martes, 15 de abril de 2014 0 comentarios

Heartbleed, un toque de atención a la industria del software

Toca tras un periodo de barbecho, retomar la costumbre de publicar pensamientos sobre un análisis técnico del panorama de la seguridad de la información. Y la noticia estrella de la semana y probablemente de estos meses será Heartbleed y las consecuencias de este fallo de seguridad. A colación de estos hechos quiero plantear diferentes cuestiones que han venido a mi mente al analizar qué ha pasado y sobre todo, qué causas están de lo que ha sucedido.

Hace un par de años me atreví a realizar un post titulado El Tsunami tecnológico que no pudimos evitar donde relataba cómo un error informático producía un Pearl Harbour cibernético. En concreto, en aquel relato había un trozo de texto que trataba de hacer reflexionar sobre el proceso de creación de software y sobre la necesidad de empezar a aplicar la cultura de la "seguridad industrial" al proceso de fabricación del software.
 La informática nunca quiso ser vista como una  ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada". 
Por tanto, como primera reflexión creo lo sucedido es un primer toque de atención. Estamos basando nuestra economía en un producto intelectual no tangible que no sufre el mismo proceso de fabricación que todo lo que nos rodea en el mundo físico y además, lo estamos desmaterializando cuando usamos ya términos como "cloud" o "nube" para intentar desvincular el software de los dispositivos electrónicos donde reside y se ejecuta. Sin localización de componentes físicos es más fácil lograr la deslocalización de responsabilidades.

Una segunda reflexión tiene que ver con la seguridad del código abierto. Durante años uno de los principales argumentos para generar confianza en el opensource siempre ha sido la transparencia. Sin embargo, se da la terrible paradoja de pensar que el hecho de que potencialmente haya miles de auditores pueda significar que finalmente no decida intervenir ninguno y que todo el mundo piense que otro hará el trabajo. En el post ¿Por qué tienen éxito el phishing o el scam? Psicología de las víctimas de una estafa referencié el estudio de la Universidad de Cambridge que analizaba la psicología de la estafa desde la perspectiva de la víctima. Y curiosamente en el proceso de timar a alguien se produce la aplicación inconsciente de dos principios que pueden haberse dado en el caso Openssl y que a continuación menciono.

  • El principio de obediencia social: La Sociedad nos educa y entrena para no cuestionar la autoridad. Los estafadores pueden aprovechar este "otorgamiento previo de confianza" o "nuestra anulación de la desconfianza" para hacer con usted lo que quieran. 
  • El principio del rebaño: Las personas más prudentes y desconfianzas bajan la guardia cuando todo el mundo parece asumir o compartir los mismos riesgos. ¿Seguridad en multitudes? No, si todos los que te acompañan están conspirando contra ti.

Si un desarrollador ve que instituciones relevantes están incorporando el proyecto OpenSSL de dos personas que implementan las operaciones criptográficas, por el principio del rebaño, puede que acabe deduciendo que si estas instituciones se fían será porque el producto es robusto. Si entre esas instituciones aparece alguna con reputación y credibilidad en materia de seguridad, entonces se aplica el principio de obediencia social y probablemente demos por hecho que la seguridad del proyecto opensource es incuestionable. Y de esa forma se entra en un bucle de retroalimentación positiva donde cada vez empresas más relevantes confían en los pasos que dan otras antecesoras y extendiendo el uso de forma masiva para transformarlo en un estándar de facto en ciertos entornos. Y cuando aparece el fallo Heartbleed y la gente empieza a preguntarse cómo ha podido ser, resulta que OpenSSL es un proyecto de software libre basado en SSLeay, desarrollado por Eric Young y Tim Hudson. Dos personas han compartido su conocimiento y código en Internet para que sea utilizado y el uso se extiende tanto que cuando se da a conocer un agujero de seguridad que afecta a las versiones 1.0.1 y 1.0.1f de éste protocolo, acaba afectando a dos tercios de las comunicaciones seguras que se efectúan en Internet. La noticia OpenSSL pide ayuda también revela que muchos de estos productos software están hechos como están hechos. No voy a criticar lo que ciertos voluntarios deciden subir a Internet de forma altruista. Lo que más sorprende es ver cómo hay parte de la industria de las tecnologías de la información que incorporan esas piezas a sus entornos sin realizar ciertos controles de calidad o al menos, contribuyen a que alguien realice estas revisiones en beneficio de la "comunidad".
"En OpenSSL no se trabaja por dinero. Tampoco por la fama, que casi nunca transciende el mundillo de la tecnología, lo hacen porque creen en ello, lo ven cómo una forma de artesanía. No se concreta el sueldo mensual propuesto, pero sí considera que tendrían que rondar los 250 dólares por hora. “Que puede parecer mucho, pero no lo es tanto para un médico o un abogado. Se trata de que se ganen bien la vida”, subraya."
Creo que todos hemos caído en este bucle de generación de confianza espontánea hasta que algo o alguien nos ha planteado el por qué de la situación. De nuevo las revelaciones Snowden hicieron a todos pensar si algunas de las técnicas de la NSA se basaban en la colocación de puertas traseras en determinados elementos estratégicos que permitieran controlar una determinada tecnología. Yo por ejemplo, decidí confiar en Truecrypt cuando leí a Bruce Schneier recomendando el producto como una solución de cifrado robusta. Tras el caso Snowden se empezó a rumorear quién estaba detras de esta aplicación porque no era fácil identificar a sus autores. Hoy la noticia es que hace pocos meses se ha auditado el código fuente de esta herramienta ante la sospecha de si podía ser la NSA la que estuviera detrás de este proyecto y que hubieran colocado una puerta trasera a un programa que se usa extensamente. El informe está consultable en este enlace "Informe de auditoría a TrueCrypt". Todos los usuarios Truecrypt hemos confiando en un producto sin evidencias de su robustez.

Como reflexión final cabe analizar la siguiente infografía que ilustra de una forma bella la cantidad de líneas de código de los productos software actuales. Como se puede ver, la complejidad va en aumento y es bastante probable que el "susto Heartbleed" no sea el último de este año. Existen aplicaciones y servicios que actualmente están basados en la filosofía Lego. Ellos se construyen en base a piezas ya existentes hechas por otros que se referencian y utilizan. Si el error se produce en una pieza situada muy abajo, el resto de elementos software que emplean esa pieza se ven colateralmente afectados por el problema de seguridad y la torre de naipes se cae de golpe. Heartbleed ha sido un primer buen ejemplo de reflexión.




La solución en parte es la certificación ISO 15408 que se aplica a ciertos elementos software pero también habría que ver si hay productos con Openssl certificados. Para quien quiera saber más de esta norma conocida como "Common Criteria" y que se requiere para ciertos productos software en determinados sectores, puede leer la entrada ISO 15408 y el DNI-e, PP para el desarrollo de aplicaciones (Parte I)

Un saludo y esperemos que no pasen 4 meses antes de volver a publicar ;-)

viernes, 27 de diciembre de 2013 0 comentarios

Carta a los Reyes Magos de un Responsable de Seguridad para el 2014.

Siguiendo ya la tradición por estas fechas de mi carta a los Reyes Magos como en el año 2012 y 2013, esta sería la epístola que enviaré este año.
Este año, como en años anteriores he sido bueno y intentado que en mi organización no ocurran incidentes pero el milagro cada año cuesta mayor esfuerzo. Ya son notables los cambios de tendencia en relación al "lado oscuro de la fuerza" y los malos cada vez cuentan con mejores herramientas o aplicaciones que les hacen más fáciles sus fechorías. Es lógico en parte dado que las mismas herramientas que podemos emplear los que defendemos sistemas de información son también utilizables por quienes quieren atacarlos. Lo que se nota ya es que cada año cuentan con mejor artillería y que los conocimientos necesarios disminuyen lo que hace fácil transformar a cualquiera en atacante como nos van mostrando los diferentes informes de inteligencia que van publicando algunos fabricantes como Microsoft.
Como todos los años, dada la ausencia de incidentes graves, el resto de áreas no valoran demasiado el trabajo el área de seguridad pero este año ha sido ya algo más duro resistir porque la hostilidad del entorno va en aumento. Ya los ataques de phishing se dirigen a entornos más pequeños buscando todo tipo de empresas y víctimas potenciales. Así que de nuevo tengo que pedir algunas cosas para este año 2014 que empieza. Mi lista es la siguiente:
  • Este año necesito refuerzos muy importantes desde la capa de inteligencia de red. Es cada vez más necesario saber cuáles son los flujos de tráfico de mi organización con el exterior. Siempre nos había preocupado vigilar y proteger el tráfico entrante pero dada la sofisticación del malware ahora es necesario poder detectar actividades anómalas o tráfico extraño desde la red interna a sitios de reputación conocida y vinculada al mundo del malware. Este año 2014 que empieza me gustaría poder explotar el análisis reputacional de las IP sobre todo del tráfico desde mi red interna hacia sitios catalogados como malware. La existencia de los APT debe hacernos asumir que la red puede estar infectada y vigilar al menos de que los amigos de lo ajeno no se llevan por la red el botín a que hayan podido llegar usando sus técnicas de ingeniería social y pivoteo por la red. Por tanto, las herramientas SIEM que antes eran un lujo empiezan a ser una necesidad. También la introducción de dispositivos específicos para APT porque los métodos de intrusión cada vez están mas dirigidos a debilidades en las aplicaciones y es complejo tener un entorno homogéneo y un parque controlado de software instalado. Aunque durante un tiempo hemos descartado la filosofía de protección basada en listas blancas, probablemente debamos volver a ella de la mano del puesto de trabajo virtualizado.
  • La concienciación del usuario final será como todos los años otro frente sobre el que trabajar. Si antes eran claves en la protección del puesto de trabajo, ahora con la dispersión de los dispositivos móviles (BYOD) todavía se hace más necesario que estén al día en cuanto cómo proteger la información que custodian. Además, los ataques dirigidos intentan usar el correo electrónico y la debilidad del usuario final para contagiar un equipo y después pivotar hacia el backend.
  • Desde las áreas de la organización que velan por el cumplimiento normativo también empiezan a preguntarme cada vez más cuál es el estado de situación de nuestra seguridad. Seguramente los constantes incidentes y fugas de información de empresas muy notables les estarán haciendo pensar que "cuando ves las barbas de tu vecino pelar, pon las tuyas a remojar". Por eso mi primera petición está relacionada con mejorar mi capacidad de "mostrar" el nivel de protección. 
  • El efecto Snowden también se ha dejado notar bastante y seguramente en este año que empieza voy a tener que empezar a reportar a Dirección qué vigilamos y cuál es el nivel de riesgo que la Organización está asumiendo. En este sentido, es una buena noticia que las capas directivas quieran ya saber de mi, que deseen tener cierta "conciencia situacional" respecto a la seguridad de la infraestructura TI que da soporte a sus procesos de negocio sobre todo para poner freno a algunos de los saltos hacia la cloud computing que no estaban calibrando de forma correcta otros factores además del ahorro de costes. Ahora parece que este caso ha puesto de manifiesto lo que desde hace años tenemos claro en nuestra área y es el valor capital que tiene la información como activo de la Organización.  
  • Como no quiero ser muy acaparador, ya en último lugar y en relación al proceso de posibles subcontrataciones quiero pedirte consejo para poder valorar los riesgos que voy a tener que delegar sí o sí en terceros. El outsourcing que ya está implantado en casi todas las organizaciones llega al área de TI transformado en servicios de cloud computing. En este sentido, espero que en este 2014 se creen marcos de valoración o revisión de terceros que permitan de forma sencilla poder comparar la calidad, resiliencia y fiabilidad de los distintos prestadores para no tener que gestionar ese nivel de incertidumbre que actualmente tengo que asumir. Aunque tengo claro que voy a introducir la capacidad de poder supervisar o auditar las delegaciones de servicios que realice, lo ideal sería que existiera un enfoque estandarizado. Espero que el desarrollo de la futura "ISO 27017 Code of practice for information security controls for cloud computing services based on ISO 27002" me ayude al menos a poder solicitar una declaración de aplicabilidad del externo sobre los sistemas que haya podido delegar.



En fin queridos Reyes, se que éste seguirá siendo un año difícil y que las organizaciones todavía no valoran/comprenden y entienden qué pinta la seguridad de la información aunque como cada vez son más frecuentes los ataques al menos se incrementan su sensación de que somos un mal necesario. 


domingo, 10 de noviembre de 2013 2 comentarios

¿Confidencialidad por encima de todas las cosas?

El caso Edward Snowden que tanto ha dado que hablar y que seguramente seguirá causando mucho revuelo es un hecho que tiene diferentes perspectivas de análisis y que para los apasionados al mundo de la seguridad de la información nos proporciona interesantes reflexiones.

Personalmente una de las cosas que me ha llevado a plantearme este caso ha sido hasta qué punto es cuestionable usar la confidencialidad como arma de estado cuando se abusa del uso para enmascarar acciones o decisiones que pueden suponer el incumplimiento de la legislación. En este sentido, Snowden entendió que ante el dilema de garantizar el secreto o revelar al mundo las tropelías de su Gobierno esta opción era la más justa.

Quizás una de las cosas que más va a costar asumir es que la palabra "confidencial" tiene que ser adecuadamente empleada para que efectivamente sea garantía de secreto. Es habitual pensar que definir o clasificar algo como "secreto", "restringido" o "confidencial" significa que no se producirá su difusión masiva. Sin embargo, la clasificación de información y la asignación de este tipo de etiquetas significa en el mundo real varias cosas:
  • Habrá un conjunto reducido de personas que tendrán derecho de acceso y consulta de este tipo de información.
  • Se controlarán exhaustivamente los accesos y se robustecerán los mecanismos de identificación y autenticación para garantizar que efectivamente solo el reducido número de personas autorizado tiene la capacidad de procesar este tipo de información.
  • Se aplicarán medidas de protección para el almacenamiento y transporte de este tipo de contenidos siendo el cifrado la herramienta más adecuada.
Sin embargo el caso Snowden como la existencia de Wikileaks ponen de manifiesto que los "secretos de estado" pueden ser una zona oscura que emplee la confidencialidad como tapadera para esconder u ocultar abusos de poder o el incumplimiento de las leyes. El argumento de "Garantizar la seguridad del Estado" supone una tentación grande para aquellos que opinan que el fin justifica los medios. Como bien expresaba el diálogo de la película "Algunos hombres buenos" cuando al final del juicio el abogado interpretado por Tom Cruise presiona en su declaración al Coronel encarnado por Jack Nicholson", cuando es preguntado por si había activado el código rojo, éste superando su nivel de autocontrol explota diciendo "Vivimos en un mundo que tiene muros y esos muros han de estar vigilados por hombres armados. No tengo ni el tiempo, ni las más mínimas ganas de explicarme ante un hombre que se levanta y se acuesta bajo la manta de libertad que yo le proporciono, y después cuestiona el modo en que la proporciono. Preferiría que sólo dijeras gracias y siguieras tu camino. De lo contrario te sugiero que cojas un arma y defiendas un puesto".

La caída de las Torres Gemelas cambiaron la percepción del mundo y durante años la seguridad ha estado por encima de todo, incluso del respecto a las reglas del juego. La Patriot Act que sigue vigente permite al gobierno americano acceder a cualquier tipo de información que consideren potencialmente relevante en la investigación de sospechas que permitan evitar el terrorismo. Para ello, la maquinaria tecnológica de USA ha ido cocinando diferentes tipos de estrategias que junto con su supremacía en el campo de las nuevas tecnologías la han posicionado de nuevo como la gran primera potencia mundial que controla el mundo, salvo que esta vez no nos referimos al físico y tangible que todos vemos sino al que circula por cables bajo tierra y que sirven para construir Internet.

En este nuevo mundo USA juega con muchas ventajas. Posee el mayor volumen de empresas del sector (Cisco, Oracle, Microsoft, Amazon, Twitter, Facebook, Ebay, etc.)  que se dedican a recoger o gestionar grandes volúmenes de datos que sirven para alimentar la economía del siglo XXI. Tiene legislación como la Patriot Act que permite la injerencia del Gobierno cuando así lo considera oportuno y dada la globalidad del mundo, es posible que todas las comunicaciones pasen en algún momento por puntos que están bajo su control.

Sin embargo, toda esta tan perfecta maquinaria olvidó desde su pedestal que da el poder de saber que todo puede ser visto o escuchado que en seguridad siempre hablamos de "procesos", "tecnología" y "personas" y como dice el principio del eslabón más débil, "la seguridad será tan fuerte como el más débil de los eslabones". Seguramente al marcar como "confidencial" tantos documentos olvidaron lo que realmente significa esa palabra para que realmente suponga una protección efectiva. Como hemos empezado diciendo, "confidencial" se vincula a que un conjunto de privilegiados podrán tener acceso y conocimiento de los hechos, pero a su vez también supone  lealtad, fidelidad y el compromiso de esas personas en velar por el cumplimiento de mantenerla en secreto. No podemos saber si era o no procedente que Snowden por el cargo que ocupaba tuviera acceso al conjunto de información que fue revelada pero lo que sí sabemos que ocurrió es que el conocimiento de los datos y su significado superó el compromiso de lealtad con su Gobierno. Debemos confiar en que siempre el factor humano puede suponer el mejor contrapoder cuando se producen abusos porque siempre puede existir ese pequeño e insignificante "David" que suelte una piedra con su onda para tumbar a "Goliat".


Seríamos ingenuos si pensáramos que Snowden puede cambiar las reglas del juego. Ningún país puede renunciar al espionaje, forma parte del "Arte de la Guerra" al que el propio Sun Tzu da una importancia mayúscula en el capitulo 13.
CAPITULO13: Sobre la concordia y la discordia.
 La información no puede obtenerse de fantasmas ni espíritus, ni se puede tener por analogía, ni descubrir mediante cálculos. Debe obtenerse de personas; personas que conozcan la situación del adversario.Si no se trata bien a los espías, pueden convertirse en renegados y trabajar para el enemigo.No se puede obtener la verdad de los espías sin sutileza.Cada asunto requiere un conocimiento previo.Siempre que vayas a atacar y a combatir, debes conocer primero los talentos de los servidores del enemigo, y así puedes enfrentarte a ellos según sus capacidades.Un gobernante brillante o un general sabio que pueda utilizar a los más inteligentes para el espionaje, puede estar seguro de la victoria.El espionaje es esencial para las operaciones militares, y los ejércitos dependen de él para llevar a cabo sus acciones. No será ventajoso para el ejército actuar sin conocer la situación del enemigo, y conocer la situación del enemigo no es posible sin el espionaje.
Debemos confiar al menos en que existirán personas con ética suficiente para anteponer los principios morales a su propio interés y que romperán ese blindaje de la "confidencialidad" para revelar situaciones donde el poder cruza demasiado la línea roja y acaba en la rotura de los principios constitucionales. El problema vendrá cuando la sociedad asuma que la seguridad prime por encima de todo y que sean admisibles cualquier tipo de prácticas porque el fin justifique los medios. 

miércoles, 23 de octubre de 2013 1 comentarios

Undécimo cumpleaños del blog

Aunque con unos días de retraso, este mes se celebra el undécimo cumpleaños del blog. Este año no me he prodigado mucho en el número de entradas pero la disminución de la frecuencia viene compensada con la mejora de la calidad. Los dos últimos post enlazan a documentos adjuntos que tienen una extensión considerable y que han sido pensados para facilitar la lectura y uso de los mismos fuera del ámbito del blog.  

Como todos los años toca agradecer a los lectores su presencia. Este año además contamos con las nuevas versiones ISO 27001 e ISO 27002 que seguro me permiten generar más contenidos y comentarios sobre las tareas para la construcción de sistemas de gestión de la seguridad de la información. También ando en lo profesional intentando formalizar el deseado cuadro de mandos de la seguridad y para ello, buscando la mejor manera de identificar qué eventos son relevantes para definir el estado de la seguridad y qué metricas las que mejores indicadores pueden proporcionar... pero eso será objeto de un futuro post.
Un saludo,



miércoles, 9 de octubre de 2013 3 comentarios

Análisis detallado sobre la nueva ISO 27001:2013

Tras unos días de vigencia de la nueva ISO 27001:2013 y tras haber realizado ya una lectura más reposada y meditada del nuevo estándar y los cambios introducidos solo puedo decir que esta me gusta mucho el texto de esta versión y que ahora está “mejor enfocada” hacia la valoración del funcionamiento del SGSI por los resultados operativos relacionados con el cumplimiento de los objetivos de seguridad. 

En un mundo donde cada vez más la gestión TI es externalizada o delegadas ciertas partes a sistemas que no son propiedad de la organización, es necesario al menos tener identificados los riesgos y garantizar sobre todo que a pesar de eso, podemos proporcionar protección de información a “nuestras partes interesadas” (clientes y los propios departamentos de la Organización).

Como esta revisión ha sido exhaustiva y completa he preferido crear un documento completo con los comentarios sobre la nueva norma para que sea descargable y más manejable que el texto incrustado en el blog.



Podéis proceder a la descarga del documento con licencia Creative Common en este enlace:
La nueva norma va a tener como consecuencia que empecemos todos a hablar del ansiado "cuadro de mando" de la seguridad de la información. Algo en lo que ya he empezado a investigar y cuyo origen parte de las reflexiones colgadas en el post Ciberdefensa: taxonomía de eventos de seguridad.

 
;