Mi ordenador está seguro y además es lunes y yo no Fuente MDE

Mi ordenador está seguro y además es lunes y yo no

“La seguridad no es un motivo de autorrealización de un informático pirado, es una necesidad al reto de proteger los activos tangibles, como nuestros servicios de información estratégicos, e intangibles, como nuestra reputación”. CMF 2018.

Y quien mantiene la seguridad en el MDEF: Kiko Legard solo te deja una respuesta los “Suboficiales”. Las carcajadas dejémoslas para el final que sois la columna vertebral de jamón york deshuesado. Elegisteis la especialidad de informática pagad vuestra osadía malandrines.

Instrucciones de lectura: Se comienza con las conclusiones y después se extiende la disertación, aplicando aquello de lo bueno si breve dos veces breve (o algo así), pues no está reñida la divulgación con el mantenimiento del rigor.

Hasta ahora todos nuestros esfuerzos en seguridad se volcaban en proteger el perímetro de nuestra organización (firewalls, proxies, antivirus), pero hoy esto no es factible, ya que la transformación digital nos empuja a hacer uso de los supuestos beneficios de contar con una gran movilidad y del desafiante internet de las cosas (los vendedores lo han hecho bien para que dediquemos nuestro presupuesto a todo tipo de gadgets). Seguimos teniendo en nuestro perímetro tradicional a los usuarios que están dentro de nuestra organización con nuestras aplicaciones estratégicas e infraestructuras críticas, pero también hacemos uso de infraestructuras críticas en la nube (Amazon, Azure…), de aplicaciones en la nube (office 365), de información en la nube (Google Drive, Dropbox, Docusign…), de acceso a aplicaciones en Internet y páginas web (Amazon, Renfe, El País…), disponemos de diferentes ubicaciones en nuestra organización (central y oficinas remotas), de diversos dispositivos de usuario que aportan movilidad, (teléfonos inteligentes, tabletas) de dispositivos varios controlados desde Internet (luz, electricidad, centrales telefónicas, aire acondicionado), del Internet de las cosas (relojes, neveras), y de conexiones con otras redes corporativas (Rita, Defensa, Guardia Civil, Hacienda). Conclusión: es extremadamente difícil, si no imposible, controlar todo el perímetro de nuestros servicios informáticos, porque partes de él escapan a nuestro control.

Hace 20 años la seguridad era fácilmente controlable con un administrador de seguridad, que disponía de un reducido conjunto de herramientas, porque las amenazas eran pocas y los vectores de introducción (diskettes, USB, redes aisladas) eran limitados. Hoy los vectores de ataque son innumerables y las amenazas se multiplican junto con las nuevas funcionalidades que los sistemas aportan. Controlar esta nueva situación exige muchos mas profesionales y la ayuda de los usuarios, pues son estos el eslabón más débil de la cadena.

Por si fuera poco, los proveedores de servicios enfocan su línea de negocio en proporcionar nuevas funcionalidades que sean robustas en el desarrollo de casos de uso e interacción del usuario. La seguridad se declara en los folletos, pero, dado su coste, se diseña como un añadido que se modifica a golpe de incidentes. Los tradicionales centros TIC dejan de ser mantenedores de servicios para convertirse ellos mismos en proveedores de nuevos servicios, son elementos proactivos de la organización que trabajan en la consecución de los objetivos corporativos y no escapan a ese mismo principio de “lo importante es que funcione”.

Además, la seguridad esta fragmentada, tenemos que adquirir un conjunto de herramientas ingente para controlarla, lo que implica dinero y profesionales especializados en cada una de ellas. Esto no es baladí, porque hablamos de decenas de productos hardware y software, y cientos de dispositivos que han de ser actualizados, que han de ser sustituidos por otros nuevos, que están sujetos a licencias de uso, a licencias de mantenimiento, licencias de acceso a actualizaciones, etc. Este trabajo lastra a las organizaciones por dos razones: la primera, el coste económico y, la segunda, los recursos humanos. El problema del dinero es fácil de entender, no lo es tanto estar convencidos de que hacen falta profesionales que no solo han de controlar las aplicaciones tradicionales, sino que además han de contar con sólidos conocimientos sobre seguridad. Encontrarlos y mantenerlos en nómina es muy complicado, hay que saber seleccionarlos y pagarlos.

Es cierto que la seguridad, en parte, se puede subcontratar, aplicando el principio de que un riesgo se mitiga o se transfiere, pero si no se dispone de capacidades de mantenimiento orgánico de la seguridad, esa transferencia del riesgo es ficticia. De poco nos va a servir cuando nuestra reputación o nuestros bienes se vean afectados al nivel destrucción completa del negocio. Las compañías que proporcionan soporte tienen los mismos problemas para contar con buenos profesionales, desaparecen, se fusionan con otras… ¿Quién custodia al custodio?

Hasta aquí el resumen, ahora pasamos al texto principal y al final de él, a cómo los usuarios nos pueden ayudar a que la seguridad sea lo mejor posible.

Hablar de seguridad es aburrido, poco comprendido, y además ¿qué tiene que ver eso conmigo, si eso es cosa de informáticos? Según algunos, informático es todo aquel que trabaja con ordenadores y hace que estos resuelvan problemas, que siempre existieron, más rápido. ¿Verdad? O peor: resuelve problemas que sin ellos no teníamos. ¡Error! El informático es el profesional de la informática y el que trabaja con los ordenadores suele ser en su mayoría un usuario. Vamos a complicarlo, como nos gusta a los informáticos de postín, con una definición simplona: “La informática es el proceso automatizado de la información mediante un ordenador, y el informático el profesional que domina esta ciencia”. Abierta la caja de Pandora, nos queda por definir información y ordenador. Profundizando un par de pasos más en esta cansina perorata, definimos información como “la descripción codificada de cualquier cosa” y, claro, con ello nos lanzamos a definir un código, que es un conjunto de símbolos que se combinan mediante una gramática (lexis, sintáctica, semántica) y las gramáticas son recursivamente enumerables, libres de contexto etc. Puedo seguir fatigando al lector hasta el infinito y para llegar a la seguridad (que me niego a definir) pasaran muchas páginas. Acorto, por tanto, y supongo que ya tenemos un ordenador, la informática, el informático y el sufrido usuario. La historia empieza, entonces, cuando los informáticos, profesionales de grandes cualidades, entre las que cabe señalar que entendían que los sistemas eran sublimemente ideales y utópicamente libres de amenazas, o sea, irreales, comenzaron a resolver problemas.

Así que reciben pronto el inicio de hostilidades con el virus Creeper (1971) y su antivirus Reaper. Estos primeros virus de los años 80 se propagaban de ordenador a ordenador por medio de diskettes, el vector de introducción era limitado y bastaba con una buena profilaxis seguida de un antivirus que reconocía la firma del virus para prevenir y curar la gripe informática. El virus estaba o en el sector de arranque del disquete, en un programa virus que se ejecutaba ad hoc, o en una aplicación infectada con un troyano. No hay free lunch (solución fácil) y los antivirus que no contenían la firma del virus (o si este se hacía polimórfico) no servían. Las motivaciones de estos virus no solían ser de tipo económico, sino retos intelectuales de los malotes informáticos.

La cosa se complicó cuando los ordenadores dejaron de ser unidades aisladas u ordenadores centrales con terminales tontos (que feliz fui con ellos, los usuarios no llamaban pidiendo soporte y las empresas pagaban muy bien). La dificultad de aquellos sistemas estribaba en que los informáticos ganaban mucho, los ordenadores eran caros y además se vendían pocos. Así que la hoy Microsoft e IBM se inventan la arquitectura cliente/servidor, para vender mas servidores, mas ordenadores personales, mas elementos de red que los interconectan y, si es posible, degradar la visión que se tiene del informático para pagarle como a un sereno (elijo profesión que ya no existe para no herir susceptibilidades). Así que ahora (años 90) los virus pueden llegarnos de un ordenador a otro y, dado que las redes no están concebidas para ser seguras, nos inventamos los firewalls, que cuestan un dineral, y los ponemos a trabajar con los antivirus. ¿Problema solucionado?

¡Nooop! Ha llegado el programa maligno (malware) (años 2000-05) que usa como vector de introducción no solo los programas, sino también los documentos (Word, Excel, Pdf, etc.) y la entrada no es solo la de la red interna, los cds, los diskettes, sino que se añade Internet, un email o la descarga del bichito desde una página web. Los dispositivos afectados ya no son solo ordenadores tradicionales (servidores y estaciones de trabajo), sino que se suman los sistemas de almacenamiento, los portátiles, y una cantidad ingente de sistemas empotrados que usan sistemas operativos reducidos para funcionar. No pasa nada, pensaron algunos concienzudos vendedores (no puedo evitar citar: “640K deberían ser suficientes para todo el mundo” —Bill Gates, 1981-), protegemos nuestros sistemas de acceso a Internet con proxies, establecemos dmzs, y dejamos que nuestros sistemas móviles accedan a las aplicaciones corporativas con una VPN (mucha más pasta y los serenos empiezan a irse si no les pagan más).

Esto está muy bien, pero el malware (2010) ya es mucho mas sofisticado y no espera que el acceso esté abierto, sino que busca vulnerabilidades en los propios sistemas para facilitar la introducción. Por ejemplo, el malware puede utilizar el portátil de un usuario remoto como lanzadera para introducirse a través de la VPN en la Intranet; o se crean conexiones inversas entre los ordenadores internos y las páginas visitadas por los usuarios al pulsar un enlace accidentalmente o tras una buena labor de phishing, etc. Además, ¿quién me dice que el que accede a mi red es el que dice ser y no uno que le ha cazado las passwords con análisis forense (suena a CSI, pero la técnica se llama así) o con ingeniería inversa? Nada, nada, ¡se me ha ocurrido que hay que defender la red! Ponemos una infraestructura de certificados con PKI para asegurarnos de la identidad del usuario remoto, usamos NAC para controlar que el portátil que utiliza siga las medidas de seguridad adecuadas y actualizamos nuestros sistemas de red para que detecten las intrusiones (IDS), o incluso, como tenemos recursos (más pasta y más serenos que cobran o se van), que prevengan activamente la infección (IPS). ¿Creéis que ya esta solucionado? Como sois mas listos que este sereno, habéis acertado: ¡No!

Antes de seguir con la parte técnica, un inciso. La motivación del malware ya no es intelectual, ya no es el sereno friki que busca reconocimiento intrínseco o de otros a su invención, sino un profesional altamente cualificado (mejor que el sereno que escribe), excelentemente pagado, que busca rendimiento económico o político.

Ciberespionaje, ciberdelito, ciberterrorismo, ciberactivismo y ciberdefensa, ¿Cómo hemos llegado hasta aquí? Os recuerdo que la primera visión del problema de la seguridad comenzó como una investigación y experimentación de las tecnologías informáticas en 1970, llevada a cabo por científicos informáticos. Con el tiempo, 1980-2000, esta situación deriva en un amplio abanico de personas, que reciben el nombre de hackers, cuyos desarrollos de programas malignos están motivados por la curiosidad y son en su mayoría benignos (tengo mis dudas). Del año 2000 a 2005 aparece otro grupo que aprende a utilizar las herramientas y conocimientos de los hackers, los script kiddies, que causan serios daños a los sistemas con la finalidad de hacerse famosetes, pero sin un objetivo concreto. La explosión virulenta que amenaza seriamente a la seguridad comienza en el 2005-2010 cuando un nuevo grupo de expertos cibercriminales desarrollan malware, bots (ordenadores zombies que utilizan para sus propios fines), o técnicas de phishing con objetivos “comerciales”. Hasta aquí nada nuevo, pero en el 2010 este conjunto de expertos cibercriminales comienza a organizarse en equipos de ciberguerra, mafias, hacktivistas, con motivos políticos y estratégicos. Ya no basta con obtener dinero, se quiere controlar las elecciones de un país, subvertir su unidad territorial, obtener información de personas para utilizarla años después… Bienvenidos a las fake news, al robo de información en las redes sociales, a la destrucción de las vidas de las personas y de su identidad digital.

Para afrontar estos nuevos peligros, ya no son suficientes los elementos de seguridad que hemos comentado, necesitamos un buen cifrado, porque los protocolos de seguridad y algoritmos de encriptación utilizados hacen agua (“SHA1, MD5” o “SSl y TLS V1.0”) y nuestros firewalls han de realizar ahora análisis de contenido “DLP”, de aplicaciones, web filtering. ¡Fácil! Compramos nuevos firewalls de 5ª generación (NGWF) y cifradores certificados para cumplir con el Esquema Nacional de Seguridad (ENS) y con el Reglamento General de Protección de Datos (RGPD), y, además, para evitar que nos roben los datos junto con nuestro portátil, cuando nos lo compramos miramos que venga con soporte TPM. ¿Se ha perdido? Tranquilo la mayoría de los informáticos también.

La pesadilla aun no ha acabado, porque las nuevas amenazas buscan huecos para atravesar nuestro perímetro de doble firewall (de dos tecnologías diferentes), y porque las firmas de estos no siempre están actualizadas y las heurísticas de detección de amenazas son imperfectas. Necesitamos, no solo ver un determinado patrón de datos recibido que se corresponde con una amenaza conocida, sino que además tenemos ver que las tácticas, técnicas y procedimientos utilizados en una comunicación no son susceptibles de serlo. De nuevo, los vendedores nos van a dar un conjunto de soluciones mega caras, mucho más de lo que cobra un informático, ¡qué digo, un grupo de ellos! Una sandbox, que ejecuta todos los ficheros recibidos en un entorno de pruebas para detectar una amenaza desconocida, a partir de unas tácticas, técnicas y procedimientos que son considerados peligrosos y un SIEM, que monitoriza y analiza todos los logs de los sistemas para ver si existe un comportamiento que constituya una amenaza.

No hemos terminado. La sandbox se basa en esas tácticas, técnicas y procedimientos utilizados por los atacantes, pero ¿qué ocurre cuando estas mutan? ¡Yuhuu! ¡Ahora sí que vamos a tener que pagar! Analytics detecta las anomalías a golpe de billetaker.

¿Y qué ocurre con los móviles y las tabletas? Pues que son un punto de entrada de problemas gigantesco. No tienen firewall ni antivirus, se instalan con facilidad aplicaciones cuyo origen se desconoce (y al usuario tres magdalenas le importa), o aun conociéndolo no es posible discernir si están libres de programas malignos, o incluso sin tenerlos, no se descarta que el fabricante utilice de forma fraudulenta para obtener beneficios la información que extraiga. No seamos incautos, nadie da nada, pero nada, por nada; Teresa de Calcuta murió hace tiempo. ¿Y ahora que hacemos? ¡Ea!, End Point Protection.

¡Ostras! ¿y las WIFIs? Gestores de identidad, controladores, cifradores… ¡Mátame camión! que dicen en la tierra de mi familia.

Desde que las amenazas consistían solo en averiguar la password, colocada en un pósit debajo del teclado (sigue funcionando), hemos ido pasando cada vez por técnicas de ataque más depuradas: código autoreplicativo, ruptura de contraseñas, explotación de vulnerabilidades, deshabilitado de audits, puertas traseras, robo de sesiones, diagnostico silencioso, spoofing, falsificación de paquetes, hombre en medio, scanners automáticos, ataques servidores web, antidetection, etc., etc., etc., etc. Los malos tienen hoy muchos recursos más, pero muchos, muchos más, de los que dispone cualquier individuo, empresa u organización no gubernamental, y hasta me atrevería a asegurar que en muchos casos ni siquiera las gubernamentales.

Y para complicar el estado de la cuestión, hemos pasado de puntos de entrada al código dañino basados en simples disquetes, a los modem utilizados para las primeras conexiones entre ordenadores, a los USB con toda su variedad de dispositivos, a las redes de ordenadores, a las conexiones por bluetooth, al gigante de Internet, a los emails, a las visitas a páginas web, a la descarga de programas, al almacenamiento en la nube, a los servicios en el cloud, a nuestros clientes que acceden a nuestros servicios de red, a los portátiles de nuestros empleados, a los iphones corporativos, a las tableta e ipads, a los relojes inteligentes, a las “Smart TV” que nos espían, a las neveras que nos intoxican, a las tarjetas RFID. Al Wifi, 4G, 5G y lo que esta por venir en el “Internet of everything”. Pues cuando nos conectemos el cerebro en el internet of humans si que la vamos a liar lo de las amebas come cerebros como lo del hombre del saco.

La mentalidad de una seguridad basada en el concepto de fortaleza y capas de cebolla ya no funciona en el Ciberespacio. No podemos protegernos detrás de un cortafuegos, de un proxy… Si permanecemos quietos el malo nos adelantará. Hay que entender que la seguridad es proceso continuo, totalmente integrado con el resto de los procesos de las organizaciones. Si no lo ves, lamento decirte que estas ciego.

Y no sigo más, porque ya queda claro que nuestro perímetro de seguridad se ha extendido, que nuestra seguridad esta fragmentada, y que los vectores de introducción y amenazas han aumentado considerablemente. ¿Qué podemos hacer? Disponer de productos de seguridad y de buenos profesionales que los mantengan, subcontratar lo que no podamos hacer nosotros mismos y controlar el servicio que nos proporcionan mediante profesionales que aseguren el mantenimiento orgánico en caso de tener problemas con el proveedor de estos, ser auténticos proveedores de servicio con la seguridad en mente y desvincularnos de la imagen de mantenedores pasivos de servicios.

¿Y cómo usuarios? Simplemente ayudar a romper la cadena de ataque. La cadena de ataque típica tiene varias fases en las que como usuario podemos actuar. Si se rompe la cadena el ataque no tendrá éxito.

La primera fase es el reconocimiento. Un atacante intentará saber todo lo posible sobre un sistema o sobre las personas que lo manejan, sin esta información no puede construir el arma, ni su entrega. Como usuarios hemos de controlar lo que ponemos en las redes sociales, en nuestras aplicaciones de chat, las aplicaciones que instalamos, contar con antivirus y actualizarlos.

La segunda fase: construcción del arma. El perverso fracker tiene las herramientas (que incluso se compran ya hechas con base en la información obtenida en el paso anterior) y las utilizará. Tengamos un programa antibot en el móvil, reduzcamos el perfil de ataque eliminando los programas que no necesitemos y actualicemos, en cuanto se pueda, los dispositivos. El ataque puede llegar en forma de un gif, un documento, un ejecutable o un enlace a una página web.

La tercera fase: la entrega del código malicioso empaquetado. Se ajusta el código malicioso al objetivo, un correo, un link a una página, un USB de 256Gb en el suelo al lado de un coche, una venta por internet de un gadget que previamente se ha anunciado a la víctima (incluso por Amazon). ¿Qué hacer? pues eliminar un correo no esperado, no pinchar en un enlace que no estamos seguros de a dónde lleva, no coger el USB, no comprar el gadget barato que no necesitamos.

La explotación. Si al final abrimos el correo, vamos a una página que tiene un enlace sospechoso, o este está en el correo, o cogemos el USB. Por favor no abrir el fichero adjunto del correo sospechoso, no pinchar en el enlace, no introducir el USB en el ordenador corporativo, no utilizar el gadget y, sobre todo, ante cualquier duda consultar con el sereno.

La instalación. Instalación del acceso remoto (conexión inversa, descarga de software adicional, multipaso). Si hemos llegado aquí poco podemos hacer excepto avisar de las acciones de activación descritas anteriores si somos conscientes, o si notamos algo raro fuera de lo habitual ponerlo en conocimiento rápidamente. Si nuestros sistemas perimetrales no han actuado cortando la comunicación del malware estamos ante una situación desagradable.

Mando y control. Aquí el software establece un sistema para poder enviar órdenes a los sistemas infectados. De nuevo si nuestros firewalls, IDS, IPS etc. no han actuado, mal, mal, mal, mal.

Acción. Acción final del atacante, basada en la intención (exfiltración, ruptura de las operaciones, denegación de servicio…). La suerte está echada y ya no queda más que mitigar el daño.

Movimiento lateral. ¿Qué busca el atacante? Moverse a otro sistema para realizar la misma acción. Si nuestros sistemas de seguridad interior firewalls, antivirus y end points no lo detectan, se amplifica el problema.

De mayor quiero ser fracker. Estáis avisados.

 
 
 
Este sitio web utiliza Cookies propias y de terceros para recopilar información con la finalidad de mejorar nuestros servicios. Si continua navegando, supone la aceptación de la instalación de las mismas. El usuario tiene la posibilidad de configurar su navegador pudiendo, si así lo desea, impedir que sean instaladas en su disco duro, aunque deberá tener en cuenta que dicha acción podrá ocasionar dificultades de navegación de la página web.
Cómo configurar Aceptar