lunes, 20 de mayo de 2019

Vulnerabilidad en Escritorio Remoto de Windows (CVE-2019-0708)

El “Escritorio Remoto” de Windows es una de las funciones más utilizadas del sistema operativo. Esta utilidad permite a los administradores de sistemas acceder de manera remota a servidores y realizar cambios en las configuraciones sin estar físicamente presentes. 

Personal técnico también utiliza el “Escritorio Remoto” para dar soporte a usuarios y prestar un mejor servicio. Dada la prevalencia de esta utilidad, se ha convertido en blanco preferido de internautas con malas intenciones.

 El “Escritorio Remoto” usa un protocolo llamado RDP o “Remote Desktop Protocol” por sus siglas en inglés. RDP usa TCP como su protocolo de transporte, y el puerto 3389. La presencia de este puerto en la red externa (la que conecta una red a Internet) indica usualmente la presencia de un computador que permite administración remota. 

Muchos administradores de sistemas piensan que la combinación de una clave fuerte y un usuario es protección suficiente para acceder a un sistema desde Internet. Sin embargo, esta vulnerabilidad (CVE-2019-0708) y muchas otras del pasado demuestran que este no es el caso. 

Una característica de esta vulnerabilidad que la hace muy peligrosa es su fácil propagación. Esto es llamado en inglés “Wormable” que quiere decir que la vulnerabilidad puede pasar de un computador a otro. Este comportamiento es muy similar al dañino “WannaCry” que sacudió al mundo informático en el 2017. 

Aunque el protocolo RDP no es vulnerable en si, la vulnerabilidad no requiere acción del usuario. Esto y su fácil propagación la convierte de alta criticidad porque una infección en un equipo puede contagiar redes enteras en pocas horas. Por esta razón, se recomienda que los equipos afectados se actualicen lo antes posible.

Esta vulnerabilidad afecta diferentes versiones del sistema operativo Windows:
-       Windows 7.
-       Windows Server 2008 R2.
-       Windows Server 2008.
-       Windows XP y Windows Server 2003.

Como se puede observar estas son versiones viejas, y en el caso de XP y 2003 sin soporte.  Por fortuna, Microsoft ha liberado una actualización que mitiga esta vulnerabilidad. A pesar que Microsoft no soporta XP y 2003, estas versiones también pueden ser actualizadas. 
Mientras los sistemas afectados reciben la actualización de software, hay dos pasos que todo administrador debe efectuar para minimizar los efectos de esta vulnerabilidad y una posible explotación.

Primero, mitigar la capacidad de propagación utilizando lo que es conocido como nivel de autenticación de red (Network Level Authentication, NLA). NLA obliga a validar la clave y el usuario antes de que la vulnerabilidad pueda ser explotada. Sin embargo, los sistemas seguirán siendo vulnerables a la ejecución de código no autorizado. Es decir, si el computador se contamina, un actor malicioso puede tomar control del mismo sin que usuarios legítimos se den cuenta.
 
Segundo, deshabilitar RDP en el firewall perimetral. Esta recomendación es básica, pero desafortunadamente muchas organizaciones, especialmente pequeñas, mantienen este servicio en Internet sin ninguna protección. Bloquear TCP 3389 en el firewall ayuda a proteger a todos los sistemas que están en la red interna de la organización. Este bloqueo limita fuertemente la acción de actores maliciosos que realizan ataques desde Internet. Sin embargo, la protección perimetral del firewall no ofrece ninguna defensa contra ataques internos. 

Es muy posible que aquellas organizaciones que permiten conexiones directas desde Internet a sus equipos usando “Escritorio Remoto” carezcan de la experiencia y los medios tecnológicos para detectar actividades no autorizadas.  Esta vulnerabilidad hace tal detección aún más difícil.

Los métodos recomendados para limitar los efectos de la vulnerabilidad son bien conocidos, especialmente el limitar la exposición externa de servicios internos. En muchas ocasiones los avisos sobre vulnerabilidades y las posibles consecuencias son exageradas; pero este no es uno de esos casos. 

Esta vulnerabilidad y otras como Zombieload recuerdan una vez que las organizaciones y los administradores de sistemas deben mantener prácticas mínimas de seguridad.

jueves, 18 de abril de 2019

El cambio de modelo financiero de la nube

La discusión sobre los beneficios de la nube y si debe o no migrarse ya fue resuelta. Hoy las organizaciones no deben estar preguntándose si deben migrar su infraestructura, o parte de ella, sino que funciones deben estar en la nube.  

En algunos casos, no hay alternativa. Por ejemplo, no tiene mucho sentido financiero para una pequeña o incluso mediana empresa tener varios servidores o un gran centro de cómputo en sus instalaciones. El costo de energía, protección física, software y demás puede ser prohibitivo.  

Un análisis financiero juicioso que incluya el costo de utilización de servidores y aplicaciones, soporte técnico de la infraestructura y la continua actualización de software inclinan la balanza a favor del uso de soluciones localizadas en la nube.  

Pero aún sin realizar ese análisis, la tendencia es a ofrecer soluciones finales que ya están localizadas en la nube. Por ejemplo, la aplicación empresarial más común es mensajería y comunicación electrónica. Desde hace varios años Google ofrece soluciones de correo electrónico, comunicación y manejo de documentos que no requieren de servidores locales. Microsoft con su O365 ofrece una solución similar y posiblemente más adecuada para grandes empresas.  

Adicionalmente, varios paquetes de procesamiento pesado de análisis de datos y datawarehouse solo existen en la nube. No hay opciones de procesamiento local porque comprar un servidor con 20 o 30 procesadores multinúcleo no es rentable. En este caso, el cliente no tiene otra opción que usar una solución de software en la nube. 

En este caso el modelo de negocio cambia. Adiós a la gran inversión inicial de equipos y licenciamiento de software.    El usuario paga una suma mensual y nunca es dueño del software. Es cierto que siempre se estará pagando una mensualidad, pero al mismo tiempo el cliente no es responsable de las actualizaciones y soporte de la infraestructura física y lógica.    

Esto representa ahorros de energía y personal de soporte. A pesar de estos ahorros, un nuevo tipo de personal técnico con diferentes capacidades es necesario.  Las empresas ahora demandan personal con experiencia en soluciones en la nube (o cloud computing), pero por el momento este personal es escaso. 

Los nuevos retos incluyen la contratación de personal más costoso, o la preparación de personal actual. No existe una respuesta única para cada situación, y los ejecutivos deberán adaptar su organización a estos cambios.  

Este acercamiento es un cambio de paradigma que aún muchos no aceptan, pero es irreversible. Para las empresas que no pagan por software, en otras palabras, que usan software pirata, esta nueva realidad les obliga a replantear sus obligaciones financieras que antes evitaban. 

jueves, 12 de julio de 2018

Criptominería, Wall Street y hackers III


En el artículo anterior explico como el malware de criptominería se convierte en la amenaza más seria para los sistemas de información de organizaciones públicas y privadas. Un factor en esta propagación es la facilidad de contaminación. La infección no es solo posible cuando se recibe un archivo por correo electrónico sino con la simple visita a un sitio web contaminado. Esta multiplicidad de métodos de contaminación es obviamente preocupante, en especial cuando el usuario no sospecha que su equipo está infectado.

Dada esta situación, varias entidades gubernamentales han empezado a tomar cartas en el asunto. Ese es el caso de la comisión federal de comercio de Estados Unidos (Federal Trade Comission, FTC) que está empezando a investigar malware de criptominería. En el caso latinoamericano no ha habido mayores pronunciamientos al respecto, pero no sería una sorpresa que haya miles de empresas y usuarios contaminados con este tipo de malware.

Pero la criptominería no solo ha atraído hackers o el interés de gobiernos. También hay otros actores interesados en la alta demanda de cómputo de este mercado. Por ejemplo, fabricantes chinos de circuitos integrados de aplicación específica (ASIC por sus siglas en inglés) han anunciado productos para criptominería.

Vale recordar que un ASIC es un circuito construido para realizar funciones muy específicas. No tiene la versatilidad de un procesador como el Intel I7, pero su costo por capacidad de proceso es muy inferior. En condiciones de mercado normales, empresas como AMD y NVIDIA no competirían directamente con fabricantes ASIC. Pero este anuncio altera el panorama económico de estas empresas.

El gigante tecnológico Apple también medió en el asunto al bloquear aplicaciones móviles de criptominería en su tienda electrónica para proteger a sus usuarios. La razón detrás de esta decisión es el abuso de estas aplicaciones que "chupan" la batería de un celular después de unos cuantos minutos.

Que actores tan disímiles como un jugador de video juegos, bancos centrales y el mercado bursátil de Wall Street sean afectados por Blockchain es un serio indicador de que esta tecnología puede afectar de forma definitiva ciertas actividades económicas y tecnológicas. Esa evolución también explica el ascenso del malware de criptominería que era totalmente desconocido hace unos pocos años.

Durante décadas los profesionales de informática solo tenían que preocuparse por el avance tecnológico y poco les importaba el ascenso de economías no tradicionales. El mercado ilegal de malware ha cambiado para siempre esa realidad.

La prevalencia de malware y sus diversas variantes tiene como denominador común el beneficio financiero. En otras palabras, hoy en día el malware es una actividad económica con grandes incentivos que aprovecha oportunidades disponibles como criptominería.

Como consecuencia, los responsables de sistemas de información deben ser conscientes que muchos de sus dolores de cabezas los causarán actores bien financiados y con alta iniciativa.

martes, 12 de junio de 2018

Criptominería, Wall Street y hackers II


En la entrega anterior expliqué a grandes rasgos el funcionamiento de Blockchain y la economía alrededor de la minería de criptomonedas. Como indiqué el incentivo financiero es alto, pero también la complejidad matemática de las operaciones.

La demanda por capacidad de cómputo es tan alta que existen centros de cómputo enteros  dedicados a la criptominería. En este caso es mejor utilizar procesadores especializados y no los procesadores genéricos que se encuentran en un procesador personal. Por ejemplo, un procesador I7 de Intel es extremadamente rápido, pero está diseñado para efectuar múltiples tareas muchas disímiles entre si. Un usuario puede simplemente ver videos, otro crear tablas de Excel y la mayoría de empresas usarlo para aplicaciones de oficina. Este uso genérico no lo hace la mejor opción para el procesamiento matemático de alta intensidad de Blockchain.

Existen mejores procesadores para uso intensivo de operaciones matemáticas, y son los procesadores gráficos de empresas como NVIDIA y AMD. Durante muchos años estas empresas han servido un nicho que compra con ansia estos procesadores. Este nicho está conformado principalmente por los usuarios de video juegos, las empresas de la industria de vídeos y cine y en menor grado universidades y otros centros de investigación.

La llegada de la criptominería cambió esta economía y al mismo tiempo ha generado un boom en estas empresas que gozan de altas ventas en sus productos de alta gama.

Por ejemplo, en el 2017 AMD sorprendió a los analistas financieros de Wall Street con sus crecimiento en ventas de sus procesadores gráficos (conocidos como GPU). Mientras que el mercado accionario de Estados Unidos subió un 14% entre 2016 y 2017 (cifra nada despreciable), la acción de AMD subió más del doble durante el mismo periodo.

NVIDIA, líder en este segmento, no se ha quedado atrás y sus ventas durante el 2017 también estuvieron disparadas. De hecho, los distribuidores y ventas mayoristas de partes de cómputo no tienen disponibilidad de tarjetas gráficas. El mercado está sobrevendido y los precios disparados.

Esta época de vacas gordas no durará por siempre y ya hay analistas que prevén un caída en el valor de las acciones de AMD y NVIDIA. Mientras tanto esta bonanza ha causado resentimiento en los clientes tradicionales de tarjetas de vídeo por el inesperado costo de su producto principal.

La situación para estas empresas es paradójica, por un lado sus ventas no paran, pero al mismo tiempo su dependencia de criptominería está en aumento. Como todo buen gerente debe saber, las finanzas sanas no son sinónimo de un mercado volátil que esté al vaivén de las fiebres de clientes que desconoces.

Aunque aún es posible que un pequeño usuario entre a competir en esta minería digital, la barrera de entrada es alta. No solamente está el valor del equipo de cómputo; una tarjeta NVIDIA de alta gama está por encima de los u$1000. Pero el mayor rubro es el costo de la energía. Estos equipos consumen mucha energía y como no siempre la criptominería dará réditos, el operador deberá aumentar su capacidad de cómputo para generar mas bloques que sean aceptados.

Entonces, ¿Qué alternativas existen para bajar los costos? Uno es realizar las operaciones de cómputo en países o regiones donde el costo de la electricidad sea bajo. Otra opción es utilizar capacidad de cómputo disponible y “gratis”. Y es en este escenario que entran los hackers.

Los participantes de la economía de malware tienen una larga experiencia en distribución de software no autorizado que contamina computadores de usuarios inocentes e instalar un programa de criptominería que realice operaciones matemáticas no autorizadas es una tarea simple.

En este caso las víctimas no sufren las nefastas consecuencias del Ransomware. El computador contaminado sigue funcionando, pero mas lentamente. Es incluso posible que el usuario no note la diferencia o culpe al antivirus o a Excel de la lentitud de su equipo. Es tal los réditos económicos que malware de criptominería ha sobrepasado ransomware como el malware mas rentable y popular en el 2018.

martes, 29 de mayo de 2018

Criptominería, Wall Street y hackers I


El advenimiento de criptomonedas como Bitcoin ha creado otro incentivo para hackers y otros cibercriminales. Independiente de las falencias que estas monedas tienen como medio de pago, el rápido ascenso en su valor generó apetito en aquellos que quieran obtener indebidos beneficios financieros.

Pero primero hay que entender como funciona una criptomoneda y la tecnología que la respalda conocida como Blockchain. Al contrario de lo que muchos piensan, Blockchain no es usado exclusivamente para transferencias financieras. Es en realidad un “libro mayor” donde activos fijos de información, tales como títulos bancarios, canciones o datos personales pueden ser almacenados. El mayor atractivo de Blockchain es que no necesita de una autoridad central para verificar o realizar una transacción.

Para entenderlo mejor, pongamos el caso de una transacción bancaria. Cuando se hace una transferencia de fondos entre cuentas, existe una entidad central que verifica la identidad de las partes envueltas. Solo así un usuario puede estar seguro que su dinero será consignado al cuentahabiente de otro banco. En la mayoría de los países esta autoridad central es el emisor nacional o banco central. A nivel internacional, estas entidades centrales se reconocen mutuamente. Esta confianza en el sistema bancario es fundamental para el comercio internacional y podría decirse que la viabilidad del sistema financiero se basa en la confianza que se deposita en los diversos gobiernos nacionales y sus bancos centrales (En realidad no todos los bancos centrales gozan de la misma confianza, pero esa es otra historia).

En el caso de Blockchain no habría necesidad de usar una entidad central para realizar una transacción y reconocerla como válida. Como su nombre en inglés lo indica, Blockchain es una cadena de bloques donde cada bloque contiene una pieza de información. Si volvemos al caso de la transacción financiera, la cadena de bloques puede tener la información de las transacciones de una cuenta específica y su saldo remanente. Para tener una nueva transacción, digamos una compra, deberá haber un nuevo bloque que se unirá a la cadena indicando el pago.

Como puede deducirse, esta cadena de bloques es independiente de cualquier entidad central. Los bloques son en realidad datos que estarán almacenados en la “red” de computadores que estén participando en Blockchain. Estos datos están encriptados y por lo tanto protegidos.

Esta arquitectura distribuida tiene ventajas desde el punto de vista de recuperación de desastre porque la cadena no está almacenada en un solo equipo o entidad. Si un computador en la red falla, habrá muchos otros que tengan la misma información. Sin embargo, esta arquitectura presenta una amenaza para las entidades que viven de cobros a transacciones financieras. Como no hay necesidad de intermediarios bancarios, las partes envueltas en una transacción pueden hacerlo directa y privadamente. Obviamente esta total privacidad es un beneficio para aquellos envueltos en actividades criminales.  El uso de bloques de datos enlazados en una cadena es lo que criptomonedas como bitcoin utilizan. Y cada bloque nuevo es una nueva transacción financiera.

Alguien preguntará ¿Cuál es el beneficio de participar en la cadena de bloques BlockChain? Al no existir una entidad central, alguien tiene que generar ese nuevo bloque de información que valida la transacción de nuestro ejemplo. Para generar un nuevo bloque es necesario manipular matemáticamente la cadena de bloques. Dada la complejidad matemática de estas operaciones, es necesario usar computadores poderosos. Esa operación de generación de nuevos bloques (realmente el hash) es lo que es conocido como minería de criptomonedas. Como bitcoin es la criptomoneda más popular el término más común es “minería de bitcoins”.

El primero que genere um nuevo bloque recibe un incentivo financiero en bitcoins (o en la criptomoneda que esté realizando la transacción). La velocidad en la generación de nuevos bloques es directamente proporcional a la potencia de cómputo y por lo tanto quien tenga el computador más poderoso y rápido resolverá mas operaciones matemáticas. Obviamente entre más bloques resuelva un participante más bitcoins recibe. En otras palabras, hay un fuerte incentivo financiero para realizar minería de criptomonedas.

Esta minería incentiva la demanda de alta capacidad de procesamiento que ha afectado el mercado bursátil de Wall Street, a los entusiastas de videojuegos, las finanzas de muchas empresas y generado apetito en muchos hackers.

jueves, 26 de abril de 2018

El uso indiscriminado del Internet de las cosas


La progresiva miniaturización de diversos dispositivos electrónicos ha sido constante en las últimas décadas. Algunos recordamos aquellos tiempos en que debíamos sentarnos y esperar que el gran televisor se calentara para poder ver nuestro programa favorito. Hoy gozamos del beneficio de tener en la palma de la mano una videoteca casi infinita.

Y en ese proceso continuo de miniaturización podemos tener sensores como Fitbit que miden la calidad de nuestro ejercicio y cantidad de nuestro sueño, vídeo cámaras que nos permiten observar nuestra mascota y estaciones meteorológicas  de relativo bajo precio que nos mantiene actualizados sobre el clima.

Son muchos los beneficios que promete la conectividad de todos estos dispositivos que es conocida como el Internet de las cosas. Sin embargo, el Internet de las cosas aún está en su infancia. La prueba es el abuso por parte de adversarios o actores malintencionados de estos dispositivos.

Expertos del área en ciberseguridad han observado un creciente uso de botnets que automatizan la explotación de redes de datos. Estos ataques hacen uso de un enjambre de dispositivos comprometidos que no se limitan a negar servicios sino también realizan tareas de exploración, descubrimiento de sistemas de información y barrido de puertos TCP/IP.

Aunque estos dispositivos no son tan poderosos como un computador personal, una multitud de miles o cientos de miles de dispositivos permiten a los atacantes gozar de economías de escala que automatizan las primeras etapas de un ataque. Solo cuando el proceso obtiene control de un sistema, es que un ente humano empieza a interactuar con el sistema comprometido.

Este nuevo acercamiento presenta retos para la comunidad de ciberseguridad y para todas las organizaciones y personas naturales. Las tácticas y equipos tradicionales de defensa pueden verse sobrepasados por ataques realizados por dispositivos del Internet de las cosas.

El uso de enjambres tiene potencialidades mas allá de ciberataques. Analistas militares miran con preocupación como estas tácticas pueden dejar sin servicio a equipos sofisticados y costosos de defensa. Por ejemplo, un alto número de drones de muy bajo costo podría deshabilitar una fragata de la armada de un país y dejarla inoperativa completamente.

La nueva realidad no solo requiere una nueva mirada al diseño de la arquitectura que protege la información de una organización sino también estudiar con detenimiento como estos actores maliciosos explotan estos dispositivos de la era moderna.

martes, 20 de marzo de 2018

No siempre es un hacker quien causa la pérdida de confidencialidad


Los ataques de ransomware son tan comunes y hay tanta prensa alrededor de vulnerabilidades como Meltdown, que a veces se pierde de vista que pueden existir otras causas que ocasionen pérdida de datos.

Un ejemplo es el caso del operador de seguros Triple-S en Puerto Rico. Esta empresa notificó a cerca de 36.000 usuarios de la pérdida de confidencialidad en la información debido al envío de correo a direcciones equivocadas. Usualmente los balances médicos pueden contener información acerca del número de cuenta, muy útil a la hora de configurar el usuario en línea, y otra información personal acerca de las dolencias médicas que puedan al recipiente legítimo.

Triple-S ha indicado que ha revisado sus procesos de manejo de correo y corregido las fallas que permitieron este error. Sin embargo, no es la primera vez que Triple-S se ve envuelta en este tipo de problemas. Anteriormente en el 2015 el regulador médico ya le había impuesto cuantiosas multas por sus descuidada administración y malas prácticas de seguridad informática.

Como he hecho notar en similares casos, esta información solo es sabida por las estrictas regulaciones existentes en los Estados Unidos y Europa que exigen que se haga público cuando los datos de usuarios son capturados por hackers o simplemente llegan a la persona equivocada. Como es bien sabido, Puerto Rico debe cumplir la legislación norteamericana y por eso hemos sabido del caso Triple-S.

Mientras tanto el resto de usuarios latinoamericanos tenemos que contentarnos con la oscura respuesta “por motivos de seguridad”. Esta falta de transparencia y el atraso latinoamericano en este campo y la ausencia de transparencia nos impide saber si la entidad donde depositamos nuestro dinero o tiene nuestra historia médica falla en su responsabilidad como garante de nuestra privacidad.