martes, 23 de junio de 2009 2 comentarios

La e-Administración dando mal ejemplo: El Padre que no tiene padre

Como en otros post anteriores, hoy vamos a ver un ejemplo de cómo en esto de la seguridad las medias tintas no garantizan el cumplimiento de los objetivos planteados.

El caso de hoy tiene que ver con las garantías que la AEAT nos quiere dar sobre la fiabilidad del software PADRE que podemos descargar de su página Web para la realización de la declaración de la renta. Voy a plantear este ejemplo como si de un análisis de riesgos se tratara, para mostrar como al final, no se logra garantizar el objetivo por el cual se plantea la medida de seguridad.
  • Objetivo de seguridad: Garantizar la integridad del programa Padre o lo que es lo mismo, que todo ciudadano pueda tener la certeza de que la aplicación Padre que está descargada en su PC y que va a instalar para hacer la renta es la aplicación legítima elaborada por la AEAT y no una aplicación maliciosa.

  • Amenaza: Intentar engañar al usuario y colar una aplicación malware que robe datos dentro del PC del ciudadano. Para ello, podría aparecer un sitio Web falso que tratara de engañar a los contribuyentes y que pusiera a su disposición un ejecutable manipulado.

  • Salvaguarda: En este caso, se publica el código MD5 de la aplicación ejecutable en la Web de la AEAT.

  • Beneficio de seguridad: El usuario puede descargar el ejecutable y comprobar en su PC si la aplicación que se ha bajado coincide en su MD5 con la publicada por la AEAT en la Web www.aeat.es. Es una comprobación básica de la integridad del fichero que demuestra la no manipulación.

Ambas capturas corresponden a las garantías de integridad que actualmente proporciona la Web de la AEAT respecto al programa PADRE que podemos descargar de la Web.


Con esta solución parcial e incompleta, no se logra mitigar el riesgo planteado por la amenaza de suplantación. ¿Por qué?

Cualquier atacante que elabore una aplicación maliciosa que vaya a simular ser el programa Padre lo que hará seguramente será distribuirla probablemente desde una Web que suplante también a la Web de la AEAT. Ya en su momento la Agencia Tributaria sufrió un caso de phishing algo más simple donde solicitaban datos bancarios bajo el señuelo de que se devolvía antes la renta. Evidentemente este atacante lo que también haría sería colocar en la Web suplantada el correspondiente código MD5 de la aplicación maliciosa que quería hacer pasar por el programa PADRE y el ciudadano seguramente, aun comprobando la integridad, sería victima del engaño.

Para que esta hipótesis no pudiera ser planteada, la AEAT debería "demostrar" que su página Web se corresponde con el dominio www.aeat.es, utilizando como medio de seguridad la presentación de un certificado digital. Algo que la Banca electrónica ya tiene más que asumido parece que en las Administraciones Públicas no está todavía a la orden del día, y eso que ya admiten trámites electrónicos. Sin embargo, no está disponible el acceso bajo https a la Agencia Tributaria, como muestra esta captura donde el certificado de servidor apunta hacia un dominio akamai que es donde deben estar alojados los servicios Web para satisfacer la demanda de ancho de banda y balanceo de carga.



Alonso Hurtado ya planteo esta problemática en el post "La sede electrónica en el nuevo modelo de e-Administración".

Artículo 10. La sede electrónica.
1. La sede electrónica es aquella dirección electrónica disponible para los ciudadanos a través de redes de telecomunicaciones cuya titularidad, gestión y administración corresponde a una Administración Pública, órgano o entidad administrativa en el ejercicio de sus competencias.

Artículo 17. Identificación de las sedes electrónicas.
Las sedes electrónicas utilizarán, para identificarse y garantizar una comunicación segura con las mismas, sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente.


Por tanto, de nuevo tenemos como hay más de "sensación de seguridad" que de "protección real de la seguridad".

  • Objetivo de seguridad: Garantizar la integridad del programa Padre o lo que es lo mismo, que todo ciudadano pueda tener la certeza de que la aplicación Padre que está descargada en su PC y que va a instalar para hacer la renta es la aplicación legítima elaborada por la AEAT y no una aplicación maliciosa.

  • Objetivo no cumplido dado que la Web donde se coloca el HASH MD5 no realiza la autenticación de servidor. Engañar al ciudadano sería algo tan trivial como suplantar la Web de la AEAT, colocar el malware que se haría pasar por el programa PADRE y publicar el MD5 del troyano en la propia Web falsa.
    Si tenemos integridad sobre la aplicación software que descargamos, pero no tenemos autenticación sobre si el HASH que utilizamos para verificar la integridad es correcto o no, por tanto, el mecanismo pierde toda su eficacia.


Otro caso más donde se demuestra que las medias tintas no logran la protección deseada.
jueves, 18 de junio de 2009 2 comentarios

Protección de menores en la red

Las últimas noticias y detenciones deben empezar a hacer reflexionar tanto a padres como educadores sobre la necesidad cada vez mayor de informar y formar a los menores en el uso de Internet.

He podido encontrar este excelente vídeo que quiero compartir con mis lectores.



El INTECO recientemente ha publicado una guía sobre el acoso a través de la Red que podéis obtener en esta dirección.
Esta guía ofrece, de un lado, información acerca de las principales conductas que pueden ser englobadas dentro del acoso a menores a través de medios electrónicos y de los elementos empleados para dicho fin. De otro lado, recoge el análisis jurídico respecto del acoso a menores a través de dichos medios y una serie de recomendaciones, dirigidas tanto a los menores como a los padres y tutores legales, sobre cómo actuar ante estas situaciones.
lunes, 15 de junio de 2009 0 comentarios

Estableciendo el rumbo de un SGSI

En el Blog del Observatorio de Seguridad del INTECO dejo varias reflexiones sobre qué son, cómo se definen y para qué sirven los indicadores y métricas dentro de la estructura de un SGSI. Podéis entrar a través del enlace "Estableciendo el rumbo de un SGSI".
viernes, 12 de junio de 2009 1 comentarios

Virtualización y efectos dominó

Leo vía Barrapunto una noticia que pone de manifiesto cual será la problemática que se planteará en el futuro con los sistemas virtualizados.

La noticia es trágica por haber provocado el suicidio del dueño de la empresa horas después del suceso. Los hechos fueron causados por una vulnerabilidad de día cero del software HyperVM de la compañía india LxLabs. El incidente ha ocasionado el borrado total de datos de 100,000 servidores web virtuales operados por otra empresa. La destrucción de los datos se propagó además a sus respaldos, al parecer. Las personas atacantes, tras conseguir el control total de los servidores, ejecutaron al parecer el comando "rm -rf" para provocar un borrado recursivo de todos los archivos.

Esto pone de manifiesto que las ventajas en cuanto a la gestión que proporciona la virtualización, tiene también su contra en relación a la gravedad y trascendencia de los incidentes de seguridad. En este caso, encontrar el fallo en una pieza ha producido un auténtico efecto "dominó" que se ha llevado por delante otras 99.999 detrás.


En este caso, el gran impacto del fallo no hubiera sido posible seguramente de no tratarse de un entorno virtualizado. No veo a un hacker tumbando en pocos minutos unos 100.000 servidores web reales y además borrando las copias de seguridad que seguramente también estaban en unidades accesibles. Sin embargo en el entorno virtualizado sólo supuso ejecutar el comando "rm -rf" para provocar un borrado recursivo de todos los archivos.

El posible error de seguridad que este suceso deja entrever es que las copias únicamente estaban en servidores alcanzables desde los sitios hackeados y no existían otros soportes de backup en otras ubicaciones físicas que pudieran ser utilizados frente a situaciones como esta. Quizás la ausencia de un plan de continuidad de negocio en un servicio tan expuesto no contempló que en caso de contingencia grave, siempre es necesario disponer de copias de respaldo que no se encuentren en el lugar principal donde están los sistemas en producción. Quizás no se hizo el adecuado análisis de riesgos para identificar que para un negocio tan dependiente de la disponibilidad y aun tratándose de un entorno virtualizado, siempre puede darse la avería de los equipos principales o de los equipos de respaldo, por lo que es necesario al menos disponer de unas copias alternativas, aunque estas no tengan un grado de actualización tan intensivo como las copias principales. Mejor es perder un mes de trabajo que no tener ningún respaldo del que tirar.
miércoles, 10 de junio de 2009 2 comentarios

Espionaje cibernético, ¿nueva moda?

Hoy toca comentar dos noticias curiosas para esto de la seguridad de la información. La primera, algo más relevante tiene que ver con las declaraciones de Javier Solana que ayer reconocía haber sido víctima de espionaje cibernético desde hace varios meses. Hemos de recordar que el Señor Solana es el Alto Representante para la Política Exterior y de Seguridad Común de la UE y por tanto, un cargo lo suficientemente relevante como para querer conocer toda la información que pasa por sus manos.

La otra es algo más anecdótica y me la ha pasado un compañero de la Universidad. Hace referencia a otro caso de espionaje cibernético pero algo más cañí. Presuntamente un guardia civil ha instalado un keylogger en el PC compartido para espiar a sus compañeros. Quiero destacar parte del contenido del escrito de la acusación que afirma "el acusado instaló y posteriormente borró un programa 'malicioso' del tipo de capturador de claves y contraseñas", con el que podía acceder no sólo a documentos operativos internos, sino a claves de acceso a cuentas de correo electrónico personales y banca electrónica, así como conversaciones privadas de Messenger".

Quiero pensar que del texto no se deduce que los PC que están en los cuarteles de la Guardia Civil no están administrados y que cualquiera instala lo que le da la gana, porque sería preocupante que los cuerpos y fuerzas de seguridad del Estado no estuvieran a la altura de los tiempos que corren.

En ambos casos los hechos despiertan cierta inquietud. ¿Es que ciertos equipos PC relevantes no están correctamente gestionados y controlados? Parece que la concienciación en estos temas sigue sin ser la suficiente.

¿Como puede ser que el PC de Solana estuviera monitorizado (supongo que el espionaje tuvo que realizarse con algún tipo de malware) durante meses sin ser advertido?

Sin embargo, al otro lado del Atlántico las cosas son bastantes diferentes. Basta recordar el revuelo que se montó con la famosa Blackberry de Obama que solo pudo ser utilizada cuando se realizaron los ajustes de seguridad necesarios que se detallan en esta noticia.
En su momento se cuestionó la seguridad del dispositivo y generó cierta polémica al generar el cansino debate Blackberry vs Windows Mobile. En su momento no pude publicar nada al respecto pero quiero recordar que cuando hablamos de seguridad en equipos y sistemas, lo que manda es ISO 15408 y la NSA tiene unos altos requisitos para autorizar el uso de cualquier aparato.

Tal es la importancia allí de estos temas que la Administración Obama ha decidido reforzar los mecanismos de protección en sus redes y su infraestructura informática creando un departamento de alto nivel que administrará toda la estrategia de defensa del ciberespacio de Estados Unidos. Además el Presidente anunció la incorporación en su equipo de un nuevo asesor especial, el Coordinador de Ciberseguridad, quien trabajará en la Casa Blanca y será parte del equipo de Seguridad Nacional.

Como nos cuentan en EnfoqueSeguro, las declaraciones de Obama son claras:
“Desde ahora, nuestra infraestructura digital debe ser tratada como lo que debe ser: como un bien nacional estratégico”, dijo el presidente Obama al momento de formar este nuevo departamento. “Proteger esta infraestructura será una prioridad de seguridad nacional. Nos aseguraremos que esas redes sean seguras, confiables y resistentes”.

La intención de este anuncio es la creación de estrategias nacionales de seguridad informáticas, desarrollando fuertes relaciones con aquellos protagonistas claves en los sectores públicos y privados, de modo que se pueda construir una fuerza de trabajo para responder más adecuada y rápidamente a los incidentes cibernéticos, impulsar el desarrollo y la investigación en ciberseguridad, y promover la preocupación nacional por los temas de seguridad informática.

En el documento de 76 páginas que está consultable en la Red en Revisión de Políticas del Ciberespacio, establece 10 acciones a corto plazo. Además de nombrar al oficial de ciberseguridad, esta revisión hace un llamado para actualizar la estrategia nacional para la seguridad de la infraestructura de la información y comunicaciones, la creación de grupos de trabajo temporales para supervisar los detalles legales de las acciones hechas por esta política, educar al público en general sobre temas de ciberseguridad, y la preparación de un plan de respuesta en caso de un incidente cibernético.

Este documento es además un muy buen ejemplo de cómo debe definirse una estrategia nacional seria al respecto de la seguridad de la información. Da cierta envidia ver como al otro lado del charco las cosas no se hacen por imagen sino porque creen realmente que estan intentando evitar peligros potencialmente peligrosos. Los temas de seguridad con nuestra mentalidad siempre quedan en aparentar que hay una seguridad que luego los incidentes nos demuestran que era absolutamente ficticia. Cuantas cosas se hacen a diario por seguridad siendo totalmente ineficaces pero , ¿Y lo bien que quedan?



,
viernes, 5 de junio de 2009 0 comentarios

Roles dentro de una red zombi

Estos dos últimos meses estoy dedicando bastante tiempo dentro de mi actividad profesional a temas de concienciación y formación en organismos públicos y entidades financieras. Debo confesar que cuando empiezo a comentar los temas relacionados con malware y las redes zombies la gente me mira con caras raras, como si eso que estuvieran viendo fuera algo que sólo pasa en las películas o relacionado con la ingesta de sustancias psicotrópicas. Para quien comienze a leer este post y no sepa de qué estamos hablando, este enlace publicitario de un producto antizombie de Symantec explica (en ingles) de forma sencilla en qué consiste un equipo PC Zombie.

Quizás todo es demasiado técnico y complejo como para que un usuario pueda entender que él (o más bien, su querido PC) puede formar parte de un ciber-ejercito dentro de un batallón de equipos zombies. Tan solo un mal click y listo, a usar tu ADSL en beneficio de los malos.



Por tratar de simplificarlo, básicamente nos encontramos los siguientes cuatro roles:

  • El malo malote (Atacker): es quien tiene interés en hacer daño y el que establecerá cual será el objetivo

  • El recolector de zombies (Bot Herder): Estos son los complices, personas que se dedican a contaminar equipos y reclutarlos, por si algún día algún malo malote les pide sus servicios y ellos pueden suministrarle ejercitos. Su principal motivación es que venden estos servicios o simplemente los listados de IP.

  • El zombie (Zombie): Ellos paseaban por Internet y sin saberlo, han sido reclutados para obedecer las ordenes de un malo malote cuando éste decida hacer algo con ellos. En realidad son víctimas dado que están sufriendo un abuso de su conexión a Internet y en el peor de los casos, puedan ser identificados como causantes de daños.

  • El atacado (Target): Su único problema es que no se lleva bien con el malo malote o que tiene algo que este quiere fastidiar.

Tenéis un análisis más serio en el artículo de la revista Wired. Podéis consultarlo en When Bots Attack. También en la Web HowstuffWorks se describe como funciona esto de los ataques zombie. Yo prefiero ser más visual y suelo poner en clase este video que he subido a Youtube para explicar qué es lo que sucede.



Estas son todas las piezas de este mundillo malwarevado, pero la gran pregunta es ¿qué pieza es tu PC?. Si queréis averiguarlo, recordar lo que ya os indiqué hace casi ya un par de años en la entrada ¿Soy un zombie?
 
;