En casa de herrero, cuchillo de palo

Últimamente se ve con demasiada frecuencia que empresas de seguridad son atacadas o tienen algún tipo de problema relacionado, precisamente, con la seguridad.

Hay otros casos, como el de McAfee, en los que teniendo problemas de seguridad y siendo conscientes de ello, hacen oídos sordos incluso cuando desde fuera de la organización, se les advierte de tales carencias.

Un grupo de “hackers éticos” denominado YGN Ethical Hacker Group, descubrió que la algunos sitios web de McAfee presentaba algunas vulnerabilidades y que estas podrían ser explotadas a través de ataques del tipo XSS (Cross-site scripting), utilizados habitualmente en phising e inyección de código de scripting como javascript, VBScript, PHP,etc.

YGN advirtió a McAfee de tales vulnerabilidades el 10 de febrero y dos días más tarde McAfee respondió diciendo que ya conocían el problema y que estaban trabajando el ello para resolver la incidencia lo antes posible, pero el día 27 de marzo, mes y medio después, una nueva comprobación de YGN demuestra que aún no han sido solucionados dichos problemas. El mismo día 27, YGN decide publicar la información acerca de las vulnerabilidades descubiertas. Que descuido!.

La vulnerabilidad podría haber sido usada, entre otros en download.mcafee.com, para provocar que sus usuarios se descargaran, por ejemplo, una demo o una beta de sus productos infectada, evidentemente desde otro sitio y sin saberlo.

La compañía ha respondido diciendo que estas vulnerabilidades no exponen información alguna de clientes, partners o de la misma compañía, que por supuesto no afecta a sus productos de seguridad y que además, tampoco han observado que se hayan explotado estas vulnerabilidades. Quizá piensen que así sus clientes se quedan más tranquilos!.

McAfee ya tuvo problemas de este tipo en el pasado, en 2008, 2009 y 2010, pero parece que no han aprendido la lección.

Lo que realmente me llama la atención, no es que tengan este tipo de vulnerabilidades, que cualquiera las puede tener, sino que después de ser notificados, no hayan hecho nada al respecto, sobre todo sabiendo que si no se corrige, la información se va a hacer pública y eso cuando menos, no es beneficioso para su imagen.

Si McAfee tiene un servicio orientado a empresas, que se dedica a identificar problemas de seguridad en sus sites, solo se me ocurre un corolario para el post: En casa de herrero, cuchillo de palo.

Certificados digitales falsos de Microsoft, Google, Skype, Yahoo! y Mozilla

La semana pasada saltó a los medios la noticia de que uno de los Partners de Comodo habría sido comprometido en su seguridad y se habría conseguido la emisión de certificados SSL falsos, pero que a todos los efectos, serían dados por válidos en cualquier navegador.

El incidente quizá hubiera pasado sin mayor notoriedad, si no hubiera sido porque los certificados falsos correspondían a sitios web de empresas tan relevantes como Microsoft, Google, Skype, Yahoo! y Mozilla. En total 9 certificados falsos pertenecientes a estas 5 empresas.

En este caso, parece que Iran devuelve la pelota del Stuxnet, ya que las IP desde las que se realizó el ataque a los servidores, provenían de este país.

Desde hace dos o tres años, este tipo de actuaciones es cada vez más frecuente, sobre todo para su uso en malware y así dificultar su detección, como ha ocurrido con Zeus o Stuxnet, aunque en este último caso, el certificado aunque robado, era válido.

El uso de estos certificados SSL falsos, permitiría realizar ataques del tipo MitM (Man in the Middle), donde el acceso mediante el protocolo seguro SSL (Secure Sockets Layer) a una web falsa, quedaría inadvertido por el usuario, así como la sustitución del contenido que percibe el usuario de la web real por uno alterado.

Este tipo de prácticas de filtrado de contenidos, bloqueo o suplantación, a través del uso de Proxys Transparentes viene siendo aplicada con asiduidad por gobiernos como China o Iran, donde la libertad de expresión en Internet está muy restringida.

En los casos en los que se detecta el uso de estos certificados falsos, como ha sido este, la autoridad certificadora procede a la revocación de los certificados, pero esto no tiene por que ser la solución completa e inmediata al problema.

La comprobación de certificados revocados, se puede hacer a través de CRL (Certificate Revocation List) o a través del acceso a servidores OCSP (Online Certificate Status Protocol), pero en el primer caso, las CRL se descargan y procesan en local, por lo que si no están actualizadas, su efectividad es prácticamente nula.

En el caso del acceso a los OCSP, dependerá de cómo se comporten los navegadores respecto a este tipo de consultas, así como la configuración que tenga el usuario en su navegador. Por ejemplo Internet Explorer 8 y Safari, no hacen comprobaciones OCSP por defecto y en Firefox, aunque si se hace, en el caso de que falle la consulta, no está activada por defecto la opción de que se de por inválido el certificado.

En el caso de los certificados falsos de Comodo, Microsoft, Mozilla y Google, han publicado parches de seguridad para sus respectivos navegadores y así evitar el uso de estos certificados falsos.

¿Es posible una Ciberguerra?

En último Black Hat Europa que se ha celebrado en Barcelona este mes, una de las ponencias más esperadas fue la de Bruce Shneier; reputado criptógrafo y experto en seguridad; quien quitaba dramatismo a la posibilidad de una Ciberguerra, diciendo “Los gobiernos exageran sobre la Ciberguerra…”

No voy a poner en duda los comentarios y argumentos de tan reputada autoridad, pero si me voy a permitir hacer algunos propios, al respecto de este tema.

Si tratamos de traducir lo que significa Ciberguerra, sería algo así como una guerra que se libra en el Ciberespacio, y es sobre lo que podemos entender como Ciberguerra, de lo que quiero comentar.

Si atendemos al sentido de la palabra Ciberguerra, cuando se refiere a un enfrentamiento entre dos o varias naciones, lo primero que me viene a la cabeza es la historia de Stuxnet y las centrifugadoras de las centrales nucleares iraníes, que aunque no se ha acabado de aclarar la cuestión, parece que fue obra de Israel y Estados Unidos.

Cuando en un asunto como el del Stuxnet, aparecen estados por detrás, ¿eso es ciberguerra?, estrictamente yo no lo llamaría así, aunque habrá opiniones para todos los gustos. Yo lo catalogaría más próximo al ámbito del ciberespionaje o cibersabotaje, si se me permite.

Si atendemos al sentido de la palabra guerra, cuando se refiere a un enfrentamiento entre dos bandos (no estados o partes de él), y esos bandos, aunque definidos, no son concretos; es decir, no podemos concretar la identidad de uno de ellos o de ambos, llegamos al grupo de los Ciberataques (por mantener la terminología), que tampoco sería Ciberguerra, sino ataques puntuales con objetivos muy focalizados.

Realmente, si me abstraigo de consideraciones formales, y desde la perspectiva puramente emotiva, me atrevería a decir que ya estamos en una Ciberguerra, donde no sabemos quienes son nuestros enemigos, ni donde están, solo conocemos; y no siempre; sus motivaciones: robo, extorsión, desestabilización, espionaje, sabotaje, etc.

Si nos referimos a la posibilidad de una Ciberguerra, abstrayéndonos de quienes son las partes beligerantes y nos centramos en los efectos de la contienda, como impacto, alcance, perdurabilidad, etc., podemos concretar un poco más y analizar los riesgos de que esto ocurra, conjugando una serie de variables y datos más o menos objetivos.

Amplitud del objetivo

Muy pocos Ciberataques individuales, tienen la capacidad de crear una conmoción mundial, y más aún que esta pueda perdurar en el tiempo, más allá de unas pocas horas o días, afectando a infraestructuras civiles o militares de diferentes estados.

Hay que tener en cuenta además, que los sistemas informáticos críticos están protegidos ante eventualidades de este tipo; aunque esto no quiere decir que sean invulnerables; y que por lo general operan sobre redes privadas de difícil acceso.

Perdurabilidad

La mayoría de los ataques, se aprovechan de debilidades y fallos de seguridad no conocidos, en los Sistemas Operativos y Aplicaciones, los llamados "zero-day exploits". Habitualmente la respuesta de los fabricantes de software, es rápida y a través de los diferentes equipos CERT (Computer Emergency Response Team), se coordinan para dar una respuesta rápida y eficaz ante este tipo de incidentes, involucrando instituciones civiles y gubernamentales, como por ejemplo el US-CERT.

Ataques oportunistas

Aunque no hay constancia de que haya ocurrido nunca, se podría dar el caso que tras una catástrofe convencional, como podría ser el caso de Japón en estos momentos, se aprovechara la ocasión para realizar ataques a los puntos más débiles afectados por la catástrofe,  pero esto es poco probable que ocurra.

Conclusión

Por lo general, todas o casi todas las guerras a lo largo de la historia, aún cuando las motivaciones fueran diferentes, han tenido un componente común y este ha sido la territorialidad, con el objetivo de ocupar o mantener posiciones geoestratégicas, recursos naturales, etc. En el caso de una Ciberguerra, no es fácil de cubrir este tipo de objetivos, si no va acompañada del componente físico.

En definitiva, la posibilidad de una guerra exclusivamente “cibernética”, por llamarlo de alguna forma, no es muy probable, pero el uso de Ciberataques como complemento de ataques en el plano físico, no solo será habitual sino que de facto, lo viene siendo desde hace mucho tiempo, en sus diferentes formas. Solo por poner algunos ejemplos, se han utilizado estos métodos combinados, durante la guerra de Irak en 2003 y en el conflicto de Georgia y Ossetia del sur en 2008.

En todas las casas cuecen habas

Hemos sabido, por su propio Vicepresidente Ejecutivo Art  Coviello, que RSA, la división de seguridad de EMC Corporation, ha sufrido un ataque “muy sofisticado” que ha culminado con el robo de información secreta de su producto de autenticación SecurID.

RSA no ha dado muchos detalles acerca de lo ocurrido, ni cuando exactamente, ni todo lo que ha sido sustraído, pero ha avisado a sus clientes de SecurID, que extremen las precauciones ya que la información robada puede usarse para reducir la efectividad de la implementación del producto. “Casi nada lo del ojo… y lo llevaba en la mano”.

Cuando depositamos nuestra seguridad en un tercero y de repente nos encontramos con que no solo puede que no sea efectivo, sino que además, por usar este producto comprometido, somos candidatos a sufrir un ataque, lo menos que puede pasar es que nos entre una “ligera” taquicardia.

Como se suele decir “En todas las casas cuecen habas” y como la seguridad absoluta no existe, ¿por que no le va a tocar a una empresa que precisamente se dedica a la seguridad?. Evidentemente, no es casualidad y como ellos mismos reconocen, todos los días tienen algún tipo de ataque, solo que esta vez, sí han conseguido su objetivo.

Cuando lo que se quiere conseguir es “sabroso”, no se escatima en medios y siempre quedará un resquicio por donde colarse.

No solo sirve con proteger nuestros sistemas perimetrales, ni nuestros sistemas internos, por aquello de que muchas veces el enemigo está dentro. En este sentido, he leído una teoría acerca de cómo pudo haberse producido el ataque, y tiene que ver con un posible descuido de alguno de los empleados de RSA durante el  RSA Conference de este año, que acaba de finalizar. Que se lo pregunten a Google, por lo que le pasó el año pasado en China.

El robo de patentes, espionaje industrial, etc. ocurre todos los días aunque no nos enteremos por la prensa. “Cuanto más valores lo que tienes, más debes empeñarte en protegerlo”.

Buen fin de semana.

Bases de datos NoSQL, una consecuencia más que una evolución

Desde hace ya unos años, las bases de datos NoSQL se han convertido en una realidad y una herramienta imprescindible para abordar ciertos tipos de problemáticas.

El que sea un modelo utilizado por muchas de las empresas de más éxito en Internet como Google, Twitter, Facebook, LinkedIn, Amazon, etc., le ha dado un aura de moda y algunas empresas se plantean su uso dejándose llevar por la novedad más que por la necesidad.

Tal está siendo el éxito que está teniendo este movimiento, que algunos se apresuran a augurar el fin de las bases de datos relacionales; posiblemente sea el mismo colectivo que pronosticó el inminente fin del Cobol hace 15 años.

El nacimiento

El término NoSQL (  Not only SQL) fue acuñado a finales de los 90 para referirse a las bases de datos distribuidas Open Source no relacionales.

Aunque no es el único ni quizá el más importante, el más conocido y llamativo es que para acceder a los datos, no se utiliza SQL sino que cada una de ellas aporta un API propietario para acceder a los datos, aunque algunas de ellas implementan un lenguaje próximo al SQL.

Con la explosión de Internet, sobre todo la web, en los 90, los requerimientos para gestionar grandes volúmenes de información, se multiplican de forma exponencial, ahora los usuarios de un sistema se miden en millones, el almacenamiento se mide en petabytes, etc. Los sistemas tradicionales no son operativos en este contexto, el concepto “distribuido” cobra un nuevo sentido.

Aunque si somos estrictos, dado que las bases de datos NoSQL serían Open Source, deberíamos excluir las comerciales, pero llevan en el mercado ya varios años soluciones “parecidas”, con diferentes grados de éxito, como podrían ser Lotus-IBM Domino, Tamino de Software AG, etc., pero digo parecidas porque, entre otras cosas, no son soluciones válidas para un modelo en Internet a gran escala.

El teorema CAP

El teorema de Brewer o CAP, dice que dado un sistema distribuido, no es posible asegurar las siguientes premisas de forma simultánea, sino solamente dos de ellas:

-          Consistencia (Consistency): Todos los nodos ven los mismos datos al mismo tiempo.

-          Disponibilidad (Availability): El fallo de uno o más nodos, no impide a los demás seguir funcionando.

-          Tolerancia al particionamiento (Partition Tolerance): El sistema continúa funcionando a pesar de pérdidas en los mensajes.

En el caso de los RDBMS, se le da más importancia a la [C] Consistencia y a la [A] Disponibilidad, que a la [P]Tolerancia al Particionamiento, mientras que en las B.D. NoSQL se da más importancia a la [P]Tolerancia al Particionamiento y en algunas ocasiones a la [A]Disponibilidad.

En este contexto, aparece el concepto BASE (Basically Available, Soft-state, Eventually consistent), como contraposición al modelo tradicional  ACID (Atomicity, Consistency, Isolation y Durability). Ahora las prioridades son otras.

Tipos de bases de datos NoSQL

Una clasificación de estas bases de datos, podría ser:

-          Clave-Valor, como por ejemplo: Dynamo (Amazon), Redis, MemcacheBD, Riak, Tokyo Cabinet o Voldemort (LinkedIn)

-          Orientadas a documentos, como por ejemplo: MongoDB o CouchDB

-          Orientadas a columnas, como por ejemplo: BigTable (Google), HBase (Hadoop), Cassandra (Facebook, Twitter) o Hypertable

-          En grafo, como por ejemplo: InfoGrid o Neo4j

-          Orientadas a objetos, como por ejemplo: db4o, Objectivity/DB o Versant

Muchas de estas bases de datos son variaciones o combinaciones de otras anteriores, dando mayor importancia a una u otra característica para obtener una solución más efectiva del problema que pretenden resolver. Un ejemplo claro de esto es Cassandra, desarrollada inicialmente por Facebook en 2008 y que la describen como un modelo de datos BigTable corriendo sobre una infraestructura de tipo Dynamo.

¿Hacia donde vamos?

Como ya decía al principio, este movimiento no implica el fin del modelo relacional ni mucho menos, de hecho, el uso de los RDBMS, sigue siendo la opción idónea para abordar muchos de los modelos de negocio.

Con la evolución y la expansión del Cloud Computing, sobre todo en su vertiente SaaS, muchos de los sistemas que soporten el negocio de las empresas en la nube, requerirán del uso de estas bases de datos NoSQL.

Los sistemas OLTP seguirán decantándose por los modelos relacionales, mientras que los OLAP, se decantarán en muchos casos por las NoSQL. Seguramente, el modelo que triunfará, será un modelo mixto.

Cuando tenemos que procesar diariamente miles de millones de peticiones, tenemos que tener en cuenta, que no todos los RDBMS son capaces de soportarlo, que el almacenamiento cobra una especial relevancia, que el escalado horizontal no siempre está disponible y que el escalado vertical de los sistemas, tiene un límite, además de un coste elevado.

Por lo general, las implementaciones de los sistemas basados en bases de datos NoSQL, permiten el uso de “Commodity Hardware” (hardware simple y barato) y un escalado horizontal prácticamente sin límites.

Anonymous, héroes o villanos

Desde hace ya unos meses, cuando oímos o leemos “Anonymous”, ya no pensamos instintivamente en la cuenta de invitado a un sistema, sino que nos viene a la mente los nuevos Robin Hood del Ciberespacio; un grupo de activistas posicionados a favor de la libertad de expresión y en contra de los abusos de poder; al menos esas son sus consignas.

Este movimiento apolítico; más bien apartidista, y aconfesional, no tiene líderes mediáticos ni portavoces que lo representen. Son un grupo de personas de las que se desconoce su identidad y que tampoco se conocen entre sí; de ahí su nombre “Anonymous”.

La enseña que han elegido para que se les identifique en sus acciones de protesta, es una máscara, la máscara de “V de Vendetta”, la película basada en los comics de Alan Moore que narra la historia de un anarquista revolucionario apodado “V” que trata de derrocar a un gobierno fascista e incitar a la población para que se convierta en una sociedad anarquista. Es quizá por esto por lo que algunos ven en ellos a un grupo de tintes anarquistas y carácter desestabilizador.

Según declara alguno de sus activistas: "No somos miembros de ningún grupo político, no somos políticos, somos activistas. Me ofendería si me adscribieran a cualquier corriente política".

En que consisten sus protestas

Las acciones más habituales, son protestas presenciales el la calle como con WikiLeaks, ataques DDoS como a la SGAE y hackeo de sistemas y publicación de información sustraída, como en el caso de HBGary. Hay otras menos elaboradas como el envío de faxes negros o pedir el envío de docenas de pizzas como en el caso de La Iglesia de la Cienciología.

Sus comunicados, los cierran con la frase lapidaria “Somos una legión, no perdonamos, no olvidamos, espéranos. Anonymous”.

Un poco de historia

Las primeras acciones de Anonymous, se remontan a 2006 en la plataforma de simulación social Habbo y el ataque DDoS a la web del locutor de radio Hal Turner, de ideología neofascista, así como el caso del pedófilo Chris Forcand, cuya detención fue propiciada gracias al grupo “ciber-vigilante anónimo”, el que la cadena de televisión GTC publicó que se hacía llamar “Anonymous”.

Como se coordinan

Aunque se supone que no es un grupo organizado como tal, utilizan los canales #IRC para comunicarse, proponer, planificar y coordinar las acciones de protesta. Algunos de los canales utilizados son #operationpayback o #hispano, este último es el que acoge a la mayoría de los activistas españoles (entre 1.000 y 2.000), según sus propias fuentes.

Cualquier medio de los que Internet pone a disposición, es utilizado por este grupo para comunicarse, desde las redes sociales como Facebook o Twitter, a Youtube o el que podríamos denominar como ágora del grupo, la web http://www.whyweprotest.net  o http://www.whywefight.net

Últimas acciones mediáticas

Las últimas acciones del grupo, son quizá las que hayan sido más mediáticas y las que han popularizado el movimiento, sobre todo las asociadas al bloqueo a Wikileaks por parte de Visa, PayPal, MasterCard y Amazon, que han convertido a Julian Assange en el mártir de la causa.

En España, se han realizado varias acciones de DDoS (Distributed Denial-of-Service) contra los partidos que han apoyado la “Ley Sinde”, así como contra la SGAE, la web del senado y la embajada de EE.UU..

Otras acciones muy conocidas han sido los bloqueos a las webs oficiales de Tunez y la del partido irlandés “Fine Gael”.

Los enemigos de Anonymous

En general cualquiera que, según ellos, coarte la libertad de expresión, que trate de imponer sus reglas o que abuse del poder que ostenta, es candidato a ser el objetivo de las acciones del grupo, pero hay algunos enemigos de Anonymous con los que se toman especial interés.

La Iglesia de la Cienciología, es desde 2008, el enemigo por antonomasia del grupo, de hecho es quién logró la unión del grupo como tal, desde las primeras acciones en las que se llamaban “Project Chanology”, denunciando a través de YouTube las normas del culto, en las que, según ellos, se vulneran la libertad de expresión y de pensamiento, así como de explotar económicamente a sus miembros. A estas protestas en forma de vídeo, le siguieron otro tipo de acciones en el mismo sentido y ataques de DDoS.

Últimamente ha aparecido un nuevo enemigo; del que han dado buena cuenta; se trata de HBGary, una empresa "supuestamente especializada en seguridad". Desde esta empresa se han realizado acciones encaminadas a identificar a algunos de los miembros significativos de Anonymous, intentando vincular a personas reales con usuarios de IRC, cuentas de Twitter o Facebook y otras redes utilizadas por el grupo.

La jugada no le salió bien a HBGary Federal, con Aaron Barr a la cabeza, sino que además de no conseguir su objetivo, provocó las iras de Anonymous y estos se vengaron, entre otras acciones, accediendo a los servidores de la empresa y robando gran cantidad de información sensible, de hecho, publicaron casi 5 GB de correos, vía Torrent en The Pirate Bay, de hecho ahora se pueden consultar en http://search.hbgary.anonleaks.ch/.

Esta semana y debido a esto, Aaron Barr ha presentado su dimisión como CEO de la compañía.

En los correos publicados se destaparon, entre otras cosas, los planes de HBGary para desacreditar a Wikileaks y un sorprendente proyecto “Magenta”, en el que HBGary habría invertido varios millones de dólares en desarrollar un rootkit por encargo de Farallon Research, una oscura empresa próxima a los servicios de inteligencia de EE.UU.

¿Y ahora que?

Según sus activistas, están en contra de cualquier tipo de violencia, pero en cierto modo aunque esta no sea física, ya la practican. En cualquier caso, muchas de las acciones que realizan, van más allá de un acto de protesta y pasan la frontera a las acciones punibles, por lo que ahora, no solo tienen en contra a las personas/entidades/organismos que atacan, sino que tienen también a las policías de diferentes países detrás de ellos.

Algunas personas ya han sido detenidas, pero de momento solo irán cayendo los jovencitos descuidados, la mayoría menores de edad, que ven esto como un juego emocionante.

Las apariciones en los medios de comunicación de todo el mundo les han dado notoriedad y de alguna forma, seguro que ha servido para hacer adeptos a la causa, aunque algunos de ellos solo sea por el romanticismo que implica revelarse frente a las injusticias.

Un movimiento de este tipo, sobre todo cuando sus militantes pueden esconderse tras el anonimato, al menos en primera instancia, da lugar caldos de cultivo donde pueden germinar y evolucionar “especies” de diferentes naturalezas con diferentes intereses.

¿Quién controla la botnet desde la que se lanzan los ataques de DDoS? ¿Solo hace DDoS contra los sitios pactados? “A río revuelto, ganancia de pescadores”.

Tanto el caso Anonymous como el de HBGary, tienen tema para llenar varios post, pero este ya ha sido suficientemente largo.