Capas 3 y 4 del Modelo OSI, filtrando puertos, realizando una inspección completa de los paquetes, etc. Esto hace que no se tenga en cuenta las capas inferiores en la securización de las comunicaciones y por tanto exista un vacío de seguridad en las Capas 1 y 2 del modelo OSI.

Algunos de los problemas que nos podemos encontrar en estas capas pueden surgir a partir de que un usuario, no necesariamente malintencionado, enchufe el cable que va conectado a su ordenador a un switch, hub o punto de acceso para compartir la conexión con algún compañero, para expandir el radio de acción mediante Wifi, etc. Otro problema que puede surgir es simplemente que el usuario tenga el servicio de DHCP instalado y habilitado en su equipo, y por tanto ofreciendo direccionamiento IP a todo aquel que esté a su alcance. Estos son dos ejemplos claros y sencillos que pueden aparecer en cualquier organización que no esté debidamente controlada, y que pueden provocar que los administradores de red dediquen mucho tiempo en la búsqueda del origen del problema. Por tanto en este post veremos cómo podemos protegernos contra los siguientes ataques de Capa 2:

MAC Flooding

Es el ataque más común y consisten en llenar la tabla CAM del switch para obtener información dirigida hacia otros equipos o realizar un ataque de DoS.

Este tipo de ataque se puede evitar mediante la funcionalidad de Port Security de Cisco, además de bloqueando la inundación de unicast en puertos específicos. Mediante la característica de Port Security estableceremos el número de direcciones MAC que pueden enviar tráfico por un determinado puerto del switch, o también podemos limitar qué direcciones MAC están permitidas enviar tráfico por dicho puerto.

VLAN Hopping

Realizando este ataque podremos enviar paquetes o recoger paquetes desde una VLAN que no debería ser accesible por el sistema final. El ataque consiste en tagear de nuevo el paquete con la VLAN a la que queremos acceder, o negociar un enlace en modo trunk con el switch.

Este tipo de ataque se puede evitar configurando listas de control de acceso basadas en VLAN (VACLs) donde se puede definir qué direccionamiento, e incluso MAC address, puede enviar tráfico en una determinada VLAN. Además, no olvidemos de configurar los puertos del switch que no se estén utilizando como puertos de acceso en estado shutdown y asociándolos a una VLAN que no tenga tráfico de datos, mientras que los puertos en modo trunk deberemos configurarlos con una VLAN nativa que no emita tráfico de datos, el trunk esté activado y no negociado, y por último especificar el rango de VLAN permitidas.

Spoofing Attacks

Estos ataques pueden ocurrir sobre varios protocolos permitiendo a un atacante realizar ataques de man-in-the-middle (MIM), de tal manera que tras el ataque todo el tráfico fluye por el equipo del atacante antes de enviárselo al router, switch o equipo de destino.

El ataque de DHCP Spoofing lo podremos evitar mediante la característica DHCP Snooping de Cisco, mientras que los ataques de ARP Spoofing los podremos evitar mediante las técnicas de inspección dinámica ARP que ofrecen los fabricantes de switches. Por otro lado, los ataques de IP Spoofing los podremos evitar configurando IP Source Guard que uniéndolo a DHCP Snooping el switch conocerá la asociación IP – MAC por puerto, evitando los ataques MIM.

Para no extenderme más y finalizar, tan solo quiero comentar que existen muchas más técnicas que hay que tener en cuenta a la hora de securizar nuestra infraestructura, como puede ser la configuración de 802.1X basado en puerto, CDP, etc. Así que como veis, existen multitud de característica a implementar, y que lógicamente los atacantes siempre las tienen en cuenta para llevar a cabo sus hazañas.

Copyright

Descargar cualquier software, película, documento, juegos, etc con contenido protegido por derecho de autor mediante descarga directa o utilizando alguna aplicación de descarga p2p como uTorrent, eMule, Kazza o Ares, todos sabemos que es ILEGAL. Multitud de leyes han surgido para evitar estos problemas como las leyes de Estados Unidos (Ley SOPA y PIPA), la ley en Francia (Ley HADOPI) y la ley de España (Ley Sinde), todas ellas con sus ventajas e inconvenientes y con sus defensores y detractores.

Siempre podemos tener la duda de “si mi vecino me roba el wifi o si tengo un virus en el ordenador que descarga cosas sin yo saberlo”, pero ¿cómo podemos controlar esto? ¿cómo se puede identificar a la persona que descargó algo ilegal? No se exactamente si los routers domésticos que tenemos en casa registran todas las conexiones que realizamos, incluyendo el identificador único (MAC) al que está asociado las tarjetas de red de nuestros equipos, de no ser así sería el primer punto a tener en cuenta para detectar las descargas ilegales, al igual que se hace con los registros de telefonía móvil, donde los proveedores deben almacenar todas las llamadas, mensajes, posición GPS, etc de los dispositivos durante un periodo mínimo de 6 meses y máximo 2 años. ¿Por qué no se hace? ¿No interesa a los Proveedores de Servicios? ¿No interesa a los Gobiernos? Probablemente esté equivocado en algún punto, no soy abogado y no me he estudiado la ley, pero diría que existen los medios necesarios para detectar si una persona descarga contenido ilegal.

Tengo que reconocer que este es un tema complicado de llevar a cabo, ya que tras una denuncia de una casa discográfica o productora de cine a un determinado usuario, requiere un profundo peritaje en el que hay que auditar al proveedor de servicio de Internet, equipos de los usuarios, servidores, etc y esto requiere mucha burocracia, y cuando el producto descargado proviene de un país distinto, el caso es aún más complejo. Mismamente de esto se aprovechan los Trolls del copyright, que son abogados de las propias productoras que contactan con los usuarios indicándoles que si realizan un pago de entre 1500 y 3000 dolares, estos no serán multados. En EEUU hay más de 250.000 usuarios afectados por los trolls del copyright, así que podemos ver que las propias productoras se benefician de la piratería.

Muchos diréis, ¿pero cómo se puede demostrar que mi portátil ha realizado una descarga ilegal? Actualmente, aunque no imposible sería difícil de demostrar, sin embargo se podría mejorar registrando cada tarjeta de red a una determinada persona, como se hace con los teléfonos móviles o las armas de fuego, aunque al igual que el cañón de una pistola puede ser modificado para no dejar la huella en la bala, un portátil también podría ser modificado para no dejar huella, pero ya estaríamos hablando de técnicas de ocultación.

Todo esto trasladado a nivel empresarial, es importante tenerlo en cuenta, ya que se debe evitar que los usuarios realicen descargas ilegales mediante controles de acceso, filtro webs, control de aplicaciones, políticas basadas en identidad o de capa 8 como la llaman algunos fabricantes, y no olvidemos nunca que todos los usuarios deben conocer y cumplir la política de seguridad referente al buen uso de los equipos informáticos y la red. Además, los administradores de sistemas deben tener inventariado el software instalado con sus correspondientes licencias, y ser conscientes de los problemas que puede acarrear la instalación de software ilegal en los equipos de la empresa, para que no sean sorprendidos con multas millonarias de pirateo de software.

Por tanto, para finalizar es importante que en un entorno empresarial se cumpla con los controles del módulo “A15 - Cumplimiento” de la ISO 27001, para detectar qué leyes debe cumplir la organización, realizar un seguimiento y comprobar si se están cumpliendo, sin olvidar el registro e inventariado de todo el software disponible en la organización.

Scammers

Todos los que trabajamos en el mundo de la tecnología desde hace años sabemos y conocemos cómo funcionan la mayoría de dispositivos electrónicos como ordenadores, smartphone, tablets, etc. Pero no debemos olvidar que hay mucha gente que no tiene conocimientos en tecnología y mucho menos en seguridad, que no saben encender el ordenador, crear una presentación con PowerPoint o utilizar un procesador de textos. La mayoría de estas personas no tienen conocimientos mínimos en tecnología porque no lo necesitan, no lo han necesitado o simplemente les da miedo este mundo, pero todos ellos son igualmente válidos y muy apetecibles para las mafias y ciberdelincuentes, ya que tienen el recurso más preciado por los delincuentes, dinero y datos personales.

Cuando a un niño se le regala su primer portátil o a una persona adulta su primer teléfono móvil para que esté conectado con la familia, comienzan a entrarse en este mundo maravilloso, bonito y sencillo de la tecnología, pero a ninguno se le muestra lo retorcido, malvado y diabólico que puede llegar a ser. Todos estamos constantemente conectados con la tecnología, desde niños hasta personas adultas, la tecnología está presente en nuestros televisores, coches, trenes, aviones y todo lo que podáis imaginaros, utilizamos tecnología en el trabajo, en la calle y en casa.

Aquí es donde entra en juego las mafias y delincuentes, intentándose aprovechar de todas las personas, para ello estudian minuciosamente cada sistema operativo, aplicación, dispositivo electrónico, invirtiendo mucho dinero y tiempo, y contratando a personas muy cualificadas para explotar los recursos al máximo con el fin de engañar a las personas. La ingeniería social es una de las técnicas mas utilizadas para engañar a los usuarios, enviándoles correos electrónicos, sms, llamándoles, indicando que han ganado un premio, que vas a conocer a la chica de tus sueños o que vas a ganar mucho dinero sin mover un dedo. En este post quería dar la entrada al termino scammers, muy relacionado con la ingeniería social, ya que este es el nombre que se les da a los delincuentes que engañan y estafan a los usuarios, ya sea por correo electrónico, llamadas telefónicas o páginas web fraudulentas.

Siempre me gusta dar algunos ejemplos de noticias recientes relacionadas con el tema, y en este caso podemos ver desde La Comisión Federal de Comercio que existe una campaña para concienciar a los consumidores de la estafa cada vez más popular y utilizada por los delincuentes, que consiste en llamar al usuario haciéndose pasar por el soporte técnico de Windows para hacer ver a la víctima que tiene un virus y que debe instalarse un software para eliminarlo, siendo este un software que en lugar de eliminar virus deja la puerta abierta al atacante. Pero no solo intentan engañar a los usuarios sino también a personas que trabajan para empresas, como puede ser el conocido caso del hacker que engañó al soporte técnico de Apple, donde el scammer se hizo pasar por un usuario de Apple para resetear la contraseña de iCloud de la víctima, y así poder robar toda su información y borrar el contenido de sus dispositivos iPhone, iPad y MacBook.

Para evitar estos problemas, además de los cursos de concienciación en seguridad que deben recibir los empleados y la sociedad en general, todos ellos exigibles en la ISO 27001, es recomendable realizar auditoría de seguridad no solo de la parte técnica sino también de todo aquello perteneciente a Recursos Humanos, para ello nos podemos basar en metodologías como OSSTMM de ISECOM, donde el auditor debe realizar llamadas telefónicas a los empleados de la empresa auditada para comprobar si los empleados proporcionan información confidencial o son fácilmente engañados.

Aprovechando este minientrada a OSSTMM, una herramienta muy útil para auditores y completamente compatible con OSSTMM 3 es la recientemente lanzada por Fedora Security Lab, que la disfrutéis.

La confianza

 

Según la Real Academia Española la confianza es la “esperanza firme que se tiene de alguien o algo” y creo que es un concepto muy necesario en los actuales modelos de negocio tanto para la venta de servicios como de productos, ya que los clientes necesitan fiarse de la persona o empresa a la que les compran, siempre pensando en que el producto o servicio que se le vende cumple la necesidad por la que fue comprada. Pero no solo la confianza se da en la compra/venta de productos sino también, y cada vez más, en las relaciones personales entre compañeros, jefes, familia, amigos, etc, pienso que la confianza es algo imprescindible para compartir opiniones, información o incluso para hacer negocios, pero también es algo difícil de medir y controlar en la vida diaria y como no, en las organizaciones.

La confianza es un riesgo que toda organización debe asumir y por tanto es un peligro en cuanto a seguridad, sin embargo hay que intentar controlarlo de la mejor manera posible firmando acuerdos de confidencialidad, clasificando la información, estableciendo políticas de seguridad, asignando permisos de accesos por roles o usuarios, etc. Pero por muchos controles que se establezcan la confianza puede saltárselos todos, revelando contraseñas, compartiendo documentos, en definitiva, proporcionando información confidencial a un tercero. Es en este punto donde entra la profesionalidad y la valía de cada persona, en el que debe tenerse cuidado qué se dice, a quién se dice y cómo se dice, ya que el traspaso de cierta información puede dificultar el éxito de un proyecto, puede desencadenar la perdida de clientes o incluso puede comprometer la continuidad de un negocio. Desde los ejecutivos, directores, consejeros, CEO, CIO, CSO hasta técnicos, limpiadores, electricistas, guardas de seguridad, etc, todos tenemos información confidencial, de mayor o menor grado, que no deberíamos revelar bajo ninguna circunstancia tanto durante el empleo como tras el cese del empleo o cambio de puesto de trabajo.

Ejemplo de estos problemas se ven diariamente, como el caso de la Operación Pitusa donde hay más de 80 personas detenidas por el traspaso de información confidencial, desde agentes de la Guardia Civil, empleados públicos de las Seguridad Social o empleados de compañías telefónicas. Todos nosotros hemos cedido datos personales, tanto a compañías privadas como públicas, confiando en que estos datos no serían utilizados y vendidos para otro fin que no fuese por el que se entregaron, pero vemos que la confianza y los sobornos lo pueden todo, se han saltado todos los controles de seguridad definidos y finalmente nuestros datos han sido expuestos y utilizados por mafias. Otro caso reciente es la detención del mayordomo y hombre de confianza del papa Benedicto XVI donde se ha podido comprobar que el ex mayordomo del Papa fotocopiaba documentos y los filtraba a la prensa, y por tanto violaba todas las políticas de seguridad.

Pero no solo es trasladable a la confianza de las personas, sino también a la confianza técnica como puede ser la confianza que tenga un equipo o usuario a un certificado. En este caso quiero hacer referencia al robo del certificado de Adobe donde varios hackers lo han utilizado para propagar malware e infectar los equipos de los usuarios, con el certificado firmaban el malware y lo distribuían engañando a los usuarios, y saltándose los antivirus y políticas de seguridad de los Sistemas Operativos con el objetivo de contagiar y controlar el mayor número posible de equipos.

Para finalizar, aunque la confianza es difícil de controlar y medir, es necesario y recomendable establecer unos controles mínimos para evitar situaciones desastrosas, y por tanto en este caso se aconseja cumplir todos los controles pertenecientes a los dominios A8 – Seguridad ligada a los recursos humanos y A15 – Cumplimiento.

Internet lo recuerda todo

 

Sin duda la red de redes llamada Internet que conocemos hoy en día guarda más información de la que podemos imaginar, todo lo que hacemos desde que nos conectamos a Internet queda registrado, da igual que hayas utilizado un portátil, un smartphone, que te conectes desde la ADSL de tu casa, desde el trabajo o desde cualquier cafetería, todo queda debidamente registrado para que ante cualquier ilegalidad o problema se pueda conocer quién, cómo, cuándo y desde dónde se realizó dicha acción ilegal. Pero no es sólo eso, sino que con la aparición de las redes sociales como Facebook, Tuenti, Google+ o la utilización de Twitter y Linkedin, hace que a veces publiquemos más información de la realmente necesaria que ayuda a cualquier otra persona a conocer los contactos y amigos, lugares que has visitado y que estás visitando, tus aficiones o incluso conocer hasta qué grado de relación tienes con las personas que te rodean, toda esta información es muy útil para delincuentes y piratas informáticos, o incluso para tu jefe si ve que el Lunes has llegado con mala cara al trabajo.

Además de las herramientas comentadas anteriormente, para obtener información se pueden utilizar otras herramientas como archive.org desde donde podremos conocer el recorrido de las empresas desde sus inicios consultando las noticias publicadas, productos, proyectos, etc. También podemos utilizar herramientas de extracción de metadatos como Foca, para obtener información de documentos y así conocer quién, cómo y cuándo redacta ciertos documentos dentro de las organizaciones. Más vulnerable a este tipo de cosas son las personas famosas ya que mediante la extracción de metadatos de las fotos, de sus comentarios en twitter o incluso conociendo las matriculas de sus jet privados podemos saber cuáles han sido sus últimos vuelos o dónde se encuentran actualmente.

Por tanto, toda esta información es utilizada por los piratas informáticos para realizar ataques dirigidos mediante ingeniería social contra las víctimas, y así entrar en sus equipos y dispositivos móviles para luego publicar información confidencial de proyectos y productos, o incluso publicar fotos íntimas de famosas como las de Scarlett Johansson, Mila Kunis o Cristina Aguilera. Pero no solo aprovecha toda esta información los piratas informáticos sino que también es utilizada por la Guardia Civil y el FBI para atrapar a los “malos”, como por ejemplo cuando capturaron a un hacker gracias a que publicó una foto del escote de su novia.

Así que, como vemos, toda esta información está guardada en Internet y por tanto debemos ser conscientes de todo lo que hacemos y publicamos, ya que probablemente toda esta información perdurará para siempre. Esto hace que cada vez veamos más la necesidad de recibir cursos y charlas sobre el uso de las redes sociales para que no nos pase como al ejercito australiano donde los talibanes se han hecho pasar por mujeres en Facebook para robar secretos militares, así que una vez más vemos que el eslabón más débil está en las personas y para ello no hay herramienta, método, procedimiento, mecanismo, capacidad o fundamento que lo controle.

Siempre me gusta asignar cada uno de los post con alguno de los controles de ISO 27001, y en este caso vemos que toda la información que se puede extraer de una persona va a ser muy útil para el departamento de RRHH para elegir y corroborar los datos de un candidato a un puesto de trabajo, por tanto se puede asociar al control “A8.1 Antes del empleo”.

Para finalizar, os dejo este maravilloso vídeo donde podemos ver claramente la capacidad que tiene Internet de “leer la mente” de los ciudadanos.