viernes, 24 de abril de 2015 0 comentarios

Ciberseguridad: elegir entre la pastilla roja o la pastilla azul

Los que llevamos mucho tiempo en esto de la seguridad (Aunque ahora queda más cool ponerle el prefijo cyber/ciber-seguridad)  estamos viviendo un momento dulce en el sector. Los diferentes vaticinios agoreros que hace unos años se veían como "análisis paranoicos" o irreales ahora son considerados amenazas tangibles y potencialmente reales.

Un blog de 12 años de antigüedad que ha ido recogiendo los diferentes incidentes y reflexionando sobre ellos ahora permite viajar al pasado para comprobar que los grandes fuegos actuales en esta materia empezaron no atajando a tiempo las pequeñas cerillas que se iban dejando caer por el monte.
Para muestra, las reflexiones del 2004 o el 2010.
El caso es que ahora la ciberseguridad ocupa portadas de periódicos, los incidentes de seguridad dan para tertulias en programas y existe una mayor conciencia de los riesgos de la red. Sin embargo es un hecho constatado que la seguridad de la información que llama la atención es su versión más mediática, la que mira hacia el experto que es capaz de encontrar agujeros o demostrar cómo una gran corporación ha cometido errores.

Yo entré en esto de la seguridad casi por casualidad al finalizar la carrera tras hacer un proyecto piloto sobre Magerit 1.0. En aquel entonces cualquiera que hablara de riesgo en el mundo de la seguridad era un loco. De hecho mi primera tarjeta de visita ponía e-worker/Hacker en la empresa "Innovative Security Comunications" (INNOSEC) aunque mi trabajo estaba más relacionado con la elaboración de normativas y procedimientos o el análisis de riesgos que fue el factor diferencial que hizo seguramente que fuera contratado.


Sin embargo en aquella época hablar de gestión de la seguridad, de las BS 7799 (partes 1 y 2) no tenía audiencia y mucho menos clientela. En mi caso también había estado trabajando con la recién publicada LOPD y con su R.D. 994/1999 por lo que la protección de datos y la seguridad de la información vinculada al cumplimiento legal fue mi día a día.

¿Y todo este rollo a que viene y qué tiene que ver con el título del post? 

Echando la vista atrás he podido entender que en mis comienzos tuve que decidir entre la pastilla roja o la pastilla azul. En su momento el equipo Innosec estaba integrado por dos perfiles puros de hacking, dos administradores de sistemas y redes, técnicos de instalación de firewalls, antivirus y PKI y yo que era el raro y que nadie entendía para que estaba. En aquella época en las discusiones más calientes me tocaba argumentar en la importancia de la gestión y en que algún día las empresas querrían acreditar su seguridad usando normativas, de forma similar a lo que ocurría con la calidad y la ISO 9000.

El tiempo ha pasado y la seguridad se ha hecho muy mediática pero la atención se presta en los fallos, en donde están los problemas, se centra en la detección o descubrimiento de nuevos peligros... transmitiendo la sensación de que todo tiene agujeros (Porque realmente puede ser así cuando alguien se dedica a buscarlos de forma intensa). La parte mediática y ahora famosilla de la seguridad se centra en los perfiles más destacados del pen testing nacional gracias a que tenemos en estos temas grandes referencias nacionales e internacionales. Creo que España se está haciendo un hueco en este mundillo y cuenta con grandes equipos de pentesting (Equipos rojos o RED TEAMS).

Sin embargo, hay poca reflexión o atención a todos aquellos profesionales que están a diario en primera linea de batalla pero en las trincheras, los que forman los departamentos de seguridad de la información o seguridad informática (Cuando existen porque en muchas ocasiones son los propios sysadmin los que llevan estos trabajos). Ya creo haber comentado la asimetria entre defensa y ataque. 

El agresor se limita en una primera fase a realizar actividades de inteligencia, de detección de puntos vulnerables y su explotación. Para ello tiene el tiempo que quiera invertir al respecto y la paciencia que considere atendiendo a la motivación que le lleva a intentar la intrusión. Una vez dentro, en esta segunda fase ya tiene que ir con cuidado porque puede ser cazado y en esa parte del trabajo debe tener muy sigiloso. Si logra la intrusión, se podrá marcar un tanto y habrá logrado demostrar con éxito su hazaña. Si no lo consigue, nadie se enterará y se irá a por otra presa.

Si ahora intentamos ser algo empáticos con los Blue team, su visión del mundo es que todo debe ser protegido. Como buen pastor debe velar por la integridad del rebaño de sistemas y redes, por el mantenimiento de los servicios y por garantizar la continuación del modelo de negocio. Lo más desagradecido de la seguridad es que en general no se percibe la protección como aportación de valor cuando a veces, garantizar la supervivencia es una forma de contribuir al mantenimiento del negocio.

Últimamente que tengo que lidiar con capas directivas de las empresas, estoy intentando explicar que la seguridad de la información también aporta valor a sus compañías aunque no sea intuitivo de ver. De hecho, Cobit 5 destaca entre los tres grandes objetivos de toda organización la optimización del riesgo.

Creo que Miguel Angel Hernandez Menéndez lo expresa muy bien en una de sus transparencias, con el siguiente slide.



Pelear todos los días porque la maquinaria no se pare e incluso reaccione con resiliencia frente a las perturbaciones interas o externas es también una aportación de valor, aunque su percepción sólo llega cuando la inseguridad se manifiesta en forma de incidente. La existencia de los BLUE TEAM se justifican de esta forma. Las tareas del equipo azul están muy distribuidas, implican el control de muchos frentes, de lidiar con las capas técnicas pero también con las capas directivas para intentarles concienciar de la importancia de los asuntos que un equipo azul lleva entremanos. Encima hay que justificar bien la necesidad de recursos, la mejora de la artillería que debe hacer frente a los diferentes agresores, los diferentes fallos que los propios fabricantes van detectando, en fin, un no parar con la presión de no poder dormir tranquilo nunca. En este caso, el día que ocurre algo todos pueden pensar que has fracasado en tu trabajo... pero nadie te felicitará por cada uno de los días en los que todo funciona de forma adecuada y correcta. Toca estar vigilantes en la muralla y con las armas preparadas por si en cualquier momento aparece un ataque... pero eso es estar en el equipo azul y es lo que ya sabes cuando eliges ese color de pastilla.



Por suerte, los diferentes equipos azules ya empiezan a darse cuenta que igual que los malos colaboran, los buenos podemos hacer lo mismo. Hay que destacar la iniciativa del Gobierno americano, en concreto el DHS y su US-CERT que están empezando a crear las piezas necesarias para que la información fluja en unas determinadas formas, La iniciativa tiene tres áreas de trabajo principal que son:




Los frutos tardarán unos años en llegar pero cuando instituciones, fabricantes y gobiernos empiecen a darse cuenta de que las labores de inteligencia también tienen interés para ir conociendo a los que están en el lado oscuro, se crearán las relaciones para generar una respuesta rápida y sobre todo, para compartir el conocimiento de cada uno de los diferentes blue teams y de su proceso de investigación frente a un ataque. El Mitre lideró hace algunos años la necesidad de identificar con un código único las vulnerabilidades y su importancia y ahora no hay notificación o producto que se precie que no tenga como información de referencia el código CVE.

Yo personalmente me he sentido siempre identificado y motivado por estar en el lado de los que defienden, de los que su misión es lograr que ciertas cosas no sucedan, de los que tienen como misión el intentar realizar modelos de seguridad que sirvan para que la Dirección entienda el escenario de riesgo en el que se mueve y la importancia de las decisiones a tomar para mitigar algunos de los peligros. Sin embargo, en esta parte están aquellos que nunca recibirán una felicitación por su trabajo porque es invisible. Aun así nos gusta nuestro trabajo porque sabemos que las murallas requieren de gente apostada vigilando para que el resto de actores puedan realizar su trabajo.


viernes, 16 de enero de 2015 0 comentarios

¿Es la seguridad en el ciberespacio competencia del Estado o un negocio privado?

Hemos visto en estos últimos meses como ha ido cobrando vital importancia la vigilancia en la red y la proliferación de ataques a compañías y estados. Todos los profesionales del sector estamos insistiendo en la necesidad de la prevención y sobre todo la detección temprana... pero últimamente no paro de plantearme una cuestión ¿Pueden los cuerpos y fuerzas de seguridad del estado vigilar preventivamente el ciberespacio? ¿Tienen igual capacidad operativa en Internet que la que tienen en el terreno físico?

Para evidenciar más la cuestión sólo es necesario consultar los diferentes servicios online que han ido apareciendo en estos meses (El último añadido el nuevo servicio Cybertheat Map de FireEye) donde diferentes empresas del mundo de la seguridad son capaces de mostrar en tiempo real que ocurre en Internet. Todos ellos obviamente están utilizando la información recogida  por los miles de dispositivos de su marca dispersos por el mundo para poder pintar qué ocurre en Internet siendo en todos ellos la foto parcial de aquello que detectan los equipos instalados en sus clientes. 

Aquí os presento 12 de ellas siendo la de Kaspersky, Norse y FireEye de las más impactantes.

 La gran pregunta que hay que plantearse es ¿Podríamos ver servicios así cuya fuente de información sean los cuerpos y fuerzas de seguridad del estado? ¿Pueden actuar en ataques dirigidos o de denegación de servicio de igual forma a como lo harían si fueran ataques físicos?

Quizás donde esta situación plantea más problemas va a ser en la protección de infraestructuras críticas. Imaginemos que una Autoridad Portuaria está sufriendo un ataque de DDoS. Aunque las competencias las tenga el CCN-CERT, como se puede comprobar en su Catálogo de servicios del CCN-CERT su capacidad proactiva de contención o mitigación es limitada siendo más un organismo de asesoramiento en la gestión del incidente que en la parte técnica de resolución del mismo. Llegado el caso, cada organización dependerá de varios factores para tener éxito frente a este tipo de agresiones:
  • Los operadores de servicios de telecomunicaciones de los que sea cliente.
  • Los fabricantes de sus productos de protección y su capacidad de actualización.
Por tanto y al contrario de lo que ocurre con la seguridad patrimonial, en el ciberespacio la protección de infraestructuras y organismos va a depender de la colaboración publico-privada que exista. Sobre todo porque como estamos viendo, quién tiene la información de primera mano sobre lo que ocurre por la red son los fabricantes de soluciones de seguridad en primera instancia y los operadores de servicios de telecomunicaciones que enrutan el tráfico de Internet. 
Supongo que llegado el caso, deberá crearse un marco legal que diera soporte a un  SITEL-2 (Sistema Integrado de Interceptación de Telecomunicaciones) con una estructura para realizar la monitorización de las TIC pero actualmente esa cobertura no existe y a nivel tecnológico también habría que crear un punto único de paso de todas las comunicaciones. Y cuando llegue el momento también habrá que ver cómo se regula para preservar el difícil equilibrio entre la seguridad y la privacidad. En cualquier caso, el problema de privacidad ya existe porque esos datos ya son manejados por empresas para dar servicios.



martes, 13 de enero de 2015 0 comentarios

¿Que deberíamos aprender del año 2014 en materia de seguridad? Empezamos a pagar la deuda técnica.

Como es tradicional en estas fechas y en este blog, toca mirar al futuro y plantearse cuales van a ser los retos y objetivos del 2015. Quizás este año de cara a justificar decisiones ante la Dirección las cosas no vayan a ser tan complicadas dado que el año 2014 si ha destacado por algo ha sido por la evidencia manifiesta de que el cibercrimen está presente en nuestras vidas de forma tangible. Solo hay que recurrir a las web de estadísticas más conocidas para poder comprender que el problema sigue creciendo y que las respuestas siguen siendo insuficientes. Para muestra, consultar los resumenes de dos de mis webs preferidas para estos temas:

La primera conclusión debe hacer reflexionar de forma clara sobre un hecho: la tendencia sigue en aumento a un ritmo muy preocupante. El gran problema es que no sabemos todavía qué información se puede haber ya fugado y está siendo utilizada en estos momentos para producir nuevos ataques en el futuro. Uno de los mayores retos en la protección de la confidencialidad es que por desgracia se detecta cuando ya no tiene solución y llegado el caso, sólo queda como estrategia el ser capaz de resistir el ataque. Sony no va a reparar el daño que haya causado por ejemplo que hayan sido conocidas las nóminas de su personal. Esta tendencia a atacar mediante la publicación intencionada de datos de carácter personal denominada "doxing".

Como segunda reflexión creo que cabe también admitir que hemos estado cometiendo errores de enfoque y que nuestra aproximación a la inseguridad de la información no ha sido adecuada. Hay aspectos básicos de carácter preventivo que no se han tenido la relevancia e intensidad adecuada y que ahora echamos en falta. De estas actuaciones la más relevante es la formación, capacitación entrenamiento del personal interno para la detección de los ataques más comunes y su prevención. Hemos estado conociendo casos muy notorios de hacking de este año 2014 donde el vector de ataque ha sido el spear phising. Esta técnica mezcla la ingeniería social con la ausencia todavía de medidas de seguridad en el correo electrónico. ¿Desde cuando existe la posibilidad de firmar correo electrónico, más de 10 años? Es evidente que muchos de los vectores de ataque cuentan con medidas de seguridad suficientes para mitigar los riesgos asociados pero el despliegue de estas medidas no ha sido abordado por las organizaciones. Evidentemente en muchos casos por la complejidad o coste de la implantación pero bajo la premisa de una ecuación de retorno de inversión que quizás no ha calibrado de forma adecuada el "coste de la inseguridad". Por desgracia estos cálculos sólo pueden hacerse bien una vez ya ha ocurrido algo y en por desgracia en muchas situaciones el coste del incidente supera en mucho el valor estimado.
El caso Sony es ahora un elemento de reflexión. Esta compañía ya había sufrido un serio ataque hace años pero a pesar de ello ha vuelto a ser de nuevo víctima. Todavía va a ser complicado calcular el impacto económico del incidente y más cuando aparecen noticias como la demanda de Charlize Theron que ha conseguido igualar su sueldo con el de actores compañeros tras conocer los salarios por la filtración producida.

Esto que estamos viviendo donde el hacking se sitúa ya como noticia cotidiana en prensa y donde las ciberamenazas se plantean como un quinto poder es algo que se venía anunciando. Los que nos dedicamos a esto hemos ido empleando en nuestras presentaciones desde hace mucho tiempo la imagen del iceberg para mostrar que los síntomas que en aquellas épocas se iban detectando eran los inicios de una maquinaria que cuando desarrollara con todo su potencial acabaría haciendo estragos. Esta es la transparencia que usaba en el año 2004 para explicar porqué la seguridad iba a ser un problema futuro en los sistemas de información. En aquellos años nos tocaba ser los "paranóicos" cuando nos tocaba decir que vendría el lobo... pero el contexto tenía elementos claros que hacían que los riesgos fueran en aumento y por tanto, que los problemas aparecerían solos. Ha existido desde hace mucho tiempo un caldo de cultivo adecuado para crear la industria del cibercrimen.


El texto que adjunto a continuación es también de una entrada de este mismo blog titulada "Versión de los virus" del AÑO 2004. Este blog se inició hace mucho tiempo y ahora me resulta a veces curioso comprobar cómo la realidad está superando con creces lo que se vaticinaba que podría ocurrir.
"Un fenómeno que viene ocurriendo este ultimo año es la aparición de versiones de los virus más conocidos. Supongo que esto ocurre porque en el "lado oscuro" circula rápidamente el código fuente de los virus más populares del momento y ingenuos programadores o gente sin escrúpulos crea nuevas versiones del código introduciendo mejoras o cambios en los objetivos del virus. Ayer era conocido el efecto que el virus Mydoom.M había tenido sobre los principales buscadores y hoy empieza a sonar una nueva versión Mydoom.O cuyo objetivo es producir el mismo efecto sobre Microsoft.com. 
Además, debemos destacar que ya los virus no vienen solos. Se han juntado con otro tipo de amenazas como troyanos o keyloggers para crear un engendro mucho más peligroso. Como digo, se están juntando las fuerzas del mal aprovechándose la potencia dañina de cada uno de los espécimenes creados. Mydoom, Sasser, Beagle, Gaobot, Korgo, y otros espécimenes son al final suma de varios elementos: 1.- Difusión inmediata con técnicas de reproducción y contaminación vírica. 2.- Habilidades para inhabilitar o desconectar el software de protección perimetral y vírico existente en el PC. 3.- Inclusión de troyanos para hacer al equipo un "zombie" y poder lanzar ataques de Denegación de Servicio Distribuida (DDoS) contra diferentes objetivos. 4.- Inclusión de keyloggers para espiar al usuario y de paso, intentar obtener información de sus accesos a bancos on-line para el posterior hurto. 5.- Posibilidad de ejecución remota de comandos sobre el virus para cometer diferentes fechorías e ir modificando el comportamiento del virus en función del interes del atacante. 
En fin, que el tema de la seguridad informática se parece cada vez más a un iceberg. A día de hoy, solo conocemos una pequeña porción de los problemas que pueden ir apareciendo. Si bien la industria del software empieza a consierar el tema como una prioridad en el diseño, vamos a sufrir las consecuencias de unos diseños sin pensar en la seguridad de protocolos de Internet y el software todavía unos años más. "
Sin embargo poco a cambiado en cuanto al enfoque  de la industria del software. La seguridad sigue siendo una gran desconocida en el diseño del producto (Como nos ha demostrado el mundo de la informática industrial creando ahora un problema de mayor envergadura por la dificultad de seguridad este tipo de escenarios) y donde las consecuencias pueden ser realmente dramáticas y sobre todo, de impacto físico y tangible.

Para terminar, quiero también refrescar otra reflexión que publiqué en el año 2011 bajo el titulo ¿Los errores informáticos, ¿Deben pagarse?.
"Todo parte de una noticia que guardé hace unos días (vía Instapaper que recomiendo usar a aquellos que quieren mejorar su productividad y no verse arrastrados por la navegación compulsiva) donde David Rice, nuevo responsable de seguridad de Apple plantea un impuesto sobre vulnerabilidades como idea para la mejora de la seguridad del software. 

Esta propuesta no es nueva y forma parte del discurso de Bruce Schneier que siempre habla de la "economía de la inseguridad". Su planteamiento viene a explicar que la filosofía con la que la industria en general trabaja es el pago por los efectos de la inseguridad, sin atajar la esencia del problema.

Lo curioso del tema es que realmente no se sabe si este enfoque resulte económicamente más rentable que intentar fortalecer la seguridad desde el diseño. Microsoft a base de sufrirlo en sus propias carnes decidió cambiar radicalmente su filosofía y paso a una "seguridad por defecto" como planteamiento de diseño. Y las cosas se hicieron bien desde el principio, atacando el problema desde la raíz, en el proceso de construcción del software. Fruto de aquello, hoy utilizan y aplican la metodología de desarrollo seguro SDLC de la que ya he hablado en este blog en más de una vez.

Lo que sí creo es que empieza a llegar un momento en donde debiera plantearse el proceso industrial de la Ingeniería en Informática, estableciendo unos requisitos mínimos a cumplir y unas garantías mínimas exigibles a los productos hardware o software que se lanzan al mercado. Y no garantías físicas respecto a la seguridad industrial del producto (consumo, rendimiento eléctrico, etc.) sino garantías respecto a los aspectos programados por el software, atribuibles al código que se ejecuta en el dispositivo.

Porque hay una cosa clara, mientras el error o fallo no afecte directamente a la cuenta de resultados de la Empresa que lo causa o genera, la Industria no cambiará. Esa "cláusula comodín" del software que lo primero que dice es que se encuentra ante un producto del que no es exigible ningún tipo de responsabilidad se tiene que acabar. En otras áreas de la Industria se realiza un esfuerzo enorme por garantizar la robustez y fiabilidad de los productos y la Informática no está todavía por desgracia a esa altura. Sólo hay que pensar en las disciplinas asociadas a la seguridad de los materiales de construcción, la seguridad del automóvil, etc... para darse cuenta de lo importante que es el diseño seguro." 

Hemos podido comprobar en el caso de las aplicaciones para móviles como el modelo de Apple, donde existe un mínimo control centralizado para la venta de aplicaciones ha tenido más exito (en términos de la problemática de seguridad) que el enfoque de Google donde no existen restricciones para añadir aplicaciones a su tienda. Obviamente los motivos de la centralización y el control de Apple no obedecen a la seguridad pero ésta ha sido una víctima colateral beneficiada por dicha decisión.

Por tanto, como retos para el año 2015 y por tanto, como potenciales objetivos para lograr una mejora de los resultados deberíamos plantearnos al menos las siguientes cuestiones:

  1. Mejorar nuestra "conciencia situacional" en materia TI. Es común en muchas organizaciones el disponer de medidas de seguridad tradicional pero todavía se carece de medición respecto a su alcance y puesta a punto. Este tipo de información nos describen el alcance de las medidas que creemos tener funcionando y sirven para detectar si realmente tenemos todo el parque de equipos dentro del paraguas de la protección. Esto sería simplemente disponer de indicadores del tipo:
    •  % de cobertura del parque de PC con antivirus actualizado.
    •  % de equipos sin vulnerabilidades críticas.
  2. Robustecer la capacitación del personal para disminuir la eficacia de la ingeniería social. Es necesario, al igual que existen políticas vinculadas a la formación en prevención de riesgos laborales o seguridad en el trabajo, que la seguridad de la información tenga el protagonismo necesario dado que como estamos viendo, su ausencia afecta de forma grave al funcionamiento de la organización. Estos planes de concienciación deben centrarse en enseñar al usuario común los vectores de ataque que suelen ir dirigidos de forma específica hacia ellos como el phising o el malware. Existen herramientas y plugins que valoran la reputación de sitios Web y que pueden avisar al usuario cuando está en una Web potencialmente peligrosa. Estos añadidos aportan información sencilla que pueden permitir a un usuario sospechar y por tanto, no ser víctima.
  3. Incorporar, siempre que el presupuesto lo permita, las nuevas tecnologías en materia de protección perimetral basadas en la detección en tiempo real de malware por el análisis del comportamiento y no por su detección de patrones.

El año 2015 probablemente vaya a ser más de lo mismo. Es cierto que ya ciberseguridad ya empieza a ocupar el lugar relevante que tenía que tener reservado desde hace tiempo pero también es verdad que en esta materia estamos aunque una situación de "deuda técnica". Mientras la factura por la ausencia de seguridad ha sido barata... nadie ha movido un dedo... pero cuando ahora el ciberterrorismo se plantea como un quinto poder, se toman cartas en el asunto. Lo grave de esta estrategia es que seguramente sea mucho más cara que la prevención porque hemos permitido durante años que se genere el despligue de software sin controles mínimos. Es lo que intentaba plantear el relato El Tsunami tecnológico que no pudimos evitar  en el año 2012. 






lunes, 15 de septiembre de 2014 0 comentarios

Privacidad vs conocimiento, esa es la cuestión.

Toca tratar el tema de la privacidad que es un concepto que continuamente se ve sometido a cambios del entorno y por tanto, a menudo nos toca pensar sobre sí es necesaria una actualización. Hace un par de años tuve la oportunidad de poder hablar del Big data que en aquel momento era un concepto incipiente. Para ello me puse a investigar sobre todas las tendencias tecnológicas que pudieran usar esta forma de procesamiento masivo para generar conocimiento. Revisando los contenidos he podido verificar que efectivamente aquellas tendencias se han consolidado y que se han fabricado nuevos dispositivos y sensores para poder generar datos que puedan ser procesados desde esta perspectiva. En este sentido, a principios de año decidí experimentar con el uso de wearables e incorporar en mi vida un elemento de monitorización continúa de la actividad diaria, el sueño y la alimentación. Como creyente de los beneficios de la retroalimentación, la teoría del control y el ciclo de mejora continúa este tipo de dispositivos me iban a permitir comprobar si las sensaciones se conformaban con los datos reales obtenidos. 

Lo primero que pude comprobar es que casi todos los dispositivos almacenan la información recogida fuera del mismo, lo que implica el exilio de los datos a la cloud de la empresa de turno . Sin embargo en materia de privacidad también destaca en las condiciones del servicio la promesa de que la información no será cedida o vendida a terceros. Es un punto importante dado que este tipo de empresas no parecen orientarse a vencer privacidad de sus clientes particulares sino a vender el conocimiento  acumulado y agregado en términos estadísticos.

En esencia parece que muchos de los estudios relacionados con Big data pretenden el análisis de patrones o tendencias basándose en los resultados estadísticos de la masa de datos obtenidos. En este sentido en muchos casos se apela a ese carácter estadístico y anónimo para entender que no existe privacidad posible. Sin embargo yo soy de los que creen que al menos la recogida para un tratamiento de esa naturaleza si tiene que ser informada al afectado que debe tener la libertad de poder elegir si pertenecer o no a esa masa de datos. Estas empresas asumen que esa materia prima individual es gratis y que ellos pueden explotarla sin más. Valga como ejemplo el estudio realizado por el BBVA y Telefónica sobre los habitos de los extranjeros en sus visitas a Madrid y Barcelona. Sin embargo si fuera necesario obtener consentimiento quizás en un futuro no muy lejano las empresas tendrían que pagar al afectado por tener acceso a ese poquito de privacidad cedida.


La otra reflexión que quiero comentar y que da título al post es que como afectado y defensor de la privacidad, estos dispositivos y algunos servicios webs de tratamiento plantean una importante disyuntiva respecto a sí merece la pena cierto sacrificio de privacidad frente al beneficio que aporta el conocimiento obtenido desde esos servicios sobre tus datos. Es decir, si es interesante ceder datos personales para cambiarlos por información y conocimiento personal.  En mi caso las cesiones se realizan de los datos vinculados a movimiento, sueño y comidas y el acceso en modo lectura a estado de cuentas corrientes ( ahí es nada).


Hace unos días aparecía en El País una noticia relacionada con la tendencia de cuantificar la vida y registrarlo todo. El artículo completo cuenta la historia de Nicholas Felton que ve en la recogida de estos datos una forma de recordar. "Cuantificar las actividades me permite poder mirar, de un solo vistazo, amplios periodos de tiempo y condensarlos en una imagen o un número". Desde 2005 Felton elabora un informe anual que sintetiza esos 365 días en la Web http://feltron.com/.

En mi caso la cuantificación está sirviendo para confirmar la existencia de algún mal hábito y actua como i-conciencia al ser machaconamente repetido el mensaje de "debes hacer más de esto..." o "debes cambiar esto otro...". Los datos hacen que veas que efectivamente por mucho que intentes auto engañarte las cosas no cambian de forma sencilla. También es importante poder ver la evolución que tienen los cambios que introduces y ver como las tendencias cambian. En mi caso estoy comprobando como la aplicación que uso empieza a dar recomendaciones vinculadas a la media de población por edad, por perfil, etc. Además es muy importante de cara a la motivación el que te indicen cada día los retos a superar. En este sentido, recibes informes diarios que te indican tus resultados anteriores y te animan a superarlos. Cosas como "el miércoles pasado andaste 3000 pasos, a ver si lo superas..." o "la semana pasada dormiste una media de 6 horas, mejorarlo".

De toda esta experiencia se obtiene como conclusión que ya tenemos tecnología que van a darnos una nueva perspectiva sobre el mundo. Las personas nos hemos transformado sin darnos cuenta en sensores que registran información y la transmiten a repositorios donde puede ser estudiada y analizada de forma agregada y muy probablemente de ahí salga nuevo conocimiento que permita nuevas decisiones más inteligentes. Citando literalmente a Lord Kelvin, “Cuando puedes medir aquello de lo que estás hablando y expresarlo en números, puede decirse que sabes algo acerca de ello; pero, cuando no puedes medirlo, cuando no puedes expresarlo en números, tu conocimiento es muy deficiente y poco satisfactorio.”

Puede que la víctima colateral de todo ello sea la privacidad aunque seguramente tengamos que plantearnos de nuevo el concepto. Ya a comienzos de año en la entrevista de la APEP con motivo del día europeo de la protección de datos dejaba entrever algunos de estos cambios sobre big data o el IoT. Una de las principales cuestiones que debe plantearse es que debemos actualizar el término "datos de carácter personal" por información o conocimiento de carácter personal ya que las empresas empiezan a juntar puntos y empiezan a unir diferentes tipos de datos para obtener de nosotros "conocimiento". En este sentido la legislación debería empezar a regular los "tratamientos de datos" y no los ficheros, debería hablar de limitaciones en el procesamiento de cierta información para ciertos fines, etc... como digo, orientarse más que al hecho al resultado que tendrá el procesamiento masivo de datos de carácter personal. Para mostrar un ejemplo de estos puntos, podemos analizar el perfil de Google. Hace unos días profundizando en los paneles de configuración de la privacidad dí con la sección  Historial de la cuenta  donde te indican qué etiquetas ya tienes vinculadas en función del rastro que dejas. El listado total de categorías está descrito en este enlace https://support.google.com/ads/answer/2842480?hl=es&ref_topic=2971788. Obviamente todo es configurable para que nada de esto sea conservado pero el problema es que por defecto está activo y en pocos momentos creo recordar que Google haya hecho demasiado hincapié en informar al usuario sobre todas estas opciones. Yo soy consciente de que doy a Google determinados datos... pero lo que es complejo que pueda conocer es qué información extraen de todo ello y si me interesa o no que puedan comerciar con ella. Aunque este post de Bruce Schneier tiene ya unos años, es interesante su clasificación de los tipos de información que se alojan en una red social. De alguna forma, sirve para plantearse el concepto de “dato de carácter personal” y pensar si es necesaria una nueva redefinición del término cuando estamos ahora en la explosión de los servicios gratuitos que venden “meta-datos”. Lo que gente como Eli Pariser han pronosticado y que explican claramente en su charla Ted "Cuidado con la burbuja de filtros debe tenerse muy en cuenta para nuestros nativos digitales desde ya.
"A medida que las empresas de la red se esfuerzan por adaptar sus servicios (incluyendo noticias y resultados de búsqueda) a nuestros gustos personales, surge una consecuencia no deseada peligrosa: quedar atrapados en una "burbuja de filtros" que nos obstaculiza el acceso a esa información que podría desafiar o ampliar nuestra visión del mundo."
Los nativos digitales son desde el minuto 1 caracoles que van dejando un rastro procesable. El problema es que estos menores que tendrán una historia rastreable serán mucho más predecibles que nosotros como consumidores y de alguna forma, más sencillamente manipulables.



Quizás toca ya subir un escalón en la cadena de tratamiento y empezar a regular el uso de “información de carácter personal” como un conjunto de datos suministrados por el afectado o calculados o derivados del uso de aplicaciones, recursos, etc…”

Fuente: http://www.schneier.com/blog/archives/2010/08/a_taxonomy_of_s_1.html 

Below is my taxonomy of social networking data, which I first presented at the Internet Governance Forum meeting last November, and again -- revised -- at an OECD workshop on the role of Internet intermediaries in June.
  • Service data is the data you give to a social networking site in order to use it. Such data might include your legal name, your age, and your credit-card number. • Disclosed data is what you post on your own pages: blog entries, photographs, messages, comments, and so on.
  • Entrusted data is what you post on other people's pages. It's basically the same stuff as disclosed data, but the difference is that you don't have control over the data once you post it -- another user does.
  • Incidental data is what other people post about you: a paragraph about you that someone else writes, a picture of you that someone else takes and posts. Again, it's basically the same stuff as disclosed data, but the difference is that you don't have control over it, and you didn't create it in the first place.
  • Behavioral data is data the site collects about your habits by recording what you do and who you do it with. It might include games you play, topics you write about, news articles you access (and what that says about your political leanings), and so on. 
  • Derived data is data about you that is derived from all the other data. For example, if 80 percent of your friends self-identify as gay, you're likely gay yourself.

Todas estas reflexiones me llevan a retomar lo que ya expresé en el post "La necesidad de establecer la infoética del Big data"  para que exista un compromiso ético de no abusar del potencial de estas tecnologías.

jueves, 28 de agosto de 2014 3 comentarios

"El Rey desnudo" de la seguridad de la información

Tras el último post sobre ciberseguridad donde pretendí hacer un repaso sobre la situación actual, hoy toca apuntar el foco hacia el lado contrario. Voy a describir qué veo a diario en las organizaciones y cual es el estado del arte en materia de prevención de incidentes. En este sentido mi visión se basa en mi día a día que posiblemente no afecte tanto a empresas muy grandes donde el área de seguridad de la información cuenta con departamento propio y suficientes recursos asignados.

La reflexión principal que da título a este post es que existe una situación de "Rey desnudo" como el cuento de Hans Christian Andersen dentro de los departamentos de TI en materia de seguridad. Las organizaciones creen que están vestidas por tener sistemas de protección perimetral y antivirus pero realmente no pueden valorar si esas medidas los deja "desnudos" frente a los cibercriminales.


Este diagnóstico se fundamenta en los siguientes síntomas que se repiten de forma continuada en casi todas las empresas que visito:
  • Ausencia de control sobre los sistemas TI. La mítica frase de Thomas Davenport sobre la monitorización y medición "Las mediciones no sólo son necesarias, sino fundamentales. Si no podemos medir, menos podemos controlar. Si no se controla, menos podemos gestionar" refleja que el auténtico control empieza cuando se dispone de un conocimiento completo sobre qué se está gestionado. Aunque "ausencia de control" suena fuerte, cualquier responsable de un departamento de TI creo que debería poder contestar la siguiente batería de preguntas para mostrar que efectivamente tiene todo bajo control:
    • ¿Cuántas IP tiene mi organización expuestas a Internet?
    • ¿Cuál es el porcentaje de equipos con antivirus actualizado?
    • ¿Cuál es el porcentaje de equipos con sistemas operativos actualizados?
    • ¿Cuáles son las aplicaciones instaladas en nuestra organización y cual es el porcentaje de equipos que las tienen actualizadas?
    • ¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información?
  • Protección de entornos con medidas invisibles. La gestión de la ciberseguridad es compleja porque se trata de sistemas no tangibles. No podemos "ver físicamente" cómo se encuentra nuestro estado de protección. Este es uno de los principales problemas con el que nos encontramos dado que hay ausencia de información sobre el estado real de la seguridad y de los riesgos asumidos. Imaginemos las preguntas anteriores para un responsable de seguridad física y su equivalente en protección física del perímetro:
    • ¿Cuántas IP tiene mi organización expuestas a Internet? Sería una pregunta equivalente a cuantos puntos de acceso o entradas tienen sus instalaciones. No creo que exista un responsable de seguridad física que no pueda responder a esta pregunta.
    • ¿Cuál es el porcentaje de equipos con antivirus actualizado, con sistemas y aplicaciones actualizados? Sería una pregunta equivalente a conocer si los sistemas electrónicos de protección están funcionando correctamente. En seguridad física siempre existe un cuarto de control y un sistema de gestión y control de alarmas que informa del correcto estado de los dispositivos de prevención y detección.
    • ¿Cuál es el porcentaje de usuarios dados de alta que entran de forma continuada a los sistemas de información? sería una pregunta equivalente a tener claro cuantas tarjetas de identificación están revocadas y cuantos usuarios han sido dados de baja en el sistema de control de accesos físicos. Esta pregunta también se resuelve por los sistemas de control y registros de entrada/salida de personal cuando existen tornos, huellas o tarjetas.
  • Tecnologías de protección perimetral superadas por el malware.  En todas las empresas existe la conciencia general de que los sistemas firewalls y antivirus son suficientes pero esto es así cuando están adecuadamente gestionados y si estás evaluando continuamente su eficacia. En este aspecto es frecuente encontrar que existe tecnología de protección pero nadie vigila y revisa de forma preventiva lo que estas herramientas están detectando. El principal problema actualmente es que como ya conté en el post anterior, los malos están empezando a superar las protecciones tradicionales dado que el malware una vez infectados los equipos se conectan contra sus botnet a través de los protocolos http o https. De esta manera, los firewalls en la protección Dentro-fuera son transparentes y dejan salir todo el torrente de datos que se están fugando hacia el exterior. Es común comprobar cómo los administradores de sistemas están al tanto de los cambios en su entorno tecnológico pero desconocen los avances que se producen en el mundo del cibercrimen. Por tanto, no están al día de cuales son las técnicas empleadas por los atacantes y de esa forma, difícilmente van a poder valorar si sus sistemas de protección siguen siendo eficaces.
Como vemos, la situación no es nada optimista. Recuriendo al clásico Sun Tzu "Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla." estamos ante un panorama donde la ausencia de incidentes se debe a que no hay atacantes potenciales o existen pero no están evidenciando sus fechorías de forma notoria. Debe destacarse que una fuga de información es indetectable por la víctima cuando se está produciendo y sólo se manifiesta cuando se descubre que lo que tu sabías es conocido por alguien mas. El problema es cuando se trata de secretos industriales y las sorpresas que presentan cuando de repente aparecen productos idénticos donde los malos han atajado robando trabajo de I+D+i costoso de la empresa que ha sido atacada. Por tanto, la sensación de protección en estos casos debería basarse en evidencias objetivas de que realmente estas fugas no se están produciendo y no en la ausencia de incidentes.

Ayer publiqué un Tweet muy interesante de Symantec donde explican cómo aplicar las metodologías usadas en epidemiología para la detección de malware. En este escrito se critica que frente al malware se trabaja con una "seguridad pasiva" donde ya debe existir la vacuna cuando se detecta la epidemia y sabemos que esto no es cierto ya en todos los casos. Esto justifica quizás la declaración de Symantec sobre la poca eficacia de los antivirus con el titular de cabecera Antivirus pioneer Symantec declares AV “dead” and “doomed to failure”.

Hasta aquí toca la descripción del entorno... pero no quiero que este sea un post derrotista. Como buenos guerreros nos toca conocer primero el escenario en el que se produce la batalla para luego diseñar nuestra estrategia. En este sentido, creo importante que asumamos qué se puede gestionar. La ciberseguridad es como una partida de ajedrez. Es un tablero del que solo tenemos la mitad de las piezas (blancas o negras) y sobre ellas SI podemos tomar decisiones.


Por tanto, la estrategia base de toda organización que decida tomar cartas en el asunto pasaría por:
Fase 1. Conocerse a si mismo.

  • Como primera tarea es necesario conocer a nuestro ejercito. Por tanto debe realizarse inventario de sistemas TI y de elaborar nuestro modelo de seguridad para identificar nuestros riesgos de seguridad. Para ello, es importante destacar que los riesgos no son puramente tecnológicos sino que tenemos que tener una visión completa de los mismos entendiendo que los fallos técnicos producen problemas en las áreas de negocio y son ellos quienes tienen que valorar el impacto de los incidentes. Por tanto, realizar un análisis de los riesgos de la organización respecto a la ausencia de la seguridad en la información propiedad de la empresa. Nuestro objetivo debe ser responder a la pregunta de ¿cuantas IP tiene mi organización? y conocer los impactos de negocio que podría tener el fallo de cada una de ellas.
  • Como segunda tarea es necesario calibrar el funcionamiento de las medidas de seguridad. ¿Tenemos antivirus en todos los equipos y están actualizados? ¿Están los sistemas bien gestionados respecto a sus vulnerabilidades? Estas son cosas que SI están bajo nuestra responsabilidad y donde SI podemos actuar. Por tanto, es necesario que al menos las medidas que tenemos implantadas nos sirvan para algo.
Fase 2. Detecta a tu enemigo.
  • Como he dicho el mundo del cibercrimen trabaja como una industria es difícil poder conocer las últimas técnicas que estén diseñando. Sin embargo si que podemos estar vigilando respecto a si algo raro ocurre en nuestros sistemas de información. Hay una frase de Federico el Grande que ilustra bien este hecho "Se puede perdonar ser derrotado, pero nunca ser sorprendido”. Aunque no seamos conscientes de ello, en esta fase se pueden hacer más cosas de las que creemos pero de nuevo todo pasa por cambiar nuestra estrategia para ser más proactivos. Una fuga de información puede ser representada como un triangulo donde los elementos a vigilar son sus tres vértices: datos, vulnerabilidades y tráfico de salida. De estos tres puntos, un Responsable de TI puede tener control de los tres y por tanto, con una adecuada monitorización, es posible la detección temprana de una anomalía que cortada a tiempo no tenga más consecuencia que un susto... pero que si no es detectado puede acabar con una fuga de Gigas que dure meses. 
  • Otro elemento que a menudo no contemplamos es que estamos en escenarios de Cibercrimen y por tanto, los malos están en sus casas cómodamente sentados en sus sillones. Esto que puede parecer una desventaja tiene su parte positiva ya que los datos se tienen que ir por la red. Por tanto, es importante controlar los flujos de salida de información y sus destinos. Esto es lo que tradicionalmente no se ha hecho en la protección perimetral donde los filtros son muy férreos para tráficos Internet->Organización pero muy laxos para Organización->Internet. Si empezaramos a mirar qué conexiones se realizan hacia fuera seguramente tendríamos indicios de equipos que puedan ser sospechosos de estar comprometidos. Por tanto, dado que sabemos el camino que deben seguir los datos en su exilio al exterior, también tenemos identificados los puntos en los que hay que mirar para vigilar que esto no se produzca.


  • Para acabar, sería necesario que identificáramos aquellos tipos de eventos que es necesario vigilar estableciendo que serán de dos tipos:
    • Eventos esperados: registros y logs que confirman el buen funcionamiento de las cosas como si los sistemas están actualizados, si los usuarios se loguean con éxito, etc.
    • Eventos no deseados: registros y logs que informan de anomalías o de acciones preventivas de seguridad y que pueden ser indicios de que algo malo ocurre. En este sentido, por ejemplo, un incremento alto en el número de usuarios bloqueados por error de contraseña puede ser sintoma de un ataque de fuerza bruta, un número excesivo de conexiones entrantes sintoma de un DDoS, etc.
  • El año pasado por estas fechas, un alumno de TFG en la UCAM y yo nos plateamos como reto establecer un conjunto de eventos de seguridad que deberían ser detectados para confirmar que la seguridad está bajo control. Nuestra intención fue poder establecer un cuadro de mandos de la seguridad que fuera capaz de mostrar con datos si todo estaba bien o había motivos para preocuparse. Para ello, establecimos 6 dimensiones de eventos a vigilar vinculados a la detección de una intrusión y basándonos en lo que si o sí va a ocurrir en un sistema de información cuando esto se produzca. El resultado fue un macro Excel que definía que mirar y donde de forma abstracta para que luego en cada caso y en cada organización, se pueda establecer cómo se puede obtener dicha información. Las dimensiones definidas fueran las que presenta la siguiente transparencia.

Como conclusión general podemos ver que la partida de ajedrez no está perdida desde el inicio. Sin embargo es cierto que la protección de cada Organización va a depender mucho de la tecnología de la que disponga. Los sistemas de protección perimetral ya empiezan a basarse en otras técnicas y no se limitan a valorar direcciones IP y puertos. Actualmente existen sistemas que consultan la reputación IP de las conexiones, entornos que emulan en tiempo real los ejecutables que se envían para diagnosticar en tiempo real si son o no malware tras un análisis de su funcionamiento o tecnologías RASP (Runtime Application Selft-Protection").

En cualquier caso siempre hay algo que hacer y tenemos en nuestra mano al menos no facilitar al atacante el acceso. Para ello, debemos reducir al máximo el número de vulnerabilidades existentes en nuestros sistemas de información lo que implica tomarse las tareas de Patch management más en serio de lo que actualmente se hacen. Aquello de "si funciona no lo toques" debe cambiar porque puede tener como consecuencia que deje de funcionar cuando a alguien de fuera le apetezca (Y probablemente sea en el peor momento para tu organización).

 
;