Principios de seguridad. Visión desde IT y desde OT.

En el ámbito de la Seguridad de la Información se definen fundamentalmente tres principios básicos: Confidencialidad, Integridad y Disponibilidad.  Aunque es cierto que también podemos considerar otras propiedades como "no repudio", "autenticación", "trazabilidad", etc., vamos a centrarnos en estos tres principios fundamentales, conocidos en inglés como "CIA triad" (tríada CIA, por Confidentiality, Integrity, Availability).

• La Confidencialidad permite limitar el acceso a los datos de modo que sólo las personas (o recursos) autorizados puedan acceder a la información.

• La Integridad garantiza que la información sea correcta, sin errores y que no pueda ser modificada sin permiso.

• La Disponibilidad asegura que la información está accesible en un momento preciso y para las personas que la necesitan.

En los sistemas IT corporativos -los que se ocupan de los sistemas y el software de "negocio" (ERP, Base de datos de clientes, CRM, ...)- la puesta en práctica de los principios de la tríada CIA viene cumpliéndose en ese mismo orden de importancia: Confidencialidad, Integridad, Disponibilidad. Cuando hablamos de protección de la información, es habitual -por ejemplo- que una de las primeras medidas a implementar sea el cifrado de datos (medida directamente relacionada con la Confidencialidad).

Ahora bien, cuando nos adentramos en el área de seguridad de los Sistemas de Control Industrial (ICS, por sus siglas en inglés) la perspectiva puede ser diferente.  Los sistemas ICS están formados por dispositivos y redes que controlan los procesos industriales, y entiéndase aquí el término "industrial" en su sentido más amplio.  En concreto, para el caso que nos ocupa, podemos pensar en cualquier Infraestructura Crítica como Energía o Transportes, o en los dispositivos relacionados con "Internet of Things" (IoT) o en todo lo relativo a Smart Cities, por ejemplo.

Al área que se encarga de los ICS la denominamos OT (Operational Technology) y comprende los dispositivos, las redes y el software relacionados con la monitorización y el control de los procesos industriales.

Tradicionalmente, el área de OT ha vivido aislada del área de IT (y viceversa), pero en la actualidad, en la era de lo "Smart", del "IoT", de los sistemas SCADA. etc. se está produciendo una aproximación entre ambas áreas en lo que se denomina "Convergencia IT/OT".  Esta convergencia no es tarea fácil y uno de los retos a superar es la diferente visión de los principios de seguridad según el punto de vista de cada área.  Si para los equipos de IT (de soporte al negocio) prima la Confidencialidad sobre las otros principios de seguridad, para los ingenieros o técnicos de OT (de "planta") el orden de importancia de la tríada CIA es absolutamente opuesto: Disponibilidad, Integridad, Confidencialidad, primando por encima de todo la Disponibilidad.

El gráfico representa la inversión de las prioridades en cuanto a seguridad según se trata del área de Sistemas de IT o de Sistemas de OT.  Para los de Operaciones (OT) lo más importante es mantener el proceso industrial en funcionamiento, ya se trate de una cadena robotizada de producción; una red de suministro de energía, o de agua potable; o del sistema de control de una red de semáforos inteligentes.  La carencia de Disponibilidad podría derivar en una pérdida de control sobre el proceso o que se detuvieran las operaciones, con los consiguientes riesgos que ello implicaría tanto para la seguridad del sistema como para la seguridad física de las personas o los efectos en el medioambiente.

Actualización de la guía de seguridad para Sistemas de Control Industrial del NIST

El NIST (National Institute of Standards and Technology) acaba de publicar la segunda revisión de su "Guía para la Seguridad de los Sistemas de Control Industrial (ICS)".  El NIST es una agencia del Departamento de Comercio de los Estados Unidos que cuenta con una división denominada "Computer Security Resource Center" (http://csrc.nist.gov) quien se encarga de proveer recursos sobre seguridad de la información y elaborar guías y estándares tanto para el gobierno como para la industria.

Según nota de prensa del NIST de la semana pasada, esta revisión «incluye una nueva visión sobre como ajustar los controles de seguridad IT tradicionales para adaptarlos a los requisitos de rendimiento, fiabilidad y seguridad de los sistemas industriales (ICS), así como algunas actualizaciones en los capítulos de amenazas y vulnerabilidades, gestión del riesgo, prácticas recomendadas, arquitecturas y herramientas de seguridad».

Los Sistemas de Control Industrial (ICS, por sus siglas en inglés) engloban tanto el hardware como el software de los equipos de control de procesos, incluyendo sensores, actuadores, sistemas de control distribuido (DCS), autómatas programables (PLC) o sistemas de control y adquisición de datos (SCADA).

Tradicionalmente, los sistemas ICS se basaban en plataformas propietarias, aisladas y con limitadas posibilidades de actualización.  Hoy en día estos sistemas están intercomunicados con finalidades de monitorización o de operación remota desde los grandes centros de control, por lo que están dotados de conectividad a Internet.  Esta conectividad ha puesto de manifiesto las vulnerabilidades y amenazas que se ciernen sobre ellos, viéndose agravadas en los casos de que tales ICS formen partes de sistemas considerados Infraestructuras Críticas (suministro de energía, telecomunicaciones, sistema público de salud, etc.)

Las medidas -y herramientas- de protección que utilizamos en las áreas de IT (antivirus, Firewall, IDS, ... incluso políticas y procedimientos) están diseñadas para una infraestructura de IT "de negocio" o "de soporte al negocio" pero no son útiles para un entorno de operaciones industriales (OT, por las siglas en inglés de Operational Technology).  Esta actualización de la guía del NIST pretende adaptar los controles de seguridad IT para establecer una convergencia entre ambos entornos: IT/OT.

La guía "NIST SP 800-82, Revision 2, guide to industrial Control System (ICS) Security" puede descargarse desde aquí [PDF, 3,78 MB, 247 pág, EN]:

http://dx.doi.org/10.6028/NIST.SP.800-82r2

Presentación del Observatorio de Ciberseguridad, Derechos y Libertades (OBCIBED)

El pasado 30 de abril, en la sede del Instituto de Ciencias Políticas y Sociales (ICPS) en Barcelona, tuvo lugar la presentación institucional del "Observatori de Ciberseguretat, Drets i Llibertats" (OBCIBED).

El Observatorio es una iniciativa que parte del grupo de investigación "Libertad, Seguridad y transformaciones del Estado" (LTSE) de la Universidad Autónoma de Barcelona (UAB) y cuenta también con el apoyo y la colaboración de ISACA Barcelona.  Engloba a un colectivo multidisciplinar de profesionales provenientes de los ámbitos de la seguridad de la información, la ciberseguridad, la práctica jurídica, seguridad pública y privada y las ciencias políticas.

Los OBJETIVOS del Observatorio son:

• Observar, analizar e informar sobre la ciberseguridad y su relación con los derechos y libertades fundamentales.
• Contribuir al respeto de los derechos humanos frente a la ciberseguridad.
• Analizar y estudiar el concepto de ciberseguridad y su impacto en la seguridad y defensa nacional e internacional, tanto en el sector público como en el privado.
• Promover una gestión y gobierno de la ciberseguridad riguroso, transparente y democrático.
• Crear espacios de reflexión y diálogo en relación al equiibrio entre ciberseguridad, derechos y libertades.
• Formar, capacitar y concienciar sobre ciberseguridad, derechos y libertades.
• Aportar una visión holística y transversal contemplando todas las perspectivas: jurídica, tecnológica, organizacional y social.

Para alcanzar estos objetivos cuenta con un Consejo de Dirección, un Consejo Asesor y un equipo de colaboradores que está abierto a cualquier profesional interesado en aportar y participar en las actividades del grupo: emisión de informes y publicaciones científicas cobre ciberseguridad, derechos y libertades; difusión de las investigaciones; docencia; organización de cursos, jornadas, seminarios o congresos; asesoramiento científico y técnico, etc.

El acto fue presentado por Joan Marcet (Director del ICPS) y contó con la intervención de tres de los miembros del Consejo de Dirección del OBCIBED: Joan Lluis Pérez Francesch (Director del grupo LSTE de la UAB), Josep Cañabate (Profesor de la Facultad de Derecho de la UAB) y Xavier Rubiralta (Responsable de Seguridad de la Información de la UAB).

Esperamos poder conocer pronto los frutos de esta iniciativa y que llegue a convertirse en un espacio de referencia en el estudio y análisis de la ciberseguridad y los derechos y libertades.

Acto de presentación del OBCIBED (30/04/2015)

Tendencias en ciberataques

En el blog de IT Governance (http://www.itgovernance.co.uk/blog/) publican cada mes una lista de los principales incidentes y ataques de seguridad sufridos durante ese mes por las principales compañías y organizaciones en todo el mundo.

 

A final de 2014 publicaron el listado, a modo de resumen, de los principales ataques del año.  He aprovechado ese listado para realizar un breve análisis de lo acontecido en 2014 y cuáles serían las tendencias para este año.  Por supuesto el listado no es exhaustivo -ni mucho menos mi análisis- pero recoge los principales incidentes o, al menos, los que han tenido mayor repercusión (en estados Unidos).

Si analizamos la finalidad de los ataques se observa que el objetivo de los mismos es principalmente el robo de información, siendo minoritarios los casos de defacement (Microsoft, por ejemplo) o DoS (caso Code Spaces que se vio obligado a cerrar).

En este sentido, los robos de información se centran en obtener los datos de clientes o usuarios: nombres y apellidos, cuentas de correo, contraseñas o hashes de contraseñas y tarjetas de crédito; aunque también son apetecibles datos de empleados o datos correspondientes a la compañía (o sus directivos), en este último caso con finalidades de espionaje industrial (la compañía alemana de aeronáutica y armamento DLR (German Aerospace Centre)) o extorsión (caso Domino's Pizza).

Tipología de los datos sustraídos (%)

El derecho al olvido, un aliado para la reputación online

La privacidad en Internet y la reputación online cuentan desde el pasado mes de Mayo con un nuevo aliado en una normativa europea que se ha acordado en llamar como derecho al olvido (conoce todos los detalles en www.derechoolvido.es).

El Tribunal de Justicia de la Unión Europea (TJUE) publicó el 13 de Mayo de 2014 (ver nota informativa de la Agencia Española de Protección de datos sobre esta sentencia) una sentencia donde se reconoce a los ciudadanos europeos su derecho a pedir a los buscadores de Internet (Google, Bing, Yahoo!...) la retirada de determinados enlaces a informaciones que consideran perjudiciales para su imagen. Los responsables de los buscadores atienden cada una de estas peticiones de manera individualizada y, si cumplen ciertos requisitos, pueden proceder a la supresión del enlace solicitado.

Siguiendo con esta lógica se puede definir el derecho al olvido como «el derecho de una persona física a bloquear o suprimir cierta información personal que se considera obsoleta, carente de interés o que afecta al libre desarrollo de alguno de sus derechos fundamentales». Es conveniente aclarar que la información propiamente dicha no se elimina, solo se suprime el acceso a la misma a través de los buscadores de Internet eliminando el enlace de la correspondiente página de resultados.

Los buscadores como Google, Bing o Yahoo! disponen de un formulario de solicitud para que los ciudadanos que lo deseen puedan solicitar el bloqueo de los enlaces que estimen perjudiciales para su privacidad y de esta manera proteger su reputación online. Como hemos dicho, no todas las peticiones son aceptadas ni tenidas en cuenta por los buscadores.

Una primera limitación de este derecho al olvido es que solo es aplicable a personas físicas por lo que ni empresas ni organizaciones pueden acogerse al mismo. Google cuenta con un comité de expertos que asesoran a la compañía en este tema (conoce al Comité de expertos de Google) y han establecido algunos motivos para rechazar las solicitudes. De esta manera, el buscador más popular en nuestro país no acepta las solicitudes referentes a personajes públicos, las relacionadas con asuntos de corrupción política o financiera o aquellas peticiones que hagan referencia a una información vigente y actual.

En el caso de que una solicitud sea rechazada por el buscador, el solicitante siempre tiene la opción de recurrir a la Agencia Española de Protección de Datos (AEPD) para que sea este organismo el que decida si procede o no la supresión del enlace solicitado y en el caso de que proceda requerir al buscador que lleve a cabo esta acción.

Este derecho al olvido se ha convertido en una útil herramienta para defender la reputación online de los ciudadanos aunque la sentencia del Tribunal de Justicia de la Unión Europea no es bien vista por todo el mundo. Existe una importante corriente de opinión que considera que este derecho vulnera la libertad de expresión e información y puede utilizarse como un mecanismo de censura.

Realmente aún es demasiado pronto para conocer si el derecho al olvido se utiliza como medio para proteger la imagen en la Red de los ciudadanos o si, como argumentan sus detractores, se hace un uso abusivo de la medida. Para resolver estas dudas, desde la Unión Europea se trabaja en la redacción de un protocolo de actuación ante solicitudes relacionadas con el derecho al olvido pero mientras se publica el mismo, la polémica es la tónica habitual ante esta normativa.

Hardware Hacking (en #nn4ed)

Del 2 al 4 de octubre he podido asistir al congreso de seguridad "Navaja Negra" (http://navajanegra.com) que se ha celebrado por cuarto año consecutivo en Albacete.  Como novedad de este año, además de las habituales charlas, han incluido en el programa unas sesiones prácticas a modo de talleres.  Asistí a tres de ellos y en esta entrada voy a resumir lo que se trató en el taller titulado "Hardware Hacking (piñas, alfas, estrellas, raspberrys y patos)".

El taller (de unas 2 horas de duración) fue impartido por Jaime Álvarez (@kioardetroya) y Telmo Xavier (@t31m0) que llegaron cargados con un arsenal de cacharros -las piñas, alfas, estrellas, raspberrys y patos del título- para las demostraciones.  Lástima que era la primera charla del primer día y aun no habían conseguido disponer de conexión a Internet en el aula para poder realizar las demos.

En la presentación del taller destacaron que el hardware hacking puede ser tanto ofensivo como defensivo y que si bien pueden utilizarse estos dispositivos para realizar ataques, también son extremadamente útiles en la prevención de los mismos (monitorización de redes, creación de honeypots, o incluso instalar un servidor VPN o un firewall en una Rapsberry Pi).

Veamos que nos trajeron:

THROWING STAR LAN TAP (Ah! ya tenemos la "estrella" que aparece en el título):  Es lo que se llama un Network Tap" un sencillo dispositivo que se conecta (físicamente) entre dos puntos de una conexión de red y permite capturar todo el tráfico que pasa por el.  Se trata de un dispositivo pasivo (no alimentado) que puede adquirirse como kit (desmontado, hay que soldar los componentes) por unos 15$, aunque por un poco más ya viene montado.

un "

Un Network Tap requiere interrumpir la conexión unos instantes, ya que es necesario desconectar el cable para conectar el dispositivo.  Por otro lado, sin necesidad de acceder físicamente al sistema podemos hablar de "Wireless Hardware Hacking", dispositivos WiFi normalmente con el firmware OpenWRT, a los que podemos acoplar diferentes tipos de antena según nuestras necesidades (las hay de largo alcance que pueden captar una señal a varios kilómetros de distancia).

BEINI WIFI ROBIN 2:  Un sencillo dispositivo que se maneja con 2 botones y que permite obtener las claves WEP y WPA de un red inalámbrica.  Podemos considerar que está obsoleto ya que no soporta WPA2.

PINEAPPLE MARK IV:  Apareció en 2008 y se anunciaba como herramienta de pentesting.  Basado en OpenWRT, para redes 802.11 b/g/n, dispone de un puerto USB donde podemos conectar una antena, una unidad de almacenamiento externo o un modem 3G/4G.  Sin soporte oficial desde octubre del 2013 al ser reemplazada por la PINEAPPLE MARK V.

Algunos de los ataques que se pueden llevar a cabo con una MARK IV son: Man-in-the-Middle, DNS Spoofing, SSL Strip, tcpdump, desautenticación o Karma.

El ataque Karma: Los móviles o tablets con WiFi activado están constantemente preguntando si las redes "favoritas" están accesibles: -¿Eres "Mi_Casa"?, -¿Eres "Hotel_cool"?, -¿Eres "McDonals"?.  En un ataque Karma, el dispositivo del atacante captura estas solicitudes y responde -Sí, soy yo; suplantando al Access Point legítimo y conectando el smartphone de la víctima al atacante (siempre que se trate de redes abiertas). La solución para prevenir un ataque Karma consiste en tener desactivada la opción de recordar redes abiertas a las que nos hemos conectado anteriormente.

El modelo ALFA NETWORK AP121U es el equivalente del MARK IV (lleva le mismo firmware) y está disponible con la placa HORNET-UB con 8MB de memoria flash y 32MB de RAM.

PINEAPPLE MARK V:  En Hackshop por 99,99$, es la evolución de la MARK IV, con el doble de memoria, ranura para tarjeta MicroSD, 2 conectores de antena SMA, puerto TTL Serial y un interfaz GUI mejorado y muy intuitivo.  Incorpora un conjunto de microinterruptores (DIP switches) que permiten arrancar el dispositivo con diferentes configuraciones, según la utilidad que le vayamos a dar.  También es muy interesante la posibilidad de descargar "infusiones" (https://wifipineapple.com/?infusions), herramientas desarrolladas por los usuarios con un fin específico: evilportal (un portal cautivo), occupineapple (divulga una lista de SSID ficticios), ADS-B Tracker (seguimiento de aviones mediante una antena TDT), etc.

RASPBERRY PI:  Gracias a la herramienta FruityWifi (https://github.com/xtr4nge/FruityWifi) podemos tener las funciones de una PINEAPPLE en una R-PI.  Con el módulo "WhastApp discover" incluido en FruityWiFi demostraron como capturar los números de teléfono que mandan mensajes desde esta aplicación.

USB RUBBER DUCKY:  Para finalizar, y un poco ajustados de tiempo, mostraron este dispositivo -el "pato"- con apariencia de pendrive pero que en realidad esconde un teclado USB en su interior.  No tiene teclas, pero lo podemos programar de forma que al conectarlo en un PC comience a escribir comandos en el equipo.

Al "pincharlo" el equipo lo reconocerá como un teclado y lo aceptará directamente, a diferencia de si se tratara de un dispositivo de almacenamiento (pendrive) ya que saltaría el antivirus o, en un sistema bien configurado, no se permitiría la ejecución automática de código.  Así, de forma automatizada se ejecutarán los programas, herramientas o scripts que hayamos incluido en el USB RUBBER DUCKY.

¡Así quedó la mesa de trabajo al finalizar el taller!

No me queda más que felicitar a los ponentes, Kio y Telmo, por haber preparado un taller tan interesante y ameno, y a la organización de Navaja Negra por hacerlo posible.  ¡Saludos a todos!

Hackstory: La historia nunca contada del underground hacker en la península ibérica

La periodista Mercè Molist acaba de publicar "Hackstory.es: La historia nunca contada del underground hacker en la península ibérica". Este libro es la materialización de un intenso trabajo de investigación iniciado por la autora hace ya unos cuantos años cuando creó el proyecto Hackstory en formato wiki (http://hackstory.net/).

En el libro cuenta la historia del hacking en España, que es también la historia de la informática en nuestro país, con información de gran valor que abarca desde los primeros hackers, las blueboxes, las BBS, el nacimiento de la comunidad, hasta llegar a lo que Mercè denomina "el fin de la vieja escena". El libro viene plagado de enlaces que complementan toda la información que nos va proporcionando, además cuenta con entrevistas a sus protagonistas y fotografías de gran valor documental.

Mercè, que ha elaborado artículos para diversas publicaciones y prensa, trabajó más de 10 años en la sección de tecnología de El País (Ciberpaís) desde donde tuvo la oportunidad de profundizar en sus investigaciones y (intentar) acercarse a los protagonistas cubriendo muy de cerca operaciones como el "caso Hispahack" o la "operación Millenium".  Ella misma lo deja claro en las primeras páginas de presentación del libro: en este libro no está todo lo que fue sino lo que nos han dejado saber.

Este intenso trabajo está organizado en ocho capítulos y comprende 282 páginas (la versión en PDF).  El índice de cada capítulo es sistemático y muy claro de forma que permite identificar un tema de nuestro interés para acceder directamente a él, aunque la lectura completa de principio a fin es muy amena y entretenida (con numerosas anécdotas, curiosidades, citas, etc.) y recomendable incluso para aquellas personas ajenas al mundo de los hackers (para quienes hay incluso un breve glosario al inicio del texto).

El libro, en edición electrónica, puede obtenerse en formato Kindle por un precio simbólico, o gratuitamente por descarga directa en formato EPUB, PDF o MOBI desde la web http://hackstory.es/

Sigue este enlace para comprar o descargar el libro desde Hackstory.es

Acceso a Hackstory.es

Página de inicio del wiki Hackstory.net, origen del libro.