viernes, 16 de enero de 2015 0 comentarios

¿Es la seguridad en el ciberespacio competencia del Estado o un negocio privado?

Hemos visto en estos últimos meses como ha ido cobrando vital importancia la vigilancia en la red y la proliferación de ataques a compañías y estados. Todos los profesionales del sector estamos insistiendo en la necesidad de la prevención y sobre todo la detección temprana... pero últimamente no paro de plantearme una cuestión ¿Pueden los cuerpos y fuerzas de seguridad del estado vigilar preventivamente el ciberespacio? ¿Tienen igual capacidad operativa en Internet que la que tienen en el terreno físico?

Para evidenciar más la cuestión sólo es necesario consultar los diferentes servicios online que han ido apareciendo en estos meses (El último añadido el nuevo servicio Cybertheat Map de FireEye) donde diferentes empresas del mundo de la seguridad son capaces de mostrar en tiempo real que ocurre en Internet. Todos ellos obviamente están utilizando la información recogida  por los miles de dispositivos de su marca dispersos por el mundo para poder pintar qué ocurre en Internet siendo en todos ellos la foto parcial de aquello que detectan los equipos instalados en sus clientes. 

Aquí os presento 12 de ellas siendo la de Kaspersky, Norse y FireEye de las más impactantes.

 La gran pregunta que hay que plantearse es ¿Podríamos ver servicios así cuya fuente de información sean los cuerpos y fuerzas de seguridad del estado? ¿Pueden actuar en ataques dirigidos o de denegación de servicio de igual forma a como lo harían si fueran ataques físicos?

Quizás donde esta situación plantea más problemas va a ser en la protección de infraestructuras críticas. Imaginemos que una Autoridad Portuaria está sufriendo un ataque de DDoS. Aunque las competencias las tenga el CCN-CERT, como se puede comprobar en su Catálogo de servicios del CCN-CERT su capacidad proactiva de contención o mitigación es limitada siendo más un organismo de asesoramiento en la gestión del incidente que en la parte técnica de resolución del mismo. Llegado el caso, cada organización dependerá de varios factores para tener éxito frente a este tipo de agresiones:
  • Los operadores de servicios de telecomunicaciones de los que sea cliente.
  • Los fabricantes de sus productos de protección y su capacidad de actualización.
Por tanto y al contrario de lo que ocurre con la seguridad patrimonial, en el ciberespacio la protección de infraestructuras y organismos va a depender de la colaboración publico-privada que exista. Sobre todo porque como estamos viendo, quién tiene la información de primera mano sobre lo que ocurre por la red son los fabricantes de soluciones de seguridad en primera instancia y los operadores de servicios de telecomunicaciones que enrutan el tráfico de Internet. 
Supongo que llegado el caso, deberá crearse un marco legal que diera soporte a un  SITEL-2 (Sistema Integrado de Interceptación de Telecomunicaciones) con una estructura para realizar la monitorización de las TIC pero actualmente esa cobertura no existe y a nivel tecnológico también habría que crear un punto único de paso de todas las comunicaciones. Y cuando llegue el momento también habrá que ver cómo se regula para preservar el difícil equilibrio entre la seguridad y la privacidad. En cualquier caso, el problema de privacidad ya existe porque esos datos ya son manejados por empresas para dar servicios.



martes, 13 de enero de 2015 1 comentarios

¿Que deberíamos aprender del año 2014 en materia de seguridad? Empezamos a pagar la deuda técnica.

Como es tradicional en estas fechas y en este blog, toca mirar al futuro y plantearse cuales van a ser los retos y objetivos del 2015. Quizás este año de cara a justificar decisiones ante la Dirección las cosas no vayan a ser tan complicadas dado que el año 2014 si ha destacado por algo ha sido por la evidencia manifiesta de que el cibercrimen está presente en nuestras vidas de forma tangible. Solo hay que recurrir a las web de estadísticas más conocidas para poder comprender que el problema sigue creciendo y que las respuestas siguen siendo insuficientes. Para muestra, consultar los resumenes de dos de mis webs preferidas para estos temas:

La primera conclusión debe hacer reflexionar de forma clara sobre un hecho: la tendencia sigue en aumento a un ritmo muy preocupante. El gran problema es que no sabemos todavía qué información se puede haber ya fugado y está siendo utilizada en estos momentos para producir nuevos ataques en el futuro. Uno de los mayores retos en la protección de la confidencialidad es que por desgracia se detecta cuando ya no tiene solución y llegado el caso, sólo queda como estrategia el ser capaz de resistir el ataque. Sony no va a reparar el daño que haya causado por ejemplo que hayan sido conocidas las nóminas de su personal. Esta tendencia a atacar mediante la publicación intencionada de datos de carácter personal denominada "doxing".

Como segunda reflexión creo que cabe también admitir que hemos estado cometiendo errores de enfoque y que nuestra aproximación a la inseguridad de la información no ha sido adecuada. Hay aspectos básicos de carácter preventivo que no se han tenido la relevancia e intensidad adecuada y que ahora echamos en falta. De estas actuaciones la más relevante es la formación, capacitación entrenamiento del personal interno para la detección de los ataques más comunes y su prevención. Hemos estado conociendo casos muy notorios de hacking de este año 2014 donde el vector de ataque ha sido el spear phising. Esta técnica mezcla la ingeniería social con la ausencia todavía de medidas de seguridad en el correo electrónico. ¿Desde cuando existe la posibilidad de firmar correo electrónico, más de 10 años? Es evidente que muchos de los vectores de ataque cuentan con medidas de seguridad suficientes para mitigar los riesgos asociados pero el despliegue de estas medidas no ha sido abordado por las organizaciones. Evidentemente en muchos casos por la complejidad o coste de la implantación pero bajo la premisa de una ecuación de retorno de inversión que quizás no ha calibrado de forma adecuada el "coste de la inseguridad". Por desgracia estos cálculos sólo pueden hacerse bien una vez ya ha ocurrido algo y en por desgracia en muchas situaciones el coste del incidente supera en mucho el valor estimado.
El caso Sony es ahora un elemento de reflexión. Esta compañía ya había sufrido un serio ataque hace años pero a pesar de ello ha vuelto a ser de nuevo víctima. Todavía va a ser complicado calcular el impacto económico del incidente y más cuando aparecen noticias como la demanda de Charlize Theron que ha conseguido igualar su sueldo con el de actores compañeros tras conocer los salarios por la filtración producida.

Esto que estamos viviendo donde el hacking se sitúa ya como noticia cotidiana en prensa y donde las ciberamenazas se plantean como un quinto poder es algo que se venía anunciando. Los que nos dedicamos a esto hemos ido empleando en nuestras presentaciones desde hace mucho tiempo la imagen del iceberg para mostrar que los síntomas que en aquellas épocas se iban detectando eran los inicios de una maquinaria que cuando desarrollara con todo su potencial acabaría haciendo estragos. Esta es la transparencia que usaba en el año 2004 para explicar porqué la seguridad iba a ser un problema futuro en los sistemas de información. En aquellos años nos tocaba ser los "paranóicos" cuando nos tocaba decir que vendría el lobo... pero el contexto tenía elementos claros que hacían que los riesgos fueran en aumento y por tanto, que los problemas aparecerían solos. Ha existido desde hace mucho tiempo un caldo de cultivo adecuado para crear la industria del cibercrimen.


El texto que adjunto a continuación es también de una entrada de este mismo blog titulada "Versión de los virus" del AÑO 2004. Este blog se inició hace mucho tiempo y ahora me resulta a veces curioso comprobar cómo la realidad está superando con creces lo que se vaticinaba que podría ocurrir.
"Un fenómeno que viene ocurriendo este ultimo año es la aparición de versiones de los virus más conocidos. Supongo que esto ocurre porque en el "lado oscuro" circula rápidamente el código fuente de los virus más populares del momento y ingenuos programadores o gente sin escrúpulos crea nuevas versiones del código introduciendo mejoras o cambios en los objetivos del virus. Ayer era conocido el efecto que el virus Mydoom.M había tenido sobre los principales buscadores y hoy empieza a sonar una nueva versión Mydoom.O cuyo objetivo es producir el mismo efecto sobre Microsoft.com. 
Además, debemos destacar que ya los virus no vienen solos. Se han juntado con otro tipo de amenazas como troyanos o keyloggers para crear un engendro mucho más peligroso. Como digo, se están juntando las fuerzas del mal aprovechándose la potencia dañina de cada uno de los espécimenes creados. Mydoom, Sasser, Beagle, Gaobot, Korgo, y otros espécimenes son al final suma de varios elementos: 1.- Difusión inmediata con técnicas de reproducción y contaminación vírica. 2.- Habilidades para inhabilitar o desconectar el software de protección perimetral y vírico existente en el PC. 3.- Inclusión de troyanos para hacer al equipo un "zombie" y poder lanzar ataques de Denegación de Servicio Distribuida (DDoS) contra diferentes objetivos. 4.- Inclusión de keyloggers para espiar al usuario y de paso, intentar obtener información de sus accesos a bancos on-line para el posterior hurto. 5.- Posibilidad de ejecución remota de comandos sobre el virus para cometer diferentes fechorías e ir modificando el comportamiento del virus en función del interes del atacante. 
En fin, que el tema de la seguridad informática se parece cada vez más a un iceberg. A día de hoy, solo conocemos una pequeña porción de los problemas que pueden ir apareciendo. Si bien la industria del software empieza a consierar el tema como una prioridad en el diseño, vamos a sufrir las consecuencias de unos diseños sin pensar en la seguridad de protocolos de Internet y el software todavía unos años más. "
Sin embargo poco a cambiado en cuanto al enfoque  de la industria del software. La seguridad sigue siendo una gran desconocida en el diseño del producto (Como nos ha demostrado el mundo de la informática industrial creando ahora un problema de mayor envergadura por la dificultad de seguridad este tipo de escenarios) y donde las consecuencias pueden ser realmente dramáticas y sobre todo, de impacto físico y tangible.

Para terminar, quiero también refrescar otra reflexión que publiqué en el año 2011 bajo el titulo ¿Los errores informáticos, ¿Deben pagarse?.
"Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software. 

Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.

Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.

Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.

Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro." 

Hemos podido comprobar en el caso de las aplicaciones para móviles como el modelo de Apple, donde existe un mínimo control centralizado para la venta de aplicaciones ha tenido más exito (en términos de la problemática de seguridad) que el enfoque de Google donde no existen restricciones para añadir aplicaciones a su tienda. Obviamente los motivos de la centralización y el control de Apple no obedecen a la seguridad pero ésta ha sido una víctima colateral beneficiada por dicha decisión.

Por tanto, como retos para el año 2015 y por tanto, como potenciales objetivos para lograr una mejora de los resultados deberíamos plantearnos al menos las siguientes cuestiones:

  1. Mejorar nuestra "conciencia situacional" en materia TI. Es común en muchas organizaciones el disponer de medidas de seguridad tradicional pero todavía se carece de medición respecto a su alcance y puesta a punto. Este tipo de información nos describen el alcance de las medidas que creemos tener funcionando y sirven para detectar si realmente tenemos todo el parque de equipos dentro del paraguas de la protección. Esto sería simplemente disponer de indicadores del tipo:
    •  % de cobertura del parque de PC con antivirus actualizado.
    •  % de equipos sin vulnerabilidades críticas.
  2. Robustecer la capacitación del personal para disminuir la eficacia de la ingeniería social. Es necesario, al igual que existen políticas vinculadas a la formación en prevención de riesgos laborales o seguridad en el trabajo, que la seguridad de la información tenga el protagonismo necesario dado que como estamos viendo, su ausencia afecta de forma grave al funcionamiento de la organización. Estos planes de concienciación deben centrarse en enseñar al usuario común los vectores de ataque que suelen ir dirigidos de forma específica hacia ellos como el phising o el malware. Existen herramientas y plugins que valoran la reputación de sitios Web y que pueden avisar al usuario cuando está en una Web potencialmente peligrosa. Estos añadidos aportan información sencilla que pueden permitir a un usuario sospechar y por tanto, no ser víctima.
  3. Incorporar, siempre que el presupuesto lo permita, las nuevas tecnologías en materia de protección perimetral basadas en la detección en tiempo real de malware por el análisis del comportamiento y no por su detección de patrones.

El año 2015 probablemente vaya a ser más de lo mismo. Es cierto que ya ciberseguridad ya empieza a ocupar el lugar relevante que tenía que tener reservado desde hace tiempo pero también es verdad que en esta materia estamos aunque una situación de "deuda técnica". Mientras la factura por la ausencia de seguridad ha sido barata... nadie ha movido un dedo... pero cuando ahora el ciberterrorismo se plantea como un quinto poder, se toman cartas en el asunto. Lo grave de esta estrategia es que seguramente sea mucho más cara que la prevención porque hemos permitido durante años que se genere el despligue de software sin controles mínimos. Es lo que intentaba plantear el relato El Tsunami tecnológico que no pudimos evitar  en el año 2012. 






 
;