Archivos Mensuales: septiembre 2009

Análisis de riesgos, terrorismo y teléfonos móviles

La seguridad no es un producto, es un proceso” es una de las frases típicas de la seguridad y significa que no puedes comprar un producto, realizar una acción y olvidarte. Cualquier vendedor que te diga lo contrario miente o no sabe de lo que habla.

La seguridad es un proceso continuo que debe estar basado en un análisis de riesgos, en el que se identifiquen primero los activos y después los riesgos asociados a esos activos para luego poder definir las medidas de seguridad que mitiguen o anulen esos riesgos de una forma eficiente.

En esos análisis de riesgos, identifican las amenazas a los que sus activos están sometidos y, en función de la probabilidad de ocurrencia y el daño potencial se calcula el riesgo para el cual se definen unas contramedidas…

En la definición de las contramedidas entra ya el factor económico… no podemos definir unas medidas de protección que nos cuesten más de lo que nos costaría recuperarnos de la materialización de la amenaza.

En pocas palabras… ¿Tendría sentido pagar por el seguro de un coche valorado en 10.000€ unos 20.000 euros anuales?

Eso no es todo. Empezaba diciendo que la seguridad es un proceso. No podemos establecer nuestras contramedidas y olvidarnos.

Las amenazas cambian, evolucionan, aparecen amenazas nuevas y con ello las contramedidas se inutilizan y el nivel de riesgo vuelve a incrementarse… por lo que se hace necesario un nuevo análisis de riesgos y… “GOTO 10”. 😉

Quiero pensar que las agencias de seguridad nacional de los distintos estados realizan sus análisis de riesgos y que uno de sus principales activos (yo diría que el activo principal, pero nunca se sabe) somos los ciudadanos, los civiles, el pueblo. Después se establecen las medidas de seguridad más apropiadas que se pagan con los impuestos.

Pues todo lo anterior es lo que me vino ayer a la cabeza.

En Madrid sufrimos hace unos años el ataque terrorista del 11 de marzo, en Nueva York el 11 de septiembre unos años antes y algo después el del 5 de junio en Londres.

El ataque de Madrid puso sobre la mesa unos nuevos riesgos… el que unos malnacidos decidieran volar unos trenes llenos de civiles inocentes utilizando unos teléfonos móviles, además este ataque estaba asociado a los ataques del 11S de Nueva York y el de Londres.

Supongo que el análisis de riesgos posterior dijo que el riesgo era muy alto: la probabilidad de que vuelva a ocurrir es muy baja (o al menos eso espero) pero el daño en caso de materialización de la amenaza es altísimo y un país no se lo puede permitir.

Así que el siguiente punto es establecer las medidas de protección para eliminar o al menos mitigar esos riesgos: controles exhaustivos en los aeropuertos en busca de armas, bombas, nuevos pasaportes con datos biométricos … la tontería medida de no poder pasar líquidos en los aviones, … y la última tontería medida que es lo que me ha empujado a escribir esto, el que no puedan existir teléfonos móviles “anónimos”.

Creo que es a principios de noviembre cuando teóricamente se desconectarán las líneas de teléfono que no estén identificadas, incluidos los teléfonos de prepago.

Supongo que si viviéramos en un mundo perfecto, donde los delincuentes cumplieran las normas, esta medida podría tener algún efecto… se están identificando las líneas de teléfono pero lo que los terroristas modificaron fueron los terminales… puedes ponerle la SIM que te dé la gana a tu terminal-detonador y robar una SIM 10 minutos antes de hacer explotar lo que sea desde… ¿una cabina de teléfonos? ¿otro teléfono robado? y de nuevo el infierno.
Además… eso es suponiendo que a los malos no se les ocurre otra forma de hacer detonar una bomba…

Vamos que dudo yo mucho de la eficacia de esa medida, como la de los controles de los aviones.

Ayer, cuando fui a pagar la gasolina, en el mostrador de la gasolinera había unas cajas que no había visto yo nunca… parecían unos teléfonos móviles de juguete… pero por otro lado me daba la impresión de ser teléfonos de verdad… así que pregunté: “¿Esto qué es?”

Sí, la noticia es vieja, estos teléfonos existen desde junio pero yo no lo había visto antes. BIC (la marca de los bolígrafos y los mecheros) vende ahora, de la mano de Orange, unos teléfonos móviles desechables (que valen 30€ y vienen con 12€ de saldo). Lo primero que me vino a la cabeza fue el tema de la identificación de los usuarios y demás… así que pregunté: “¿Si me llevo un teléfono de estos… hace falta que me identifique?” y lo sorprendente fue la respuesta del personal de la gasolinera que me dijeron una y otra vez que no, incluso cuando les comenté la medida que obliga a la identificación de las líneas… no.

Puedes llevarte un kit de esos, pagar en efectivo y… bueno, las maldades que cada uno piense las suyas.

Es cierto que aun no estamos en noviembre… a lo mejor Orange te vende este número y luego no te lo deja usar… a lo mejor, pero a lo mejor no… empieza a ser el momento de revisar el análisis de riesgos o comprobar la eficacia de las medidas que tenemos establecidas.

¿Vuelve el ping de la muerte?

El lunes se publicó una vulnerabilidad seria de Windows. Lo hizo Laurent Gaffié desde su blog al más puro estilo full disclosure, con exploit y todo, ahí es nada.

No se si habrá avisado o no a Microsoft antes de este disclosure pero quiero pensar que los ingenieros de Microsoft están ahora asustados, tratando de solucionar el problema cuanto antes y que en unos días publicarán un parche fuera de ciclo.

A mi, este problema me recuerda mucho al Ping de la Muerte de hace unos años. El PoD fue una vulnerabilidad que permitía que, mediante un paquete ping MUY largo, las máquinas se bloquearan y hubiera que reiniciarlas.

En aquellos días, mucho script kiddie del que pululaba por Internet se dedicaba a barrer la red en busca de máquinas vulnerables para tirarlas…

Recuerdo que yo tenía una máquina con Debian con el firewall de, no recuerdo exactamente si ipchains o iptables pero supongo que ipchains, por la fecha y un script que monitorizaba los logs continuamente en busca de evidencias de un ataque de “ping de la muerte”… cuando detectaba que una máquina me estaba atacando, le devolvía el ataque…

Era gracioso ver como las máquinas atacantes eran vulnerables a su propia medicina! 🙂

Esta vulnerabilidad es algo distinta, no se trata de ICMP sino esta vez se trata del SMB así que requiere que se tenga el SMB activo.

En el blog de 48bits tienen un artículo muy interesante que explica con un poco más de detalle y en español este nuevo problema.

Por suerte es un problema del SMB y utiliza los puertos 445/TCP y 139/TCP los típicos puertos Microsoft que ya están deberían estar bloqueados en la mayoría de los firewalls de Internet así que la exposición de las máquinas vulnerables en Internet debería ser bajo.

Según la gente de 48bits no se trata únicamente de un ataque de denegación de servicio sino de ejecución remota de código.

El problema es mayor si se confirma la ejecución remota de código (que parece que si) porque, aunque los puertos estén bloqueados en muchos firewalls, si cuando algún programador de virus haga uso de esta vulnerabilidad… , el virus entrará en las redes corporativas como suelen entrar todos los virus: correo electrónico, tráfico web, discos USB… y una vez ha traspasada la protección perimetral, estando en la intranet corporativa, estará libre para campar a sus anchas, infectando todas las máquinas internas.

El tema anterior da para un apunte entero que si algún día tengo tiempo escribiré pero de momento las preguntas…

  • ¿Segmentáis las intranets con firewalls o con ACL en los routers?
  • ¿Cómo se deben proteger las intranets de sus propias máquinas?
  • ¿Cómo decidis cómo segmentar vuestras intranets?
  • ¿Tenéis toda la red sin segmentar?

Tendremos que estar a día y actualizar cuando salga el parche.

Viendo la Estación Espacial Internacional

El lunes por la mañana, salgo de casa, miro al cielo… – ¡ Esa estrella se está moviendo ! –

Mis sospechas se confirmaron tras un vistazo a mi teléfono:

¡Es la ISS, la Estación Espacial Internacional!

Pues si, la ISS se ve a simple vista desde la Tierra, cuando pasa por encima de nosotros. Sólo hace falta saber cuando tiene un pase visible (o tener la suerte que tuve yo ayer).

La ISS pasa por encima de nosotros todos los días al menos un par de veces pero claro, no todos los pases son pases visibles… y no todos los pases visibles pasan a una hora “cómoda” para verla. La hora a la que la vi yo ayer probablemente no fuera una hora cómoda para la mayoría, pero era cuando salí de casa para ir al trabajo. Z-)

¿Qué se ve? Pues… una estrella que se mueve cruzando el cielo. No es un avión… va mucho más alto (obviamente), a unos 350Km de altura creo que tiene la órbita aproximadamente. Además esta estrella no parpadea como los aviones, ni se mueve tan rápido como las estrellas fugaces.

¿Qué necesitas para ver la ISS?

Para poderla ver, generalmente, tiene que ser de noche donde estamos nosotros y la ISS ser iluminada por el Sol. La ISS no emite luz y la que vemos es la luz del Sol que se refleja en sus paneles.

En esta página te dan más información sobre los pases visibles de la ISS.

Existen muchas páginas de Internet donde hablan de la ISS e incluso te dicen dónde está en este momento:


La página principal de la ISS hay mucha información y enlaces.

Existe incluso otra página que te muestra los pases visibles en función de tu población… de forma que puedes hasta subscribirte al RSS correspondiente y no perderte ni un pase. En este enlace teneis los próximos pases visibles de la ISS sobre Madrid, España.

Además de saber cuando tienes que mirar, tienes que saber hacia donde, porque no todos los pases son iguales y a veces la ISS aparece por el norte, otras por el sur, unas más alta en el cielo, otras más baja en el horizonte así que no se trata solo de mirar hacia arriba y ya.

Otro problema añadido es la contaminación lumínica que hace que el cielo esté muy iluminado alrededor de las grandes ciudades y eso hace que el objeto que queramos ver tenga que brillar aun más. Existe una clasificación de los cielos en función de su oscuridad que os puede ayudar a saber si vais a poder ver o no la ISS en el pase que estais programando.

Como resumen: Es posible y sencillo ver a simple vista la Estación Espacial Internacional, solo necesitas saber cuando mirar y hacia donde.