El Internet de las cosas, la familia y usuarios maliciosos

Poco a poco el llamado Internet de las Cosas (Internet of Things, IoT) va penetrando hogares y ambientes empresariales por igual. Debido a la promesa de interconexión, 

la mayoría de los usuarios no ven con mucha preocupación que dispositivos inteligentes invadan todos los espacios de la vida diaria.

Los comerciales de dispositivos inteligentes prometen un hogar y oficina inteligente prestos a satisfacer los deseos del consumidor. Algunos ejemplos incluyen reconocimiento de voz que siguen las ordenes del usuario, equipos electrónicos que se autoevalúan y se conectan a la central de mantenimiento, envíos automáticos de correos que ahorran dinero en faxes y papel, robots que aspiran o limpian, etc. 

Poco a poco la automatización de la oficina y la casa se va haciendo una realidad. Sin embargo, muchas de las actuales ofertas comerciales de productos “inteligentes” aún no están lo suficientemente maduros; y muchos productos no ofrecen las protecciones mínimas o más avanzadas que plataformas móviles Android, iOS y redes empresariales ofrecen.

Esta situación ha sido evidente en productos de consumo popular y juguetes dirigidos al público infantil. Un caso muy conocido fue el de Samsung y sus televisores que capturaban conversacionesdel usuario y enviaban la información a un tercero.  Aunque las empresas involucradas, Nuance y Samsung, son compañías serias, esta grabación automática se hacía por defecto. En otras palabras, el dueño del televisor tiene que deshabilitar esta función si no quiere que el TV envíe sus conversaciones a la nube para identificar si quiere prender el aparato o no.

Otro caso reciente involucró a la reconocida compañía de juguetes interactivos Vtech que sufrió un ciberataque. Los autores del ataque hicieron pública la información privada de mas de 5 millones de usuarios y la información incluyó fotos de niños y conversaciones privadas de chats.

Este ataque resaltó una vez más la realidad que expertos en el área han venido advirtiendo hace tiempo atrás: no hay protocolos ni políticas de cumplimiento que aseguren la privacidad de los usuarios de la Internet de las cosas. Desafortunadamente, los múltiples casos en las noticias indican que es mejor abstenerse de comprar y usar este tipo de juguetes.

Como lo indica la revista Forbes, la mejor opción es comprar un dispositivo usado Apple que aún permita actualizaciones de software. Esta compañía es reconocida por actualizar constantemente su software y arreglar posibles fugas de información.

Con la llegada de la navidad y la abundancia de juguetes electrónicos y otras artefactos que se conectan a Internet, el consumidor actual tiene que ser cuidadoso. Esto es especialmente cierto cuando la privacidad de los pequeños niños está en juego. Es bueno tener esto presente durante las próximas compras navideñas.

El año llega a su fin y ésta es mi última entrada del 2015. Al lector despistado que llega a este blog, le deseo una feliz navidad y un prospero año nuevo. 

¿Es bueno un dispositivo móvil arraigado II?

Mencionaba en la previa entrada que el uso de dispositivos arraigados limitan la flexibilidad del usuario. Esta afirmación puede parecer contradictoria, pero los problemas que presenta un dispositivo arraigado sobrepasan los beneficios que acarrea.

Esto es particularmente cierto en la plataforma iOS. Apple trabaja frenéticamente en deshabilitar las vulnerabilidades que permiten desarraigar el iPhone o iPad, y dada las múltiples mejoras que Apple desarrolla con cada nueva versión el usuario simplemente se retrasa y no aprovecha el beneficio de la plataforma.

 

En el caso de Android hay algunas alternativas, pero no hay muchos beneficios tampoco. Dada la diversidad de plataformas de hardware para Android, el usuario debe esperar una versión específica para su dispositivo. Una ventaja es que los sistemas operativos Android usualmente tienen alguna intervención del operador y los operadores de Latinoamerica, principalmente America Movil (Claro) y Telefonica (Movistar) no son conocidos por la pronta actualización del sistema operativo, y por esta razón el dispositivo arraigado podrá funcionar por años.

Es decir, no importa si el dispositivo es arraigado o no, la versión de Android de tu dispositivo debe tener algunos años. En esta  caso la consideración es la garantía. El usuario debe recordar que arraigar un dispositivo móvil incumple las términos del contrato con el operador, y esto puede ocasionar multas o cancelación del servicio.

Una opción para el usuario Android es Cyanogenmod. Este proyecto de software abierto, que ahora tiene una pequeña participación de Intel, libera actualizaciones Android para diferentes plataformas de Hardware. Plataformas muy populares de modelos de dispositivos “viejos” tienen versiones recientes del sistema Android. En este caso, un dispositivo arraigado puede tener actualizaciones de software periódicas.

Este repaso muy superficial del uso de dispositivos arraigados presenta un panorama negativo. Desafortunadamente, los riesgos son altos. Los equipos arraigados presentan un mayor perfil de riesgo y no solucionan las vulnerabilidades innatas del sistema operativo.

Estas consideraciones son importantes cuando el dispositivo es personal.  En el caso de ambientes empresariales la situación es distinta, y un dispositivo arraigado no tiene cabida en esos ambientes.

¿Es bueno un dispositivo móvil arraigado?

Las plataformas móviles no han sido ajenas al descubrimiento de vulnerabilidades en sus sistemas operativos. El acercamiento tradicional de ataque es tomar ventaja de dispositivos arraigados, (root en Android or jailbroken en iOS). Los atacantes o hackers aprovechan esta oportunidad para acceder al sistema y empezar a realizar operaciones no autorizadas por el usuario.

Para algunos un dispositivo arraigado presenta mayor flexibilidad al aumentar la velocidad del dispositivo o instalar aplicaciones que las tiendas en línea de Apple o Google han bloqueado. Sin embargo, arraigar un dispositivo presenta peligros al usuario e inutiliza la defensa del sistema operativo en contra de aplicaciones maliciosas.

Arraigar un dispositivo abre la puerta para que aplicaciones tengan acceso no autorizado, roben datos o causen fallos inesperados. Una razón adicional para no arraigar un dispositivo móvil es la imposibilidad de actualizar el dispositivo con las últimas versiones y actualizaciones de Google o Apple. Las actualizaciones de software usualmente bloquean o desmantelan las configuraciones que permiten arraigar un dispositivo. Como consecuencia, es probable que el usuario de un equipo arraigado tenga una versión más antigua del sistema operativo.

Los requisitos para tener una aplicación autorizada en Google Play o Appstore no son difíciles de cumplir, y por esta razón cualquier aplicación o App no oficial resulta muy sospechosa. Desde el principio de la computación móvil, Apple ha sido una empresa muy celosa de su tienda en línea y mantiene una estricta vigilancia de las aplicaciones que se venden. Google tenía una aproximación diferente y no realizaba una vigilancia estricta de las aplicaciones que se vendían en su mercado electrónico; pero dado el ascenso de ataques contra su plataforma, Google cada vez controla más su tienda electrónica y el sistema operativo.

El acercamiento para controlar aplicaciones piratas y dañinas es ahora común y las tiendas en línea de Google y Apple constantemente bloquean aplicaciones identificadas como maliciosas que usualmente tienen dispositivos arraigados como blancos.

Claramente estas acciones limitan la flexibilidad del usuario de un equipo arraigado y las posibles ventajas de su uso.

¿Cuál es el verdadero valor de un Pentest?

 
Esta es una frecuente pregunta de clientes y proveedores, y muy válida dadas las condiciones de la economía. Como toda contratación de servicios, proveer un pentest tiene que mostrar algún valor. Desafortunadamente, la tendencia es a entregar reportes de pentest con poco valor agregado. Como notarán este es un punto constante en mis discusiones porque de seguir así la profesión mostrará poco valor.

Viví una situación similar. Preguntamos a un analista de una de las empresas que contratamos acerca de una vulnerabilidad  y como afectaría un sistema importante y cuál era su recomendación. Como muchas otras veces y otras empresas, la respuesta fue que el solo encontraba fallas y explotaba vulnerabilidades nada más. Preguntamos si alguien de su equipo podría orientarnos. No, no tenían ningún profesional con experiencia certificada en el mismo sistema de información que ellos explotaban. No sobra decir que fue su último contrato.

 Muchos pensaran que la creciente demanda de profesionales de seguridad augura un futuro sin nubarrones; pero hemos de recordar que los vientos cambian. Ya algunos expertos en el tema han notado la misma tendencia. Por ejemplo, Ed Skoudis, uno de los especialistas más reconocidos, advierte sobre el peligro que se cierne sobre la profesión. Sí, es cierto que hay demanda de profesionales de seguridad informática, pero esa demanda exige un tipo de analista con capacidades más allá del pentester tradicional.  Atrás quedaron los días de aquel hacker petulante que demostraba que un sistema era vulnerable y nada más. Las empresas y clientes esperan mucho más.  La demanda exige verdadera capacidad analítica y no simple explotación. 

Los clientes esperan un consejo profesional de cómo solucionar las vulnerabilidades de un sistema, que procesos se deben seguir, y cuan critica es la vulnerabilidad relativa al negocio, y no relativa al simple sistema. Esos nuevos requerimientos requieren un verdadero profesional, experimentado con conocimientos específicos de sistemas de información, del tipo de negocio y la legislación correspondiente. En el caso de aplicaciones Web, el profesional posiblemente deba tener experiencia en buenas prácticas de programación y el lenguaje y plataforma específica en que se está trabajando. En otras palabras, se requiere un profesional integral. Obviamente, los proveedores de servicios de pentesting no llenan esos requisitos con analistas con solo 2 o 3 años de experiencia.

Por fortuna, he observado en algunos casos la especialización en ciertas áreas. Por ejemplo, algunos pentesters tienen profundos conocimientos de Windows, Oracle o Cisco y certificaciones de alto o medio nivel tipo MVP o CCNP. Para aquellos interesados en el tema, no olviden ir más allá de la última técnica y herramienta. El campo es amplio y hay muchos temas sobre los cuales aprender y ser un verdadero experto. Ese es el reto.

La caída de Ashley Madison

Nunca antes el robo de información de un sitio web había causado tanto estremecimiento en el ciudadano del común. No es el asalto mas grave que empresa alguna haya tenido, pero por sus características ha afectado  a muchas personas.

Sobra describir aquí en detalle el principal cliente de Ashley Madison. Usuarios en relaciones aburridas y buscando un poco de aventura, muchos de ellos y ellas casados son el cliente usual de este sitio web de citas clandestinas.

Los hackers publicaron la base de datos, y muchos la han replicado en redes sociales y otros sitios web. Peor aún, los datos hechos públicos incluyen la información de cuanto gastó el usuario. A pesar de que el perfil permitía el anonimato, la base datos hackeada incluye el nombre completo del usuario, la dirección y el dinero gastado. Maridos celosos y mujeres engañadas pueden fácilmente verificar el nombre de su pareja, y saber si su media naranja le ha sido infiel. No se augura un buen futuro a las relaciones de pareja de quienes sean descubiertos.

Aparte del interés personal que muchos puedan tener en la publicación de datos confidenciales de Ashley Madison, hay varias lecciones que los profesionales de seguridad pueden aprender.  La primera lección es que cualquier red que tenga servidores públicos puede ser presa de ataques cibernéticos. Segundo, es importante proteger los sistemas de información y seguir buenas practicas de administración de sistemas. Esto puede sonar a verdad de Perogrullo, pero la realidad es que la mayoría de casos de robos de información son fácilmente prevenibles.

El caso de Ashley Madison tiene otras lecciones. De acuerdo a publicaciones especializadas, la base de datos tenía los datos mas críticos protegidos. Por ejemplo, las tablas con la información de tarjetas de crédito solo muestran los últimos cuatro dígitos de la tarjeta. El resto del número estaba protegido. Es decir que el robo tendrá poco rendimientos financieros.

Adicionalmente la contraseña (o “password”) estaban protegidos porque usaban una número aleatorio inicial (“salt”) para almacenar la clave final en el sistema. Es posible que de haber tenido una base de datos encriptada la información no se hubiera hecho pública tan fácilmente. Debo anotar, que esta última afirmación depende de cómo accedieron la base de datos. Si el acceso fue directo, el cifrado de la base de datos puede ser de alguna protección. Si por el contrario, el acceso a la  información fue a través de la aplicación esta protección no es útil.

Aunque aún se desconocen los detalles de cómo los atacantes penetraron los sistemas de Ashley Madison, si es conocido que hubo acceso a todo tipo de información incluyendo los correos electrónicos de los ejecutivos de la empresa.

A pesar de que los atacantes no pueden usar los números de las tarjetas de crédito, hay alternativas de lucros para los atacantes. En próxima entrega explicaré un poco las posibles nefastas consecuencias para el usuario de este sitio web.

Un estado confuso

Ante la creciente complejidad de nuestra sociedad, y por consecuente de nuestros sistemas de información, me pregunto si nosotros los humanos estamos realmente preparados para lidiar con las consecuencias de esa misma complejidad que nosotros mismos hemos creado. 

Como profesional de las ciencias de información comparto el sentimiento que abruma a colegas y clientes por igual. La tecnología cambia rápidamente y es difícil mantener el ritmo. Sin embargo, hay ciertos aspectos que demoran un poco en cambiar. Esto es lo que algunos llaman los principios básicos. 

En mi línea profesional debo revisar continuamente reportes tales pentests, análisis de vulnerabilidad, análisis de riesgo y auditorias, y al mismo tiempo analizar cómo afecta a mi compañía. Como todo en la vida, se encuentran diferentes calidades de reportes. Desafortunadamente, con la creciente automatización en la generación de reportes el nivel de los mismos tiende a ser más bajo, y podría argüir que es decreciente.  En mi opinión estamos aún lejos de generar contenido valioso de manera automática. Tal vez si ese día llega, ya no habrá lugar para nosotros los humanos. 

Pocas veces se encuentra un verdadero análisis de la situación que se ha contratado. Aunque es difícil generalizar, podría decirse que las recomendaciones, tecnológicas y de procesos, siguen una línea de menor esfuerzo que poco valor agregado generan a quien contrata los servicios.  En ese aspecto las herramientas de generación de contenido automático reflejan su origen, una robotización de contenido que parece inteligente pero de evidente pobreza a la primera lectura atenta. 

Solo  en pocas oportunidades encuentro verdadera joyas. El común denominador de estos buenos documentos es la verdadera comprensión del proceso que el profesional ha plasmado en sus recomendaciones, pero sobretodo es el verdadero entendimiento de los principios básicos de la tecnología que se está manejando. Esto puede sonar poco lógico para los profesionales de sistemas de información, pero solamente entendiendo el proceso o el negocio de su cliente el profesional podrá recomendar las adecuadas herramientas tecnológicas.  

El objetivo de este blog, para aquel lector desprevenido que se lo encuentre, es presentar algunos conceptos básicos de tecnología, específicamente de redes y seguridad informática. También de vez en cuando presentare algunas de mis opiniones de situaciones que en ocasiones rayan en lo cómico. Bienvenido lector.