¿Descansas lo suficiente?

Según la RAE descansar es “Cesar en el trabajo, reparar las fuerzas con la quietud”. Muchas veces hemos escuchado que deberíamos dormir 8 horas para descansar adecuadamente, que no deberíamos conducir más de dos horas seguidas, que los autobuses y camiones tienen un dispositivo llamado tacógrafo para obligar a los conductores a parar y descansar o incluso que los pilotos de vuelo tienen que descansar un número de horas antes de pilotar el siguiente avión, todo ello por la gran responsabilidad que tienen entre sus manos. Sin embargo, nunca he escuchado ni leído en las buenas prácticas de TI sobre la importancia de descansar para desempeñar adecuadamente una intervención que consista en un cambio o incidencia sobre la infraestructura de TI.

Aún recuerdo a un amigo que se dedicaba a resolver incidencias de Digital+ que estaba siempre de un lado para otro con el coche, montándose en los tejados para ajustar las antenas y un día me dijo “que suerte tienes de estar en una oficina porque yo acabo todos los días agotadísimo” y cuando le comenté que yo también tenía días en los que acababa muy cansado no se lo creía, al poco tiempo mi amigo comenzó a trabajar de administrativo y me dio la razón, él pudo comprobar que el trabajo que exige esfuerzo físico es agotador pero que el trabajo que requiere concentración también fatiga.

Cuando se produce una incidencia grave o vamos a realizar un cambio importante sobre las infraestructura de TI, no descansar adecuadamente puede producir falta de concentración y fatiga, que si le sumamos la necesidad de viajar, comer deprisa, la incomodidad del CPD con pasillos estrechos, ruido, aire, frío, calor, etc puede desencadenar que en lugar de resolver el problema lo agravemos aplicando configuraciones erróneas, desconectando y conectando cables equivocadamente o incluso no entendiendo el comportamiento de los sistemas, todo ello provocando nerviosismo si los servicios no están disponibles y la organización está perdiendo dinero y credibilidad.

Bajo condiciones normales donde el personal asignado a la intervención ha planificado y redactado el procedimiento de intervención, se ha documentado con el mayor detalle posible el procedimiento de cambio, se ha entendido los posibles problemas que pueden surgir y se han realizado todas las pruebas posibles en el entorno de laboratorio, aún así la intervención se encargará de darnos sorpresas porque aunque intentemos llevarlo todo planificado siempre puede fallar algún elemento de manera imprevista o podemos olvidar algún detalle. En el caso que la intervención no se ajuste a la planificación, surjan problemas, crezca el nerviosismo y se sobrepase la ventana de cambio, o simplemente el hecho de intentar optimizar configuraciones no planificadas, puede llegar a agotar al personal siendo necesario sustituirlo o parar la intervención durante unos minutos para desconectar y volver con ideas nuevas. En cualquiera de los caso el trabajo en equipo y un buen entendimiento entre todos ellos es necesario para el éxito del cambio.

Además si estamos hablando de incidencias o problemas de seguridad es de vital importancia disponer de sistemas de alertas y monitorización que se encarguen de avisarnos ante cualquier problema sospechoso, ya que los malos no se cansarán de intentar reventar nuestras barreras de seguridad. Nosotros solo somos humanos y necesitamos confiar en nuestros sistemas de seguridad si queremos irnos a descansar todos los días tranquilamente a casa.

Os dejo que aunque lo publique mañana, hoy es Domingo y me toca descansar.

Tratamiento de Riesgos

Cuando hacemos referencia a la gestión de servicios siempre escuchamos que lo que no se mide no se puede mejorar. Las organizaciones más preocupadas por la entrega de servicios de calidad ponen en marcha distintos procesos de gestión de servicios como el proceso de gestión de cambios, gestión de la capacidad o gestión de niveles de servicios, haciendo un gran esfuerzo para medir la calidad de los servicios entregados a los clientes con el fin de mejorar, optimizar los recursos y en definitiva aumentar el ROI en la entrega de servicios. Sin embargo, cuando hablamos de la gestión de la seguridad no hay ROI que valga, una consultoría para desarrollar el Plan de Continuidad del Negocio (BCP), elaborar el Plan de Recuperación ante Desastres (DRP), comprar un cortafuegos o comprar un SIEM, casi siempre es visto como un gasto por Dirección.

Está claro que ahorraremos dinero si no implantamos ningún control en la organización, implantar un BCP/DRP tiene un coste pero ¿cuánto cuesta no implantarlo? Es decir, ¿cuánto cuesta no poder recuperar los datos ante un descuido que ha borrado una base de datos completa? ¿cuánto tiempo podemos estar con los sistemas apagados ante un corte del suministro eléctrico? Para responder a estas preguntas es necesario realizar un Análisis de Riesgos que identifique las vulnerabilidades y amenazas de los activos que utiliza una organización para lograr los objetivos de negocio. Una vez identificado los riesgos y definido el nivel aceptable o valor residual será necesario que Dirección tome medidas para :

• Evitar el riesgo: Eliminar el riesgo eliminando la causa que lo provoca, para ello no se permitirá realizar ciertas acciones que provocarían que los riesgos apareciesen de nuevo. Evitar el riesgo tiene el coste de modificar nuestra manera habitual de realizar ciertas acciones por otras alternativas que no acarreen riesgo.
• Mitigar el riesgo: Reducir la probabilidad o impacto del riesgo definiendo, implementando y monitorizando adecuadamente los riesgos mediante controles internos. Mitigar el riesgo tiene el coste de definir, implementar y monitorizar los controles.
• Transferir el riesgo: Desviando o asignando el riesgo a un socio, o traspasándolo a una entidad aseguradora mediante un acuerdo contractual. No olvidemos que en este caso el riesgo no es transferido al 100% sino que es compartido por ambas partes. Transferir el riesgo tiene el coste que acordemos con el socio o entidad aseguradora.
• Aceptar el riesgo: Consiste en aceptar formalmente la existencia del riesgo, esto no quiere decir que nos podemos olvidar de él, sino que deberemos monitorizarlo. Aceptar el riesgo tiene el coste de monitorizarlo.

Como vemos, los riesgos se pueden evitar, reducir, transferir o aceptar. Si una organización no está realizando ninguna de estas opciones con sus riesgos es que los está ignorando o directamente nunca a realizado un análisis de riesgos, por tanto será difícil que haya realizado una evaluación y tratamiento de riesgos. Independientemente de la opción que Dirección escoja para tratar los riesgos, todas ellas tienen un coste al que no le verán el ROI debido a que es una inversión que no genera riqueza, sin embargo si lo pensamos y lo trasladamos a Dirección como una inversión que nos protege ante un robo de información o ante una parada no planificada de la producción estamos ante un Retorno sobre la Inversión de Seguridad o también llamado ROSI.

Falsa sensación de seguridad

Los desarrolladores de malware han mejorado sustancialmente las técnicas de ocultación de estos para pasar desapercibidos durante meses o incluso años, de esta manera consiguen información confidencial muy valiosa como el espionaje industrial o documentación gubernamental. La efectividad de este tipo de malware se basa en tan solo unos pocos Kbytes que explotan vulnerabilidades aún no conocidas por los fabricantes, lo que les permite buscar, analizar y transferir documentos confidenciales por canales cifrados, realizar escuchas ilegales o modificar parámetros de sistemas industriales, todo ello con mucho sigilo y sin disparar ninguna alarma.

Una vez que este tipo de malware es detectado, los desarrolladores de antivirus crean la firma y la incorporan en sus bases de datos de firmas de antivirus. La próxima vez que nuestro software antivirus sea actualizado, incorporará en su base de datos de virus la nueva firma del nuevo malware, y a partir de ahora nuestro antivirus podrá detectar ese malware en concreto. ¿pero qué ha pasado hasta entonces? ¿y ahora qué? La respuesta es fácil, aunque los sistemas antivirus son capaces de detectar y bloquear la mayoría del malware, aún estamos expuestos al riesgo de ser infectados, ya que nuestro sistema de protección se basa en firmas de virus conocidos. Aquí es donde entra en juego la falsa sensación de seguridad, ya que hay usuarios que piensan que con instalar un antivirus en el equipo están protegidos, y si además te dicen que utilizan Apple porque no hay virus es donde se demuestra realmente la concienciación en seguridad que posee la organización.

Depender solamente de un sistema basado en firmas como medida de protección en una organización es una técnica que ya no tiene mucha efectividad si la comparamos con soluciones SIEM que realizan correlación de eventos, y que además analizan cada flujo de conexión para conocer la reputación del servidor de destino, indicándonos si la IP o URL solicitada aloja algún tipo de malware o es utilizada para realizar ataques, para ello será necesario que el SIEM tenga acceso a servidores CIF o Collective Intelligence Framework. Desde Ariadnex damos un plus a nuestros clientes desplegando sondas SIEM que monitorizan el comportamiento de la infraestructura disparando alarmas cada vez que se detecta algún comportamiento anómalo o que está fuera de la política de seguridad.

Pero una vez más podemos caer bajo la falsa sensación de seguridad aunque tengamos este tipo de sistemas implantado en nuestra organización, ya que podemos llegar a un punto en el que recibimos tantas alarmas que si no las tratamos y filtramos correctamente comenzaremos a ignorarlas, y al igual que pasó en el accidente de vuelo Air France 447 donde los sensores tubo de Pitot dispararon alarmas que los pilotos ignoraron pensando que eran falsos positivos y a las que nadie le hizo caso, puede desencadenar una tragedia o, llevándolo a nuestro campo, el acceso o robo de información confidencial sin percatarnos lo más mínimo.

Enganchados!!

Todos tenemos teléfonos móviles, o smartphone para los más geek, que utilizamos habitualmente para consultar y escribir correos, chatear, hacer fotos, jugar, navegar, escuchar música, y aunque parezca mentira también para llamar. La mayoría de las personas siempre llevan el móvil consigo y si lo olvidan enseguida dan la vuelta para ir a por él, no consentimos que el móvil se quede sin batería ya que estar con el móvil apagado durante un par de horas sería un caos. En definitiva, tenemos la sensación de necesitar estar siempre conectados, esta necesidad, o mejor dicho adicción, ha sido bautizada como Nomofobia.

El auge de los dispositivos móviles como smartphone y tabletas ha incitado a los delincuentes informáticos a desarrollar malware para monitorizar el tráfico de los dispositivos, monitorizar las pulsaciones del teclado, robar la identidad de los usuarios, robar datos confidenciales o sensibles, realizar suscripciones a servicios sin la autorización de los usuarios, etc. Todos los que poseemos dispositivos móviles inteligentes tenemos el riesgo de perderlo y por consiguiente de que nos roben información personal y financiera, de que nos llevemos un susto en la factura por haberse utilizado nuestra línea sin nuestro permiso, o incluso podemos ser extorsionados para poder recuperar el control del dispositivo.

Las aplicaciones que descargamos, que infectan y troyanizan nuestros dispositivos móviles normalmente provienen de tiendas de aplicaciones de terceros, correos maliciosos con suplantación de identidad o incluso de las propias tiendas de aplicaciones oficiales de los fabricantes como Google Play, App Store de Apple o Windows Phone Store. En numerosas ocasiones no leemos los permisos necesarios por las aplicaciones, dando acceso a información privada, incluyendo lista de contactos personales, historial de navegación, contraseñas de páginas web de redes sociales, etc. Por otra parte, muchas de las aplicaciones móviles aún no están maduras y no cuentan con medidas de seguridad adecuadas para protegerse contra los ataques más habituales, ya que no utilizan técnicas de cifrado para almacenar los datos en los dispositivos, envían las credenciales a través de HTTP en lugar de HTTPS o incluso algunas implementan incorrectamente el protocolo HTTPS.

Según el último estudio del laboratorio Kindsight Security, a finales del 2013 había alrededor de 11,6 millones de dispositivos móviles infectados, aumentando un 20% las infecciones durante el 2013. El pasado año aumentó considerablemente el malware dedicado al espionaje (spyware) que permitía a los delincuentes hacer un seguimiento remoto de la localización de los usuarios, descargar listas de contactos e información personal, interceptar y enviar mensajes, grabar conversaciones, hacer fotos, etc.

Aunque la mejor medicina para mitigar el riesgo de infección de nuestro dispositivo móvil es la concienciación en seguridad y un uso adecuado del teléfono móvil, también puedes securizar tu smartphone adquiriendo un Blackphone o Boeing Black Smartphone que se auto-destruya si hay un intento de manipulación del dispositivo.

Técnicas y métodos de ataques DoS

El robo de información confidencial y la no disponibilidad de los servicios suelen ser los ataques que más preocupan a las organizaciones. Desde mi punto de vista, pocos controles se implantan para evitar el robo de información, sin embargo los CIO de las compañías apuestan por la redundancia de todo lo que le permite el presupuesto de TI, es decir, redundar servidores, discos, lineas de comunicaciones o incluso el centro de datos al completo. Supongo que este empeño de redundar todo se debe a la facilidad de ver cuándo un servicio no está disponible, la solución rápida es todo por dos, mientras que si hablamos de robo de información normalmente el atacante obtendrá todos los datos que andaba buscando y sin hacer ruido habrá cumplido su objetivo sin que la víctima se percate, ambas partes quedarán contentas y por tanto no será necesario invertir en la protección de la información.

Esta fiebre por la disponibilidad del servicio hace que surjan nuevas técnicas de ataques para tratar de tirar abajo los servicios de una organización. A continuación veremos brevemente algunos ataques de DoS:

Ataque Smurf: Ocurre cuando el atacante envía paquetes a la IP de broadcast modificando su IP origen, es decir realizando IP spoofing, todos los equipos pertenecientes a la red contestarán el paquete de broadcast hacia la máquina de la víctima sobrecargando el ancho de banda y los recursos del sistema atacado.

Ping flood: Consiste en sobrecargar los recursos de la máquina de la víctima enviando paquetes ICMP echo request de gran tamaño, la víctima tratará de responder utilizando recursos innecesariamente. También conocido como ping de la muerte.

SYN flood: El atacante envía paquetes TCP/SYN falsificando la dirección IP origen, provocando que las conexiones no terminen de abrirse y saturando la capacidad máxima de conexiones disponible que es capaz de manejar la máquina atacada.

Ataque teardrop: Ocurre cuando el atacante envía paquetes IP fragmentados para aprovechar errores en el reensamblado de los paquetes TCP/IP en el equipo de la víctima. El ataque puede provocar un crash en el sistema operativo o aplicación que maneje el paquete.

Ataque P2P: Hace que los clientes de una gran red de compartición de ficheros P2P se desconecten de la red P2P y realicen conexiones contra el sitio web de la víctima. Como resultado, miles de ordenadores intentan conectarse a la página web de la víctima degradando el rendimiento del servicio web.

PDoS: También llamado Phlashing, consiste en averiar el hardware del sistema y su único remedio es el reemplazo del hardware dañado.

Buffer overflow: Consiste en consumir todos los recursos disponibles, como por ejemplo memoria y CPU, provocando el desbordamiento del sistema.

Ataque por fuerza bruta: El atacante sobrecargará los recursos del sistema de la víctima enviándole una gran cantidad de paquetes que necesiten ser procesados para realizar algún tipo de comprobación, como por ejemplo intentos de autenticación.

Saturación del ancho de banda: Ocurre cuando el atacante dispone de mayor ancho de banda que la víctima.

Ataque Banana: Este ataque redirige los paquetes de salida de la víctima al propio equipo de la víctima, provocando un bucle y no permitiendo el acceso hacia fuera.

Pulsing zombie: Es un ataque que degrada el servicio enviando paquetes de manera continua y estable sin que la víctima lo perciba durante un periodo de tiempo prolongado. Aunque degrada el rendimiento del sistema no llega a provocar la no disponibilidad del servicio.

Nuke: Es un ataque muy similar al anterior que tiene por objetivo degradar el rendimiento de una red, para ello se utilizan herramientas que envían paquetes mal formados como paquetes ICMP inválidos o paquetes fragmentados de manera continua. Este tipo de tráfico provoca que la red vaya lenta.

Ataque DDoS: Ocurre cuando muchos sistemas comprometidos sobrecargan el ancho de banda o recursos del sistema atacado.

Reflected attack: Consiste en enviar solicitudes falsificadas a una gran cantidad de equipos que contestarán al sistema atacado sobrecargando el ancho de banda y los recursos de la víctima. Para ello es necesario realizar IP spoofing modificando la dirección IP origen de los paquetes de solicitud para que las respuestas sean contra el equipo atacado.

Como podemos ver existen muchos tipos de ataques de denegación de servicio, hay ataques tanto para provocar la no disponibilidad de una máquina en tu propia red como para provocar la no disponibilidad de algún servicio alojado en un centro de datos. Para finalizar me gustaría destacar el ataque de DDoS de NTP reflection que alcanzó aproximadamente los 400 Gbps superando el anterior ataque de DDoS de DNS reflection contra Spamhaus de 300 Gbps.

Si la disponibilidad de los servicios nos preocupa, ¿estamos preparados para mitigar ataques DDoS?