Collective Intelligence Framework

Se habla mucho de la ingeniería que hay detrás de cada malware utilizado en ataques APT, con un claro alcance de robo de información confidencial y dirigidos a gobiernos y grandes empresas, para su desarrollo se necesitan grandes cantidades de dinero ya que es necesario un equipo de desarrollo con grandes conocimientos en la infraestructura a explotar, además para que el ataque sea lo más sigiloso y eficiente posible cada malware debe ser capaz de realizar diversas funciones, como buscar información, grabar conversaciones o propagarse sin ser detectado, y todo ello en unas pocas líneas de código para extenderse fácilmente por la red.

Sin embargo, algunas veces nos olvidamos que no todos los ataques son APT, de hecho la mayoría no lo son. La mayoría de ataques son ejecutados por Script Kiddies, que les gusta jugar a ser delincuentes desde sus casas, o también por personas que venden los “recursos” de sus botnets en el mercado negro, en cualquier caso suelen emplear los mismos ataques contra un gran conjunto de equipos, utilizan las mismas herramientas de exploit para desplegar malware e incluso realizan los ataques siempre desde las mismas IPs de origen.

Por este motivo sería interesante disponer de una base de datos mundial donde se almacene los datos de posibles atacantes, y así aprovecharnos del Big Data y Data Mining de Internet, al igual que grandes corporaciones están usando las estadísticas de las búsquedas realizadas por los usuarios en Google para invertir en bolsa, es decir, si hay un gran porcentaje de usuarios realizando búsquedas en un determinado sector, quiere decir que hay intereses en ese sector y las acciones pueden subir. ¿Por qué no extrapolar esto a la seguridad? Crear una gran base de datos donde estén todas las IPs, dominios, web … maliciosas, es decir, una lista negra de atacantes, de esta manera sería sencillo evitar un gran porcentaje de ataques.

Por supuesto yo no he inventado nada, esto ya está inventado y listo para que lo utilicemos, estamos hablando de servidores CIF o Collective Intelligence Framework, son bases de datos mundiales con direcciones IPs, URLs y dominios clasificados por su reputación, es decir, si desde una dirección IP se ha realizado 100 ataques en la última semana lógicamente no tiene la misma reputación que una IP que tan solo haya realizado un ataque, o por ejemplo hay páginas web que tienen más malware alojado que otras, esta reputación le debe servir al administrador de seguridad para saber si los sistemas están accediendo a servicios confiables o si una determinada IP con baja reputación está realizando solicitudes de manera constante contra nuestros recursos, para lógicamente bloquear este tipo de tráfico.

En cualquier caso, cuanto mayor información de ataques y anomalías disponga el servicio CIF más interesante y fiable será, por lo que animo a todos a participar y colaborar activando estos servicios en sus sistemas perimetrales o SIEM.

¿Me estás espiando?

La repercusión mediática que está teniendo el proyecto PRISM no es para menos, lo he visto en televisión, escuchado en la radio y leído en prensa cómo la Agencia de Seguridad Nacional (NSA) perteneciente al Departamento de Defensa de EEUU está capturando, analizando y guardando toda la información que pasa por las líneas de comunicaciones para vigilar y evitar atentados terroristas. Obviamente todo ello con la ayuda de las principales compañías tecnológicas de EEUU como Microsoft, Apple, Facebook, etc, además de apoyarse en la ley FISA y el proyecto Einstein.

Mediante la ley FISA el gobierno de EEUU tiene permiso para vigilar y recolectar información sobre las comunicaciones electrónicas de potenciales sospechosos terroristas, mientras que el proyecto Einstein consiste en un sistema IDS formado por un conjunto de sondas ubicadas estratégicamente para colectar, correlacionar, analizar y alertas sobre cualquier intento de ataque, es decir un SIEM gestionado por US-CERT.

Según Barack Obama, las escuchas abortaron ataques en más de 20 países, entre ellos un atentado en el metro de Nueva York en el 2009, que lástima que no pudieron evitar el atentado de Boston. De todos modos hoy Obama tiene que defender el programa de ciberespionaje PRISM a los líderes europeos en la cumbre del G8, me gustaría ver las caras, tras la reunión, de los líderes europeos al conocer que el presidente de EEUU puede entrar en sus Facebook y leer sus correos personales.

En una entrada anterior dije que estamos vendidos, y que ante una futura guerra no tendríamos nada que hacer, ya que el mundo actual en el que vivimos está repleto de tecnologías que no controlamos y que han sido fabricadas fuera de España, permitiendo que los fabricantes nos manejen como marionetas. Un ejemplo muy llamativo es cómo Microsoft proporciona los exploits 0-day al gobierno de EEUU antes de parchear los sistemas, permitiendo a EEUU explotar las vulnerabilidades del software vendido a otros gobiernos extranjeros, y ¿qué empresa u organismo público no tiene sistemas Microsoft? Que yo conozca ninguno, en definitiva que estamos invirtiendo mucho dinero en sistemas de seguridad dejando la puerta abierta a EEUU.

A lo mejor aquí es donde debería entrar en juego el software libre, ya que mediante auditorías de código fuente tenemos la posibilidad de analizar los sistemas, y aún así, en todo caso siempre deberemos confiar en un tercero, por tanto en seguridad de la información cada vez es más importante la confianza y por ende la confidencialidad que el proveedor pueda entregar, que ni las más grandes como Microsoft o Google han podido respetar, parece ser que a partir de ahora además de nosotros como clientes de aceptar su política de no distribuir ni hacer copia de su software, tendremos que obligarles a que nos firmen nuestros acuerdos de confidencialidad que aparecen en los controles A.6.2 de la ISO 27001.

Para terminar, como la información es poder y EEUU tiene toda la información, esperemos que a Obama no le entre el gusanillo que tienen todos los adolescentes de saber la contraseña de sus novias, no sea que a nuestros políticos y gobernantes ...

Privacidad vs Seguridad

La seguridad siempre ha estado reñida con la comodidad y la complejidad al realizar una determinada tarea, es decir, nos obligaron y nos concienciaron a ponernos el cinturón cuando nos montábamos en el coche o ponernos el casco cuando íbamos en moto, a pesar de la incomodidad que ello suponía al principio, hoy en día es algo aceptado y adaptado por todos. En cambio, la utilización de algoritmos de cifrado fuertes, no usar la misma contraseña para todo y mantener actualizado los equipos es un asunto que debemos mejorar. En el extremo opuesto tenemos a las personas que apagan el router cuando salen de casa, tienen contraseñas de 15 caracteres con números, mayúsculas y minúsculas, y hablan en código para que no se entere el que está al lado. Claramente cuanta mayor seguridad establezcamos, más complejo e incómodo es su utilización, lo ideal es implantar unas medidas de seguridad acorde al valor de la información a proteger, aquí es donde entra en juego el valiosísimo análisis de riesgos que lo dejaremos para otra ocasión.

Al igual que debe existir una balanza equilibrada sobre complejidad – seguridad, debe existir la balanza privacidad – seguridad. A nadie nos gusta que la plataforma antispam descifre nuestros correos, pero es necesario para analizar si es spam o tiene algún tipo de malware, tampoco nos gusta que quede registrado todas las web que visitamos o que se analicen todos los archivos que compartimos para ver si estamos facilitando la fuga de información confidencial de la organización. La mayoría de organizaciones disponen de sistemas UTM y SIEM en el perímetro, que realizan estas y muchas otras funciones permitiendo que los administradores y directores de TI tengan toda esta información. Ahora es cuando entra en juego los acuerdos de confidencialidad firmados junto a las obligaciones y funciones del personal, y sobre todo la ética y la conciencia de los administradores y directores de TI de no usar la información con fines malintencionados.

¿Y por qué digo esto? Porque la semana pasada The Guardian publicó que la NSA tiene acceso a los servidores de las principales compañías tecnológicas como Apple, Google o Facebook, obteniendo correos, vídeos, fotos, etc para garantizar la seguridad del país, es decir, principalmente para luchar contra el terrorismo. Aunque esto era de esperar ya que desde el 2001 la NSA está interceptando y almacenando las comunicaciones de compañías de telecomunicaciones como AT&T y Verizon, y precisamente en Septiembre de este año se inaugurará el centro de ciberespionaje más grande del mundo situado en Utah.

En definitiva, tenemos al Gran Hermano situado en EEUU y tenemos dos opciones, utilizar sus servicios o no utilizarlos. La mayoría de las personas utilizamos los servicios “gratuitos” que nos brindan las compañías de EEUU, hemos puesto nuestros datos en sus manos y ahora debemos confiar en que no utilicen nuestra información con fines malintencionados. Y me pregunto yo, ¿Tendremos algún Gran Hermano en España? ¿estas noticias desmoronan la utilización de la nube?

Saludos.

Autenticación de doble factor

Controlar quién puede acceder a un determinado recurso es una práctica que se realiza desde hace mucho tiempo, inicialmente la información y los objetos valiosos como joyas y dinero se encontraban en cajas fuertes que estaban protegidas mediante un código PIN (Personal Information Number), posteriormente con el desarrollo de las tecnologías se comenzó a trasladar el mismo sistema de autenticación a los sistemas informáticos como servidores, PCs y dispositivos móviles, aunque en este caso hemos visto una pequeña variación ya que actualmente en la mayoría de servicios nos piden también un usuario para identificarnos, y dependiendo del usuario se nos concederá permisos para acceder a unos determinados recursos u otros.

El método de autenticación de usuario/contraseña es un método tan primitivo que hoy en día la mayoría de las personas están demandando un cambio radical en el sistema de autenticación sin que nos demos cuenta, estamos registrados en una infinidad de servicios web y es prácticamente imposible definir un usuario y contraseña por cada una de ellas, y más aún cambiar la contraseña cada cierto tiempo para evitar ser adivinada por terceros. El hecho de utilizar las mismas credenciales para la mayoría de servicios, y la facilidad con la que los “malos” realizan ataques SQL Injection sobre los servicios web, para posteriormente publicar las credenciales de los usuarios en Pastebin, está haciendo que se cambie el sistema de autenticación de usuario/contraseña a un sistema de autenticación de doble factor que proporciona a los usuarios mayor seguridad en los sistemas de validación.

El sistema de autenticación de doble factor consiste en la definición de un segundo elemento, además de la contraseña, para identificar al usuario, siendo este segundo elemento sólo accesible por el usuario. Normalmente consiste en el envío de un código generado aleatoriamente que deberá ser introducido tras autenticarnos con usuario/contraseña. El envío de este segundo factor suele ser mediante un SMS al teléfono móvil del usuario, mediante e-mail al correo del usuario o incluso mediante tokens sincronizados con la plataforma de validación, además existen tokens USB con un certificado digital que nos hará las funciones de autenticación de doble factor.

Los sistemas de autenticación de doble factor los podemos encontrar en los accesos a portales VPN, sistemas de transferencia bancaria online y otros servicios web como Dropbox, Google, Twitter o Linkedin.

Personalmente pienso que el sistema de validación de doble factor añade un grado más de complejidad al acceso a los servicios y que pocos usuarios lo utilizarán, a no ser que sea un requisito impuesto para acceder a los recursos, ya que sigue manteniendo el clásico sistema de autenticación usuario/contraseña. Así que preveo que hasta que los sistemas no se adapten a mecanismos de autenticación biométricos como la utilización de la huella dactilar, el iris o la retina no dejaremos atrás el clásico usuario/contraseña, o por otro lado comencemos a tomarnos las pastillas de autenticación o nos hagamos tatuajes con microchips que nos identifiquen ante cualquier sistema de autenticación. En fin … todo se verá con el tiempo.