Basta con atender a las noticias en los medios de comunicación generalistas todos los
días. Si te fijas, es raro el día que no surja alguna noticia relacionada con un ataque a la
ciberseguridad. En los últimos dos años los ataques más sonados y que más han dañado
a la reputación de gobiernos y grandes corporaciones han sido los que han provocado
denegaciones de servicio (las plataformas de videojuegos para consolas y de
videojuegos on-line más importantes, Apple Daily y PopVote durante las protestas en
Hong Kong, SpamHaus, GitHub y distintos medios de comunicación europeos han
sufrido recientemente este tipo de ataque) y brechas de datos (diferentes casos en el
gobierno de EEUU, la Universidad de Harvard, Citibank, Banco Santander, AT&T,
Sony, EBay, JPMorgan, Yahoo, redes sociales y multitud de hospitales y de compañías
de seguros de salud, por ejemplo). Pero no hay que olvidar otras amenazas que están
siendo muy graves en la actualidad y que estudiaremos en las próximas semanas.
En el verano del 2014 el troyano bancario Luuuk consiguió robar, en sólo una
semana, alrededor de 680.000 dólares a particulares italianos y turcos.
En las Navidades del 2014 el grupo de hackers Lizard Squad realizó un ataque de
denegación de servicio distribuido, que dejó sin servicio a los usuarios de la
PlayStation Network y de Xbox Live (probablemente, en los días de más uso de
todo el año). Posteriormente, este grupo lanzó un servicio que permitía a usuarios
inexpertos pagar por realizar este mismo tipo de ataque, hasta que ellos mismos
fueron atacados y se hicieron públicas las identidades de sus 14.242 usuarios.
A principios del 2015 McAfee descubrió en la deep web una herramienta on-line y
gratuita denominada Tox que permitía crear y parametrizar con facilidad (incluso
para aquellos sin conocimientos específicos sobre ciberseguridad) software de tipo
ransomware, una de las plagas más destacadas de los últimos meses, que consiste
en un malware que encripta los datos de la víctima y le ofrece desencriptarlos a
cambio de un rescate, lo podríamos denominar como "un secuestro digital en toda
regla".
Se pueden añadir:
La siguiente figura presenta un resumen de las amenazas más relevantes en el año 2014
según la ENISA, teniendo en cuenta por separado las tecnologías, modelos y
paradigmas más emergentes. Inmediatamente llama la atención la tendencia creciente de
casi todas ellas en la inmensa mayoría de los escenarios considerados. ENISA publica
anualmente un informe con las amenazas más importantes (ETL por ENISA's Threat
Landscape), pero no es la única institución que lo hace, puedes encontrar informes
similares de otros organismos y empresas del sector de la ciberseguridad, normalmente
al final o al principio de cada año.
Amenazas más relevantes en el 2014 según el informe anual de ENISA. Puedes consultar
el informe del 2015 y el del 2016 (siempre se publica antes del verano) y comparar su
evolución.
Como puedes ver, afectan a todo tipo de activos y pueden ser de muy distinta
naturaleza. Como ya hemos visto con anterioridad, puede ayudarte a comprenderlas el
clasificarlas en función del "responsable" (piensa quién tiene la culpa de la
vulnerabilidad y por lo tanto, a quién le correspondería arreglarla). En la figura
siguiente podemos ver los tipos de vulnerabilidades haciendo esta clasificación:
vulnerabilidades de diseño, de arquitectura y configuración )por lo tanto, no de diseño
sino de despliegue) o de estándares de uso/procedimientos. En este último caso, el
problema no viene de la fase de diseño, ni siquiera de la despliegue, sino de un mal uso
de los activos por falta de políticas, por una mala definición de las mismas, etc. Dentro
de poco analizarás la importancia del factor humano en ciberseguridad, y verás cómo
puede provocar un gran número de vulnerabilidades.
Tipos de vulnerabilidades atendiendo a su causa.
Desde el año 2014 se contempla utilizar más dígitos para el código de vulnerabilidad, en
previsión de que sean detectadas más de 9999 vulnerabilidades en un año. Para registrar
una vulnerabilidad se deben superar tres etapas:
Tratamiento: El CVE Content Team analiza, investiga y procesa las solicitudes de registro
de nuevas vulnerabilidades.
Asignación del CVE-ID: Habitualmente, los grandes fabricantes reservan en el año un
"lote" de IDs que van asignando a sus boletines de seguridad, y los individuos que piden
registrar una vulnerabilidad también pueden hacer una pre-reserva de ID. Pero si ningún
fabricante o individuo asume/registra la vulnerabilidad, es el CVE Content Team o el
editor encargado quien asigna directamente el identificador.
Publicación: Se agrega la vulnerabilidad a la lista, se publica en el sitio web, se redacta la
descripción, se van añadiendo nuevas referencias, etc.
Se pueden dar casos especiales, en los que un CVE-ID puede necesitar dividirse en
distintos identificadores debido a la complejidad de la vulnerabilidad. Aunque también
puede darse el caso inverso, es decir, que varios identificadores se agrupen. Es posible
incluso, que algún CVE-ID sea eliminado de las listas junto con su respectivo
contenido; esto puede deberse a distintos factores:
Que una vulnerabilidad ya haya sido registrada bajo otro CVE-ID y se compruebe
posteriormente que se trata de la misma.
Que un posterior análisis de la vulnerabilidad demuestre que en realidad no existe.
Que el informe relativo a la vulnerabilidad deba ser reformulado en su totalidad.
Análisis de riesgo
Asegurar un sistema supone realizar un análisis de riesgo adecuado y desplegar los
mecanismos, contramedidas y controles necesarios para alcanzar el máximo nivel de
seguridad posible. En la siguiente figura se presenta un proceso típico de análisis del
riesgo:
El análisis de vulnerabilidades pasa por ser uno de los pasos críticos para la
evaluación del riesgo, se utilice la metodología que se utilice siempre es necesario. De
hecho para cualquier plan director de seguridad o iniciativa de fortificación, se trata
del punto de partida, hay que saber qué vulnerabilidades presentan nuestros activos en el
presente. Dado lo rápido que caducan estos procesos, debemos hablar de un ciclo
continuo de análisis. Podemos clasificar los diferentes análisis en tres grandes bloques:
Caja negra: El auditor o analista trabaja sin conocimiento previo del objetivo, se simula
un ataque real y se evalúa el comportamiento del sistema desde fuera. Es posible
identificar síntomas, pero no causas, dando lugar a un gran número de falsos negativos
(no detectar como un problema algo que realmente sí lo es).
Caja blanca: Se basa en un conocimiento completo del objetivo por parte del auditor o
analista. En este caso, se identifican los orígenes de posibles vulnerabilidades
(debilidades), si bien es posible que se generen gran número de falsos positivos (detectar
como un problema algo que realmente no lo es).
Caja gris: Se trata de una solución intermedia que intenta combinar los beneficios de los
dos métodos anteriores, el auditor o analista no trabaja a ciegas pero tampoco con el
100% de la información acerca de los activos analizados.
Edward Snowden
Consultor tecnológico estadounidense, informante, antiguo empleado de la CIA y de la
NSA. En 2013 hizo públicos documentos clasificados como alto secreto sobre varios
programas de la NSA, incluyendo los programas de vigilancia masiva PRISM y
XKeyscore.
Bradley Manning
Ex-soldado y analista de inteligencia del ejército de Estados Unidos. En 2010 filtró a
Wikileaks miles de documentos clasificados de las guerras de Afganistán e Irak,
incluyendo cables diplomáticos de varias embajadas estadounidenses y el vídeo del
ejército conocido como “Collateral murder”, en el que se ve cómo un helicóptero
estadounidense mata a un grupo de civiles en Irak, del que formaban parte dos
periodistas de la agencia Reuters.
Hervé Falciani
Ingeniero de sistemas italo-francés que trabajó en reforzar la seguridad de la filial suiza
del banco HSBC entre 2001 y 2008. En ese periodo logró sustraer información de hasta
130.000 evasores fiscales (la conocida como “lista Falciani”) que desde 2009 es
utilizada por la justicia de varios países para luchar contra el fraude fiscal.
En ciberseguridad estamos acostumbrados a aplicar soluciones tecnológicas “sencillas”,
empleando productos existentes en el mercado para cubrir la parte técnica de las
amenazas. Y a menudo nos limitamos a eso: “tengo un antivirus/firewall instalado,
entonces ya estoy seguro”. Sin embargo, el factor humano necesita otro tipo de
soluciones más difíciles de implementar, más complejas, a medio/largo plazo, basadas
en la creación de políticas y procedimientos de seguridad, su difusión entre los
usuarios, la motivación de los mismos a aplicarlas, la generación de cambios de
comportamiento, etc.
En muchas ocasiones es una mala experiencia (por ejemplo, la pérdida de un
smartphone con información sensible) lo que dispara la alarma en la empresa de que hay
que tener en cuenta el factor humano en la seguridad, y es en ese momento cuando se
buscan posibles soluciones al problema.
Pero antes de entrar a describir los problemas y sus soluciones, sí que habría que dejar
claro que debemos cuidar ambas facetas de la seguridad, tanto la parte técnica como la
humana, pues dependen la una de la otra para lograr que nuestro sistema sea lo más
seguro posible. Un claro ejemplo es el eterno debate de seguridad frente a usabilidad,
donde debemos llegar a una solución de compromiso. Todos sabemos que una
contraseña de 20 caracteres combinando mayúsculas, minúsculas, símbolos y números y
que cambie todos los días será muy segura, pero eso es inmanejable por una persona.
Debemos buscar soluciones de seguridad adaptadas según el contexto al que van
dirigidas (tal vez esa política de contraseñas sea válida en una instalación militar, pero
no tendría ningún sentido aplicarla en el equipo de mi casa), y que sean comprensibles y
utilizables por el usuario.
Subject: News
Hello,
http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/
[A different AP staffer]
Associated Press
San Diego
mobile [removed]
Watering-holes (la traducción sería abrevaderos) es otra de las técnicas que, aunque no
explota directamente el factor humano, sí que se suele emplear conjuntamente con
técnicas de recogida de información como las comentadas anteriormente. Se trata de
averiguar primero qué páginas o sitios web suelen visitar los empleados de la empresa
objetivo, para infectar alguna de ellas con malware o con algún exploit específico, de
forma que si algún empleado no está convenientemente protegido (de nuevo entra en
juego la probabilidad) pueda ver su sistema comprometido simplemente por el hecho de
visitar esa página o sitio. Es más sutil que el phishing y se suele emplear cuando éste
falla. El grupo de ciberespionaje “Hidden Lynx” es el rey de esta técnica, llevando a
cabo el ataque a la empresa de seguridad Bit9 en 2013, comprometiendo sus certificados
de firma de código que emplearon para firmar malware que usaron para atacar no sólo a
la propia Bit9 sino también a sus clientes. Otros ataques conocidos de este grupo fueron
VOHO y la Operación Aurora.
Hay muchas otras técnicas en las que interviene el factor humano, veamos un resumen
en el siguiente vídeo.
Para seguir mi última recomendación del vídeo, este es el enlace en la página web
de SANS. Las políticas de seguridad suelen resumirse en un enunciado corto, ni
demasiado genérico ni demasiado concreto y que no lleve a confusión acerca del
dominio o alcance de la política. Además, deben incorporar un bloque de Estándares
de seguridad en el que se especifican detalles concretos de uso del hardware y software
(y de otros tipo de activos) que afectan a sus usuarios. Teniendo en cuenta estos
estándares se define el bloque de Procedimientos de seguridad, que describe en detalle
los pasos a seguir por los administradores, el equipo de seguridad, etc. para implantar
las políticas de seguridad aprobadas por la organización. Estos procedimientos suelen
permitir definir a su vez Planes de seguridad, que son un conjunto de decisiones que
definen las acciones a seguir, así como los medios que se van a utilizar (planes de
instalación, testeo, administración, configuración, etc.) para que la organización esté
preparada para seguir las políticas que se han definido. Por ejemplo, si un estándar de
una política de seguridad pide a los usuarios que se conecten siempre a los activos de la
organización desde el exterior a través de una VPN, los procedimientos deben indicar a
los administradores cómo configurar y mantener esta VPN, y debe existir algún plan
que prevea el despliegue de esta VPN. Los estándares y procedimientos de seguridad se
completan cuando se define una política con las Guías y mejores prácticas,
sugerencias que no son obligatorias e información complementaria que pueden mejorar
el nivel de cumplimiento de objetivos, facilitar el trabajo de administradores y usuarios,
etc.
El valor de las empresas reside en los activos que las empresas poseen.
Para ello muchas empresas han creado CSO (Chief Security Officer) o CISO(Chief
Information Security Officer) encargado de supervisar la implementación del sistema de
gestión de la seguridad de la información.(SGSI)
S.Fisica
S.red corporativo
S.Usuario
S.Datos
Auditoria de Seguridad.
Aspectos legales.
Politicas de seguridad