martes, 23 de octubre de 2012

El Tsunami tecnológico que no pudimos evitar (Actualización)

Este post quiero dedicarlo a mi fuente de inspiración, la mesa redonda "Encuentro de blogueros de seguridad 2012" del evento ENISE de Inteco donde no he podido estar y donde estos cinco compañeros blogeros y "monstruos de la seguridad" a los que admiro han sabido transmitir con precisión cual es la sensación que tenemos los profesionales de la seguridad y sobre todo, nuestras inquietudes respecto a lo que habría que hacer y no estamos afrontando. Los figuras han sido Alonso Hurtado @ahurtadobueno, Samuel Linares @Infosecmanblog, Román Ramírez @patowc, Antonio Ramos García @antonio_ramosga y Pablo Teijeira @JpabloTG han expuesto desde diferentes puntos de vista (economista, abogado, informático, consultor, fabricante medidas de seguridad) qué cosas deberían empezar a preocuparnos.
[Actualización]
Inteco hoy ya permite el acceso a las diferentes charlas y mesas redondas en la dirección http://6enise.webcastlive.es/ . En concreto, la Mesa de bloggeros a la que estaba invitado pero no pude asistir, puede verse en este enlace. [/Actualización]

Voy a tratar de resumir las constantes reflexiones que durante la charla bullían en mi cabeza mediante el siguiente relato.
"Diario de un consultor de seguridad de la información. Hoy es 23 de octubre de 2020 y ya puedo contar lo que hemos tenido que padecer durante estos dos últimos años.
23 de octubre de 2018. Este fue el día 0, el comienzo de una nueva era en la evolución de la humanidad. Tras unos pocos años de respiro tras una crisis económica global que vino como un tsunami, la tecnología fue una segunda ola con impactos devastadores. Para poder explicar qué paso trataré de hablaos un poco de la situación anterior al día 0, el Pearl Harbour cibernético. La sociedad del año 2012 iba muy acelerada. Los cambios eran continuos y muy rápidos lo que daba poco tiempo a reflexionar sobre la evolución del contexto y entorno que se estaba produciendo. Las redes sociales lo habían inundado todo, las empresas veían en las nuevas tendencias tecnológicas basadas en la cloud y la virtualización las oportunidades para lograr una reconversión tecnológica y poderse adaptar a los cambios. De repente habíamos descubierto que la información en si mismo es una materia prima que llevabamos años recolectando pero que no habíamos sabido explotar. Las tecnologías incipientes relacionadas con el big data ahora nos permitian tranformar datos en información y con ésta lograr conocimiento que mejoraba los rendimientos y resultados de los negocios. Parecía que estabamos por fin sabiendo surfear la ola de las tecnologías de la información y dirigirnos con rumbo acertado hacia la optimización de los procesos de negocio para lograr la máxima eficiencia que jamás habíamos conocido. Sin embargo, y pese a las advertencias de algunos profesionales de la seguridad de la información  de aquella época, la gran ola llegó para arrasar con todo. Durante los años anteriores, principios de 2010, se empezaba a advertir como una nueva realidad lo que ya se venía anunciando en los años 90. Cuando el mundo del crimen organizado aterrizara en el ciberespacio las cosas se iban a poner muy feas.
Y tuvo que pasar para que nos creyeran al verlo con sus propios ojos. No habíamos hecho las cosas a tiempo y no habíamos querido frenar aquella vorágine evolutiva que nos llevaba a un ritmo trepidante, modificando nuestras organizaciones continuamente sin preguntarnos si quiera si todo aquello tenía unos cimientos adecuados para aguantar tanto peso.  Lo cierto es que algunas cosas se habían intentado. Teníamos una legislación muy básica en materia de protección de datos que obligaba a establecer al menos los mecanismos más elementales de protección. Posteriormente llegaron casi al mismo tiempo las regulaciones en materia de Administración electrónica para el sector público y la legislación en materia de infraestructuras críticas. Pero no íbamos a cambiar, venimos de una cultura latina donde siempre las cosas de seguridad están en un segundo plano, donde el "nunca pasa nada" era la frase consuelo que hacía de venda en los ojos para mirar a otro lado. La informática nunca quiso ser vista como una  ingeniería. Aunque en las facultades se formaba a profesionales para que aplicaran metodologías de desarrollo, se validaran los programas, se formalizaran las pruebas, en definitiva, se creara un producto robusto y estable, aquello penalizaba la rentabilidad de las empresas del software y no era la práctica habitual. Solo las grandes ya habían descubierto que esa manera de generar código era la única viable para dar soporte al ciclo de vida del software. La crisis también tuvo bastante que ver porque fue la cazuela perfecta en donde cocinar todos estos ingredientes: excusas por falta de recursos, saltos al vacío para ahorrar costes y mirar a la nube como la panacea de las TI, carencias de normas de regulación tecnológica que al menos forzaran a unos procesos de desarrollo y fabricación de tecnologías más robustos y sobre todo, la extensión general de que las responsabilidades no son aplicables a las tecnologías de la información y que el "error informático" es un ente sin nombres y apellidos que siempre está en todas las consecuencias pero que no tiene un padre que determine cual es la causa y sobre todo el culpable. En todos los productos tecnológicos era una práctica habitual que aparecieran las cláusulas de "irresponsabilidad" que son todas aquellas cláusulas de responsabilidad que empezaban diciendo "este producto se entrega como está y el fabricante no se responsabiliza de nada". 
Contado ahora en el 2020 suena a locura pero en aquellos años era habitual. No habíamos aprendido que de igual forma que para la fabricación de vehículos, electrodomésticos y edificios debían primar en los criterios de diseño la seguridad, en la tecnología se hacía la vista gorda y nadie preguntaba nada si aquello se ponía a funcionar y no daba muchos problemas. Y esa invisibilidad de la amenaza, esa falta de criterio del cerebro humano para predecir amenazas invisibles y sobre todo, no naturales, que no generan miedo porque es complejo predecir los peligros físicos, visibles y tangibles que nos pueden ocasionar tuvo como efecto un engaño, una ilusión de la seguridad, una falta de percepción del riesgo indirecto que sin saberlo estábamos asumiendo. La ola del tsunami se había empezado a levantar pero nadie fue capaz de adivinar hasta que altura llegaría. Es una ley de la naturaleza, la selección natural. Lo cruel es que esta vez se aplicaba sobre nuestra especie y además por fenómenos provocados por nosotros mismos. Nuestra incapacidad para detectar los peligros que generaba el incremento de complejidad en los sistemas que estábamos construyendo y sobre todo, la interdependencia de muchos de ellos entre si, no nos permitieron ver que todo nuestro ciberespacio era un conjunto de fichas de dominó puesto en fila una tras otra y que en cuanto alguien con intenciones concretas y dañinas tirara la primera piedra, el resto caerían sin control y freno. No habíamos ni siquiera previsto cortafuegos entre piezas para que al menos los sistemas críticos no cayeran todos de golpe.
A estas alturas os preguntaréis qué fue lo que ocurrió. Pues vino a pasar que una de esas piezas de la fila del dominó cayo y debido a la alta dependencia que habíamos alcanzado de la tecnología, llegó una situación de caos total que tuvo consecuencias físicas muy graves. La causa podría  haber sido otra cualquiera, seguramente los daños habrían sido diferentes pero las consecuencias para la humanidad, similares. En los años 2011 y 2012 ya se habían producido los primeros incidentes serios de amenazas APT en sistemas industriales. El malware había evolucionado y su sofisticación ya era importante. Las estrategias antimalware seguían evolucionando pero existía ya una industria del Zero-Day que alimentaba bases de datos de vulnerabilidades que ni siquiera ya gestionaban los fabricantes. El día D para producir el Pearl Harbour cibernético se estuvo cocinando durante meses. En una primera fase, se estuvo propagando por la red un malware complejo, sin actividad aparente y sin patrones de tráfico predecibles. Se enmascaraba bien entre el ruido del tráfico habitual de cualquier organización y por tanto, no había sido detectado. Tampoco tenía actividad visible por lo que en esta fase su objetivo era simplemente la dispersión. Cual plaga en esta primera fase solo pretendía crecer y extenderse. En una segunda fase y ya como un elemento común en la red de usuarios de PC y tablets, este malware se transformó y mutó su código para rediseñarse y poderse propagar en lo que sería su objetivo final, los sistemas SCADA. Para ello, hubo un intenso trabajo de inteligencia que se dedicó a recorrer las redes sociales más conocidas y profesionales con el objetivo de localizar aquellos profesionales vinculados a sectores industriales donde pudieran existir estos sistemas SCADA vulnerables. La infección de equipos de usuarios era selectiva y vinculada al perfil profesional del infectado. El malware se instalaba, rastreaba cualquier tipo de dato de carácter personal que permitiera identificar al dueño del ordenador y consultaba su perfil en las redes sociales para decidir si se quedaba o saltaba a otro equipo. Siempre como regla general se instalaba en cualquier dispositivo USB conectado a ese hardware porque era la forma más facil de seguir contaminando el mundo. En una tercera fase, pocos minutos antes de la hora D, las 00:00 del  23 de octubre del 2018, el malware modificó la configuración de los sistemas de referencia horaria y en aquellos sistemas informáticos que empleaban la sincronización basada en GPS alteró los parámetros para apuntar al sistema bajo el control de atacante. A las 00:00 del día D, el malware modificó la referencia horaria de todos los sistemas infectados haciendo viajar en el tiempo a todos los equipos hasta el año 2038, el conocido como Y2K38 que era conocido pero del que todavía no se había empezado a remediar nada dado que quedaban 18 años por delante. Este problema afectaba a los programas que usaban la representación del tiempo basda en POSIX que se basa en contar el número de segundos transcurridos desde enero del 1970 a las 00:00:00.  Era una lacra de diseño de sistemas antiguos que nunca había sido modificada porque nadie había podido pensar que fuera a generar consecuencias tan desastrosas. Ese día, a las 00:00:00 los sistemas de control de infraestructuras críticas como la energía eléctrica, el sistema de posicionamiento global GPS, el control de la cadena de suministro de gas y petróleo dejaron de funcionar produciendo como efecto en cascada la caída del suministro eléctrico en ciudades. Ya disfrutábamos del Internet de las cosas y en el ámbito doméstico la mayoría de aparatos dejaron de estar operativos. Además, los sistemas alternativos y redundantes también padecían dicho fallo y no pudieron ponerse en servicio. Se había tratado siempre de proteger la primera linea de defensa, la cadena de suministro operativa pero en el problema del Y2K38 nadie había mirado tampoco si los sistemas alternativos podrían superar este error. 
Después de aquello y tras algunos meses para poder volver a la normalidad todo cambió. Los políticos, responsables de grandes corporaciones y los grandes accionistas de las importantes multinacionales entendieron que el mundo había sido construido sobre la tecnología e Internet, pero que sus cimientos eran simples palillos apoyados en tierras movedizas que no daban garantía de nada. Todo cambió. Entendieron entonces que la inseguridad no era un tema de costes sino de impactos. No estaba en cuestión el acierto en los criterios de tolerancia al riesgo sino de supervivencia de la humanidad. Ese fue el día en el que por fin se entendió que la tecnologia necesitaba la misma seguridad industrial que el resto de elementos que hasta esa fecha habían sido empleados para la construcción del mundo. Ya no era importante el poner en servicio sino garantizar que todo producto era diseñado para resistir y que además superaba determinadas pruebas de estrés y resiliencia. Y los cambios que hubieron que hacer no fueron tan complejos. Simplemente se prohibieron las cláusula de irresponsabilidad del software. Todo fabricante de cualquier producto tecnológico, software o servicio TI debía superar procesos de homologación y validación industrial previo a su comercialización, asumiendo el fabricante el coste de la inseguridad generada si era demostrado que el sistema tenía fallos que no habían sido gestionados. Además, se obligaba a todo fabricante a suministrar planes de mantenimiento y actualización de sus productos frente a posibles vulnerabilidades descubiertas y a no superar una ventana de tiempo de un mes para la resolución y cierre de estas vulnerabilidades. Obviamente el sector TI sufrió bastante con estos cambios, pero como cuenta la "teoría de la evolución" solo los fuertes sobrevivieron. Justo o injusto, no podíamos permitirnos la existencia de débiles en la cadena de suministro TI que volvieran a hacernos pasar por otro día D. Se tuvo que sacrificar la velocidad y la vorágine de nuevos avances por una mayor estabilidad, sosiego y sobre todo, valoración de los riesgos que estos nuevos entornos estaban contemplando. Ese día dió la razón a todos aquellos que ya habían venido anunciando que lo que se veía en los escenarios de la seguridad informática eran solo la punta del iceberg de los problemas reales que podría suceder. Y tuvo la humanidad de nuevo que vivir un nuevo Titanic TI para darse cuenta de que esos icebergs, pese a querer borrarlos o ignorarlos, estaban ahí y podían tumbar toda nuestra tecnología. Ese día el ser humano volvió a aprender que prevenir el riesgo siempre es más barato que recuperarse de impactos por no haberlo evitado, que la seguridad es un elemento intrínseco en el proceso de diseño y que las cosas deben pensarse con criterios de seguridad, es decir, no pensar cual sería el uso adecuado y funcional del producto sino cuestionarse dado un entorno, cual sería el eslabón más débil  por donde nos querían atacar. Emplear la psicología de la seguridad en todo momento donde lo que siempre está en cuestión no es si el sistema trabaja correctamente sino valorar por donde podría fallar o en dónde podría ser vulnerable. Una mentalidad defensiva basada en la evidencia de que si tiene una IP, podrá ser accesible en algún momento para personas con no buenas intenciones.
De nuevo la naturaleza nos daba muestras claras de que nos aplicaban las mismas leyes que en la selección natural."La cebra tiene que ser más rápida que el más rápido de los leones pero el león tiene que ser más rápido sólo que la más lenta de las cebras". Esta vez, los leones de la inseguridad nos habían ganado la partida porque no quisimos parar las máquinas a tiempo, frenar un poco para mejorar la resiliencia de nuestros avances tecnológicos porque habríamos desacelerado o frenado la vorágine de la innovación. Y como el ser humano no fue capaz por si mismo de autoprotegerse, tuvieron las matemáticas del caos que entrar en acción y demostrar que en sistemas complejos, un pequeño aleteo de una mariposa en Nueva York puede producir un tsunami en la costa de Japón.

Llegado este momento, perfectamente podrían encenderse las luces del cine, levantarnos e irnos a casa. Sin embargo y seguramente con otras hipótesis, muchas de las cuestiones aquí planteadas podrían ser reales en estos años o años futuros. A los profesionales de la seguridad de la información, que somos como los mecánicos de la Formula1 respecto al funcionamiento de la organización que sería el propio coche, se nos pide a diario que detectemos anomalías y problemas estructurales pero no parando el coche en boxers sino cuando está circulando en plena carrera. En esos escenarios, siempre somos una molestia porque no estamos para aportar valor sino para garantizar que el coche llegue a meta. Sin embargo, de no hacer bien nuestro trabajo, lo que corre peligro es la vida del piloto. Es nuestro contexto, es nuestro entorno y es nuestra misión seguir detectando y alertando de las consecuencias que podrían producirse. No nos gusta ser los aguafiestas en las empresas... pero, y valga como reflexión la actual crisis económica, ahora nos preguntamos todos por qué nadie nos avisó. Quizás si lo hicieran pero nadie quiso parar la música en plena fiesta de bonanza económica. Además, el ser humano no puede cambiar tan rápido. Nuestro cerebro lleva siglos evolucionando y no es capaz de plantearse amenazas virtuales, invisibles, intangibles. No es capaz de calibrar las consecuencias de fenómenos en cascada hasta que no hay signos visibles de peligro. Se siguen invirtiendo ingentes cantidades de dinero en seguridad para el mundo físico pensando en proteger un perímetro de un territorio cuando en el subsuelo, por el inframundo, los países eliminaron hace años sus fronteras para interconectarse entre sí a Internet. En un mundo global y conectado, los atacantes no vendrán por la superficie montados en tanques... lo harán desde los sillones de su casa o de los edificios gubernamentales donde trabajen usando su PC. Y además por varios motivos: son más dificiles de detectar, es más barato el desarrollo de operaciones y sobre todo, asumen menos riesgos físicos. Si el ataque no prospera las víctimas son cero porque simplemente no se logra la intrusión. No hay un desgaste o deterioro para el atacante que de nuevo puede volverlo a intentar por otro lugar o en otro momento. Sólo tiene que esperar a buscar el sistema-cebra más lento, en este caso, el menos parcheado, vigilado y protegido.
Ojalá que este texto quede solo en relato, que ese dia D siga siendo algo fictício y que la IN-seguridad de la información jamás cueste una vida humana. Sin embargo, los datos y las diferentes noticias del día a día a los que estamos vigilando y siguiendo la evolución de esta nueva realidad no nos llevan a ser muy optimistas. El malware se extiende y cada vez a sectores más críticos. Hace unos días se publicó la noticia de la  preocupación que hay ya por el salto del malware a los dispositivos médicos, software normalmente cerrado, sin actualizaciones y con sistemas operativos antiguos y sin parchear que podéis consultar en  Computer Viruses Are "Rampant" on Medical Devices in Hospitals. Esto empiezan ya a ser palabras mayores al igual que todo aquello que afecta a infraestructuras críticas. Esperemos que en estos temas no sigamos usando la cultura del "escaparate" donde sólo nos preocupamos por aparentar y no realmente solucionar las cosas. Esperemos no aplicar la misma filosofía que se emplea con la legislación tecnológica basada en el "CUMPLI-MIENTO", entendido como decir que se cumple aunque sea mentira. El mundo del cibercrimen es una realidad, sólo hay que mirar un par de post atrás para ver el documental de En portada.



  Y para finalizar este extenso post,  lo más curioso es que una historia similar  ya había sido escrita para explicar otro fenómeno descontrolado del poder del hombre basado en la ficción de poder volver a crear dinosaurios en base a su ADN. En este caso, el papel de agorero que anunciaba los riesgos lo había asumido, bajo las teorías de las matemáticas del caos y el no control de la naturaleza, el papel de Malcom. Quiero extractar a continuación el párrafo en cuestión donde el matemático del Caos, Malcolm comenta con el dueño del Parque, Hammond por qué la naturaleza no puede ser controlada y cómo había sobredimensionado el poder de la ciencia:
 “—¿Sabe qué es lo que tiene de malo el poder de la ciencia? —prosiguió—. Que es una forma de riqueza heredada. Y ya sabe usted cuan imbécil es la gente congénitamente rica. Nunca falla. —¿De qué está hablando? —preguntó Hammond. Harding hizo un gesto, indicando delirio. Malcolm le lanzó una mirada. —Le diré de qué estoy hablando —contestó—: La mayor parte de las distintas clases de poder exigen un gran sacrificio por parte de quien quiera tener ese poder. Hay un aprendizaje, una disciplina que dura años. Cualquiera que sea la clase de poder que se busque. Presidente de la compañía. Cinturón negro de karate. Gurú espiritual. Atleta profesional. Sea lo que sea lo que se persiga, hay que ponerlo en el tiempo, en la práctica, en el esfuerzo, hay que sacrificar muchas cosas para lograrlo. Tiene que ser muy importante para uno. Y, una vez que se alcanza, es el poder de uno mismo; no se puede delegar: reside en uno. Es, literalmente, resultado de nuestra disciplina. Ahora bien: lo interesante de este proceso es que, en el momento en que alguien adquirió la capacidad de matar con sus manos, también maduró hasta el punto en que sabía cómo utilizar ese poder. No lo utilizaría de manera imprudente. Así que esa clase de poder lleva una especie de control incorporado: la disciplina de conseguir el poder cambia a la persona, de manera que esa persona no hace mal uso de su poder. Pero el poder científico es como la riqueza heredada: se obtiene sin disciplina. Una persona lee lo que otras hicieron, y da el paso siguiente. Puede darlo siendo muy joven. Se puede progresar muy de prisa. No hay una disciplina que dure muchas décadas. No hay enseñanza impartida por unos maestros: se pasa por alto a los viejos científicos. No hay humildad ante la Naturaleza. Sólo existe la filosofía de hacerse-rico-pronto, hacerse-un-hombre-rápido. Engañar, mentir, falsificar, no importa. Ni para uno ni para sus colegas. Nadie nos critica: nadie tiene pautas. Todos intentan hacer lo mismo: hacer algo grande, y hacerlo rápido. Y, como uno se puede levantar sobre los hombros de los gigantes, se puede lograr algo con rapidez. Uno ni siquiera sabe con exactitud qué ha hecho, pero ya informó sobre ello, lo patentó y lo vendió. Y el comprador tendrá aún menos disciplina que el científico: el comprador simplemente adquiere el poder, como si fuera cualquier bien de consumo. El comprador ni siquiera concibe que pueda ser necesaria disciplina alguna. Un maestro de karate no mata gente con las manos desnudas; no pierde los estribos y mata a su esposa. La persona que mata es la que no tiene disciplina, no tiene restricciones, y que salió y adquirió su poder como una dosis de droga. Y ésa es la clase de poder que la ciencia fomenta y permite.”

4 comentarios:

Anónimo dijo...

Simplemente, perfecto. Gracias por este post.
Amedeo Maturo

Anónimo dijo...

Excelente relato, aunque la intención es moralizadora, me recordaba a mis lecturas de libros de temática ciberpunk como William Gibson o Jeffery Deaver

miniminiyo dijo...

Sin duda alguna un gran resumen y post,por suerte o por desgracia los paises punteros ya dedican mas fondos a temas de seguridad,pero no a nivel de mejorar o blindar,sino a nivel de dañar y obtener informacion,un paso contrario pero minimo,para que se puedan dar cuenta de como debemos cuidarnos,al menos sirve para que nos demos cuenta de como podemos dañar y ser dañados,aunque no se mejoren las defensas

ISO 27001 Colombia dijo...

Que buen articulo te felicito

 
;