Ciberguerra (Retos actuales)

En Julio pasado en uno de los eventos de seguridad más importantes a nivel mundial El DefCon Hacking Conference que se presento en la ciudad de las Vegas EE.UU a donde asisten entre otros profesionales de la seguridad, escritores, abogados, investigadores en temas de seguridad y hackers, el director de la Agencia Nacional de Seguridad NSA y comandante de USCYBERCOMM (Cyber Comando de EE.UU) Keith Alexander en una charla titulado "Shared Values, Shared Responsability" les pidió ayuda a los asistentes ante la escalada de la guerra cibernética ya completamente en marcha en múltiples sectores y frentes y una de sus solicitudes a todos los sectores fue compartir lo más rápido posible cualquier información de amenazas  con el Departamento Nacional de Seguridad, este llamado público y abierto en solicitud de ayuda para aunar esfuerzos y defender las infraestructuras criticas de un país (EE.UU en este caso) en torno a la Ciberseguridad, nos debe dar una voz de alerta acerca de estas mismas responsabilidades en nuestros países, las iniciativas "nuevamente" las están liderando las grandes potencias, pero al igual que el analfabetismo digital, los tiempos de reacción y de adopción de las TIC's y de las iniciativas para defenderlas deben ser cortos y para que seamos competitivos debemos trabajar tanto en la seguridad que debe proveer el gobierno para proteger la soberanía, las fronteras, el pueblo, etc y como nuevo frente la ciberseguridad en donde se protegen las redes, servicios y servidores que administras los diferentes elementos de nuestra infraestructura como las plantas de energía, los gasoductos, los poliductos, las hidroeléctricas y muchas más.

La utilización de Stuxnet que al parecer fue desarrollado en colaboración con la NSA y la aparición de nuevas armas de ciberguerra, evidencian que es una guerra que se está librando entre muchos bandos a nivel mundial y en donde todos podemos ser objetivos militares, hay que revisar al detalle nuestros esquemas de seguridad y de conectividad hacia y desde Internet y que los gobiernos lideren equipos de trabajo con la experiencia y el conocimiento necesarios para revisar el estado del arte y los diferenciales que nos separan para bien o para mal de las naciones que lideran a través de la automatización el control de sus infraestructuras criticas con sistemas de información, allí se pueden encontrar ventajas (puede que muchas de estas infraestructuras no cuenten con los elementos de tecnología necesarios para controlarlas de manera tan automática, o que estos elementos no sean de un nivel de complejidad tan altos, en cuyo caso nuestro retraso o falta de actualización o modernización sean esta vez un elemento a nuestro favor) o desventajas como que dependamos de terceros, que no conozcamos completamente las plataformas con las que gestionamos y administramos estas infraestructuras o que no tengamos las destrezas técnicas o las herramientas necesarias para detectar que ya estamos en problemas.

En cualquiera de los casos es de carácter urgente proponer una estrategia para ir abordando este problema que si bien no es tan evidente como una guerra convencional, puede tener las mismas o peores consecuencias, el hecho de creer que no somos objetivo militar en una guerra silenciosa no significa que nuestras infraestructuras estén a salvo, y varios de nuestros países suramericanos tienen importantes reservas de recursos naturales, muchos de los cuales son más valiosos de lo que nosotros mismos creemos.

El papel del gobierno es liderar, coordinar este tipo de esfuerzos y llevar a buen término este tipo de esfuerzos, donde aunadas las fuerzas del estado con nuestro talento y con nuestra siempre mal ponderada "malicia indígena" defendamos lo poco o mucho que tenemos, de los resultados de una guerra que ya se libra de manera silenciosa a través de Internet, el que la NSA se haya visto en la necesidad de pedir ayuda a la población civil y a los hackers de los que no son precisamente amigos, nos da una idea del alcance que esta Ciberguerra está teniendo y estamos en mora de declarar y consolidar una estrategia que asuma estos nuevos retos.

A continuación les dejo algunos enlaces interesantes acerca del tema, incluido un documento del Spanish Cyber Security Institute de España en donde se tratan estos temas y que nos puede servir de referente:

La Ciberseguridad Nacional un Compromiso de Todos

http://www.ismsforum.es/ficheros/descargas/informe-scsi-21340868618.pdf

NSA want to hire hackers

http://money.cnn.com/2012/07/27/technology/defcon-nsa/index.htm

DefCon

http://www.defcon.org/

Cyber Cold War: Espionage and Warfare

http://www.scmagazine.com/cyber-cold-war-espionage-and-warfare/article/254627/

Avances de la Ciberguerra y su nueva arma (TheFlame)

 Avances de la Ciberguerra y su nueva arma (TheFlame)

El descubrimiento de la más reciente espécimen de Malware TheFlame que según investigaciones preliminares lleva algo más de 3 años activo y que segun investigadores de firmas de seguridad como Kasperky comparte partes de código con Stuxnet, en donde la complejidad necesaria para desarrollarlo y ponerlo en funcionamiento demuestran que hay un grupo grande de expertos trabajando en el (patrocinados por alguna nación muy seguramente), confirmando que es una arma sofisticada de la ciberguerra (ver artículo anterior http://inseguridadinformatica.blogspot.com/2012/01/la-consolidacion-de-la-ciberguerra.html ) el aprovechamiento de las falencias no de la implementación de una solución de certificados digitales de parte de Microsoft sino de al menos un concepto implementado de manera incorrecta da muestra de la evolución en las estrategias de esta ciberguerra, ya no solo se buscan y explotan vulnerabilidades de día cero, sino que además de analizar el código, se analiza la manera en que los conceptos son implementados para aprovecharse de fallas en el diseño, algo que puede ser aún más crítico que las vulnerabilidades en sí y que habla del conocimiento, herramientas y dinero con que cuentan estos equipos de desarrollo de malware para la ciberguerra, aunque será complejo de probar, es evidente que estás nuevas armas son obra de algunos gobiernos y que sus intenciones son el robo de información privilegiada de varias industrias en regiones como  Oriente Medio, Europa, Norteamérica y Asia-Pacifico al realizar el análisis de los servidores de Command and Control (C&C) se evidencio el interés de esta ciber arma en particular por archivos en formatos de PDF, Office y AutoCAD.

Ver artículo con la investigación de los servidores de C&C http://www.securelist.com/en/blog/208193540/The_Roof_Is_on_Fire_Tackling_Flames_C_C_Servers

El numero de dominios usados para la infraestructura de C&C es de más de 80 que se alojáron entre el 2008 y 2012 en más de siete países, lo que da idea de la complejidad y recursos utilizados para montar esta estructura

Las vulnerabilidades utilizadas en principio para poder firmar y desplegar los códigos malinos fueron sobre la propia infraestructura de certificados digitales de Microsoft ver enlaces

http://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-usado.html

http://unaaldia.hispasec.com/2012/06/la-creacion-del-certificado-falso-usado_11.html

Al margen de los detalles técnicos aún incompletos pero interesantes de esta nueva arma, la pregunta más allá de ello es como consiguen desplegar una estructura de este calibre y funcionar durante al menos tres años sin que nadie se diera cuenta de nada, esto genera cuando menos dudas sobre la efectividad de nuestras herramientas de seguridad (o cuando menos de su eficiencia) y deja al descubierto una verdad de a puño con la que hemos venido conviviendo desde hace años, el enfoque reactivo de la mayoría de las herramientas de seguridad es bueno cuando identificamos el peligro potencial (a través de firmas que es la forma más usual) pero las detecciones heurísticas y las nuevas amenazas están pasando completamente desapercibidas a través de nuestras herramientas de seguridad incluidos nuestros IDS's e IPS's el llamado en este punto es a repensar nuestros esquemas de seguridad y a analizar la implementación de otras estrategias como la implementación de proyectos de SIEM (Security Information and Event Management) que permite entre otras capacidades hacer agregación de datos, centralización, alertamiento y correlación de los eventos de todas nuestras herramientas de seguridad con el fin de conseguir hacer foco en los eventos importantes que ocurren sobre toda nuestra infraestructura, la instalación, configuración y afinamiento de este tipo de herramientas no es una actividad fácil, pero el ahorro de tiempo para revisar los eventos correlacionados es una opción que facilitara el trabajo de nuestros equipos de seguridad, una de las mejores soluciones de esta categoría en software libre es OSSIM http://communities.alienvault.com/community
 

Se hace necesario reflexionar sobre nuestro hacer en estos temas y reorientar nuestros recursos y herramientas a ser efectivos en la detección de este tipo de armas de la ciberguerra, para poder defender nuestra información y se nos acaba de demostrar nuevamente que la confianza que tenemos depositada en ciertos proveedores (en este caso Microsoft) es conveniente como mínimo reevaluarla porque  está de sobra demostrado que quien tiene responsabilidad en la custodia de la información no tiene amigos solo enemigos.

La otra reflexión importante es, si desde el 2008 estaba desplegada esta nueva arma de ciberespionaje sin que nadie la detectara hasta hace algunos días, que nueva arma ya desplegada esta extrayendo información sensible de nuestras redes en este momento sin que nos tengamos conciencia de ello ?.

La Inseguridad se empieza a tomar el Mundo

Al leer el día de hoy la noticia de la denegación de servicio a través del envió de peticiones a un televisor que apareció en el portal de Hispasec http://unaaldia.hispasec.com/2012/04/denegacion-de-servicio-en-televisores.html  y reflexionar acerca de los múltiples y nuevos vectores de ataque que están surgiendo a raíz de la proliferación de los gadgets que hoy tienen implementaciones de la pila de protocolos TCP/IP, lo menos que uno puede sentir es cierto desasosiego al entender que si los sistemas operativos establecidos hace ya varias décadas aún siguen presentado múltiples vulnerabilidades a pesar de ser usados por millones de personas durante muchas horas cada día (ver el ultimo boletín de Microsoft http://technet.microsoft.com/es-es/security/bulletin/ms12-apr) evidentemente las lecciones aprendidas por los fabricantes de software no pueden heredarse a una multitud de fabricantes de equipos de tecnología que en un afán de aumentar las funcionalidades deciden conectarlos a internet sin tener en cuenta que una vez establecida la funcionalidad de conexión a internet serán también blanco de intentos de penetración a través de la explotación de las vulnerabilidades de los mismos, no es atrevido pensar que la industria del Malware ya tenga algún roadmap planeado para sacar beneficio de las múltiples vulnerabilidades que se irán presentado en estos nuevos dispositivos.

Podemos asumir que el malware que se aprovecha de este tipos de problemas de seguridad ya está en desarrollo (o en producción?) y que seguramente ya tienen establecido un plan de acción para sacar provecho económico de estas fallas (spyware, phishing, adware, riskware, envió de spam, etc) pondrán en peligro la confidencialidad, la integridad y la disponibilidad de la información que pueda pasar por todos estos nuevos .

Para el caso puntual de la televisión las fallas provocadas pueden ser desde un molesto apagado del equipo hasta el secuestro de las cuentas de correo y de servicios de PPV, sin contar que si usamos estos nuevos televisores para navegar en internet el rango de acciones maliciosas posibles se multiplica, dado que podemos asumir que este televisor estará conectado a nuestra PAN, el paso desde allí hasta nuestros equipos de computo (propiamente dichos) puede ser algo trivial, empieza a ser factible pensar en tener elementos de seguridad perimetral en nuestra PAN que permita controlar la seguridad de toda la información que entre o salga de ella (similar a un entorno corporativo con una LAN, MAN o WAN) y que intentemos usar los diferentes gadgets cuando estemos en situaciones de movilidad (smartphones, tables pc's, relojes, ect) con las funcionalidades en modo reducido para evitar exponerlos en público, es decir usar la menor cantidad posible de servicios o utilizar alguna especie de firewall personal para estos nuevos dispositivos, es probable que en cuestión de algunos meses veamos ofertas de firewall's personales para colocar sobre nuestra nevera o nuestros televisores entre otros.

De nuevo las facilidades y funcionalidades de los gadgets que buscan facilitar y volver cómoda nuestra vida nos pondrán en problemas y la mayoría de los usuarios no serán consientes de ello hasta que sea demasiado tarde. Como está la situación todos estos productos deberían garantizar no solo las funcionalidades para las que fueron creados sino pasar determinados tipos de test para garantizar que las funcionalidades previstas por las implementaciones del protocolo TCP/IP cumplen con unos estándares mínimos de calidad que no permitan que vulnerabilidades tan fáciles de explotar como el ping de la muerte (que apareció en los sistemas operativos en 1996) se repita en estos nuevos dispositivos y que se pierdan más de 15 años de madurez y avances en materia de seguridad.

La superficie de ataque se está ampliando de manera importante, debido a la conexión que con internet están realizando cada vez todos los nuevos dispositivos, y por ende la Inseguridad se está multiplicando, generando un campo de batalla con demasiados frentes para poder tener estrategias claras y efectivas de defensa, será necesario el surgimiento de herramientas de protección o estrategias más independientes de los dispositivos (hardware, software y sistemas operativos) y cada vez más a la protección de los servicios de nosotros los usuarios y los esquemas de licenciamiento de los proveedores clásicos deberá cambiar dada la ubicuidad de la información y deberán licenciar sus sistemas de protección para que con una sola licencia el usuario lo pueda usar en varios y variados dispositivos, de hecho esta notica del 13 Abril da cuenta de esta tendencia http://www.elespectador.com/tecnologia/articulo-338300-kaspersky-lanza-su-antivirus-multiplataforma

Anywhere Computing

Los concepto de computación portable y computación en la nube junto con la explosión de nuevas tecnologías y nuevos servicios a nuestro alcance, tienden a consolidar otro concepto que tampoco es nuevo "Anywhere Computing" entendida como la capacidad de llevar el computo a cualquier parte, posibilitada en parte por la convergencia de los cada vez más potentes y nuevos dispositivos, la posibilidad de conectarnos de manera "segura" a nuestros datos ubicados mayormente en la Nube desde casi cualquier ubicación y por la posibilidad de sincronizar y actualizar nuestra información a través de nuestros diferentes "gadgets", con el smartphone como estrella principal y el competido mercado de sistemas operativos y aplicaciones para este dispositivo que lo ubican como punta de lanza de los avances tecnológicos y puerta de entrada a la generación, consulta y transmisión de información tanto personal como corporativa, los nuevos requerimientos de las empresas que están sacando provecho y tratando de meter en cintura el uso de estas tecnologías emergentes, y que desdibujan la muy frágil línea entre el uso personal y el uso corporativo de estos dispositivos, estos y algunos otros elementos generan un ambiente cada vez más complejo para las labores de control de Seguridad de la Información.

Con esta mezcla heterogenia de nuevos dispositivos y nuevas tecnologías se crea una nueva necesidad de poner reglas claras y establecer un límite claro entre el uso de dispositivos con información personal y la creciente necesidad avalada o no, por las empresas de que los usuarios se conecten  con estos dispositivos a las redes corporativas, que lean y contesten su correo desde su teléfono, que accedan a la intranet o sitios corporativos, etc. El establecimiento de reglas claras de uso y control no será nada fácil, los dispositivos son de propiedad del usuario pero mucha de la información que reposa o que transita por ellos son datos corporativos sobre los cuales las empresas deben tener visibilidad y deben poder definir los controles de lo que se haga con ella, por supuesto los conflictos no se hacen esperar, la principal duda es ¿ cómo podemos controlar la transmisión, almacenamiento, modificación y publicación de la información de estos dispositivos en donde también existe información privada ?

La respuesta no es para nada sencilla, dado los ambientes tan heterogéneos, las herramientas de seguridad no aplican a un universo tan amplio de productos (con sus propios sistemas operativos, controles y funcionalidades) y de nuevo la responsabilidad de las áreas de seguridad sigue presente pero sin muchas herramientas de apoyo y ni pensar en consolidar todos estos controles sobre esta infraestructura, y al margen de las herramientas están las políticas ¿ qué es lo correcto y como lo comunico a mis usuarios...?, ¿ Como establezco los debidos controles sin violar la privacidad de la información ?.

Una aproximación facilista es prohibir el uso de los gadgets personales en el ambiente corporativo en particular prohibir su uso para transmitir, copiar, almacenar o modificar cualquier tipo de información corporativa, pero seguro que esta no será una solución eficiente ni popular y de paso perdemos las ventajas que la empresa puede obtener del correcto uso de los nuevos dispositivos, de manera que tendremos que cambiar la aproximación a este nuevo problema, sin embargo una vez decidamos darle la bienvenida a alguno de ellos a nuestro entorno corporativo debemos estar listos para el efecto de bola de nieve que esto tendrá sobre los demás dispositivos y sobre los usuarios de todos los niveles de la organización, lamentablemente no existe una solución puntual para cierto tipo de compañía, así que debemos implementar los controles de manera gradual siendo muy claros con las políticas del uso de los mismos e irlas ajustando de acuerdo a nuestro ambiente. Los dispositivos están ya en nuestras compañías y debemos asegurarnos de que se usen de forma correcta y controlada.

La consolidación de la CiberGuerra

Iniciamos el año con importantes noticas del mundo de la tecnología y muchas de ellas están en mayor o menor grado asociadas al mundo de la seguridad, las noticias más relevantes por estos dias son:

El cierre de Megaupload y las represarías que Anonymous tomo contra varios sitios web como protesta por ello y por la, el retiro de los fundadores de Blackberry (como copresidentes), la renuncia del presidente y cofundador de Yahoo, el retiro del congreso de los estados unidos de la ley SOPA (ley antipiratería que ocasiono que miles de sitios web se pusieran fuera de línea como forma pacífica de protesta) la nueva iniciativa ley PIPA.

Estas noticias que antes eran de interés especial para la gente de tecnología, hoy en día son noticias conocidas por todos, la penetración de la tecnología en nuestras vidas ha permitido permear este tipo de conocimiento a las personas del común, las mismas personas que se encontraron con la pagina de wikipedia fuera de servicio por 24 horas y que tuvieron que navegar más para obtener sus constantes búsquedas debido a los más de diez mil sitios que participaron de esta protesta, las iniciativas del gobierno norteamericano son loables, pero no están enmarcadas en la realidad del uso de internet, hay muchos argumentos en favor y en contra de estas leyes (no es del alcance de este artículo detallar esta lucha, que por lo demás no se va a resolver pronto "y que muy probablemente no se resuelva nunca y se tenga que aprender a convivir con ello").

El tema que nos ocupa desde el punto de vista de la seguridad es el interés que esta despertando en los medios de comunicación la reacción del ya famoso grupo Anonymous y su ultimo papel ante el cierre de megaupload como defensores de la libertad de Internet, al punto que varios medios de comunicación se preguntan si este el  inicio de la ciberguerra, las actuaciones de este grupo no son nuevas pero su aparición en las noticias ha ido tomando mucha relevancia y protagonismo, en cuanto al tema de la ciberguerra, es probable que ya haya empezado y que esta se esta haciendo hasta ahora publica, en los inicios la inseguridad que existe por si sola en cualquier sistema operativo, aplicativo popular o no, dispositivo, era vulnerada con fines altruistas, desde hace ya años se profesionalizo y se lucro la generación y distribución de Malware (ver http://inseguridadinformatica.blogspot.com/2011/11/profesionalizacion-del-malware.html ), ahora son noticias de todos los días y cada vez más el usuario final se ve involucrado en ellas, como usuarios finales debemos aprender a valorar la información que ponemos a circular en la red, y a protegerla de manera adecuada, las herramientas tecnológicas que nos ayudan en los temas de seguridad intentan hacer de manera correcta su trabajo pero no son infalibles (podemos preguntarles a los de Anonymous), así que nosotros mismos debemos tener conciencia de ello y tratar de no exponer de manera innecesaria nuestra información.

En cuanto a los ataques dirigidos a objetivos de gobiernos y grandes industrias de varios países por organizaciones sin identificar nos hacen pensar que la ciberguerra ya empezó, solo que no están claros los contendores, dado el carácter anónimo de internet se pueden ver los destrozos causados por la ciberguerra pero no es fácil identificar los originadores de los mismos, la publicación de los datos personales del director del FBI y de su familia demuestran la temeridad de Anonymous y demuestran que si una institución como el FBI es vulnerable cualquiera otra también los es (El FBI probablemente tiene una estructura de seguridad envidiable y con herramientas de tecnología de avanzada que seguramente cuestan varios millones de Dólares).

Lo que sí es claro es que estos ataques se seguirán presentando a todo nivel y los fines serán siendo lucrativos en la mayoría de los casos y con el robo de información como principal objetivo de los mismos, la necesidad de tener "segura" nuestra información paso de ser una condición más en el manejo de la misma a ser uno de nuestros principales objetivos y para cumplirlo tenemos que ser bastante metódicos y utilizar el menos común de los sentidos "el sentido común", con la evolución de las herramientas de seguridad y el aumento de los controles en la generación, tratamiento, almacenamiento y distribución de la información conseguimos a veces una falsa sensación de seguridad, pero no podemos ser ajenos a que así mismo evolucionan en capacidad, complejidad y efectividad en los ataques de los que más temprano que tarde seremos objetivo.