Estándares OPC

Las aplicaciones informáticas que encontramos en los sistemas de control, cuentan con un módulo de adquisición de datos procedentes de los dispositivos programables (plc, dcs, rtu…) de la instalación. Con el objetivo de evitar que cada aplicación deba implementar drivers de comunicación para todos los protocolos que puedan necesitarse y desarrollar un estándar común, surgió en Mayo de 1995 la OPC Foundation. En cooperación con Microsoft, el núcleo inicial lo formaron las empresas: Fisher-Rosemount, Rockwell Software, Opto-22, Intellution e Intuitive Technology.

Las especificaciones se basaron en las tecnologías de Microsoft COM (Component Object Model) y DCOM (Distributed Component Object Model). De esta manera, si se instalan los servidores OPC necesarios, los desarrolladores de software industrial sólo necesitan implementar un cliente OPC para sus comunicaciones (la realidad es que se han seguido manteniendo todos los drivers específicos y se ha añadido el driver para OPC).

Actualmente OPC es un conjunto de estándares:

• OPC Data Access: el primero en aparecer, para la comunicación en tiempo-real con controladores programables. De los controladores programables se ha pasado a desarrollar servidores para cualquier aplicación, cómo las bases de datos o los ERP’s (aunque se aprovecha el hecho de que algunos SCADAs tienen malas interfaces con bases de datos, pero que podemos solventar creándonos dll’s muy sencillas y eficientes)

• OPC Alarms&Events: en el Data Access, se establece un flujo continuo de datos entre el servidor y los clientes, pero hay muchas señales con poca variabilidad que dan lugar a un tráfico innecesario. Para mejorar la eficiencia, este estándar define la comunicación de las notificaciones/mensajes que el servidor envía a los clientes (suscriptores).

• OPC Historical Data Access: frente a las peticiones en tiempo-real, se añade la capacidad de incluir en la petición la fecha/hora. Esto implica que los servidores OPC deben almacenar (y gestionar) los datos leídos. Pretende eliminar el papel de los Historizadores, pero parece difícil que pueda competir con ellos y sus drivers para el acceso por http o SQL.

• OPC Batch: basado en el estándar de Batch ISA88, el servidor OPC deberá mantener listas de los Batchs ejecutados y calcular datos sobre los mismos. No existen apenas servidores OPC Batch. Sólo Yokogawa y algunas pequeñas empresas los tienen, porque los softwares de gestión de Batch ya realizan todas las funciones a partir de los datos de tiempo real.

• OPC Data eXchange: comunicación entre servidores, útil para implementar redundancia y balanceo de comunicaciones.

• OPC XML-DA: reglas y formatos para el intercambio de datos en formato XML.

• OPC Complex Data: estandariza estructuras complejas, como ficheros xml o estructuras binarias.

• OPC Commands: en fase de desarrollo, el objetivo es poder ejecutar comandos (identificación, monitorización, ejecución de órdenes) en los equipos finales.

• OPC Unified Architecture: es un conjunto de especificaciones no basadas en Microsoft COM, para el desarrollo de servidores en cualquier plataforma.

• OPC Security: surge para incrementar la seguridad de las comunicaciones, dado que la seguridad que proporcionan los sistemas operativos no es suficiente. En la práctica es poco utilizado, porque la adopción del estándar implica un rediseño del software que los desarrolladores no han realizado. Se espera que se incluya dentro de los productos basados en OPC Unified Architecture.

• OPC Express Interface: es una especificación para el desarrollo de clientes en .Net, intentando unificar y regular los desarrollos que cada fabricante estaba desarrollando.

Diego López
S21Sec Labs

Felices fiestas!!!!

En estas fechas tan señaladas en las que las familias se reúnen y los/las niños/as están con una gran ilusión por recibir los regalos tan esperados del Olentzero, Papa Noel, Caga Tió,etc…, S21sec desea a todo el mundo unas felices fiestas.

Feliz Navidad/ Eguberri On/ Bon Nadal/ Bo Nadal/ Merry Christmas/ Froehliche Weihnachten/ Joyeux Noël/ Buon Natale.


Iker Berriozabal
S21sec labs

Crónica de seguridad en el blog de S21sec 2009

Retomando una iniciativa comenzada en fin de año de 2008 me gustaría repasar con vosotros aquellas entradas del blog que más interés me han despertado durante 2009, mes a mes.

• Enero: Recapitulamos los primeros pasos dados en materia de ciberseguridad como consecuencia de la entrada de Barack Obama a la presidencia de Estados Unidos. Se plasma en un informe elaborados por el Centro de Estudios Estratégicos e Internacionales una serie de puntos que el nuevo presidente debería tener en consideración a la hora de cubrir los riesgos que implica el cada vez mayor protagonismo de los sistemas de información en la sociedad. Parece que los resultados de este informe no caen en saco roto, ya que en junio de 2009 se anuncia desde el gobierno estadounidense para potenciar la ciberseguridad, aunque algunos consideran que no tiene el nivel de implicación deseable.
  

• Febrero: Bitacora recibe la certificación de Common Criteria en nivel EAL2, convirtiéndose en el primer SIEM español en recibirla.

• Marzo: Aparece una nueva variante del Conficker, el Conficker.C que resulta más peligroso que el anterior. Esto obliga a trabajar duro desde el SOC de S21sec para mitigar los efectos que está produciendo el mismo, al tiempo que se prepara una vacuna que puede ser aplicada a través de Bitacora Horizon. La trascendencia de este gusano provoca que se monte una web para un grupo de trabajo especializado en el estudio de patrones de su comportamiento: el Conficker Working Group. En una noticia reciente se recuerda que aunque a día de hoy se tenga olvidado, no ha desaparecido y siguen existiendo multitud de equipos infectados con este especímen de malware.

• Abril: S21sec atiende y participa en la RSA Conference norteamericana, que resulta ser la mayor. Desde el blog y el twitter se da cobertura del evento jornada a jornada.

• Mayo: Publicamos una entrada en base a una noticia del Wall Street Journal en la que al parecer espías chinos y rusos habían logrado acceder a la red eléctrica estadounidense. El Team Cymru dió una completa cobertura de estos hechos en un informe en el que se muestran unos focos afectados por escaneos de puertos normalmente utilizados por sistemas SCADA. Esto quiere decir que no hay que bajar la guardia y empezar a utilizar soluciones de seguridad de forma integral al despliegue y operación de infraestructuras críticas. A nivel estatal se esta intentando materializar la iniciativa del CNPIC, que de momento no es más que un concepto etéreo que pretende trasladar al ámbito español iniciativas como las de Estados Unidos. Además, el día 18 el blog de S21sec cumple dos años de vida, y el núcleo de las sondas de nuestro producto WAWY es liberado bajo licencia GPL.

• Junio: En el ecuador del presente año suceden un montón de cosas interesantes. S21sec presenta un análisis de los resultados del Informe de Fraude Online elaborado por la Unidad de e-crime de la empresa. Se observa claramente que a lo largo del último año se duplica en España el fraude online. Además se inaugura el Blog de Seguridad de S21sec en inglés, con la misión de llegar a un público mayor. Por último destacar el nacimiento del Consejo Nacional Consultor sobre Ciber-Seguridad, de ámbito estatal y en el que S21sec participa como miembro consultivo; y la inauguración del CERT de S21sec.

• Julio: El gobierno chino intenta afianzar su posición a la hora de controlar qué ven sus ciudadanos mediante el uso obligatorio -viene de serie en los equipos- de Green Dam Youth Escort. Teóricamente el 1 de julio es la fecha tope para su implantación generalizada en equipos que se pongan a la venta a partir de entonces. Aunque disfrazado de filtro de contenidos para contenido no apto para menores, el hecho de que dicho software sea controlado por el gobierno chino levanta serias sospechas de que pueda ser usado como un arma de censura. Finalmente el 14 de agosto el ministro de industria y tecnologías de la información informa de que deja de ser obligatorio distribuir el filtro en equipos para uso doméstico o de oficina, pero que lo será para escuelas, cibercafés y otros usos públicos. Por otra parte, viendo la escalada de interés que hay en el Cloud Computing, se hace un análisis de las diferencias entre los diferentes tipos de despliegue desde el punto de vista de la seguridad. S21sec se encuentra atenta a este nuevo paradigma computacional con el fin de detectar nuevos riesgos y colaborar en su mitigado, ya que todavía hay muchas cosas por definir y afianzar.

• Agosto: El mes de agosto estuvo más tranquilo en cuanto a sucesos, por lo que se aprovechó para dar una serie de consejos o hacer un breve repaso de la historia para buscar paralelismos del cibercrimen con el crimen organizado.

• Septiembre: Sin duda una forma curiosa de volver "al cole" la tuvo el equipo de Inteligencia de e-crime al encontrarse que estaban chateando con un desarrollador de troyanos desde una máquina infectada. Se hace por otro lado eco de la salida de un informe por parte de ENISA sobre el fraude dirigido hacia cajeros automáticos, que pone sobre la mesa un claro aumento de la delincuencia, motivada en parte por un año de crisis. Adicionalmente se tradujo un interesantísimo artículo sobre el paralelismo existente entre los virus biológicos y los digitales con un ejemplo de actualidad: el virus de la gripe A. Por último, S21sec estuvo en la conocida feria del SIMO en Madrid enseñando sus soluciones de seguridad digital.

• Octubre: Este mes cabe destacar la ampliación de la capacidad de cómputo del supercomputador Cray XT5, también llamado Kraken, posicionandose en el primer puesto de supercomputadores de uso científico. En realidad es una excusa para debatir sobre la capacidad que tendría una botnet si ésta se usara para usos similares. Y claro, gana la botnet. Desde el SOC de S21sec se detecta una oleada de ataques con SPAM dirigido a empresas e instituciones que despierta un poco de alarma al estar muy bien confeccionados. Eso sí, resultan ser un ensamblado primitivo con un enlace HTML incrustado en el correo a un binario -sin explotar vulnerabilidades-, aunque destaca el segmento de "clientes" al que va dirigido. Por último Windows 7 sale al mercado con algún retraso que otro, poniéndose en el punto de mira de muchos analistas de seguridad que buscan comprobar si Microsoft realmente se ha esforzado en mejorar su seguridad.

• Noviembre: Destacar la entrada en la que se muestra que españa se encuentra en una posición muy alta en cuanto al nivel de infección de máquinas, ocupando el quinto puesto detrás de EEUU, China, Brasil y Reino Unido. A nivel de envío de SPAM España se queda en la séptima posición según un informe de Microsoft elaborado en estas fechas, y a nivel de phishing y código malicioso España ocupa el séptimo puesto. Queda claro que Estados Unidos ocupa el vergonzoso primer puesto, pero lo realmente preocupante es que España se encuentra en un puesto muy alto. Vigilancia Digital estuvo presente en el Primer Taller en Minería de Opinión y Análisis de Sentimiento en donde se habló de un área de conocimiento extremadamente técnica y compleja, pero necesaria para poder hacer que las máquinas "asimilen" el lenguaje natural de los humanos para sacar en base a ello información de valor y responder ante ello. Como es lógico, de momento esta especialización se explota en entornos universitarios, pero resulta sumamente prometedora.
  

• Diciembre: Google se decide a sacar un nuevo servicio con unos DNS y esto provoca ríos de bits al respecto. Nosotros también hemos dado nuestra visión, dejando claro que ha de existir una balanza entre las funcionalidades, el coste, la seguridad y la privacidad. De momento Google se permite dar un mayor peso a las tres primeras respecto a la cuarta, pero 2010 promete ser un año interesante en el que quizá los cibernautas tengan algo que decir. Es en este mes cuando S21sec pone en marcha un laboratorio de seguridad en tecnologías SCADA con unos objetivos muy concretos: probar tecnologías propias y de terceros orientadas a añadir una capa de seguridad a los entornos SCADA actuales y futuros.
  

Como el año pasado, por limitaciones de espacio y por evitar aburrir a los lectores ;) me he dejado muchas entradas interesantes por poner, por lo que os insto a hacer un repaso y sugerir otras, o incluso noticias relacionadas con la seguridad digital que no se hayan reflejado en el blog y que creáis que merezca la pena mencionar en una crónica formal de 2009.

Álvaro Ramón
S21sec labs

Fraude y Navidad

En estas fechas en las que se suele comprar más de lo habitual conviene tener presentes más que nunca unas mínimas recomendaciones de seguridad que pueden evitar el hecho de ser víctimas de algún tipo de fraude. De manera genérica se debe prestar especial atención a:

- Comunicaciones virtuales: Si recibimos felicitaciones provienen de desconocidos, mejor no abrirlas y aunque provengan de un remitente conocido, extremar las precauciones. Normalmente estos correos vendrán en forma de felicitación en formato FLASH aunque puede extenderse a otros formatos como PDF, o incluso puede que se inste a la víctima a navegar por una url para ver un video de felicitación que requerirá la instalación de ciertos códecs que probablemente sean en realidad malware.

El tema de las felicitaciones no tiene porque ser el motivo principal del fraude, pueden ser desde una factura de algún producto que no hayamos comprado, anuncios de un premio que ha tocado en alguna lotería en la que no se ha participado, avisos del banco, etc.

Uno de los motivos recurrentes de este tipo de correos es la de ofertas/regalos varios que atraerán a compradores ávidos de los mejores descuentos. Desconfiemos de correos electrónicos que nos prometen la última consola del mercado a precios irrisorios y en general de todas aquellas ofertas que sean demasiado atractivas como para ser ciertas. La temática de estos mails "maliciosos" puede ser muy variada pero todos ellos tendrán un denominador común: llamarán nuestra atención prometiendo un beneficio que normalmente es poco probale que se de en la realidad.

- Compras físicas: En las compras de última hora suele ser normal el hecho de bajar la guardia un poco, seguramente aliviados por el hecho de haber conseguido el regalo que creíamos agotado y que si no hubiéramos conseguido habría desatado la ira en nuestros familiares más cercanos. Se deberá ir con cuidado y tener presente donde y quien manipula nuestra tarjeta.

Imagen: gdata.co.jp

- Compras virtuales : Debemos ser conscientes de donde introducimos nuestros datos al realizar compras por internet, sería interesante dedicar no más de dos minutos a estudiar el tipo de comercio/tienda on-line en el que introduciremos nuestros datos, existe información que vincule la tienda virtual con un negocio físico , exposición de la política de datos ,etc.

También sería recomendable tener claros todos aquellos puntos en los que hemos utilizado nuestra tarjeta, para que en caso de que en un período de tiempo X nuestra banco avise que se están detectando actividades fraudulentas asociados a nuestra tarjeta, tengamos claros donde se podría haber cometido el fraude (esta información será de gran ayuda para detectar el origen de la posible copia/robo de los datos asociados a nuestra tarjeta).

Y por último aunque algo menos probable (al menos en España), cuidado con encontrarnos a la salida de nuestro centro comercial favorito con una papelito en el coche que nos inste a descargar desde una url a simple vista legítima algún software, PDF , loquesea para conseguir cupones, regalos ,descuentos,etc. ya que podría tratarse de una campaña en la que el "cebo" para atrapar a la víctima se realiza de manera física y el fraude ya se lleva a cabo de manera digital una vez la víctima ha seguido las instrucciones inciales.

Podríamos extender las recomendaciones hasta el infinito y más allá, pero por suerte se pueden resumir en un sencillo consejo: SENTIDO COMÚN.

Dicho esto....solamente queda desearos unas muy felices fiestas !

Daniel López
S21sec e-crime

El acoso sin dar la cara.

Tras habernos familiarizado con la palabra bullying, término utilizado para denominar al acoso psicológico que tiene lugar entre menores principalmente en los centros educativos, ahora aparece una nueva variante denominada ciberbullying en la que se utilizan los medios telemáticos (telefonía móvil y videojuegos online principalmente) para acosar psicológicamente, atormentar, amenazar, hostigar, humillar o molestar de forma deliberada a otra persona. Si el atacante o el atacado no son menores esto pasa a ser Cyberacoso, y las autoridades utilizan el término Cyberstalking cuando un adulto está involucrado en el acoso, intentando atraer a niños y adolescentes para encuentros sexuales.
El fenómeno del ciberbullying puede manifestarse de diferentes maneras, dependiendo de la destreza tecnológica y de la imaginación del niño o adolescente acosador. Una de las prácticas más corrientes, es el envío de informaciones vejatorias por medio de la mensajería instantánea (SMS, Skype, Messenger…). De manera análoga, también pueden hacerse comentarios ofensivos en blogs, foros y sitios web referidos a la víctima o en su nombre. Otra forma de ciberbullying es el robo de la clave y usuario de correo electrónico, para además de cambiarla de forma que su legítimo propietario no lo pueda consultar, leer los mensajes que le llegan a su buzón violando su intimidad. Puede irse más allá en esta modalidad, y una vez logrado el acceso a la cuenta ajena, enviar mensajes en nombre del acosado. También se lograría el mismo objetivo, creando una cuenta con los datos personales de la persona a molestar. Además de texto, pueden utilizarse imágenes enviadas a través de SMS ó mails para llevar a cabo la agresión.

Podríamos diagnosticar de alguna manera que una persona está sufriendo ciberbullying si de un tiempo a esta parte reusa conectarse a Internet como lo hacía anteriormente, o si “olvida” constantemente su teléfono móvil en casa con el fin de no llevarlo encima.

Normalmente, el acoso en la red no suele tener graves consecuencias. Afortunadamente, se trata de un fenómeno pasajero que tiende a desaparecer con la edad. Sin embargo, se han llegado a dar casos hasta de suicidio. En las sociedades más avanzadas como la japonesa, donde existen 38.000 páginas web que, además de mostrar contenidos pornográficos y extremadamente violentos, sirven para que los estudiantes de secundaria o bachillerato publiquen amenazas, mensajes ofensivos o fotografías comprometedoras de sus propios colegas. El Cyberbullying saltó a las portadas de los medios de comunicación en julio de 2007, cuando un joven de 18 años se suicidó después de que sus compañeros pusieran una fotografía suya desnudo en un sitio web no oficial de su escuela

Los educadores poco pueden hacer contra el cyberbullying ya que la mayoría de las acciones de acoso tienen lugar fuera de la escuela y de su horario. Es por ello que se debe educar a los padres para detener y corregir estas situaciones dándoles unas normas éticas de comportamiento en Internet. Nociones básicas como el ser precavido con la información personal que se comparte, ser agradable y respetuoso en las conversaciones y no vengativo ni agresivo, defender al que reciba amenazas dando parte a las personas que puedan mediar como padres o profesores, o comunicar la existencia de malas conductas al proveedor de servicio de email, telefonía, mensajería instantánea, redes sociales o cualquier otro tipo de servicio online, podrían contribuir a evitar la aparición de este fenómeno. Debido a la naturaleza de este tipo de acoso aparentemente anónimo, la obtención de pruebas para desenmascarar al agresor no sería complicada puesto que pueden guardarse y conservarse fácilmente documentos, imágenes o conversaciones que demuestren la vejación y es mas sencillo probar su culpabilidad por dejar rastros en la red.

Enlaces de interés:
www.internetsinacoso.com/
www.ciberbullying.net/
www.ciberbullying.com/
www.laflecha.net/canales/seguridad/noticias/consejos-para-proteger-a-los-jovenes-del-ciberbullying

Amaia Urtasun
S21sec e-crime

PROFINET

Hoy vamos a seguir con la serie de post que iniciamos con PROFIBUS y PROFIBUS (II), pero nos vamos a centrar en la otra parte de las redes industriales, dejamos el bus de campo para centrarnos en la Ethernet industrial.

PROFINET, al igual que PROFIBUS, es un estándar de PROFIBUS&PROFINET internacional (PI). PROFINET es compatible con el estándar TCP/IP (usado para parametrización, configuración y diagnostico), y es Ethernet en tiempo real (Ethernet es, por defecto, no determinista, pero al utilizar switches se logran evitar las colisiones, haciéndolo determinista. Los switches presentan una cola por si el medio está ocupado, evitando así que los dispositivos tengan que escuchar si hay colisiones en la red.). PROFINET utiliza la misma red Ethernet que oficinas y departamentos de TI, incorporando proxies PROFINET para conseguir las necesidades de tiempo real, estos proxies están integrados en los elementos de campo. Sin embargo, sus capacidades se han mejorado para satisfacer las condiciones mucho más duras que se encuentran en las aplicaciones industriales. PROFINET mantiene el mismo sistema simple de configuración, parametrización y diagnóstico que una red PROFIBUS DP actual, de modo que las inversiones de capacitación y know-how invertido se garantizan en la nueva tecnología.


PROFINET se divide en dos componentes que se encargan de sustentar el protocolo.

• PROFINET I/O: PROFINET IO se desarrolló para la comunicación en tiempo real (RT) y en tiempo real isócrono (IRT) con la periferia descentralizada (La periferia descentralizada son componentes de entrada/salida que se conectan directamente a la red y desde ésta al PLC). Las denominaciones RT e IRT se limitan a describir las verdaderas propiedades de tiempo para la comunicación en PROFINET IO. Cuando hablamos de RT hacemos referencia una transferencia de alto rendimiento de datos cíclicos y señales controladas por eventos; sin embargo, cuando mencionamos IRT lo hacemos para la transferencia de alto rendimiento de datos en modo isócrono, minimizando la fluctuación de inicio de ciclo a un valor inferior a 1 µs
• PROFINET CBA: PROFINET CBA es el componente adecuado para la comunicación a través de TCP/IP y la comunicación en tiempo real para los módulos de la ingeniería de sistemas con requisitos de tiempo real. Ambas opciones de comunicación puede utilizarse en paralelo.

Debido al desarrollo continuo de PROFINET, los usuarios cuentan con una perspectiva a largo plazo para la ejecución de sus tareas de automatización.
Los beneficios de los operadores de sistemas provienen de la capacidad simple de expansión del sistema y el alto grado de disponibilidad de los subsistemas de ejecución de forma autónoma.
Algunas de las razones para implementar PROFINET en la empresa son:

• Evidentemente las mismas razones que teníamos para elegir PROFIBUS
• Número ilimitado de nodos, gran alcance, una mayor escalabilidad.
• Compatibilidad total con TCP/IP, Internet y la compatibilidad de la Web, con el determinismo en tiempo real
• El cableado Ethernet facilita la instalación, y los departamentos de TI y las herramientas de Internet ayudan durante la operación, el mantenimiento y el diagnóstico.
• Facilidad para incorporar redes Wireless.
• Vínculos estratégicos con PROFIBUS, incluye la infraestructura común, las plataformas comunes de ingeniería, control de calidad comunes y los perfiles de aplicación común.
• Conectividad para toda la empresa

Jairo Alonso
S21sec Labs

Nuevos avances en la lucha contra el SPAM

Buenas noticias en relación a la lucha contra el fraude online. Parece que es ahora cuando se empiezan a ver movimientos positivos en los registradores de dominio para evitar dar cobertura a todo el mercado negro de venta online de productos farmaceúticos y genéricos.

La regulación de los nombres de dominio estipula que la información suministrada para realizar el registro de un dominio deberá ser; real, precisa y completa. Algo que de todos es sabido no siempre es así.

Estos primeros movimientos se han llevado a cabo en registradores de dominio de EEUU. En China también han movido ficha, impidiendo a cualquier individuo registrar un dominio .cn a menos que aporte datos que certifiquen que se trata de una empresa confiable. De todos es sabido por qué se caracterizan principalmente los dominios .cn.

Estas medidas iniciales tomadas por los registradores presumiblemente harán que los spammers muevan sus sitios fuera de esos territorios, lo que tendría que poner en alerta a registradores Europeos; los spammers ya lo están hace tiempo:

-Move your registrations to other countries that do not behave like they are have the only consumers on the internet. We moved registrations to several places, all outside USA, a year ago when we could see this coming.-
(spammer advice)

Estos nuevos avances en la lucha contra el spam se están materializando en forma de endurecimiento de los TOS de los registradores, indicando así que las recomendaciones dadas por la APWG han empezado a dar sus primeros frutos. Esperemos ahora que estas medidas se apliquen con buen criterio y no nos perjudiquen como usuarios.

Recordad, enviar spam no es una operación; es un anuncio en forma de "leyenda urbana", "divertido vídeo" y cualquier correo con decenas de direcciones visibles en CC. La operación sólo ocurre cuando el receptor del spam entra en acción, proporciona dinero, información o acceso; y vaya si lo hacen. El uso de BCC tendría que estar más extendido.

Emilio Casbas
S21sec e-crime

La concienciación de la nueva sangre

El hecho de que cada vez más personas estén conectadas a internet, es sabido por todos, que el rango de edad se está ampliando también es un hecho, muchos niños juegan con sus amigos a través de internet, otros están conectados como si su vida dependiese de ello, cosa que en algunos casos, por raro que parezca, sucede. En el otro lado del margen de edad se encuentran las personas de avanzada edad, que no conforme con conectarse, colaboran a que el acceso móvil aumente.

Esto me llamó la atención cuando una tía política mía, ya con sus añitos, me pedía que le instalase el Skype para poder hablar con su sobrino, que actualmente está de viaje. Fue una cosa que por un lado me gustó mucho, porque a lo largo de su vida, apenas había tenido contacto con la tecnología, y para la edad que tiene (que no voy a decir por cortesía) se ha puesto al día de forma bastante autónoma. El lado que no me gustó tanto, fue que para temas tecnológicos es bastante confiada, al igual que la gran mayoría de la gente que se empieza a conectar últimamente a internet, es algo tan llamativo que no se preocupan por las consecuencias o por los peligros que puede acarrear.

A esta situación no ayudan las campañas virales de publicidad de grandes empresas y que estos nuevos internautas toman como reales porque están publicadas en internet, véase el caso de Vodafone y sus campañas publicitarias. Con lo que es necesario mostrarle que no todo lo que se publica en internet es cierto, lo cual nos vale un poco para activar el sentido común sobre aspectos tan simples como:

- Oye, mira, es que para ver un video en internet, me apareció un enlace para descargarme un programa, lo descargué y lo instalé, pero no se ve nada y ahora esto va muy lento.

- Una pregunta, ¿alguna vez has entrado antes en esa página?

- Sí, suelo entrar a menudo.

- ¿Y para ver los videos anteriores, tenías que instalar algo o descargarte algo?

- Pues no, pero como venía antes a esta página y todo iba bien, supuse que sería algo nuevo.

- …

Cosas como esa pasan y con un poco de sentido común se pueden solucionar o al menos evitar gran parte de ellas.

De hecho, hace relativamente poco, resulta que “sin saberlo” me he autoinvitado a algo sin haberme dado cuenta. Lo que a mí me resulta curioso y casi hilarante, a estas personas se les puede pasar y aceptar cosas o abrir las puertas a cosas que no son particularmente buenas.

Un ejemplo claro se ve con las redes sociales, y creo que el caso más criticado es el del Facebook (parece que ha creado una campaña publicitaria sin apenas coste. Como decían en una película de cuyo título no me acuerdo: “Lo importante es que se hable, aunque sea bien”), en el que la gente a parte de compartir información, se hace amigos como quien se come un paquete de pipas.

De hecho no tenéis más que crearos un perfil en el Facebook, poner una foto inocente o graciosa, y empezar a enviar invitaciones para daros cuenta del problema. He hecho una pequeña prueba a nivel personal y de aproximadamente unas 500 personas, tan sólo una me ha preguntado que quién estaba detrás del Nick y que al no conocerme, no iba a aceptar la invitación de amistad. Del resto de la gente que aceptó la invitación, una gran mayoría aceptaban las invitaciones a aplicaciones que yo les enviaba, con lo que el foco de infección era considerable. Sophos publicó un pequeño estudio, repetición del que llevó a cabo en 2007 que demuestra un poco como está la situación.

Para zanjar el tema del Facebook, ayer, Verónica Cabezudo publicaba un video sobre la cara oculta de Facebook, que sería recomendable visualizar.

El de las redes sociales es un tema reiterativo, posiblemente llegue a rozar lo cansino, pero cada día se publica muchísima información personal, se confía en sistemas que no se debiera y el problema es que esto se expande de forma tremendamente rápida y efectiva sobre todo a los nuevos internautas. Todo tiene sus cosas buenas y sus cosas malas, el secreto está en conocerlas todas y actuar con cautela, en los casos citados anteriormente, la gente se queda sólo con lo bueno. Al final no hará falta utilizar Echelon ni SITEL ni nada parecido, bastará con comprobar el Facebook.

Juan Manuel Sanesteban
S21sec labs

Medidas de seguridad en ficheros no automatizados en la Administración Pública Española

Tras la entrada en vigor en 2008 del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos (en adelante RLOPD), se ha presentado como un aspecto importante, para el presente 2009 y 2010, la adecuación de la Administración Pública a los requerimientos relativos a las normas de seguridad de ficheros no automatizados que contentan datos de carácter personal.
Consideramos que la definición de las medidas de seguridad de este RLOPD aplicables a tratamientos de datos de ficheros no automatizados es uno de los retos más significativos para la Administración Pública en general. La gestión de información en formato documental (papel) tiene una connotación cultural y costumbrista que debe ser modificada para cumplir con los requerimientos legales de limitación del control de acceso a documentos impresos, establecimiento de áreas de almacenamiento seguro de archivos o políticas que implican mantener una política de mesas limpias de documentación.
Las normas y procedimientos de seguridad derivados de la gestión no automati
zada de información de carácter personal deben ser implantados en los plazos legalmente establecidos.

Plazo progresivo para la implantación de las medidas de seguridad de ficheros automatizados (FA) y ficheros no automatizados (FNA).

Del análisis de los requerimientos legales establecidos en el RLOPD que debe observar la Administración Pública en relación a las medidas de seguridad de sus ficheros no automatizados con datos de carácter personal, destacamos por su importancia los siguientes requerimientos:

Fugas de información a través de troyanos

Las estimaciones más optimistas señalan que al menos, uno de cada tres ordenadores está infectado por algún tipo de código malicioso, troyano, virus o cualquier otro nombre sensacionalista con el que queramos bautizar esos pequeños programas que controlan nuestro ordenador con nocturnidad y alevosía. Realmente la proporción apunta a que sea mayor del tercio comentado, afectando por igual a todo tipo de perfiles humanos: clientes, empresarios, administración pública, sistemas de cine en casa, abuelos y abuelas internetizadas, jóvenes inmersos en las redes sociales, etc.

Por supuesto la criticidad de la fuga de información puede ser considerada de mayor o menor importancia según sea la naturaleza de los datos robados, pero en general el modus operandi siempre es el mismo: infección de la máquina, robo de información y uso no autorizado del ordenador, y finalmente envío de esa información a un sitio remoto de dudosa reputación.

El primer paso es infectarnos con uno de esos códigos maliciosos, y para ello las opciones son muy diversas: desde los clásicos adjuntos que recibimos en nuestro correo, pasando por conectar discos USB que nos dejan con documentos o fotos de nuestras vacaciones, bajarnos ficheros de redes P2P, hasta el más masivo y poderoso vector de infección, tan simple como visitar una página web de un proveedor nuestro, el colegio de nuestros hijos, el blog de un amigo o la agencia de viajes que utilizamos.

Una vez infectados, el troyano tiene tres objetivos bien claros, objetivos inherentes a su naturaleza (si lo comparamos con un parásito): en primer lugar, pasar lo más desapercibido posible, para después robar información que pueda ser de provecho, y utilizar el ordenador anfitrión para realizar todo tipo de actividades. En el caso de usuarios domésticos, la información que más le interesa son sus datos de acceso a su banca online, a su correo tanto personal como de empresa, quiénes son sus amigos (para poder atacarles a ellos), información personal de las redes sociales que utiliza (para poder enviarle correos creíbles con información personal o poder suplantarle) o cualquier otro tipo de información que pudiera ser de interés.

Redes Sociales: Seguridad & Privacidad

¿Quién no conoce el concepto de "Red Social"?. Casi todo el mundo conoce, o se puede llegar a hacer una idea, de en qué consiste el fenómeno de moda en Internet. Incluso si preguntamos a nuestros padres o abuelos, por lo general grandes desconocedores de este mundo paralelo que es Internet, pueden llegar a hacerse una idea gracias a las noticias que afectan a este tipo de entornos Web y que aparecen cada vez con más frecuencia en los medios de comunicación.

Y, ¿qué es lo que se dice?. En ocasiones se habla de algunas de sus muchas virtudes (elemento de comunicación, pasatiempo ...), pero desgraciadamente son más frecuentes noticias de los riesgos que supone su uso, principalmente de seguridad y de privacidad. Aunque estos no son exclusivos de las Redes Sociales, su proliferación podría relacionarse con "el precio de la fama" dentro del ámbito de las páginas Web.

Dos noticias de actualidad llaman la atención:

• ¡Cuidado! Casi 4000 cuentas de Tuenti han sido filtradas.

¿El autor? Un hacker descontento con el servicio que se da desde Tuenti, y sobre todo con la gestión de lo que a su parecer son "Eventos Basura". Mediante alguna técnica de phising ha conseguido hacerse con más de 3800 cuentas (usuario y contraseña).

http://www.genbeta.com/exclusiva/cuidado-casi-4000-cuentas-de-tuenti-han-sido-filtradas

Aunque, según el director de comunicación de Tuenti, las contraseñas están reseteadas y en breve se pondrán en contacto con los afectados, no estaría de mas cambiar la contraseña del servidor de correo que tenemos registrado en Tuenti, si es que esta coincide.

• 11 Personas detenidas en España en el marco de la operación "Thypon" contra el abuso a menores.

La noticia en si no tiene relación directa con las redes sociales, pero me ha venido a la cabeza las iniciativas que se están llevando a cabo para erradicar este tipo de actuaciones y contenidos dentro de ellas.

MySpace ya anunció hace algún tiempo medidas preventivas.

http://www.elmundo.es/navegante/2008/01/15/tecnologia/1200397404.html

Facebook también se ha unido a esta iniciativa con la reciente modificación de sus políticas de privacidad.

http://www.abc.es/20091210/medios-redes-web/facebook-cambia-politica-privacidad-200912100950.html

Debido al creciente interés de algunos buscadores por acceder a sus contenidos (Google, Microsoft), Facebook ha decidido animar a sus usuarios a decidir qué nivel de privacidad desean para sus contenidos y perfiles. Para usuarios menores de 18 años el circulo se estrecha como máximo a “amigos de amigos”, imposibilitando también la opción de que sus contenidos puedan ser vistos por “toda la red”.


A nivel nacional, la Guardia Civil ha alcanzado acuerdos con algunas de estas páginas (Tuenti y MSN.es). En Estados Unidos este control es más sencillo (dentro de su complejidad) al ser publicas las listas con la identidad de los pederastas, lo que facilita su seguimiento dentro de las redes sociales.

La duda que personalmente me asalta es, ¿se conseguirá alcanzar un control efectivo de la delincuencia en redes sociales sin traspasar el límite del respeto por la privacidad del usuario?


Raúl Martínez
S21Sec e-crime

¿Heurística en la detección de Phishing?

Hace unos días me encontré un interesante artículo en el que se realizaba un análisis sobre diferentes herramientas de detección de Phishing, algunas mediante listas negras y otras que iban más allá, utilizando como valor añadido métodos heurísticos para la detección de webs fraudulentas.

Según el estudio, el uso de métodos heurísticos para determinar si un sitio es Phishing permite hacer la detección en el mismo momento en el que se intenta acceder al website, sin necesidad de que haya aparecido en una lista negra de URLs alimentada por las empresas de seguridad. Por contra, el uso de listas negras necesita la confirmación por parte del proveedor de la lista o de asociados, lo que supone que el tiempo en el que existe riesgo sea mayor.

Otro de los aspectos interesantes que trata el estudio es la rapidez con la que las campañas de Phishing finalizan. El 66% lo hacen antes de pasadas 24 horas, con lo que las barras Anti-Phishing han de ser alimentadas muy rápidamente para evitar ataques, algo que tratan de suplir los fabricantes que utilizan la heurística como valor añadido.

Entonces, ¿por qué solamente dos de las ocho listas negras usan heurísticas como valor añadido? Según el estudio, uno de los productos analizados detectó el 70% de webs fraudulentas desde el primer momento de la campaña (hora cero), lo que evitó gran cantidad de ataques de Phishing.

De momento los fabricantes no se inclinan por esa rama debido a la gran cantidad de falsos positivos que ofrecen, a pesar de que estos se achacan a alos ocho competidores. Además, los defraudadores conocen los métodos que se usan para la detección rápida mediante métodos heurísticos, basada en el contendido del sitio web, firmas de URL y HTML, etc., De este modo pueden despistar o evitar la detección de webs fraudulentas, lo que haría inefectiva la heurística.

Sin embargo, dados los datos que se presentan en el estudio me entra la duda de si hay algo más que hace que todavía no sea muy utilizada la correlación de reglas para detección de Phishing. O si los fabricantes que lo utilizan saben algo nuevo, ya que las reglas de métodos heurísticos, si son conocidas por los defraudadores, no deberían permitir tan pronta detección de Phishing.

Aquí os dejo un enlace con el artículo:
http://www.ceas.cc/papers-2009/ceas2009-paper-32.pdf

Miguel López-Negrete
S21sec labs

Laboratorio SCADA

Con el fin de apoyar las actividades de investigación y desarrollo de los proyectos relacionados con seguridad en SCADA y para dar cobertura a una serie de necesidades internas y externas (orientadas a clientes), S21sec ha puesto en marcha recientemente un laboratorio con los recursos, las tecnologías y las herramientas que considera más apropiadas.

Hace ya unos meses que mencionamos el laboratorio sin entrar en detalles sobre el mismo. También ha sido nombrado de forma esporádica en otros posts de este mismo blog. En esta ocasión, vamos a aprovechar para introducir ya de forma oficial algunos de los objetivos que sirvieron de fundamento para su puesta en marcha:

1. Estudio del nivel de seguridad de equipos de campo y software SCADA. Es importante tener claro cuál es el estado de los equipos y aplicaciones que nuestros clientes despliegan o tienen desplegados en sus plantas. Muchas veces resulta imposible realizar estos análisis (prometemos un post con resultados reales muy pronto) directamente sobre un entorno o un dispositivo en producción. La preparación del laboratorio nos permite disponer de un modelo realista de trabajo y la garantía de que no habrá daños colaterales sobre la infraestructura original. Al mismo tiempo que el cliente encuentra esta forma de operación mucho más segura y productiva, y a nosotros nos facilita el desarrollo de la evaluación ya que:
• Se reducen elementos de riesgos físicos inherentes al entorno (conectarse en modo mantenimiento con un equipo de comunicaciones en mitad de una planta de generación de energía no es nada fácil).
• Se reducen riesgos en la infraestructura original.
• Permite la prueba empírica en tiempo real de diferentes configuraciones para obtener diferentes valoraciones de seguridad.
2. Desarrollo y parametrización de herramientas de seguridad. Para estudiar la seguridad de los equipos y aplicaciones de control, así como para otros servicios de seguridad, es necesario disponer de un amplio abanico de herramientas que permitan detectar y descubrir vulnerabilidades u otras consideraciones de seguridad. Este es un campo en plena expansión dentro del mundo de los sistemas de control. Existen multitud de herramientas de TI para la auditoría de equipos y software, sin embargo muchas de estas herramientas resultan altamente intrusivas y por ende desaconsejables para estos entornos, como mostraremos más adelante. Del mismo modo, algunas de las consideraciones de seguridad no pueden ser evaluadas por la ausencia de herramientas específicas, y disponer de un entorno en el que poder no solo observar, sino manipular la configuración de los equipos, nos otorga cierta ventaja respecto a otros desarrollos que deben crecer a partir de elementos estáticos que no pueden ser manipulados. El laboratorio nos permite incluso replicar la parte objeto de la infraestructura del cliente y disponer de pre-configuraciones para las herramientas de seguridad que van a ser utilizadas durante el análisis, e incluso en algunos casos, de unos resultados previos orientativos que nos pueden ayudar para redefinir la totalidad de los objetivos, antes de empezar a realizar la auditoría de seguridad.
3. Evaluaciones de soluciones de seguridad de terceros. Con la filosofía de ofrecer un servicio de calidad a nuestros clientes, este tercer objetivo pretende que tengan una visión lo más imparcial posible de los beneficios derivados de las funcionalidades que los fabricantes anuncian para sus soluciones. Siempre viene bien conocer de primera mano las nuevas tecnologías si se quiere elegir en cada momento la mejor solución para la implantación de controles de seguridad. La ventaja de disponer del laboratorio es que podemos ir más allá del mero análisis de funcionalidades, ya que nos permite probarlas en un modelo realista de un entorno en producción. Esto nos permite conocer las limitaciones del producto antes de considerarlo como una posible solución, o garantizar que proporciona determinadas funcionalidades de seguridad que podemos sugerir a otros clientes.

En los próximos posts publicaremos algunos de los resultados que estamos ya obteniendo en cada uno de los puntos anteriores. Concretamente tenemos pendiente un post ampliando la información del dispositivo Tofino de Byres Security.

¡Os esperamos!

Elyoenai Egozcue e Iñaki López

S21sec Labs

Los mundos de Google

No cabe duda de que la semana pasada la presentación del sistema operativo de Google fue la noticia más comentada en la red (también en este blog), pero parece que la vida sigue para Google y esta semana también van a dar que hablar.
Esta vez la noticia tiene relación con los derechos de los contenidos que se leen a través de Google News. Según un anuncio realizado por la propia compañía este miércoles, a partir de ahora permitirá a los medios de comunicación cuyas noticias aparezcan en Google News obligar al usuario a registrarse o a pagar un precio por leer dichas noticias.

La explicación a este cambio en la política de Google hay que buscarla como respuesta a las presiones del magnate de la comunicación Rupert Murdoch (The Wall Street Journal, The Times, Fox News, etc), que tras acusar a Google de “robarles” la información, amenazó hace unas semanas con retirar su contenido de Google News. Además, en este mismo sentido, este grupo de comunicación está negociando con el nuevo buscador de Microsoft (Bing) la inclusión de contenidos en exclusiva previo paso por caja. Según Google, su servicio News “supone 100.000 oportunidades por minuto para ganar lectores fieles y generar ingresos” y hacen hincapié en que “si los lectores quieren leer los artículos indexados por el buscador han de ir al diario que los ofrece” . En el bando contrario, los periódicos acusan al motor de búsquedas de que, aunque es cierto que los contenidos se vinculan con la fuente y llevan al sitio original, el buscador muestra el título del artículo y las primeras líneas, por lo que Google podría estar obteniendo ingresos de publicidad sin compensar a los autores de las noticias.

El compromiso alcanzado entre ambas compañías ha dado lugar al programa First Click Free. Este sistema permitirá a los editores limitar el número de visitas por día procedentes de Google News que puede realizar el usuario, exigiendo el registro en caso de superarse dichos límites. En definitiva, pretende ser un método para que cualquier diario pueda poner barreras a quienes vengan desde Google.

Pero aún ha cundido más la semana para Google, les ha dado tiempo hasta de presentar sus propios servidores DNS. Son el 8.8.8.8 y 8.8.4.4. Ya lo he hecho, no podréis olvidaros de ellos. Y ahora adivinad qué DNS meteréis la siguiente vez que necesitéis uno ;)

Alberto Yoldi
S21Sec e-crime

Registro de datos en sistemas de control

A partir del post de mi compañero Jairo de hace dos semanas sobre los logs, surge la duda de como se revisan y gestionan la gran cantidad de datos y eventos que gestiona un sistema de control.

En los sistemas de control se utilizan herramientas de software para registrar los valores de las variables. La idea es que cualquier situación que se produce en el sistema es consecuencia o se ve reflejado en cambios en las variables. El registro de las variables nos permite garantizar determinados valores de operación (por cuestiones de calidad y/o normativa) y poder "reconstruir" el estado del sistema en instantes pasados para poder analizar la evolución del mismo y sus causas.

Tenemos tres tipos de datos a registrar:

• alarmas: variables booleanas resultado de la evaluación de una condición (simple o compuesta) que denota una situación anómala y que se desvía de la operación normal del sistema. Se puede registrar la hora de activación, la hora de reconocimiento (cuando un operador ante la interfaz gráfica percibe la alarma y confirma la acción) y el operador que la reconoce, la hora de desactivación y la prioridad.
• eventos: variables booleanas para registrar acciones o condiciones. Se utiliza sobre todo para el registro de las órdenes y acciones de los operadores. No todas las interacciones quedarán completamente registradas, puesto que podemos tener órdenes que se “dan” a través de pulsadores y mandos físicos y no es posible identificar al operador.
• series temporales: registro "continuo" de los valores que toma una variable (digital, analógica o texto).
  

Las alarmas y los eventos, primero se registraban en ficheros de texto plano y después en bases de datos. Para el almacenamiento en base de datos, se utilizan bufferes que se ejecutan en los servidores de control y que transfieren los datos a la base de datos cada x tiempo o al alcanzar una determinada cantidad de datos.

Las series temporales pueden almacenarse en softwares genéricos de historización o a través de aplicaciones específicas de calidad o de control estadístico de procesos. Las aplicaciones específicas normalmente almacenan un grupo reducido de valores fundamentales y con una periodicidad mayor que un historizador. Los softwares de historización tienen capacidad para almacenar gran cantidad de datos al mismo tiempo y con una alta cadencia en ficheros en formatos propietarios.

¿Y cómo se consultan los datos?

Las alarmas y eventos se pueden consultar de dos maneras: - a través de la interfaz SCADA y empleando controles ActiveX que nos proporciona el software SCADA- a través de consultas tipo sql y presentando los valores en una hoja de cálculo y/o informe (web, crystal reports…).

Las aplicaciones de control estadístico y calidad tienen sus propias gráficas e informes sobre los datos registrados y los cálculos asociados.

Los softwares de historización permiten la consulta de los datos a través de interfaces propias, de módulos independientes (enfocados a representación en gráficas o tablas) o de consultas tipo sql (con drivers genéricos de bases de datos o drivers propios). A la hora de analizar los datos, podemos fusionar los datos de alarmas y eventos con las series temporales recuperando los valores para un determinado instante de tiempo por medio de consultas tipo sql. La representación podríamos realizarla sobre el mismo SCADA, donde reproduciríamos los datos tal y como los haya podido ver el operador al cargo.

Diego López

S21sec labs