¿Estamos vendidos?

Estas semanas están siendo intensas en materia de Ciberseguridad, los conflictos entre EEUU y China están provocando tensiones políticas debido a los últimos ataques a Facebook, Apple y Twitter, sumándole los intentos de ataques a los reconocidos diarios The New York Times, The Washington Post y The Wall Street Journal hacen que el reciente decreto de Ciberseguridad proclamado por Obama para lanzar ataques preventivos en caso de detectar una amenaza, tenga cada vez más sentido. Las sospechas de que el Gobierno Chino y grandes compañías como Huawai y ZTE estén amenazando a EEUU realizando Ciberespionaje, hacen que el ejercito no sólo tenga que saber defenderse y atacar por medio de tierra, mar y aire, sino también por el Ciberespacio.

Es importante que conozcamos la diferencia entre Ciberseguridad y Ciberdefensa, donde la Ciberdefensa es un subconjunto de la Ciberseguridad que está orientada a proteger los sistemas informáticos, infraestructuras críticas y redes frente a los Ciberataques, incluyendo las capacidades de reacción y respuesta, mientras que la Ciberseguridad es un conjunto de medidas para proteger la información de los Sistemas de Información de manera que se garantice la confidencialidad, integridad y disponibilidad de la información

Repasando la Estrategia de Ciberseguridad de la Unión Europea me ha llamado la atención varias cosas que deberíamos tener en cuenta. ¿Qué pasaría si mañana hubiese una guerra entre América y España? Los Americanos lo tiene muy fácil para entrar en nuestros sistemas, robarnos toda la información o incluso paralizar el país, ¿por qué? Porque la mayoría de nuestros sistemas de seguridad como cortafuegos, SIEM, antivirus, antispam, IPS, etc son desarrollados por ellos mismos, además la mayoría de los sistemas operativos, tanto de servidores como de escritorio o teléfonos móviles también se desarrollan en EEUU, y si entramos en sistemas SCADA, GPS o sistemas de control del ejército seguro que también hay parte de desarrollo de EEUU.

La estrategia de Ciberseguridad de la Unión Europea trata de evitar que estemos vendidos a países como EEUU, China o Japón, incentivando el desarrollo de recursos industriales y tecnológicos, promocionando un mercado único de productos de seguridad e impulsando las inversiones en I + D e Innovación.

Si queremos mantener un estado sólido y seguro, ante la opción de elegir productos y servicios españoles o extranjeros, deberíamos siempre optar por las empresas españolas si no queremos estar controlados por otros gobiernos, la lástima es que hasta ahora no se haya potenciado las empresas españolas tecnológicas y todos nosotros compremos productos chinos o americanos, o lo que es aún peor, que empresas españolas punteras sean compradas por los americanos debido a que no han recibido el suficiente apoyo del Gobierno de España para mantenerse y seguir creciendo en un sector tan complicado como las TIC.

PCI-DSS

Viendo que cada día realizamos más transacciones bancarias utilizando los medios electrónicos, que cada vez existen más servicios de banca online y que la mayoría disponemos de tarjetas de débito o crédito, sumándole la grave crisis que atraviesa Europa y en particular España, y conociendo que cada vez existen más organizaciones criminales intentando engañar a usuarios y empresas para obtener dinero de manera rápida y fácil, voy a realizar un pequeño resumen de qué es, quién debe cumplirlo y cuáles son los controles necesarios que hay que satisfacer para securizar las transacciones bancarias que realizamos mediante tarjetas de pago.

¿Qué es PCI-DSS?

Es un estándar desarrollado por las principales compañías de tarjetas de débito y crédito, con la finalidad de asegurar las transacciones y datos de los clientes que realicen pagos mediante tarjetas, evitando los fraudes que puede involucrar su uso.

¿Quién debe cumplirlo?

Lo deben cumplir todos los proveedores de servicio (Bancos y Cajas) que procesen, guarden o transmitan información de las tarjetas, están obligados a realizar auditorías insitu anuales y análisis de vulnerabilidades trimestrales por auditores acreditados por Qualified Security Assesor (QSAs) pero … ¿y los comercios? Pues también deben cumplir el estándar, pero a estos sólo se les exige realizar cuestionarios de auto evaluación.

¿Cuáles son los requisitos para cumplir la PCI-DSS?

Crear y mantener una red segura

• Requisito 1: Instale, mantenga y segmente la red mediante cortafuegos para proteger los datos de los titulares de las tarjetas.
• Requisito 2: No use contraseñas ni configuraciones por defecto.

Proteja los datos del titular de la tarjeta

• Requisito 3: Proteja los datos del titular de la tarjeta en discos cifrados.
• Requisito 4: Cifre la transmisión de los datos de los titulares de tarjetas a través de red públicas abiertas.

Desarrolle un programa de administración de vulnerabilidad

• Requisito 5: Utilice software antivirus actualizado.
• Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras.

Implemente medidas sólidas de control de acceso

• Requisito 7: Utilice la ley de mínimo privilegio de acceso a los datos de los titulares de las tarjetas según los requerimientos de la empresa.
• Requisito 8: Utilice nombres de usuarios únicos para cada persona que acceda al sistema informático.
• Requisito 9: Limite el acceso físico a los datos del titular de la tarjeta.

Supervise y pruebe las redes regularmente

• Requisito 10: Rastree y supervise los accesos a los recursos de red y a los datos de los titulares de las tarjetas trazando todos los eventos.
• Requisito 11: Pruebe los sistemas y procesos de seguridad regularmente.

Mantenga una política de seguridad de información

• Requisito 12: Elabore y mantenga una política de seguridad de la información.

Aquí lo dejamos hoy, donde hemos visto un breve resumen del estándar PCI-DSS y los requisitos necesarios que se deben cumplir y que debemos exigir para que todos nosotros podamos realizar transacciones bancarias de manera segura y fiable desde cualquier lugar.

Lamers

Se considera lamer a toda persona que presuma tener unos conocimientos o habilidades que realmente no posee, como por ejemplo aquellos que se hacen llamar piratas informáticos utilizando técnicas y herramientas de auténticos hackers, o aquellos usuarios de Internet que se creen ser entendidos o tener grandes conocimientos, siendo en realidad ineptos en la materia.

Muchas veces digo esto de “cuanto más sabes, menos crees que sabes” ya que cuanto más estudio, más cosas quiero aprender porque veo que siempre hay algo que no domino o me gustaría aprender con mayor profundidad, es decir, me da la sensación de que cuanto más leo y aprendo hay más cosas que me gustaría saber, pero obviamente es imposible saberlo “todo”, y es ahí donde debemos ayudarnos los unos a los otros para poder complementar nuestros conocimientos con los de las otras personas. Además, es importante tener claro que una vez aprendida una determinada materia o habilidad, llevarla a la práctica para no olvidarla.

Por tanto, que una persona alardee de ser un hacker o el mejor informático del mundo mundial sin que otras personas que realmente entienden del tema lo hayan etiquetado como tal, no se merece otro calificativo que el de prepotente y arrogante.

Por otro lado, es importante saber el grado de conocimiento sobre la materia de las personas a las que nos dirigimos ya que esto puede hacer que seamos “lamers” en determinados escenarios. Por ejemplo, en mi caso puede haber personas que lleven varios años estudiando seguridad y redes, y al leer las entradas de este blog piensen que soy un lamer ya que utilizo herramientas e información procedentes de Internet y no he desarrollado nada propio, en cambio también habrá personas que no conozcan algunas cosas de las que expongo en este blog y consideren que domino la seguridad y las redes.

Este concepto también es trasladable a las empresas, ya que solemos ver publicidad de “el mejor servidor”, “el servidor más eficiente y potente del mercado”, ¿son las empresas lamers? ¿en qué se basan para dar esa publicidad? Obviamente todos decimos lo bueno y bonito que es lo que vendemos y hacemos, pero realmente son los clientes los que deben ponernos esa etiqueta de calidad.

Así que para terminar, esta entrada es simplemente para criticar el concepto de lamer, pienso que todos somos lamers, ya que siempre habrá alguien que sepa más que nosotros y por tanto criticarán nuestros conocimientos y nuestra forma de trabajar, mientras tanto no nos queda otra que seguir estudiando y aprendiendo para hacerlo lo mejor posible.

Layer 2 Attacks

Existen muchas medidas y controles para asegurar los equipos y servicios en las capas altas del modelo OSI, realizamos análisis de virus, filtramos el acceso web, evitamos correos SPAM, controlamos el uso de las aplicaciones, inspeccionamos que los servicios no sean víctimas de ataques XSS o SQL Injection, e incluso vigilamos los ficheros descargados y enviados para eludir la fuga de información o la descarga indebida de ciertos archivos. Pero, vuelvo a repetir, no debemos olvidar las Capas 1 y 2 del modelo OSI, los ataques que voy a comentar a continuación tienen más de cuatro años y aún las organizaciones no tratan de subsanar estas deficiencias y por tanto evitar estos ataques, probablemente sea por desconocimiento, porque no les preocupa o porque nadie les ha explicado qué pasaría si … sucediese esto, aquello y lo otro, pero lo que está claro es que la mayoría tiene la infraestructura y los medios adecuados para implantar las medidas necesarias para mitigar este tipo de ataques.

MAC Flooding

Mediante dsniff y la utilidad macof podremos realizar DoS de switches quedando a los usuarios sin acceso a los recursos de red, o incluso capturando todo el tráfico generado por los usuarios. Es tan sencillo como instalarse la herramienta dsniff en un equipo Linux y ejecutar el siguiente comando:

# macof -i Interfaz

A continuación os dejo un vídeo donde el atacante realiza el ataque y obtiene la contraseña de un usuario: Active Sniffing – Mac Flooding (macof and Wireshark)

VLAN Hopping

Mediante la herramienta Yersinia podremos levantar un trunk 802.1Q con el switch para comunicarnos con equipos de otras redes a las que supuestamente no tenemos permisos de acceso, o en el caso de que DTP esté deshabilitado podremos enviar tráfico a otros equipos mediante double tagging.

Para una explicación detallada del ataque seguir la siguiente entrada: Abusing VLANs Witch BackTrack.

Spoofing Attacks

Este ataque lo podemos realizar con la herramienta arpspoof de dsniff, con ello conseguiremos que todo el tráfico de un usuario pase por el equipo del atacante permitiéndonos conocer qué servicios está utilizando e incluso todas las contraseñas que viajen en texto claro. Para ello realizaremos un ataque DUAL ARP, es decir, un ataque Man in the Middle (MITM) de la siguiente manera:

# echo 1 > /proc/sys/net/ipv4/ip_forward

Le decimos al router que los paquetes que vayan para la víctima nos los envíe a nuestro equipo.

# arpspoof -i Interface -t ip_router ip_victima

Le decimos a la víctima que los paquetes para el router nos los envíe a nuestro equipo.

# arpspoof -i Interface -t ip_victima ip_router

Como podemos ver es muy sencillo realizar estos ataques, no es necesario tener unos conocimientos avanzados sobre redes para comprometer el rendimiento de la red de una organización o para realizar ataques MITM y así obtener toda la información que viaja entre el equipo del usuario y el servidor, sin que éste se percate. Es decir, cualquier Script Kiddie con toda la información que hay disponible actualmente en Internet podría causarnos más de un dolor de cabeza si no se tiene la infraestructura de red debidamente controlada. Para finalizar, no olvidemos asegurar la capa de enlace, ya que un atacante no tiene por qué ser solamente una persona perteneciente a la organización, sino que también puede ser un atacante remoto que haya comprometido algún equipo de la red local de la organización.