¿Auditoría o Consultoría?

Suele ser habitual confundir, mezclar, equivocar estos dos términos sino estás en el mundillo de alguna de las dos. Desde que obtuve la certificación CISA para realizar auditorías de sistemas de información me he dado cuenta que a veces los clientes quieren contratar un servicio cuando realmente quieren otro. Es decir, por ejemplo contratan una auditoría de red y realmente quieren que les digas cómo dimensionar la red para incorporar nuevos servicios o contratan un curso de formación y realmente quieren que analices su arquitectura de red y le propongas puntos de mejora. Por tanto, voy a intentar definir estos dos conceptos para que quede claro cuando utilizar uno u otro:

Auditoría: Contrataremos una auditoría para que nos analicen nuestro sistema, ya sea un sistema de gestión para revisar procesos y procedimientos, analizar la red para detectar cuellos de botella, consumos de ancho de banda o flujos de conexión, o revisar la seguridad de nuestra TI para que nos digan lo bien o mal que lo estamos haciendo contrastando los resultados con las mejores prácticas del sector. Es decir, contrataremos un auditoría siempre para mirar hacia atrás en el tiempo, qué pasó y por qué.

Consultoría: Contrataremos una consultoría para obtener recomendaciones para implantar un nuevo sistema, ya sea para implantar nuevos procesos y procedimientos, instalar un nuevo sistema de seguridad perimetral o interconectar varias sedes para acceder a recursos internos. Es decir, una consultora nos puede ayudar a elegir la tecnología que mejor se adapte a nuestra organización, les contaremos qué problema queremos resolver y ellos buscarán una solución. Siempre contrataremos una consultoría para mirar hacia adelante en el tiempo, qué problema queremos resolver y cómo lo podemos hacer.

Además de auditorías y consultorías también tenemos análisis forenses y planes de formación que no debemos confundir. Es decir, un analista forense utilizará los registros de auditoría para dar un veredicto de qué pasó, mientras que la formación se utiliza para aprender nuevos conceptos y técnicas, y no debemos confundirlo con una consultoría donde queremos explicar cómo tenemos montado nuestra plataforma para que nos den recomendaciones de mejora.

En definitiva, conceptos que una vez que los tenemos claros es fácil saber qué tipo de servicio necesitamos y qué podemos esperar de cada uno de ellos.

Como siempre, cualquier aclaración o comentario será bienvenido.

Un saludo amigos.

Gestión de dispositivos (BYOD)

Dentro de la mejora continua siempre debemos ubicar la formación continua, y por este motivo la semana pasada realicé el examen de re-certificación de Fortinet FCNSA que me ha obligado a actualizar mis conocimientos a la versión 5. Esta nueva versión está cargada de mejoras que intentan controlar la problemática que muchos administradores de redes nos encontramos hoy en día en nuestras oficinas, es decir, la gestión de dispositivos móviles o el llamado BYOD donde los usuarios conectan sus dispositivos personales a la red de la organización.

En la versión 4 ya teníamos la posibilidad de realizar políticas basadas en identidad, en esta nueva versión además tenemos la posibilidad de realizar políticas basadas en dispositivos. Para ello FortiGate utiliza varias técnicas y protocolos que nos ayudan a identificar los dispositivos que están conectados a nuestra red. A continuación veremos algunos de ellos:

DHCPv6, DHCP (Dynamic Host Configuration Protocol): Es un protocolo utilizado para que los clientes puedan obtener su configuración de red automáticamente. Sin embargo, un administrador de red también puede utilizar este protocolo para obtener el nombre del equipo cliente y el sistema operativo ejecutado, analizando las opciones 12 y 60 del protocolo DHCP, que hacen referencia a “hostname” y “dhcp-class-identifier” respectivamente.

CDP (Cisco Discovery Protocol): Protocolo propietario de Cisco que ayuda al administrador de red a disponer de un mapa de la topología implantada, ya que mediante este protocolo los dispositivos intercambian información como versión del sistema operativo, nombre de equipo, dirección IP, tipo y modelo del dispositivo, etc.

LLDP (Link Layer Discovery Protocol): Protocolo de red que trabaja en la capa 2 de enlace al igual que CDP. Pertenece al estándar 802.1ab y se encarga de descubrir la topología de red mediante mensajes LLDPDU que permite al administrador de red obtener información de los dispositivos como fabricante, versión de hardware y software, nombre del sistema, IP de gestión, etc.

SSDP (Simple Service Discovery Protocol): Es un protocolo que se utiliza para buscar dispositivos UPnP mediante solicitudes unicast o multicast al puerto 1900/udp. Mediante mensajes “M-SEARCH” y “NOTIFY” podemos conocer los servicios que proporciona un determinado dispositivo, además de su IP y sistema operativo.

Microsoft Windows Browser Service: Es una característica de Microsoft Windows que nos permite localizar recursos compartidos por equipos Windows, su comunicación se realiza mediante paquetes de broadcast y por tanto no puede traspasar a otras redes, a no ser que se disponga de un controlador de dominio. Mediante esta característica podemos obtener el nombre de los equipos y su sistema operativo.

LLTP (Link Layer Topology Discovery): Es un protocolo de enlace propietario de Microsoft incluido en los sistemas operativos Windows Vista y Windows 7 que permite mostrar una representación gráfica de la LAN a la que estamos conectados. Además de la topología de red podemos saber el nombre de los demás equipos de la red, así como también su IP y dirección MAC.

Mediante los protocolos comentados anteriormente y las técnicas de TCP Fingerprinting con equipos FortiGate podemos aplicar políticas basadas en dispositivos, así como monitorizar todos los dispositivos que se conectan a nuestra red desde una consola central como la que vemos a continuación:

 

Sabemos que la seguridad no está sólo en el firewall ni en el Sistema de Gestión de Eventos SIEM, sino que deberíamos establecer políticas y procedimientos que nos ayuden a proteger la información de nuestra organización. Sin embargo mediante funcionalidades como la gestión de dispositivos, que incorpora FortiGate, nos ayudará a mantener controlada nuestra infraestructura y sus accesos estableciendo políticas de control accesos a la red basadas en dispositivos.

Como siempre cualquier comentario, adelante!!

¿Vigilancia o espionaje?

Según la RAE vigilancia es el “cuidado y atención exacta en las cosas que están a cargo de cada uno” mientras que espionaje es una “actividad secreta encaminada a obtener información sobre un país, especialmente en lo referente a su capacidad defensiva y ofensiva”. Aunque son conceptos completamente distintos, depende de con quién hablemos hará referencia a uno u otro según le interese.

En portada de varios periódicos y en muchos medios de comunicación nos hemos encontrado, desde el verano del 2013, al exanalista de la NSA Edward Snowden anunciando las herramientas de ciberespionaje desarrolladas por la Agencia de Seguridad de EEUU. Tras su publicación, el gobierno Americano ha salido a la defensiva indicando que se trata de programas de vigilancia para preservar la seguridad de sus ciudadanos. Sin embargo, todos sabemos que aunque haya alianzas entre países existe el espionaje mutuo. Recientemente hemos podido ver que Alemania ha exigido la salida de Berlin del jefe del servicio de espionaje estadounidense debido a la captura de un agente doble que trabajaba al mismo tiempo para los servicios secretos de Alemania y para los de Estados Unidos, es decir, el agente secreto alemán vendía información a Estados Unidos.

El mundo del espionaje que desde fuera se ve emocionante y fantástico con muchos lujos al estilo de James Bond nos deja escenas como la muerte del espía Gareth Williams del MI6 encontrado muerto dentro de una bolsa de equipaje o el ex jefe de los espías de Ruanda, Patrick Karegeya, quien fue estrangulado en un hotel.

¿Para qué sirve el servicio de espionaje? Como dice Sun Tzu, para ganar la batalla antes de pelearla. Debido a la importancia que tiene obtener información exhaustiva y fidedigna se emplea muchos recursos en tareas de espionaje y una vez obtenido todos los datos podremos lanzarnos al ataque para ganar la batalla. Debido a que no hay asunto más secreto que el espionaje, el presupuesto asignado para ello y los programas de inteligencia no están al alcance de los ciudadanos. Sin embargo, en las revelaciones de Edward Snowden hemos podido ver que EEUU destinó 52,600 millones de dolares en 2013 en labores de inteligencia y lucha contra el terrorismo, desarrollando proyectos como PRISM para la vigilancia electrónica, X-Keystore para analizar todo el tráfico HTTP y donde uno de los nodos está en España, Treasure Map para dibujar el mapa de Internet en tiempo real, además de apoyar proyectos para hackear dispositivos de red como routers o switches, desarrollar el programa Bullrun para descifrar las comunicaciones, hackear los dispositivos móviles de los políticos para interceptar las comunicaciones móviles como en la cumbre G8 y G20 o incluso espiar las embajadas de la Unión Europea.

Con el avance de la tecnología los métodos de espionaje están cambiando considerablemente, hoy nos podemos encontrar a ciberespías desarrollando herramientas avanzadas para aprovechar vulnerabilidades aún desconocidas por los fabricantes y así entrar en los sistemas del enemigo para robar toda la información que sea necesaria. Algunas de estas herramientas son las siguientes:

• Stuxnet: Un objetivo bastante claro, el programa nuclear Iraní, concretamente los sistemas SCADA de la central nuclear. Los atacantes consiguieron modificar los sensores de las turbinas de la central nuclear retrasando su puesta en marcha. Como posibles sospechosos están los servicios secretos estadounidenses e israelíes.


• Flame: El objetivo era el ciber espionaje en el Medio Oriente ya que es capaz de grabar conversaciones de Skype, controlar el audio y micrófonos, realizar capturas de pantalla y de teclado e incluso controlar el bluetooth. Como posibles sospechosos están el gobierno de EEUU, China e Israel.

• Gauss: Al igual que los dos anteriores, su objetivo eran los países de Medio Oriente, y concretamente las instituciones financieras y las cuentas bancarias de sus ciudadanos. Su desarrollo es muy similar al malware Flame, por lo que los autores podrían ser los mismos que los desarrolladores de Flame.


• Duqu: Variante de Stuxnet destinada a piratear, sabotear y retrasar la capacidad de Irán para fabricar bombas nucleares, además de robar información de infraestructuras críticas, tales como centrales eléctricas, refinerías y oleoductos. Se sospecha que el gobierno de EEUU e Israel puedan estar detrás de esta ciberarma.


• Careto: Malware desarrollado para captar datos como contraseñas, archivos RDP para acceso remoto, configuraciones VPN o claves SSH. Además es capaz de grabar conversaciones de Skype, ver todo lo que tecleas, sacar pantallazos, robar archivos o incluso instalar cualquier cosa en el equipo de la víctima. Entre los autores de este malware podría estar el gobierno español.


• Madi: Campaña de Spam con un documento adjunto en formato PowerPoint dirigida a Oriente Medio y más concretamente a personas que trabajan en proyectos de infraestructuras críticas iraníes e israelíes, instituciones financieras de Israel, estudiantes de ingeniería y varias agencias gubernamentales de Oriente Medio.


• Zeus: Troyano dedicado a robar credenciales de redes sociales, correo electrónico y banca online.

Aunque algunos lo llamen vigilancia para proteger sus intereses, siempre que la actividad se realice sin consentimiento de la víctima estaremos hablando de espionaje. Como hemos podido ver, el espionaje existe y existirá ya que es la fase inicial de protección de los intereses del gobierno, la diferencia, que en la actualidad con los medios de comunicación que tenemos a nuestro alcance y las tecnologías de la información, los instrumentos para realizar el espionaje están cambiando.

¿Quieres ser espía?

Caso de estudio Anti-NSA

En el reto ISACA que tuve la oportunidad de exponer este verano comenté algunas acciones que quieren llevar a cabo países como Turquía, Venezuela y Brasil, además de otros países de la Unión Europea para evitar los casos de espionaje de la NSA. Recientemente hemos conocido, mediante las revelaciones de Edward Snowden, el proyecto Tempora que lidera el GCHQ para acceder a las comunicaciones transoceánicas que son almacenadas y posteriormente compartidas con la Agencia de Seguridad Estadounidense NSA. Esta práctica, de pinchar los cables submarinos, es el principal objetivo de los servicios secretos para espiar cualquier comunicación, ya que es por estos cables por donde viaja la mayoría de las comunicaciones entre continentes.

Uno de los proyectos que comenté y que parece seguir hacia adelante es que Brasil prepara su propio cable transoceánico para evitar a la NSA. En concreto, Brasil se unirá con Portugal mediante un cable transoceánico por el Océano Atlántico a través de un proyecto de 185 millones de dolares. ¿el reto? No utilizar tecnología fabricada en EEUU.

 

Brasil que quiere moverse hacia tecnología que le proporcione confianza ha encargado a la compañía brasileña Telebrás, la cual es proveedora de Cisco, que planifique, diseñe y ejecute el proyecto aliándose con compañías nacionales, europeas y asiáticas. Telebrás ha firmado un acuerdo con la compañía madrileña IslaLink, o lo que queda de ella, ya que el 80% de ésta ha sido comprada recientemente por un fondo de inversión nórdico. Además, Telebrás se asociará con la compañía brasileña Padtec y aún está en el aire si participarán compañías como Huawei, Alcatel o Ericcson.

Este sentimiento anti-NSA está beneficiando a las pequeñas y medianas empresas brasileñas, mientras que otras compañías como Cisco ven caer su facturación tras las revelaciones de Edward Snowden, a pesar de haber propuesto una inversión de un billon de dólares en Brasil. Los altos aranceles para importar tecnología y la aprobación de un decreto que obliga a las agencias y ministerios a utilizar solo servicios y tecnologías de empresas nacionales está fomentando aún más el desarrollo tecnológico en el país brasileño.

Elaborar estrategias y políticas para evitar el espionaje, fomentar el desarrollo tecnológico y disminuir la tasa de desempleo no es una tarea sencilla. Sin embargo, llevar a cabo iniciativas y proyectos como lo está haciendo el gobierno brasileño, aunque tenga que romper algunas alianzas con compañías estadounidenses, parece ser que puede ser la dirección adecuada para no depender exclusivamente de la tecnología fabricada en EEUU. Obviamente estas políticas tan sólo deberían afectar a servicios públicos e infraestructuras críticas para mantener la seguridad del país, mientras que cualquier otra actividad privada debería poder utilizar la tecnología que más se adapte a sus necesidades independientemente de su origen, ya que si esto no fuese así estaríamos debilitando la competitividad internacional en el desarrollo empresarial.

Un saludo amigos y deja tus comentarios!!