Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

26 octubre 2015

La seguridad de los datos en la nube



Cada vez es más frecuente que las compañías suban sus datos a "la nube". Conviene recordar que esto no es algo etéreo, libre de problemas; sino, como suele decirse: "la nube es tan solo el ordenador de otra persona". Por ello: ¿qué medidas de seguridad es necesario contemplar en este particular entorno?

Cuando una organización lleva sus ficheros a la nube, el responsable de seguridad seguirá siendo aquel nombrado el dueño éstos. Pero aquel ahora delegará muchas de sus funciones en el personal de la compañía Cloud, dado que es ésta la que controla la infraestructura y/o las aplicaciones.

¿Qué riesgos existen en este caso? El más evidente quizá sea no tener la certeza de dónde se guardan los datos. Una compañía europea puede tener, por ejemplo, sus servidores ubicados en la India. Así, se consideraría que hay una transferencia de datos y se debe estar seguro de que se cumple con los requisitos de la LOPD: por ejemplo, comunicar dicha transferencia para que la autorice, en caso de ésta se haga hacia algún país fuera de la UE o de aquellos con nivel de seguridad equivalente (Artículos 33 y 34 de la LOPD; Artículo 29 de la Directiva 95/46/CE, en el Dictamen sobre Cloud Computing 05/2012). No sería aceptable si implica transferir los datos a una localización que no esté entre las aprobadas por la AGPD, a menos que ésta lo autorice expresamente. Lo que incluye Estados Unidos, ahora que está suspendido el Safe Harbour con ellos.

Las medidas de seguridad a implantar dependerán del tipo de nivel exigido por la naturaleza de los datos según la LOPD (alto, medio, básico); y deberán quedar fijadas en el contrato entre el responsable de seguridad y el responsable del tratamiento en la empresa de cloud (art. 12.2 de la LOPD). En cualquier caso, la nube no es muy aconsejable para aquellos datos que tengan que tener un nivel de seguridad medio o alto.

Por otra parte, si la empresa que ofrece el servicio comparte recursos con otras compañías, la información puede quedar comprometida en su confidencialidad y/o en su integridad. También podría verse comprometida la disponibilidad de los mismo si el sistema cloud se cae.

En general, son buenas prácticas, cifrar la información en la base de datos y en tránsito; además de tener un sistema de control de acceso y de autenticación de usuarios. Cifrar también las copias de seguridad y tener una replica segura de datos para que estén siempre disponibles. Se deberán incluir además pruebas sobre la base de datos que verifiquen la integridad de la misma. Y programar auditorías a realizar por un tercero debidamente certificado.

Todo eso debe completarse con acuerdos de confidencialidad que garanticen que no accederá a los datos nadie que no esté autorizado para hacerlo. Y que, al finalizar el contrato, los datos se borran y no quedan copias no autorizadas en ningún sitio. El contrato deberá incluir además una clausula de responsabilidad o algún tipo de seguro en caso de que los datos se pierdan, modifiquen indebidamente, haya alguna fuga de información o se infrinja la LOPD de algún modo. De esto modo, el responsable de seguridad, aún siendo el principal responsable al respecto, podrá repercutir también dicha responsabilidad en la empresa como responsable subsidiario.

Éstas son solo algunas de las cosas a tener en cuenta. Y surgirán más, posiblemente, a medida que la práctica se va generalizando y aparezcan situaciones que antes no se preveían.

Referencias:

- «Almacenamiento Seguro en Nubes Públicas y Privadas». Ponencia de D. Jorge Dávila, en las VII Jornadas STIC del CCN-CERT (documento de difusión limitada).

- «Informe de Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal» de la AGPD:

- «Guía para clientes que contraten servicios de Cloud Computer»:

19 octubre 2015

Seguridad de las bases de datos










Las bases de datos son el último bastión de defensa de una organización frente a los ataques del exterior. A pesar de lo cual, no siempre son percibidas como tal y no se les da la debida importancia. En las bases de datos se encuentran normalmente los activos más valiosos de una compañía: datos personales de mucha importancia, relaciones con clientes y proveedores, datos bancarios y financieros, etc. Pero se tiende a pensar que lo importante es proteger el perímetro y se olvida a veces proteger las bases de datos con el mismo cuidado. 

¿Por qué es esto así? Quizá sea porque la seguridad perimetral, primera linea de defensa, lo es de una manera más activa (filtros, alertas, etc.), mientras que la seguridad de las bases de datos depende más del diseño y cada caso es diferente. Requiere más esfuerzo diseñar pensando en la seguridad que limitarse a aplicar estándares. Esfuerzo que se incrementa si hay que estar pendientes de andar actualizando y poniendo parches cada vez que se descubren vulnerabilidades en los productos utilizados.

Podemos poner algunos ejemplos recientes en los que la seguridad de las bases de datos parece haber sido descuidada:

El primero de ellos es el famoso caso de Ashley Madison: entre los datos filtrados se encontraron documentos que muestran que la compañía era consciente de tener problemas de seguridad que debía resolver.

Otro caso más reciente es el de Patreonal parecer, el acceso y la fuga de datos pudo hacerse porque una versión de la web con un elemento de debug (werkzeug) acabó en producción, fuera del firewall.
Lo peor es que, según la compañía «Detectify», aparecen en Shodan miles de sitios web con el mismo fallo.

Viene al caso, por tanto, hacerse eco de la nota del editor del SANS NewsBites Vol. 17 Num. 077: «It is not possible to expose an application to the Internet in such a way that it cannot be compromised at some cost to the attacker. That said, applications like eBay and Patreon that owe their very existence to the Internet must be held to a higher standard of security than those for which the Internet is merely incidental to their business strategy.».

Podemos concluir diciendo que, como recuerda aquí SANS, si tu negocio es internet, debes cuidar la seguridad en ella con mayor motivo que aquellos para los que internet es solo algo marginal. Y cuidar la seguridad de tu negocio en internet implica, en gran manera, cuidar la seguridad de tus bases datos, que, de un modo u otro pueden quedar expuestas aunque las escondas bajo capas y capas de protección perimetral.

10 octubre 2015

Ciberataques: por dónde van los tiros


Con ese título tuvo lugar un encuentro de profesionales organizado por la Revista SIC , cuyo propósito era analizar la tendencias en malware e ingeniería social y ver qué podemos esperar en un futuro. Para ello, se contó con la colaboración de dos expertos en ingeniería social y malware y de representantes de distintas empresas, cuyo negocio son las herramientas de seguridad, que compartieron con el público su dilatada experiencia en la materia. Al finalizar, tuvo lugar un coloquio entre todos los participantes, al que se unieron representantes de dos CERT españoles, como son el INCIBE y el CCN-CERT.

Ingeniería social y código malicioso

En esta primera parte, Carlos Fragoso y Andrés Tarascó compartieron con nosotros algunas ideas y anécdotas interesantes sobre la manera que tienen los atacantes de aproximarse al objetivo. Por ejemplo, el caso de un alto mando de defensa de Estados Unidos que recibió un correo urgente fingiendo venir de la escuela de su hija, comunicándole un problema (más información adjunta, por supuesto, y en el adjunto ya os podéis imaginar). Un modo ingenioso de llegar a un objetivo protegido, por un camino lateral. Algo que también puede hacer vulnerable a una organización es que se difundan su puntos débiles (por sabotaje o sin percatarse de ello). Carlos ha visto de todo y por eso, no le extraña saber que, además de las personas, otras vías de ataque pueden ser: el propio hardware o el firmware, la virtualización o el uso de estaciones 3G falsas en eventos importantes, entre muchos otros.

No sorprende entonces que Andrés dijera que cada tres meses borra todo su ordenador y lo instala de nuevo. Algo menos precavida es una empresa que reconoció saber que el 100% de las startups que había adquirido estaban comprometidas. Y es que, si tu organización o empresa absorbe a otras, te llevas también en el paquete el desgaste de seguridad de éstas tuvieran. Y si no, que se lo digan a Experian, pensé, recordando este artículo de Krebs

Sus consejos finales fueron: hay que concienciar a los usuarios en un lenguaje sin tecnicismos, "de tú a tú" y "cuidado con el todo gratis" (las cosas gratuitas a veces encierran grandes peligros).



Hallazgos y previsiones de la industria antimalware

Representantes de Blue Coat, FireEye, Fortinet, Kaspersky Lab, Palo Alto, Panda y Trend Micro nos explicaron cómo trabajan sus equipos para compartir inteligencia de ciberseguridad con la comunidad. El juego de la seguridad no consiste solo en comprar "cacharritos": las organizaciones necesitan una estrategia de inteligencia para saber, no solo que está siendo atacada, sino por quién y cómo responder; ya que el malware, por si solo, sin información de contexto, no aporta mucha inteligencia. Pero los expertos son difíciles de encontrar y caros de conservar. Como las muestras de malware van cambiando, es mucho más importante investigar y detener a la gente que hay detrás, cosa que hacen posible estos equipos, mediante su colaboración con las fuerzas del orden de los distintos países.

También nos explicaron algunas de las amenazas y tendencias que han visto en sus investigaciones y lo que piensan que pueda desarrollarse el próximo año. Por ejemplo:

Mucho del malware viene por los anuncios (web ads), con backdoors incluidas en el sitio web que se ejecutan sin conocimiento del administrador del mismo. Ni siquiera hace falta que el usuario haga click en ningún enlace. Solo por aparecer el anuncio, ya te infectas. (Un ejemplo que me viene a la cabeza es el de los sitios de descargas de pelis, infectados con un ransomware que está haciendo estragos en España). El ransomware en general está aumentando y seguirá llegando por fuentes varias. Kaspersky ha puesto a disposición de la comunidad una herramienta fruto de su colaboración con la policía holandesa: https://noransom.kaspersky.com

El 95% de las APTs empiezan por el phishing, con ejemplares que son de diseño a veces muy básico, pero eficaces y que pasan desapercibidos para los antivirus.

Qué podemos esperar: más ingeniería social (dado que funciona), aumento de ataques por el Internet of Things, aprovechamiendo de vulnerabilidades en el software de seguridad, más arrestos de cibercriminales, más ataques a pagos móviles, otro país europeo se añadirá a la lista de los "pillados in fraganti" espiando, se mantendrá la tendencia vista en Sony y Ashley Maddison de entrar a robar datos y diseminarlos para intentar destruir totalmente una compañía.

¿Se cumplirán sus predicciones?

Debate


Recomendaciones realistas de los expertos para que nos preparemos para lo que viene: concienciación continua de los usuarios, pero sin dejarles toda la responsabilidad a ellos; a la concienciación hay que añadir el forzar unas políticas de uso seguro, como tener puestos de trabajo con privilegios mínimos; el concepto de "zero trust" (en español: no te fies ni de tu padre) y asumir que no somos autosuficientes y que hay que compartir inteligencia. Y por encima de todo: asumir que, por mucho que hagamos para protegernos, lo inevitable va a ocurrir y tenemos que estar preparados para reaccionar al respecto, teniendo unos procedimientos bien establecidos y guardando todos los logs necesarios. Un problema habitual es que cuando se va a investigar un incidente, se encuentra uno con que no hay bastantes logs o que se ha limpiado el equipo sin hacer antes una imagen.

Esperemos que todas estas ideas y buenos consejos puedan ayudarnos durante el próximo año a defendernos de los ciberataques que nos esperan.

Fue un placer desvirtualizar a algunos de mis seguridores y volver a charlar con Carlos, a quien tuve el gusto de tener como profe en mi último curso.

Muchas gracias a la Revista SIC por invitarnos a tan interesante iniciativa. ¡Y por guardarme el paraguas olvidado! ;)

Nos vemos en la próxima. Stay safe.