Yago Jesus2013-05-20T05:34:49-04:00Yago Jesushttp://www.huffingtonpost.es/author/index.php?author=yago-jesusCopyright 2008, HuffingtonPost.com, Inc.HuffingtonPost Blogger Feed for Yago JesusGood old fashioned elbow grease.De profesión: Hackertag:www.huffingtonpost.com,2013:/theblog//3.29923322013-04-03T02:02:32-04:002013-04-03T02:23:20-04:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/hacker está muy en boga en los medios de comunicación; que si un hacker procesa los correos de Urdargarín, que si los hackers lanzan el "mayor ataque a internet", amén del ruido habitual: hackers acceden al teléfono móvil de un famoso, hackers lanzan virus...
Claro que Hollywood tampoco ha hecho demasiado por desmitificar todos los tópicos habituales que se asocian a una persona que se dedique a la seguridad informática: accesos a bases de datos gubernamentales en cuestión de segundos, virus malvados que antes de ejecutar sus acciones muestran un dibujo riéndose, y en general una colección de estereotipos que han arraigado mucho en la sociedad.
Hemos llegado a un punto en el que realidad y ficción se mezclan de forma que resulta complejo aislar la parte profesional de la parte underground.
Empezemos por lo básico: la palabra Hacker es bastante antigua y en su acepción original iba referida a la gente que desarrollaba los primitivos sistemas Unix de los 70. Creo que es una batalla perdida intentar que la gente use la acepción correctamente, así que me centraré en la parte profesional.
De entrada, me permito cambiar el nombre al concepto y voy a hablar de profesional de la seguridad informática, que resulta más acorde al concepto que me gustaría definir.
Un profesional de la seguridad informática suele trabajar para una empresa, tiene un contrato laboral y paga la seguridad social y su correspondiente IRPF. Esto, que puede sonar demasiado obvio, seguro que rompe con los esquemas peliculeros en los que dos personas se reunen en un tugurio, negocian algo y se realiza un pago en B (preferiblemente en un maletín).
Las personas que se dedican a la seguridad informática suelen ser personas con grandes inquietudes y en un constante afán por aprender más y reciclarse. Un concepto que se aplica idénticamente a otras muchas profesiones. Por ejemplo, los médicos organizan congresos donde explican avances y presentan investigaciones. En el mundo de la seguridad informática pasa exactamente lo mismo; existen múltiples congresos donde los profesionales se reúnen y hablan de nuevas técnicas, amenazas o defensas. Rootedcon y NcN son los dos congresos más importantes a nivel nacional. A nivel internacional podemos hablar de BlackHat o Ekoparty.
Estos congresos no se realizan en ubicaciones secretas, ni se requiere una contraseña para entrar. Son congresos públicos y tan bien organizados como los que organizan los arquitectos o los abogados.
Respecto al tipo de trabajos que realiza un profesional de la seguridad informática, es verdad que se realizan ataques, pero son ataques controlados y que obedecen a un plan de auditoría contratado por una una empresa para evaluar la seguridad de su infraestructura. Se emplean herramientas de todo tipo e incluso un buen número de ellas son comerciales, con licencia, y pertenecen a empresas que viven de venderlas y cuentan con su web, su equipo de márketing y también pagan sus impuestos.
Otro trabajo de los muchos que puede realizar un profesional de la seguridad son los análisis forenses: un equipo ha sido comprometido y hay que averiguar el vector de entrada, su repercusión, crear una línea temporal y presentar un informe. Esta parte sí puede tener algo de misticismo, aunque en realidad se trata de leer ficheros de logs, analizar datos y más datos. Supongo que tiene un componente similar al de un auditor financiero revisando las cuentas de una gran corporación, leyendo facturas, analizando balances. Al final todo es constancia y experiencia.
En definitiva, la seguridad informática es una profesión como otra cualquiera, con sus partes buenas (que las tiene, y muchas) y sus partes aburridas, llenas de reuniones, documentación y hasta jefes incompetentes.
Para terminar, me gustaría recomendar una novela que tuve el honor de prologar y que habla sobre seguridad informática escrita por alguien que se dedica a ello: Hacker épico, de Alejandro Ramos y Rodrigo Yepes, es una novela que tiene su componente de ciencia ficción pero en la que todo lo que hace el personaje protagonista es real, las herramientas son reales, los ataques son reales e incluso en el libro se publicaron por primera vez varias vulnerabilidades reales. Todo ello escrito en un lenguaje asequible a cualquier persona.]]>Tengo un SmartPhone, ¿debo preocuparme?tag:www.huffingtonpost.com,2012:/theblog//3.22122512012-12-03T01:00:00-05:002013-02-01T05:12:01-05:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/
El problema de esos dispositivos es que poca gente se para a pensar lo que tiene en su bolsillo/bolso. Estos teléfonos son en realidad mini-ordenadores que ejecutan sistemas operativos, y por ende, han heredado casi toda la problemática que viene de los ordenadores tradicionales, amén de nuevos problemas.
¿Les suena el affaire de Pipi Estrada? ¿Tal vez han oído hablar sobre el 'caso Deusto'?, ¿Qué me dicen de la Srta. Hormigos? Y si siguen la actualidad de EEUU, probablemente también hayan estado al tanto de los problemas de privacidad de celebrities como Scarlett Johansson.
En este post me gustaría tratar sobre exactamente a qué tipo de problemas nos podemos enfrentar si tenemos un smartphone.
Usuarios de Android: El principal problema de esta plataforma es lo asombrosamente fácil que resulta subir aplicaciones maliciosas a Google Play. Lo que debería ser un sitio controlado y fiable, es en realidad un sitio en el que tan solo nos podemos fiar de la reputación de la aplicación. Pese a que Google está haciendo esfuerzos (parcheando la situación), en mi opinión el haber diseñado así el market fue más una necesidad de atraer desarrolladores que pensar en el bienestar de sus usuarios. Ojo con las aplicaciones con pocos votos/descargas.
Usuarios IOS (Iphone): Si Ud. tiene un Iphone, y ha decidido seguir bajo la dicta-blanda de Apple, al menos puede tener un grado bastante grande de confianza en las aplicaciones que instala, es poco probable que esas aplicaciones empiecen a enviar SMS a números premium (como si ha sucedido en numerosas ocasiones con aplicaciones en Google Play). Por contra, si ha decidido traspasar la barrera de la libertad (hacer un Jailbreak) acaba de poner su seguridad en DEFCON, por mucho que la gente hable de las bondades del Jailbreak, si no se tienen claras las reglas de ese deporte, es mucho mejor ni plantearse entrar.
Usuarios BlackBerry: ¡Enhorabuena! Ud. tiene en sus manos una de las plataformas más robustas y menos propensa a darle problemas de seguridad. El hecho de que fuese diseñada con una mentalidad empresarial al final se nota y mucho. No obstante, BlackBerry tiende a centralizarlo todo en sus servidores, lo que a la postre es un punto único de fallo, algo que ya ha dado problemas en el pasado.
Respecto a hábitos, el primer consejo es evitar totalmente el uso de su smartphone en una red WIFI pública: sí, totalmente. Los días en los que un plan de datos era para privilegiados ya han pasado, cualquier operadora le va a ofrecer planes de datos realmente asequibles. Evitando el uso de redes WIFI públicas probablemente haya eliminado el 80% de los quebraderos de cabeza que le puede dar su móvil.
En caso de tener que hacerlo (porque esté de viaje en otro país) existen formas de atenuar el riesgo: usar una red VPN pasa a ser tan primordial como llevar el DNI o pasaporte. Una red VPN, grosso modo, lo que hace es 'mover' todo el tráfico que genere su teléfono en esa red WIFI de forma cifrada a un ordenador, y de ahí, vuelta a Internet. Esto impide que cualquier persona que esté a la escucha en esa red WIFI intercepte sus comunicaciones. Existen VPNs que no tienen coste, como por ejemplo VPNBook. Aunque lo recomendable es contratar un servicio de VPN de pago, por apenas 5 dólares/mes.
Respecto a las aplicaciones, hay que pensar siempre de forma defensiva, tomando como ejemplo WhatsApp: esta aplicación es profundamente insegura, por diseño y por la forma de gestionar los incidentes que tienen sus creadores. Aunque es inevitable dejarse llevar, evite siempre gestionar información delicada a través de aplicaciones de mensajería.
Y si hablamos de los datos, los que quedan almacenados en el móvil, entramos en la zona más oscura. Si Ud. pierde su teléfono, dé por hecho que cualquier dato que haya en el dispositivo puede ser obtenido por un tercero. La única opción disponible son ciertos programas que, en caso de pérdida y de que quien se haya apropiado del teléfono no lo haya apagado, pueden intentar contactar con el dispositivo para que se destruyan los datos almacenados. Para Iphone puede usar Find My iPhone, para Android, Android Lost. En teoría incluso pueden ayudarle a recuperar su móvil, en la práctica demasiados astros deberían alinearse.
¡Ah!, un último consejo: no se deje seducir por los antivirus para teléfonos móviles, actualmente tienen la misma utilidad que una pulsera powerbalance. Lucen, sí, y hasta pueden generar falsas sensaciones, pero aún no se ha demostrado que realmente aporten algo tangible.]]>Los '0 Days' nos acechantag:www.huffingtonpost.com,2012:/theblog//3.19031432012-09-26T01:00:00-04:002012-11-25T05:12:01-05:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/0 Day como si fuera una clase de nueva amenaza que ha surgido súbitamente de la nada. Casos como los de Java o más recientemente el de Internet Explorer han lanzado a la picota este término empleado -normalmente- en círculos relacionados con la seguridad informática.
¿Pero qué es exactamente un 0 Day? Explicarlo es bastante sencillo, todo programa informático suele tener una complejidad que varía en función de las cosas que hace; no es lo mismo la calculadora de Windows que por ejemplo Internet Explorer. Esa complejidad se traduce en el tamaño de su código fuente, es decir, en el número de instrucciones que deben ser escritas para dotar de funcionalidades a ese programa.
Como esos programas los hacen humanos, es normal e imposible de evitar, que en algún momento dado alguien meta la pata y escriba una instrucción erróneamente que abra la puerta a que otra persona encuentre una funcionalidad no deseada, y provoque un fallo que corrompa la seguridad de dicho programa.
Mientras no exista un parche que solucione dicho problema, a ese fallo se le denomina 0 Day.
Un universitario encontró un fallo en Sendmail (un servidor de correo muy usado en esa época) y lo explotó para distribuir un gusano que causó estragos en el Internet de aquella época (60.000 equipos conectados).
Ahora todo es bastante peor ya que existe un creciente y muy lucrativo mercado de 0 Days. Compañías perfectamente legales que basan su modelo de negocio en comprar vulnerabilidades para a su vez revenderlas a sus clientes, normalmente organismos gubernamentales que los emplean para la ciber guerra (¿Les suenan nombres como Stuxnet o Flame?).
Las cifras, como es lógico, no son públicas pero no es extraño pensar en que si usted encuentra un fallo, digamos en IOS, (el sistema operativo de Apple), pueda venderlo por unos 200.000 euros o más.
Esa es la cúspide de la pirámide del negocio de los 0 Days, después de eso hay niveles inferiores, gente que desarrolla programas maliciosos de forma industrial, lo que se denominan Exploit Kits. Emplean vulnerabilidades recientes (0 Days o vulnerabilidades con soluciones publicadas a pocos días vista) y su negocio está en infectar masivamente a gente de forma indiscriminada.
Esas infecciones pueden perseguir robar contraseñas bancarias, o simplemente crear redes de PCs zombis que luego alquilan a personas interesadas en enviar correos SPAM o atacar otras webs empleando el ancho de banda de los PCs infectados.
Ante este panorama, usted puede pensar que estamos en la jungla, y efectivamente, lo estamos.
Piense en un documental de leones y gacelas, el león acecha a sus víctimas y cuando detecta las más vulnerables, se abalanza hacia ellas para atacarlas. Por tanto, en este escenario de lo que se trata es de no ser la gacela mas vulnerable.
De entrada, usar un buen antivirus y tenerlo actualizado, es algo que marca la diferencia entre ser una gacela vieja y coja, a una gacela joven y saludable. Si además ha configurado su sistema operativo (y demás programas que use) para que se descarguen automáticamente las actualizaciones del fabricante, usted será una de las gacelas más rápidas de la pradera. Para saber cómo de fiable es su política de actualizaciones puede emplear la herramienta gratuita Secunia PSI que le informará como de (des)actualizado está su equipo.
Ahora bien, si usted quiere ser una de esas gacelas ninja que salen en los documentales plantándole cara al león y en muchos casos haciéndole recular por su bravura, debería emplear un programa como EMET un sistema de mitigación avanzada para sistemas Microsoft. Este software -además- es creación de un Español: Fermín. J. Serna.
Otro programa bastante útil es Sandboxie, que permite encerrar el navegador u otro programa que estemos usando dentro de un entorno restringido y por tanto, limita el daño que pueda causar en caso de ser atacado.
Aun así, no pierda de vista una idea: usted sigue siendo una gacela, y ellos, el león.]]>Julian Assange, el hackertag:www.huffingtonpost.com,2012:/theblog//3.18214132012-08-24T02:40:34-04:002012-10-23T05:12:11-04:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/ pendiente de si finalmente acaba extraditado y enfrentándose al todo poderoso EEUU.
Mas allá de la actividad que le ha lanzado a la fama mundial con Wikileaks, Assange tuvo un pasado que tal vez no es demasiado conocido: Assange fue un pionero de la seguridad informática, un hacker. Pero no hacker en el sentido abyecto que se suele promover erróneamente, hacker en su sentido original: Persona con inquietudes, con sólidos conocimientos de programación y afán por descubrir debilidades.
Entre las contribuciones al mundo de la seguridad de Assange podemos encontrar, por ejemplo, una herramienta llamada 'Strobe' (que aun se puede descargar desde aquí), esta herramienta -muy innovadora para la época, 1995- facilita que una persona pueda averiguar que servicios expone a Internet un servidor conectado a la red, averiguar si es un servidor web, de correo electrónico, etcétera. Información esencial para auditar un sistema.
La herramienta, que hoy día sigue siendo útil aunque existen otras mas avanzadas, está escrita en el lenguaje de programación C, el mismo lenguaje de programación en el que está escrito el núcleo del sistema operativo Linux.
Además de esa herramienta, Assange también desarrolló un programa que permitía lanzar consultas a buscadores web desde la línea de comandos (sin necesidad de emplear un navegador) algo que, si bien mucha gente no le puede encontrar sentido (¿quién quiere lanzar búsquedas fuera del navegador?), en realidad si lo tiene si se pretende automatizar esas búsquedas o hacer que sirvan como datos a otro programa. Gracias al programa desarrollado por Assange, se podría escribir un segundo programa que diariamente busque en Google un término concreto y nos envíe por correo electrónico la información
Pero la aportación de mayor nivel hecha por Assange, es sin duda un proyecto llamado: Rubberhose. Este proyecto, en el que participó Assange junto a otros dos colaboradores, fue lanzado en 1997 y es un sistema de ficheros (donde se almacenan los datos en un PC) que emplea un tipo de cifrado llamado Deniable encryption, bajo ese tecnicismo se esconde una forma de ocultar datos cifrados que no solo salvaguarda la privacidad de los datos (acceso por clave), sino que también permite -en teoría- negar la existencia de ese sistema de ficheros cifrado.
Tal vez pueda sonar extraño, pero imaginen una situación en la que alguien intercepta a una persona con un portátil en el que se sospecha puede haber información cifrada, si existe la certeza de que hay algo cifrado, se podría forzar al poseedor del portátil a revelar esa clave empleando métodos coercitivos. Por el contrario, si esos datos cifrados además están ocultos, esa certeza no existe y el propietario del portátil puede alegar su no existencia. Es obvio que Assange ya apuntaba maneras en sus años de juventud.
Pero no todo es luz en el pasado de Assage, según se puede leer en el libro Underground: Tales of Hacking, Madness and Obsession on the Electronic Frontier Julian, bajo el seudónimo 'Mendax' formó parte de un grupo internacional de "subversivos" que se colaron en la red de defensa de los Estados Unidos, en el NIC (organismo que gestiona los dominios en Internet) o la empresa Nortel.
Aun así, con luces y sombras, hay que admitir que el pasado de Julian es apasionante.
Fuente: Wikipedia]]>La (IN)Seguridad de las aplicaciones móvilestag:www.huffingtonpost.com,2012:/theblog//3.16769822012-07-19T05:06:31-04:002012-09-17T05:12:07-04:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/
Hasta hora y salvo muy contadas excepciones, el mundo de la tecnología siempre ha tenido la seguridad como algo secundario, muy en segundo plano y siempre a considerar cuando alguien "rompe algo". Siempre curar y casi nunca prevenir.
Tal vez el ejemplo mas evidente es Microsoft. Para la gente que haya tenido contacto con la tecnología durante la época 2000-2005 recordará las feroces críticas que recibió Microsoft por la seguridad de su plataforma, el siempre manido "Linux es seguro, Windows no", frase que, elementos de malware como Blaster o Slammer (que se replicó en apenas 10 minutos por todo Internet, colapsando la red a nivel mundial) hicieron que tuviese mucho sentido.
Microsoft basó su estrategia en potenciar la experiencia de usuario, en lanzar nuevas tecnologías y dejó a un lado las consideraciones de seguridad. El resultado fue una mala fama que les persiguió durante décadas.
Una vez aprendida la lección, Microsoft dio un giro radical y hoy día es una empresa pionera en esa materia, innovando y aportando mucho I+D del que se aprovechan otras plataformas.
Parece que en el mundo de las aplicaciones para smartphones y tablets está sucediendo algo muy similar a la "experiencia Microsoft", el auge de estas tecnologías y la avidez de las empresas en lanzar sus aplicaciones para estas plataformas está generando toda una horda de aplicaciones pobremente programadas, con fallos que en ocasiones comprometen seriamente la seguridad del usuario.
De entrada, las plataformas base (Android e IOS) están bastante por detrás frente a sus hermanos mayores del PC en tecnologías como DEP o ASLR , que son un pilar importante en la seguridad de un sistema operativo. De hecho, el famoso 'Jailbreak' para IOS ha sido posible gracias a varias vulnerabilidades en el navegador Safari que, una vez explotadas, permitía acceso total al sistema. Incluso una web lo realizaba directamente con solo navegar sobre ella.
En el caso de las aplicaciones de terceros, el panorama no es mucho mejor. WhatsApp, una de las reinas y que mas éxito han tenido, es también el ejemplo de aplicación que ha optado por el camino mas duro: el de tener que ir añadiendo seguridad según iba quedando en evidencia.
WhatsApp ha tenido fallos que permitían registrar (suplantar) un número ajeno dentro de la red en varias ocasiones. Además ha tenido importantes problemas de privacidad que han permitido saber muy certeramente el número de móviles registrados en España (casi 10.000.000, todo un éxito).
Tampoco es que estas aplicaciones sean especialmente cuidadosas con la privacidad del usuario, Path, una de las aplicaciones más conocidas en el mundo IOS, enviaba toda la agenda del usuario al servidor de la compañía. WhatsApp guardaba en una base de datos interna todos los mensajes enviados y recibidos (incluso los borrados) sin cifrar los datos, además añadía información de geolocalización si los mensajes se enviaban con el GPS activado.
Otro problema añadido es el ecosistema de estas aplicaciones, los famosos Markets. Apple ha apostado por un ecosistema controlado donde las aplicaciones deben ser aprobadas; Google ha hecho su market totalmente abierto sin aplicar apenas restricciones, y se ha convertido en un caldo de cultivo donde proliferan aplicaciones maliciosas. No obstante y en menor medida, también se la han colado a Apple en alguna ocasión.
En definitiva, el mundo de las aplicaciones para smartphones a día de hoy es extremadamente competitivo, los plazos de desarrollo son cortos y parece que la seguridad queda relegada a fases posteriores en el ciclo de vida del producto. Tendrá que pasar un tiempo hasta que el mercado madure y los niveles de seguridad se equiparen a los tradiciones PCs de siempre.]]>Antivirus, ¿sirven para algo?tag:www.huffingtonpost.com,2012:/theblog//3.15941802012-06-14T04:12:46-04:002012-08-13T05:12:05-04:00Yago Jesushttp://www.huffingtonpost.com/yago-jesus/
Si a esa discusión se le da el suficiente pábulo, es casi seguro que empezarán a surgir leyendas negras tales como: "Yo creo que los virus los crean las propias casas antivirus", y cosas de ese estilo que, por cierto, son absolutamente falsas y producto de la conspiranoia más rancia.
Voy a tratar de explicar que es un antivirus y que podemos esperar de él. Tomando como referencia nuestro mundo actual, los antivirus serían el análogo a las vacunas. A todos en algún punto de nuestra vida nos han puesto una, se basan en un conocimiento previo (y esto es lo importante) de una enfermedad, lo que a su vez permite generar una contramedida que impide que esa enfermedad nos afecte.
Los países que conforman nuestro mundo serían el análogo a las casas antivirus. No todos los países (bien por recursos o bien por falta de tecnología) tienen los mismos programas de vacunación. Evidentemente un país como España podría considerarse un buen país a ese nivel y también los hay donde esos programas de vacunación son bastante pobres. Por tanto, ni todos los motores de antivirus son iguales, ni todos los países protegen por igual a sus súbditos (afortunadamente en el mundo de los antivirus resulta muy fácil cambiar de 'país')
Entonces, ¿qué puedo esperar de mi antivirus? La respuesta sería una protección adecuada frente a las amenazas más comunes que estén controladas, usar un (buen) antivirus nos ofrece la seguridad de que todo aquello que haya sido investigado no nos va a afectar, lo que supone, de entrada, habernos quitado de encima un buen número de amenazas.
Para escoger un buen antivirus, una buena referencia son las comparativas de Virus Bulletin y asegurarse siempre que el motor antivirus que estemos usando haya obtenido la certificación Virus 100.
Pero, ¿qué pasa con las amenazas no controladas, bien porque sean excesivamente recientes o porque no hayan tenido la repercusión suficiente como para haber sido analizadas? En ese caso: no hay defensa posible, tu equipo se infectará y será comprometido.
Por seguir con la analogía, imaginemos que nuestro mundo está acechado por muchas cédulas terroristas con biotecnología muy puntera que generan mucha actividad vírica. Evidentemente, si tienes la mala suerte de pasar por el lugar inadecuado en el momento equivocado, 'la has cagado'. En este escenario, por encima de todo, has de agudizar tu sentido común para no viajar a zonas especialmente conflictivas donde la seguridad brille por su ausencia. Es fácil determinar qué zonas tienen mayores garantías para nuestra seguridad y cuales no.
En el mundo digital, las zonas mas conflictivas y peligrosas son las páginas con contenido sexual, sitios de descarga de programas piratas y webs de esa ralea.
No obstante, existe un axioma a tener siempre en cuenta: tanto en el mundo virtual como en el mundo real, la seguridad al 100% no existe, igual que hemos sido testigos de actos terroristas en sitios donde parecía imposible que sucediesen, en el mundo virtual se han dado casos de compromisos a webs absolutamente legítimas desde las que se han distribuido virus y malware. Como ejemplos tenemos la web del New York Times o la web del mismísimo Apple.
Conclusión: usar un antivirus es necesario y beneficioso, pero por encima de eso, si quieres evitar ser un "paciente 0" y que tu antivirus aun no haya investigado una contramedida, debes usar tu sentido común, evitar correr riesgos, no descargar contenido de sitios no fiables y tomarte tu tiempo para pensar cada vez que aparece una ventana "OK/Cancel" en la pantalla de tu ordenador.]]>