Seguridad analógica

Hoy vamos a escribir de algunos aspectos de la seguridad que a veces pasan inadvertidos. Para gestionar la seguridad de una infraestructura hay que tener en cuenta varios factores, como la seguridad perimetral, el cumplimiento de la normativa legal, la gestión de los elementos de seguridad o la prevención del fraude en caso de ofrecer servicios por internet.

Hay aspectos que no son puramente técnicos. Al final, las personas que usamos, administramos o tenemos acceso a una infraestructura que tiene cierta importancia, podemos ser el origen de una vulnerabilidad. Como muestra, una noticia de hace unos años, pero que ilustra lo que quiero mostrar. Más del 70% de la gente revelaría su contraseña a cambio de una chocolatina. Realmente preocupante, pero hay más casos en los que la falta de concienciación supone un riesgo para la seguridad, como este caso en el que un consultor deja memorias USB con malware por la oficina. Al poco tiempo, los empleados los cogen, miran su contenido e infectan sin querer su ordenador, enviando información sensible al exterior. Otro ejemplo es el empleado que desenchufa unos servidores por 10$ cortando el servicio. Un ataque frustrado muy conocido es el intento de robo a un importante banco internacional. Al parecer, los ladrones, haciéndose pasar por empleados de la limpieza instalaron pequeños keyloggers en los teclados de los ordenadores de los empleados.

¿Crees que podría pasar algo así en tu lugar de trabajo?
¿Qué harías si te encuentras o te regalan una memoria USB en el trabajo?
¿Qué acceso a instalaciones críticas tiene el personal de limpieza o de mantenimiento?
¿Has recibido formación relacionada con la seguridad?

Patxi Astiz
S21sec labs

Abarcamos el ciclo completo de la seguridad

Aunque ya se ha podido apreciar en más de una ocasión en este blog, las personas del Departamento de Consultoría de S21sec no sólo estamos inmersos en la asesoría de protección de datos de carácter personal, que es lo que pudiera parecer dado que la mayoría de nuestros "posts" se han centrado en ella, quizás porque es el tema de moda actualmente.

Los consultores de S21sec somos un equipo multidisciplinar especializado en todo aquello que pueda caber en la gestión de la seguridad de la información. No somos sólo personas de perfiles de corte jurídico, sino también técnico y de gestión que además contamos con el inestimable apoyo de las personas de S21sec Labs, nuestros auditores, nuestros integradores, nuestros "partners", nuestros socios,... y, cómo no, hasta de nuestros clientes.

En S21sec abarcamos el ciclo completo de la seguridad como puede verse aquí y además aportamos al mercado nuestros productos.

Por ello particularmente voy a predicar con el ejemplo, y sin abandonar los temas que he venido tratando, espero poder escribir sobre otros temas de gestión de seguridad de la información.

Aprovechando que ayer Antonio abrió fuego, y del cruzado, en relación con las novedades PCI-DSS voy a aprovechar para desligarme (aunque sea tan sólo por un tiempo) de los temas jurídicos que han venido ocupando "posts" anteriores.

Antes de que llegue septiembre podemos ir abriendo boca con algunas publicaciones de PCI-DSS sobre las modificaciones mencionadas y otra que han tenido lugar recientemente y que publicaré en mi próximo "post".

Álvaro Del Hoyo
Departamento de Consultoría

Phrack #65 released

El pasado 12 de Abril salió al público la edición número 65 de la revista Phrack, una de las pocas magazines de la década de los 80 que todavía sigue viva (el primer número salió en 1985) a pesar de todos los cambios de staff que ha tenido. En esta ocasión, para nosotros es aún más interesante puesto que incluye un artículo de nuestros colegas David y Juan Carlos sobre una nueva técnica de realizar hooks en ring: phook, the PEB hooker (versión en castellano también disponible) ¡Enhorabuena! Seguro que estarán encantados de recibir comentarios sobre su artículo.

El índice del número 65 es el siguiente:

1. Introduction 
   
2. Phrack Prophile on The UNIX Terrorist
   
3. Phrack World News
   
4. Stealth Hooking: another way to subvert the Windows kernel 
   
5. Clawing holes in NAT with UPnP
   
6. The only laws on Internet are assembly and RFCs
   
7. System Management Mode Hacks 
   
8. Mystifying the debugger for ultimate stealthness
   
9. Australian Restricted Defense Networks and FISSO
   
10. phook - The PEB Hooker
    
11. Hacking the $49 Wifi Finder
    
12. The art of exploitation: Technical analysis of Samba WINS overflow
    
13. The Underground Myth
    
14. Hacking your brain: Artificial
    
15. International Scenes

Pinchando la red eléctrica del vecino

Hace tiempo que no teníamos noticias nuevas sobre la tecnología PLC tras el fracaso de su piloto en España y el retranqueo de la compañía promotora en 2007. A raíz de este fracaso, los ingenieros han vuelto a sus tableros para lograr una evolución de esta prometedora tecnología, consiguiendo entre otras cosas mitigar la indignación de los radioaficionados debido a las molestas interferencias que les causaba.

Para la gente de a pie, tampoco ha supuesto un profundo desengaño, ya que su expansión fue reducida. Mientras tanto, una alianza empresarial estaba embarcada en la misión de desarrollar un estándar capaz de proporcionar conexiones de alta velocidad para formar redes locales usando el cableado eléctrico de las viviendas residenciales. La salida de este esfuerzo conjunto se llama HomePlug.

En sus comienzos, HomePlug ofrecía en su versión 1.0 velocidades de hasta 14 Mbps, y mediante parejas de estos dispositivos, permitían la interconexión de dos ordenadores distantes en un domicilio. Esta tecnología compitió directamente con Wi-Fi en su versión "b", con sus 11 Mbps, aunque la movilidad de esta última hizo que ganara a HomePlug. Las especificaciones de HomePlug 1.0 determinaban la necesidad de utilizar cifrado DES (56 bits de clave) para las comunicaciones en la red eléctrica mediante una clave precompartida fijada inicialmente por el fabricante aunque cambiable por el usuario.

Más adelante, e impulsado por el principal fabricante de chips para Home Plug, Intellon, apareció una evolución extraoficial llamada HomePlug 1.0 Turbo, con velocidades de hasta 85 Mpbs, con la misma seguridad DES de la versión anterior. Tuvieron que pasar 4 años para que saliera a la luz en 2005 el estándar HomePlug AV, que promete velocidades de hasta 200 Mbps, suficiente para transmitir video en alta definición sin cortes. Además cuenta con una seguridad mejorada gracias al uso del algoritmo de cifrado de clave simétrica AES con una longitud de clave de 128 bits.

Una de las principales bazas de HomePlug AV frente a la tecnología con la que compite, Wi-Fi "n", es la fácil instalación "enchufar y listo" con una fuerte seguridad de serie, y unas velocidades sólidas sin fluctuaciones que aunque no llegan a esos 200 Mbps teóricos se acercan. Eso sí, la calidad de la instalación de la red eléctrica es crucial para el buen funcionamiento de HomePlug AV.

Es este último estándar el que esperaban como agua de mayo las Telcos orientadas a la banda ancha residencial, con el boom producido por la televisión sobre IP. Gracias a estos dispositivos, ya no es necesario tener el router junto a la televisión, con una sencillísima instalación. Y es esta instalación la que me preocupa, igual que me preocupan que se sigan entregando a día de hoy los routers inalámbricos preconfigurados con claves WEP 128 bits "aleatorias". ¿De qué sirve un supercifrado AES-128 si la clave precompartida es por ejemplo "HomePlugAV"? Desde luego más vale que el vecino común no tenga "amigos" con ganas de tomar prestados unos pocos Kw de su energía y de paso cotillear su tráfico, porque desde luego el CD con el que vienen estos dispositivos, que sirve para cambiar su contraseña precompartida (cómo no, sólo para Windows), se va a quedar en la caja. Vale, es un ataque muy raro, pero la puerta está abierta.

Álvaro Ramón
S21sec labs

El 'anonimato' en la web

Ya en varias ocasiones hemos hablado de los riesgos de las redes sociales, y del peligro de detectar perfiles de personas en otras redes sociales donde no están usando su verdadero nombre, pero existe algún dato común.

En este caso hay una interesante historia donde empleados de Parallels (tienen un producto de Virtualización similar a VMware) pusieron comentarios negativos sobre VMware Fusion en Amazon (explicación de Parallels aqui). Viendo el nombre de usuario utilizado, pudieron luego descubrir el perfil de LinkedIn asociado y ver que realmente eran empleados de Parallels.

Está claro que su comportamiento no es muy ético, pero también demuestra las conexiones 'ocultas' que muchas veces pasamos por alto, sobre todo con la gran aceptación que tienen las redes sociales hoy en día.

Hace un par de semanas pudimos ver a los creadores de Maltego una demostración de cómo 'reconstruir' las relaciones 'ocultas' para intentar descubrir nuevas relaciones o perfiles de empresas y personas. Poco a poco iremos viendo más herramientas con el mismo objetivo, con lo que ya no sólo nos tenemos que preocupar qué sabe el Gran Hermano de nosotros, sino también qué saben todos los demás de nosotros (la información está ahí, tan sólo hay que buscarla)

David Barroso

S21sec labs

El crecimiento da vértigo

Cuando uno mira hacia atrás y observa la evolución de la compañía en estos 8 años (en mi caso solo 4) puede sentir un poco de vértigo ("apresuramiento anormal de la actividad de una persona o una colectividad" según la RAE).

A mi, personalmente, me ocurrió el mes pasado cuando fue mi turno de hablar durante el kick-off de Zaragoza. Al ver aquella inmensa sala, llena a reventar, con casi 200 personas he de reconocer que sentí algo de vértigo. Y es que los crecimientos experimentados gracias al apoyo de nuestros clientes y a la labor de las personas que forman parte de esta gran "familia" son, al menos para mi, espectaculares (ver nota de prensa para más detalles).

Esta rápida evolución tiene muchos handicaps, pero uno especialmente complicado es encontrar personas que se quieran unir a este proyecto (ya lo comentaba David unos días atrás). En este sentido, me ha sorprendido no por el hecho en sí mismo, sino porque se hagan eco de él, que aparezcamos en El Blog Salmón, como una de las empresas que más profesionales estamos deseando incorporar. Aunque lo circunscriben al ámbito de la tecnología, también otro tipo de perfiles tienen cabida (yo, por ejemplo, son Economista)...

En definitiva, aparecer junto a empresas del tamaño de INDRA, EVERIS o CAPGEMINI puede dar un poco de vértigo pero, lo cierto es que nos hace ser conscientes de la importancia que está cobrando este gran proyecto en el que estamos ahora casi 200 personas que se llama S21sec.

Antonio Ramos
Director de Consultoría

S21sec se suma al núcleo de la tecnología y seguridad de León

• Su objetivo es la realización de un proyecto emblemático de investigación y desarrollo en el marco del cluster de seguridad de INTECO
• La extensión de las operaciones de S21sec a León permitirá una relación más cercana y personalizada con los clientes de la región
• Se consolida de esta manera la expansión territorial y comercial de S21sec en toda España

S21sec, ha anunciado hoy la extensión de sus operaciones y actividades de I+D+i a León. Esta iniciativa permitirá prestar un servicio de seguridad digital más integral y completo a sus clientes, así como una relación y atención mucho más directa y personalizada.

La apertura de la nueva oficina en León tiene un doble objetivo: sumarse al polo tecnológico y de seguridad que se está desarrollando en la zona y consolidar la estrategia de expansión territorial y comercial de la empresa en todo el territorio nacional, donde ya cuenta con siete oficinas propias (Madrid, Barcelona, Pamplona, San Sebastián, Sevilla, Murcia y León)

La presencia de S21sec en León hará posible la transferencia local de ciertas funciones consiguiendo ofrecer una mayor eficacia en los servicios contra el fraude on line y otras amenazas crecientes, tanto en la región como en otras áreas geográficas cercanas, como Galicia, Asturias y Cantabria.

S21sec, que destina un 25% de su presupuesto anual a las actividades de I+D+i creó en 2006 el primer centro europeo de I+D+i especializado en seguridad digital con sede en Pamplona. Desde el mismo, se lleva a cabo la investigación de soluciones de seguridad en materia de protección de plataformas y sistemas de información de empresas y administraciones y, el desarrollo de productos de seguridad comercializados a nivel internacional.

Desde la sede de León, la empresa desarrollará una nueva área de investigación para la protección de infraestructuras críticas y espionaje industrial en la red. En la actualidad se producen casos de espionaje industrial perfectamente planificados dirigidos a organizaciones, cuyo objetivo es el robo, eliminación o manipulación de información sensible. También es cada vez mayor la amenaza de ataques contra las infraestructuras críticas de una nación como por ejemplo infraestructuras de electricidad, gas, refinerías y aeropuertos.

Además, S21sec inmersa en su plan de internacionalización de tecnologías y productos de seguridad canalizará en León parte del desarrollo de las mismas y su soporte a nivel mundial.

Maria Asín
Responsable Marketing

Sí, queremos contratar gente como tú

Recientemente en el blog de ya unos viejos conocidos, salió el tema de la guerra de retos con el objetivo de contratar a personas. La verdad es que es una suerte la buena relación que tenemos entre empresas y profesionales del área, y aunque muchas veces somos competidores en múltitud de sitios, luego realmente tenemos una buena relación entre todos, y siempre se demuestra en el 'tercer tiempo'.

El tema en cuestión es que ahora mismo es francamente bastante difícil encontrar personas principalmente con tres características claves: creatividad, iniciativa e inquietud, que sumándole a un fondo actualmente autodidacta (es lo que nos obliga Internet) conseguimos una mezcla de gran calidad para todos nuestros proyectos. Y en la misma tesitura nos encontramos todas las empresas del sector, puesto que cada vez es más difícil encontrar gente para contratar.

Realmente los proyectos en los que estamos inmersos son muy interesantes, tanto si os gusta trabajar a bajo nivel como si lo vuestro es la utilización de redes de Petri para su aplicación en cualquier cosa que se os ocurra, o si 'simplemente' os gusta analizar videos o imágenes para el reconocimiento de imágenes incrustadas, o pasaros horas mirando ensamblador (los más intrépidos binario 'ala matrix') todos sois bienvenidos a enviar vuestro CV.

Y por supuesto, hasta ahora hemos entregado libros a nuestros ganadores de los retos, pero viendo que la competencia quiere subir la apuesta, prometemos más regalos para los siguientes retos :).

David Barroso

S21sec labs

Malwarez

Ya estamos acostumbrados a que en el diseño de sitemas informáticos y el comportamiento de programas informáticos se busque adaptar el mundo de la biología al mundo de la informática. Desde las redes de neuronas que intentan imitar la forma en la que funciona el cerebro, a técnicas que imitan el sistema inmunológico para combatir infecciones de virus 'artificiales' o mejor dicho, lo que hoy se conoce con el nombre de malware.

Pero quizá, aunque mucha gente veía un cierto paralelismo entre código de los programas malware y el ADN de un virus (biológico), parece que nadie se había planteado que, así como el ADN determina la estructura física del virus también el código del programa malware podría representar una estructura física (o almenos una representación visual) de dicho programa. Es decir, que se defina una representación visual del programa que dependa de cual sea el comportamiento que tenga el código malware al ejecutarlo.

Ha sido el arista gráfico rumano Alex Dragulescu el que recientemente nos ha sorprendido con su proyecto malwarez en el que ha creado diseños gráficos de malware tan famoso como Netsky, Storm o Agent.IL para una campaña publicitaria de la empresa MessageLabs basandose para ello en el código de los programas ejecutables.

Sin duda algo curioso, ¿quién iba a pensar que el temido malware podía pasar de infectar nuestros ordenadores a decorar la pared de la oficina?

Guzmán Santafé
S21sec labs

15 millones de euros en ventas en 2007 y lanzamiento al mercado internacional

Ayer anunciamos en rueda de prensa los resultados de este 2007 así como las previsiones y planes para el 2008. Estos fueron parte de los datos expuestos.

S21sec alcanzó su cifra récord de 15 millones de euros anuales en ventas y la cifra de 22 millones de euros anuales en pedidos de ventas en el año 2007, lo que significa un incremento del 58% con respecto a las ventas del año 2006.

Estos resultados se han alcanzado gracias a la consolidación del liderazgo de S21sec en España como referente tecnológico, la consolidación de Bitacora como herramienta estratégica, el desarrollo de herramientas e investigación en el terreno del fraude online y el incremento (145%) de su presencia en sectores claves como la administración pública y la banca, donde cuenta con grandes clientes (26 de las 35 compañías del IBEX).

También ha sido clave los éxitos conseguidos en I+D+i como los servicios de Webmalware, análisis de troyanos, vigilancia digital y el desarrollo y diseño del modelo de gestión integral de la seguridad, UMSS (Unified Management Security System) así como la confianza depositada por sus accionistas, entre los que se encuentran grandes empresas como Telvent y VeriSign. A través de S21sec labs, la empresa ha participado en distintos proyectos de colaboración con diferentes organismos públicos y empresas internacionales invirtiendo un total de 8 millones de euros.

En el año 2008 S21sec prevé incrementar sus ventas en torno al 65% alcanzado la cifra de 25 millones de euros a través de una inversión sostenida del 25% de su presupuesto anual en I+D+i y la puesta en marcha de un nuevo modelo organizativo integrado por cuatro líneas de negocio: una unidad de Inteligencia, Vigilancia y Lucha contra el fraude orientada a mercados globales, una unidad de Productos compuesta principalmente por la nueva suite Bitacora 4.0 cuya finalidad es gestionar y prevenir los riesgos que pueden afectar el negocio de los clientes a partir de los logs y la gestión de vulnerabilidades, una unidad de I+D+i que cuenta con laboratorios especializados en gestión integral de la seguridad y está orientada a proyectos europeos y la colaboración con empresas multinacionales y, finalmente, la unidad de Servicios Globales de Seguridad que proporciona servicios de seguridad gestionados a todos los clientes apoyándose en la plataforma UMSS (Unified Management Security System) diseñada para convertirse en el punto central desde el que gestionar todos los aspectos relativos a la seguridad integral de las organizaciones.

Durante este año la empresa incrementará considerablemente su plantilla con respecto al año anterior pasando de 201 a 285 empleados y consolidará su crecimiento en el ámbito nacional con la apertura de una nueva oficina en León alcanzando el total de siete en toda España (Madrid, Barcelona, Pamplona, San Sebastián, Sevilla, Murcia y León).

Lanzamiento internacional

Durante el año 2008 la empresa planea consolidar de manera definitiva su plan de expansión internacional que comenzó en el año 2007 con la apertura de dos oficinas en México DF y Monterrey, creándose S21sec México, S.A. y la creación de una alianza estratégica con un partner local en Argentina, Reino Unido y Dubai. El volumen de negocio previsto es de 5 millones de euros para este año y 12 millones de euros para el 2009.

El elevado nivel de ataques de seguridad a organizaciones españolas ha llevado a la necesidad de adopción de un nivel de medidas de seguridad superior a la de otros países. En la actualidad, los ataques se producen de forma global y los métodos son los mismos en todos los países del mundo. Esta situación ha provocado una demanda continua de los servicios de seguridad integral ofrecidos por S21sec y con ello la necesidad de búsqueda de nuevos mercados.

El principal reto para el 2008 consiste en la creación de dos oficinas propias en Londres y Dubai para ofrecer los servicios de antifraude, vigilancia, inteligencia, servicios gestionados y la suite Bitacora 4.0, así como la apertura de una nueva oficina en EEUU para la exportación de tecnología propia y la vigilancia tecnológica.

Para alcanzar sus objetivos, S21sec cuenta con uno de los mejores equipos de seguridad a nivel mundial, una cartera de clientes multinacionales, el liderazgo en Seguridad de la Información y un modelo de servicios gestionados 24x7 capaz de prestar soluciones a nivel global desde sus centros de operaciones de seguridad (SOC).

Se nos presenta, para estos próximos meses, un proyecto ambicioso y prometedor que esperamos cumplir gracias a la confianza que depositáis en nosotros.

María Asín

Responsable Marketing

Seguridad Electoral

La tecnología electrónica nos permitió conocer en tiempo record los resultados electorales. Sin embargo, estos resultados avanzados entre la noche del nueve de marzo y la madrugada del día diez siguen considerándose un escrutinio provisional. No será hasta este viernes cuando los resultados serán ya definitivos. En la Junta Electoral Central se habrán recogido y contabilizado las actas de todas las mesas, a las que se sumarán los votos de los residentes en el extranjero y los votos de los ausentes temporales (personas que sin residir en el extranjero no pueden emitir su voto el día de las elecciones).

¿Esta verificación “manual” significa que nos seguimos sin fiar de los resultados transmitidos electrónicamente? ¿Cómo se realiza exactamente la transmisión electrónica del escrutinio? ¿Es realmente segura?

Este año, una vez más, la empresa Indra fue la adjudicataria de la transmisión de los datos y la gestión segura de los mismos. Como muchos ya sabréis esta vez se han utilizado cerca de 11000 PDAs que han facilitado esta tarea. Se han utilizado distintos modelos y distintas marcas, todas ellas con un software común y con un sistema de gestión remota que permitía configurar en cada momento qué información debía ser introducida. Así, a las 14 horas todas fueron habilitadas remotamente para poder transmitir únicamente datos relacionados con el avance del índice de participación. Una vez cerrados los colegios electorales, éstas fueron configuradas para admitir ya los resultados de los votos de los senadores y de las listas al Congreso.

En función de la carga de trabajo se determinó el número de mesas que utilizarían una misma PDA. En cada mesa había un representante de la Administración responsable de comunicarse con un único responsable de esa PDA para la transmisión de los datos. Éste debió introducir, para evitar ambigüedades, el número de mesa y como doble verificación una clave única asociada con cada número de mesa.

Una vez introducidos los datos, estos viajaron supuestamente a través de un canal seguro de comunicaciones vía GPRS. Esta comunicación GPRS fue proporcionada por distintas operadoras de telefonía móvil, no reveladas, que a su vez redirigieron el tráfico hacia una operadora única, contratada por el Ministerio del Interior y cuya identidad tampoco ha sido revelada. Esta operadora fue responsable de enviar los datos hacia el centro de Datos de Madrid, otros 18 centros de recogida de datos repartidos por distintas Delegaciones del Gobierno a lo largo del país, y al Centro de Servicio de Indra.

A partir del proceso anterior podemos deducir varios puntos débiles para los cuales parece que se han aplicado políticas y tecnologías de seguridad:

• En el acceso al envío de datos, sólo una persona cualificada era la responsable de manipular la PDA.
• Además, fue necesario verificar cada mesa con una clave propia.
• La transmisión a priori suponemos que fue cifrada, autenticada y con un sistema de verificación de la integridad de la información extremo a extremo. No obstante ha sido imposible verificar estos datos.
• La altísima redundancia basada en sistemas de backup repartidos por toda la geografía española garantiza prácticamente al ciento por ciento la disponibilidad de los datos.

Parece que ya va siendo hora de que vayamos dando más protagonismo al sistema electrónico, tanto en la transmisión de los resultados como en la implantación de un sistema de votación de este tipo. La tecnología ya lo permite, pero ¿estarán las administraciones a la altura de este nuevo reto de la tecnología de los sistemas de información?

Elyoenai Egozcue
S21sec Labs

Seguridad: mitos de ayer, excusas de hoy

Actualmente, no hay semana que pase en la que no veamos una noticia relacionada con nuevas amenazas web, malware, phishing, perdidas de datos, usuarios descuidados, revelaciones de datos confidenciales etc.

Por ello, aunque a modo general, parece que el concepto de seguridad está empezando a tomarse en serio por el usuario medio, lo cierto es que aún, una vasta mayoría, todavía subestima la importancia de estas medidas o tienen ideas equivocadas.

Actualmente, el grado de sofisticación de los ataques en Internet o directamente a los usuarios, roza ya lo irreal. Y esto, es algo que no va a parar de crecer, mientras exista detrás todo un mercado negro con una gran infraestructura establecida.


Los usuarios deben ser conscientes de ello, pero haría falta mucha educación y sensibilización, cosa que no siempre está al alcance de todos, o no se está por la labor. Tambien observamos cómo los usuarios creen que estan a salvo y fuera de peligro porque creen en mitos que ya no son ciertos actualmente y los ponen como excusas poniendo en peligro su seguridad por el desconocimiento ¿de qué mitos hablamos?:

1. No tengo nada importante en mi equipo.
   
   • Cuestión: No se trata de lo que tengas o no tengas en tu equipo. Se trata de lo que pueden hacer a través de él.
     
   • Solución: No digas "me da igual".
2. Utilizamos scp para transferir ficheros en la red.
   
   • Cuestion: Aunque se usen algoritmos de cifrado y una longitud de clave apropiada, sólo estas seguro seguro desde un punto al otro.
   • Solución: ¿dónde se transmiten los ficheros? ¿quién tiene acceso? ¿se realiza backup de esos ficheros? ¿es necesario? ¿cual es la política de backup?. En cuantos más sitios residan los datos, más difícil es protegerlos.
3. Estamos detrás del Firewall de nuestra empresa o casa.
   • Cuestión: Esta puede ser la excusa más típica, los usuarios se sienten a salvo trás esa "máquina" que les protege. Con las amenazas actuales, los firewall de red e IDS no son suficientes.
   • Solución: La seguridad necesita combatirse a varios niveles. El firewall de red es simplemente uno de esos níveles. El usuario necesita herramientas de seguridad en su propio equipo que le avisen cuando algo ocurre, y explorar la red con navegadores fiables y seguros.
4. Para las transacciones online sólo me fío de los sitios con https.
   
   • Cuestión: Ya hablamos de esa falsa sensación de seguridad.
   • Solución: Concienciación del usuario, experiencia y un sexto sentido.
5. Utilizo un sistema operativo que no necesita antivirus.
   • Cuestión: Cual, ¿Mac?, ¿GNU/Linux?, ¿Windows?.. Los mayores peligros hoy día son multiplataforma, no importa qué SO utilicemos. ¿Se os ocurre cómo un simple rootkit podría introducirse en usuarios de Windows/Linux y MacOS?. Sí ampliamos el concepto de rootkit que tenemos hoy día para ir más alla del S.O como objetivo de éste, podremos verlo en una extensión de firefox por ejemplo.
   • Solución: Muchos abogan por tener un navegador para el ocio y otro para realizar transacciones en Internet, pero no resultaría algo cómodo para el usuario. Hay que buscar nuevas soluciones para las nuevas amenazas.
     

Recuerda, la seguridad es el proceso de mantener un nivel aceptable del riesgo que se percibe, no hay que vivir en un constante estado de paranoia, pero tampoco debemos poner como excusas de nuestra seguridad mitos de ayer que no valen hoy. Al final, todo es cuestión de confianza.

Emilio Casbas
S21sec labs

Seguridad en teclados inalámbricos a 27 Mhz

Personalmente no soy muy aficionado a los teclados inalámbricos, no es que me guste tener la mesa llena de cables pero en el fondo tampoco me molestan tanto y eso de que en el momento más inoportuno se agoten la pilas y deje de funcionar, tengas que tener unas pilas cargadas para cambiarlas ... en definitiva que me parece menos incordio tener un cablecito por encima de la mesa.

Luego está la eterna pregunta, serán realmente seguros estos teclados. En las especificaciones técnicas de la inmensa mayoría dice que el tráfico está cifrado pero ¿como de seguro es este cifrado? Al fin y al cabo estamos lanzando al aire (cierto es que hasta distancias no muy lejanas, quizá puedan llegar hasta unos 5 metros dependiendo del modelo y la carga de las pilas) contraseñas de cuentas bancarias, cuentas de email y todo tipo de información privada y de carácter personal o laboral.

Esta misma duda les asalto a investigadores de la empresa suiza Dreamlab Technologies. En el informe se analiza el nivel de seguridad de algunos de los modelos más populares de teclados inalámbricos a 27 Mhz. Este estudio responde a nuestras inquietudes o más bien, podemos decir que nos deja aún más inquietos. El cifrado utilizado no pasa de ser una simple operación lógica XOR contra una clave de un solo byte que se genera aleatoriamente en el proceso de asociación entre el teclado y el receptor. Esto quiere decir que si estamos escuchando el tráfico y vemos los paquetes en el proceso de asociación, inmediatamente tenemos la clave de cifrado y somos capaces de ver lo que se está escribiendo en ese teclado. No obstante, si no tenemos la suerte de ver el intercambio de la clave en el proceso de asociación no pasa nada, sólo tenemos 256 claves diferentes para probar. Eso quiere decir que con cualquier ordenador por lento que sea (o con otro dispositivos como una PDA, smart-phone, etc) seríamos capaces de obtener la clave por fuerza bruta en poco tiempo. Para muestra, la presentación de los autores del estudio en la que muestran como capturan lo que se está escribiendo en varios teclados.

En definitiva, yo me quedo con mi teclado con cable de toda la vida.

Guzmán Santafé
S21sec labs

Informe de Criminología Virtual

Hace poco tiempo la compañía McAfee publicó un estudio denominado 'Informe de Criminología Virtual' (Virtual Criminology Report) donde presenta a grandes rasgos los problemas actuales relacionados con los delitos en Internet. Este informe, a diferencia del de 2006, cuenta con la participación de varias personas internacionales, dotando al mismo de un carácter más exacto que el anterior de 2006 (personas como Richard Clayton, Fred Doyle o Eugene Spafford), aunque también se atreven a decir frases como:

“There are signs that intelligence agencies around
the world are constantly probing other governments’
networks looking for strengths and weaknesses and
developing new ways to gather intelligence,”
Peter Sommer, an expert in information systems
and innovation at the London School of Economics."

¿De qué señales habla? Independientemente de que sea verdad o no, frases como la anterior lo único que provocan es una mayor 'desconfianza' entre las agencias de Inteligencia de diferentes países, al igual que el párrafo siguiente:

“Everybody is hacking everybody,” said Johannes
Ullrich, an expert with the SANS Technology Institute,
pointing to Israeli hacks against the United States and
French hacks against European Union partners. But
it is aspects of the Chinese approach that worry him.

Realmente en el aspecto geo-político el informe muestra algunos datos que tendrían que basarse en hechos para no crear ese clima de desconfianza, pero en general el informe presenta una visión bastante exacta sobre la actualidad del crimen en Internet. Pero, ¿qué nos espera en el 2008 según el estudio?

• Países 'paraíso' para los criminales en Internet (algo así como el bullet-proof hosting que ofrecen empresas como RBN (Russian Business Network) pero a nivel de país).
• Los gobiernos meterán presión para proteger a los ciudadanos (aquí es donde realmente hay que hacer espeical hincapié)
• Se aprovecharán los datos de las redes sociales para cometer todo tipo de delitos (hay un paper interesante patrocinado por ENISA llamado 'Security Issues and Recommendations for Online Social Networks')
• Ataques utilizando nuevas tecnologías: P2P, VoIP, ... Movimiento completamente normal, puesto que gracias a términos como BlackBerry, UMTS, iPhone, Wifi, etc casi estamos el 100% de nuestro tiempo conectados utilizando cada tecnología nueva que aparece.
• Perderemos confianza en los servicios online debido a la gran cantidad de riesgos y fraudes que existirán (aún estamos a tiempo de evitarlo)

“Critical in avoiding a run on online
banks will be their public relations
effectiveness in the few hours after
signifi cant and successful attacks are
fi rst publicized. Inept PR combined with
an event that couldn’t be disguised
with victims available to the press
could cause serious problems for an
online bank. UK bank Northern Rock
showed that it is very diffi cult to calm
market panic once it is set in train.”

Totalmente cierto; hoy en día, noticias relacionadas con un ataque corren como la pólvora. Es fundamental disponer de un departamento de Relaciones Públicas que sepa manejar el incidente, informando a los usuarios.

El informe realmente coincide bastante con nuestra visión del crimen existente en Internet, desde aquellos años a finales de los 90 que podríamos considerar la época romántica de los ataques en Internet, hasta actualmente donde la involucración de bandas criminales es tan grande que nos encontramos justo en el momento de decidir si queremos evitar que Internet se convierta en una ciudad sin ley. En palabras del CEO de McAfee:

“Fighting cybercrime is a
24/7 battle, a global battle,
and it is far from over.”
Dave DeWalt, President & CEO, McAfee Inc

David Barroso

S21sec labs

Bruce Schneier

Hace unas semanas se realizó una interesante entrevista en el blog de Freakonomics del New York Times a Bruce Schneier, que como muchos de vosotros sabréis, es un profesional muy respetado en diversos ámbitos que tiene una visión global de la seguridad, y por supuesto, sus propias ideas alrededor de todo lo que tiene que ver con la seguridad: pasado, presente y futuro (hace poco comentamos su visita a España en el ISMS Forum).

Independientemente de reconocer las aportaciones del señor Schneier al escenario de la Seguridad, que son muchas (aunque personalmente no comparto muchas de sus ideas en sus libros donde mezcla negocio+seguridad), durante la entrevista aparecen varios comentarios que merecen la pena reseñar, además de que las ideas que expone en general son muy prácticas y razonables en la mayoría de los casos:

Q: What do you think needs to be done to thwart all of the Internet-based attacks that happen? Why it is that no single company or government agency has yet to come up with a solution?

A: That’s a tall order, and of course the answer to your question is that it can’t be done. Crime has been part of our society since our species invented society, and it’s not going away anytime soon. The real question is, “Why is there so much crime and hacking on the Internet, and why isn’t anyone doing anything about it?”

The answer is in the economics of Internet vulnerabilities and attacks: the organizations that are in the position to mitigate the risks aren’t responsible for the risks. This is an externality, and if you want to fix the problem you need to address it. In this essay (more here), I recommend liabilities; companies need to be liable for the effects of their software flaws. A related problem is that the Internet security market is a lemon’s market (discussed here), but there are strategies for dealing with that, too.

Aunque puede ser una buena idea (y mucho mejor que esta otra, donde Howard Schmidt propone que los responsables sean los programadores de forma individual, ¡quién va a ser programador entonces!), tiene sentido en EEUU, donde los abogados tienen un futuro asegurado, pero dudo que en Europa pueda ser igual. Además, sólo las empresas grandes de software podrían permitirse pagar sus responsabilidades;¿y que pasaría con el software open-source, puesto que también tiene vulnerabilidades? Es una buena idea en la teoría pero muy difícil de llevar a la práctica. La relación entre Seguridad Informática y Economía no es tan fuerte como Schneier comenta:

Computer security isn't a technological problem -- it's an economic problem. Socialists might imagine that companies will improve software security out of the goodness of their hearts, but capitalists know that it needs to be in companies' economic best interest. We'll have fewer vulnerabilities when the entities that have the capability to reduce those vulnerabilities have the economic incentive to do so. And this is why solutions like liability and regulation work.

Personalmente, considero más acertado el otro sentido, premiar a las empresas que no tienen vulnerabilidades en su software, antes que castigar a las que lo tienen.

Q: How worried are you about terrorists or other criminals hacking into the computer systems of dams, power plants, air traffic control towers, etc.?

A: Not very. Of course there is a security risk here, but I think it’s overblown. And I definitely think the risk of cyberterrorism is overblown (for more on this, see here, as well as this essay on cyberwar).

Quizás pueda estar magnificado por los medios de comunicación, pero el riesgo es real, sobre todo después de la incursión de bandas criminales y terroristas en Internet. Más aún, en EEUU es posible que esté todavía más magnificado (han hablado mucho siempre de un "electronic Pearl Harbour"), pero precisamente puede que sea uno de los primeros objetivos de la lista de naciones amenazadas. Schneier divide el riesgo en: 

• Cyberwar: el incidente de Estonia, China, etc.
• Cyberterrorism: cualquier ataque de grupos terrorista a infraestucturas mediante el uso de redes de comunicaciones
• Cybercrime: fraude, DDoS, lo que más se puede apreciar
• Cybervandalism: web defacement, también bastante visible

En el ensayo anterior, además comenta un dato interesante: la cyberwar es una batalla de igualdad, puesto que los dos bandos utilizan el mismo hardware y el mismo software, aunque realmente luego existen ciertas ventajas, puesto que siempre pueden existir vulnerabilidades no públicas en el software utilizado.

Q: Is there any benefit to password protecting your home Wifi network? I have IT friends that say the only real benefit is that multiple users can slow down the connection, but they state that there is no security reason. Is this correct?

A: I run an open wireless network at home. There’s no password, and there’s no encryption. Honestly, I think it’s just polite. Why should I care if someone on the block steals wireless access from me? When my wireless router broke last month, I used a neighbor’s access until I replaced it.

Aunque parece una respuesta inocente y que en un mundo ideal sería perfecta, realmente hay muchos casos demostrados de uso de redes wireless personales para la realización de delitos en Internet. Además, si te interesa mantener tu privacidad y evitar usurpaciones de identidad, es deseable que no compartas tu conexión wireless con gente de poca confianza.

Realmente merece la pena leer la entrevista, puesto que expresa con claridad y sin tapujos muchas de las cuestiones que siempre están rodeadas de una cierta nebulosa, aunque la visión del señor Scheier está fuertemente influenciada por cómo transcurren las cosas en EEUU (por otra parte, totalmente razonable), y muchas veces la realidad no se corresponde al 100% con la visión que se tiene de los hechos.

David Barroso

S21sec labs

Inocentada

Solamente comentar que el post anterior se trataba de una inocentada.

Mientras que la primera parte del post es cierta, no se conoce que se haya obtenido una "técnica nueva y mucho más sencilla" que permita "construir un ordenador cuántico con un numero arbitrario de q-bits".
Además, habréis podido comprobar que el documento enlazado trata sobre computación cuántica, pero no comenta nada de esto, y este documento no tiene un "apartado 5". Para terminar, la firmante tampoco puede ser la autora del post.

S21sec labs

Felices Navidades...¡seguras!

Sin lugar a dudas la Navidad es el momento del año en que se disparan las compras, se envían más paquetes y cartas y se producen más comunicaciones personales. Este fenómeno hace años que ya se traslado a Intenet, siendo también este periodo del año en el que más mails de carácter personal se envían, y más compras y transferencias on-line.

La asociación habitual de Navidad con las buenas intenciones de la gente no debe sin embargo hacernos bajar la guardia. En este periodo del año los ciberdelincuentes (que no suelen entender de Navidades y/o buenas intenciones) aprovechan todo este trasiego y envío masivo de E-Christmas y demás mails para sacar provecho del incremento del tráfico y comunicaciones.

Así, es común por estas fechas la aparición de troyanos y demás malware que aprovecha el envío de felicitaciones navideñas con adjuntos tipo MerryX.A o emails falsos que nos invitan a seguir un enlace a un sitio fraudulento en el que posteriormente captar nuestros datos con fines ilícitos, como se detalla en este post del blog Infospyware o en este otro de Hoax-Slayer.

Por último, estas Navidades ha de extremarse la precaución respecto de años pasados ya que el incremento global de malware en 2007 ha sido espectacular. El siguiente estudio de la empresa de seguridad informática Finlandesa F-secure ha hecho un cálculo en el que estima que sólo en 2007 se ha generado tanto malware como en los anteriores 20 años. Basta echar un vistazo al gráfico suyo adjunto.

Así que cuidadito, seguir con las recomendaciones habituales de no confiar en remitentes no seguros, ni navegar por páginas de contenido dudoso, y por si acaso no fiarse mucho ni de Santa ni de los pajes de los reyes, como mucho del Olentzero, que no parece muy puesto en las nuevas tecnologías (no tiene cobertura ADSL en su bosque).

En cualquier caso, desde S21sec labs, desearos unas felices fiestas a todos, y gracias por vuestras lecturas y apoyo al blog.

Jon Asín

S21sec labs

Colossus vs. Copacobana

Las máquinas Colossus fueron dispositivos de computación electrónicos creados por los ingleses durante la Segunda Guerra Mundial, con el objetivo de descifrar los mensajes enviados por los generales alemanes desde el campo de batalla al mando central de Berlín. Podría considerarse que estas máquinas fueron los primeros dispositivos programables del mundo (a pesar de que no podían considerarse máquinas de Turing), permitiendo a los ingleses acelerar los procesos matemáticos de manera que los cálculos pasaban de requerir semanas a realizarse en cuestión de días.

Existieron dos generaciones de Colossus, que fueron desarrollados en el Bletchley Park: la Colossus Mark I, operativa a partir de diciembre de 1943, y la Colossus Mark II, una versión mejorada del primer prototipo que comenzó a funcionar en junio de 1944. Estas máquinas estaban diseñadas para ayudar en las tareas de descifrado de los teletipos que habían sido cifrados por los alemanes usando su máquina Lorenz SZ40/42. Su tarea consistía en comparar dos flujos de datos, cuantificando cada coincidencia mediante el uso de una función booleana. El mensaje cifrado se leía de una cinta de papel perforada, a alta velocidad (48 Km/h) y proporcionaba los datos de uno de los flujos. El otro flujo de datos se generaba internamente, mediante una simulación de la máquina de Lorenz configurada con varios valores (prueba y error). Si una de las configuraciones producía un número de coincidencias por encima de un umbral, sacaba la información por una impresora.

Colossus Mark I empleaba 1500 válvulas de vacío, y su versión posterior, la Mark II, usaba 2400 válvulas. Las mejoras de la segunda versión le proporcionaban un aumento de la velocidad considerable, siendo 5 veces más rápida que la primera versión. Además era más sencilla de manejar. Hubo un momento en el que llegaron a funcionar simultáneamente 10 máquinas Colossus en el Bletchley Park.

La existencia de Colossus se mantuvo en secreto durante muchos años después de la guerra, por lo que no ha sido incluida en la historia del hardware de ordenadores durante bastantes años. Debido al carácter secreto de esta máquina, no ha influenciado el desarrollo de ordenadores posteriores. Al terminar la guerra, Winston Churchill ordenó la destrucción de todas las máquinas Colossus en piezas de un tamaño no superior a una mano humana. Tras varios años de silencio, la información sobre el proyecto Colossus empezó a surgir a finales de los 70 tras finalizar el periodo de vigor de la Ley de Secretos Oficiales (1976). Más recientemente, un informe técnico de 500 páginas sobre su sistema de cifrado y su criptoanálisis ha salido a la luz de mano del "Government Communications Headquarters" (organismo gubernamental de inteligencia británico).

Gracias a toda esta documentación, ha sido posible que un equipo de voluntarios liderado por Tony Sale comenzara la construcción de una réplica completamente funcional de una Colossus Mark II. Esta reconstrucción, que ha llevado 16 años de trabajo, está actualmente expuesta en el Museo Bletchley Park. Esta réplica, tras 60 años de silencio, se ha encargado de descifrar de nuevo mensajes cifrados con una máquina Lorenz SZ40/42 y transmitidos por radioaficionados de Paderborn (Alemania).

Cabe preguntarse qué tiempo puede necesitar Copacobana, un craqueador de códigos programable con FPGAs y disponible para cualquiera que tenga poco más de 7000 euros en el bolsillo, en descifrar el código de la máquina Lorenz, ¿un segundo?

Álvaro Ramón
S21sec labs

¿IP en el coche?

En la actualidad los sistemas electrónicos de automóvil pueden verse como un conjunto de sistemas embebidos, sensores y actuadores interconectados por diversos sistemas de comunicaciones propietarios (CAN, LIN, MOST o Flexray). Estos sistemas electrónicos permiten controlar diferentes subsistemas del vehículo: motor, sistema de estabilidad, panel de mandos, sistema antirobo, control de crucero, espejos, elevalunas eléctricos, etc. Es habitual que muchos de estos subsistemas tengan requisitos muy exigentes en cuanto a tiempos de respuesta y de hecho se les conoce como sistemas de tiempo real; una actuación a destiempo de algunos de estos subsistemas puede llegar a comprometer la seguridad del viajero (control de estabilidad, de motor, …). Por otro lado, cada vez más modelos de todos los segmentos y marcas de automóvil incluyen nuevos sistemas electrónicos orientados hacia el entretenimiento y la comunicación (piénsese en las flexibilidades del “diente azul”) aunque la verdad es que las funcionalidades que ofrecen son todavía bastante limitadas.

En base a lo anterior los señores del departamento de investigación y desarrollo de BMW, en su afán por prever las características del vehículo del futuro, han pensado que la tendencia es la inclusión de todo tipo de capacidades multimedia y de comunicaciones; desde la navegación por Internet, pasando por la videoconferencia hasta la conexión de dispositivos plug&play. Vamos, al más puro estilo Multimedia Center de Microsoft pero en el coche.

Sin embargo hay varios problemas que solventar antes de alcanzar este idilio tecnológico. Por un lado, hay que compaginar un sistema seguro para el conductor basado en estrictos requisitos de tiempos de respuesta, con un sistema multimedia que requiere grandes anchos de banda. Por otro lado, hay que mantener los costes de producción y al mismo tiempo ofrecer todas estas nuevas funcionalidades. Todo esto suena a economías de escala, calidad de servicio, estándares, etc.

La gente de BMW ha decidido probar suerte con IP, como sustituto de los protocolos de comunicaciones propietarios arriba mencionados, y utilizando técnicas de calidad de servicio y catalogación de tráfico (“traffic shaping”). Básicamente han montado un sistema de control de motor, otro de control de estabilidad y un tercero de panel de mandos y los han comunicado vía IPv4 entre sí y con un servidor multimedia y una cámara de vídeo. Parece ser que los resultados han sido muy prometedores, ya que los requisitos de ejecución en tiempo real han sido cubiertos con creces de tal manera que no se compromete la seguridad del conductor y los acompañantes.

Antes de lanzar las campanas al vuelo cabe preguntarse por otro tipo de seguridad. ¿Qué ocurriría si a través de Internet se causara una denegación de servicio? ¿Y si entrase un troyano que permitiera controlar de manera remota el sistema electrónico de nuestro coche? ¿Tendríamos que empezar a instalar cortafuegos, detectores de intrusiones y antivirus? ¿Qué sistema operativo utilizaríamos? …

Elyoenai Egozcue
S21sec labs