21 agosto 2012

Seguridad en Infraestructuras Críticas: Economía y La Bolsa

Cuando hablamos de seguridad en infraestructuras críticas la mayoría de los lectores enseguida lo asociamos a seguridad en sistemas de control industrial y SCADA, y hay bastante literatura, papers y charlas al respecto, muchos temas de smart grid, depuradoras de agua y demás, pero desde un punto de vista más formal las infraestructuras críticas son mucho más que eso, en su definición, según CNPIC, se incluyen los sistemas de transporte, energía y en general, siguiendo una analogía con SGSI, cualquier "activo" esencial para el "negocio" de un país, entendiendo como ese negocio, “el bienestar de sus ciudadanos”.

Siguiendo esas ideas, y viendo los titulares de cualquier telediario, enseguida todos entendemos la economía como un activo crítico para un país, y si algo hemos aprendido todos en España en estos años de crisis, es que la economía financiera es algo que afecta a nuestro bienestar, y que está "manejada" por algo que llaman "los mercados".

Entonces, si la economía financiera (manejada por "los mercados") es un activo crítico para un país, ¿en qué infraestructuras IT se soporta y como están protegidas?

A poco que busquemos en Google, enseguida vamos a toparnos con que en España "los mercados" están regulados por la Comisión Nacional del Mercado de Valores (CNMV) y gestionados por la empresa Bolsas y Mercados Españoles (BME), empresa cotizada a su vez en la propia bolsa (en el IBEX35 para ser exactos).

Esta empresa dispone de muchas filiales interesantes para todo lo que es la infraestructura IT que hace funcionar nuestras Bolsas, entre ellas: BME Consulting, MEFF y Sociedad de Bolsas S.A. Estas dos últimas son especialmente interesantes en cuanto al tema de mercados e infraestructura IT, pero centrándonos en Sociedad de Bolsas, es la empresa encargada del “Sistema de Interconexión Bursátil Español (SIBE)”, cuya definición viene a ser: plataforma técnica de contratación del mercado de valores español.

Vamos, SIBE es el core a nivel IT de las bolsas en España y en la misma Web de Sociedad de Bolsas ya indican que “El acceso a dicha plataforma electrónica de contratación se realiza a través de los terminales de contratación que ofrece Sociedad de Bolsas ("Terminal SIBE Windows TSW") o a través de Aplicaciones Externas homologadas al efecto”. Y a partir de aquí las “malas ideas” surgen y el tema se pone interesante para los expertos en seguridad IT...

Estas aplicaciones externas homologadas (lista online!) son básicamente las plataformas IT utilizadas por los operadores bursátiles autorizados en sus sistemas (los que vemos en la tele histéricos al teléfono) ..No hace falta buscar demasiado para encontrar algún software descargable desde Internet, incluso más de uno, para uso y disfrute de reversers y researchers interesados. Y claro estas aplicaciones se comunican con SIBE a través de los “SIBE-GATE”.

Llegados a este punto, recordemos que la economía y su infraestructura IT, y esto incluye a las “aplicaciones externas homologadas”, son o deben ser, una infraestructura crítica, y como tal tratados y protegidos, y estoy convencido de que el sistema SIBE es tratado como tal, incluso los “Terminal SIBE Windows TSW” (un fantástico Windows 2000!??) y las redes de comunicación que utilizan, y por supuesto también, las aplicaciones externas pasan algún filtro de seguridad para estar “homologadas” (por ser optimista), pero..

Pero resulta que a su vez muchos operadores bursátiles autorizados extienden todavía más toda la maraña de operación bursátil, desde SIBE pasando por sus “aplicaciones externas homologadas”, hasta digamos los terminales de operación que desarrollan ellos mismos (la mayoría de las veces apps web) y que proporcionan a sus clientes (ósea tú o yo).

Este es el caso por ejemplo de Visual Trader, un proveedor para operadores bursátiles, donde en su web además de otras muchas cosas, te cuentan que disponen de una arquitectura para la operación [figura1], y también de una arquitectura para aplicaciones de terceros que se comuniquen con sus sistemas a través de Internet [figura2] (si es que los demás no lo hacían ya!, claro..) para que así los clientes del operador bursátil puedan operar cómodamente en bolsa.

Figura 1 - Arquitectura de Red para Operación.

Figura 2 - Arquitectura de Red para Clientes vía Internet.

Por supuesto este esquema no es exclusivo de Visual Trader, cualquier servicio online de operación bursátil funciona así, incluso desde tu móvil :)

Aquí hay que recordar al trader Josef Ajram en el programa Salvados de LaSexta, donde cuenta (a partir de 7’40’’) lo fácil y cómodo (=inseguro?) que es para cualquiera operar (=manipular?) desde su casa en los mercados.

No quiero poner en duda los niveles de seguridad de toda esta infraestructura IT en la que se apoyan los mercados financieros, pero sí tenemos claro que esto es una infraestructura crítica, con los niveles de seguridad que eso implica, y con la que se comunican infinidad de otras aplicaciones, ¿donde ponemos la frontera de la misma?, ¿donde deja de ser infraestructura crítica y pasa a ser software de la empresa X sin más restricciones? Y en toda esta maraña de aplicaciones y sistemas ¿Tienen todos unos niveles de cifrado y autenticación acorde a una infraestructura crítica? ¿Hay algún leak de users/passwords :)? ¿Las redes donde se utilizan están suficientemente protegidas? ¿Si le dejamos estas aplicaciones a algún reverser sacará muchos exploits? ¿Podría existir un “stuxnet” adaptado a esta infraestructura?
 
Esto evidentemente abre muchas posibilidades.. digamos que si buscamos (y podemos encontrar) en SHODAN un dispositivo SCADA bastante crítico, también podemos encontrar elementos de esta infraestructura en la que se apoyan los mercados (ejemplos chorras 1 y 2).

Y no pensemos que esto es exclusivamente “made in Spain”, se puede seguir rascando en Google/SHODAN sobre sistemas análogos a SIBE como … NYSE EURONEXT (utilizado no solo en la bolsa de Nueva York),  NASDAQ OMX (utilizado no solo en NASDAQ), el protocolo FIX utilizado en la mayoría de estos sistemas, etc… En sus webs te encuentras de todo, y también esto o esto :)

Y no solo eso!.. También existen aplicaciones de automatización de órdenes, y algunas realmente publican mucha información sobre cómo funcionan... Y más divertido aún!.. los dark pool... mercados “no regulados” (es decir sin una CNMV que marque las reglas) y algunos gestionados por ejemplo por.. siii Goldman Sachs (los que “gobiernan el mundo” según Alessio Rastani)…incluso en España existen.

Es evidente que todos estos sistemas tienen medidas de seguridad, pero... pero la cantidad de vectores de ataque tiende a infinito, y esto hace que los incidentes de seguridad sean como las meigas.. haberlas hailas..
Quizás manipular los mercados (si!, quiero decir hackear) para beneficio propio no sea algo de ciencia ficción.
 
PD: Durante la realización de este artículo no se maltrato a ningún gatito, ni tampoco se ejecutó ningún nmap.

 Artículo cortesía de Daniel Fírvida

11 comments :

Madrikeka dijo...

Me acabas de recordar cuando estuve en el departamento de bolsa de un banco.... todas las noches sacando reportes y actualizando cosas....hasta que llegó mi momento....no recuerdo muy bien como fué....solo recuerdo que yo (técnica informática recién salida del módulo, fue mi primer curro) tenía que decirle a un broker de New York si tenía que comprar o vender!!
Pena no saber mas de informática y seguridad en ese momento...podría haber sido mas divertido!!

[aMc] dijo...

Un artículo súper interesante. Sobretodo porque llevando varios años dentro de este mundillo aun no sabía cuales eran ciertas cosas, como SIBE.

Supongo que la migración de esas máquinas con Windows 2000 acabarán migrando cuando surja algún problema grave y rápido y corriendo.


Aun me acuerdo como hará unos 2 años quitamos una máquina del Banco de España que arrancaba con un disquete con OS/2.

jose dijo...

Lo del nmap no me meto, pero lo de los gatitos se aprecia ;-)
...las ciberguerras están en camino y van a hacer mucho daños, seguro que alguno se toma el artículo como un empujón a ver que cositas se pueden hacer, pero el fondo del mismo pone de manifiesto que "a lo mejor" las medidas de seguridad físicas que tiene el estado deben empezar a balancearse hacia las medidas de seguridad digitales


Un saludo

2kat dijo...

Solo un par de cosillas:
- La alta volatilidad del High frecuency trading, se debe a la naturaleza errática de estos sistemas, que nada tienen que ver con la inyección "natural" de líquido en los mercados, no porque se hackeen, sino porque lanzan aprox. 40.000 operaciones por segundo para intentar coger un margen pequeño y sabiendo de antemano cual a sido la oscilación del precio, (corto/largo). Deslices de contrapartida o "huecos" de contrapartida cuando este sistema lanza muchas compras sin haber ventas, es lo que genera estas caidas o subidas bruscas. (Deberían estar prohíbidos por la naturaleza de funcionamiento de los mismos.). Vergüenza que los gobiernos no se den cuenta de esto.
- Josef Ajram se referia a que es fácil y simple operar desde casa, por el hecho de que tocar y lanzar ordenes desde una plataforma online (la que sea) es relativamente simple. Lo único que haces es poner ordenes de compra-venta -limites y stops. Pero es casi imposible que alguien desde casa puede mover el mercado de forma "peligrosa", primero porque sin cuenta de valores con líquido no lanzas ordenes reales, no llegan al parquet... y luego porque imagino relativa seguridad, no porque tengan buenos sistemas de IT, tu equipo, tu broker, el proveedor de datos (el que envia las ordenes), los registros y filtros reguladores que validan las ordenes (CNMV), sino porque pasan tantos servidores que en algún momento se tiene que quedar una hipotética orden falsa, (Digamos que eres capaz de enviar al mercado 1 millon de contratos falsos) equivalentes a una negociacion de 100 millones de € que és lo que haria falta para "mover" o generar algún "desastre"... Y aunque sea una cuenta simulada, para abrir una cuenta debes asociar datos personales contejados con facturas, direcciones, passaportes y numeros de cuenta bancarios... Seria dificl robar tambien... Aún así, no digo que sea imposible, pero vamos... Lo veo chungo por poco afinados que estén los sistema de seguridad... El desastre llegara antes por la inconsciencia de los ricos que quieren más a cualquier precio y con poder para hacer una cagda semejante, que por activistas revelados contra el sistema...

☠ Dani Martinez ☠ dijo...

Un articulo muy interesante y que alguna vez he especulado con la posibilidad de un ataque a este tipo de infraestructuras en dias criticos como cierres de mercado, compras de deuda, etc, espero que este todo controlado, aunque seguro que no xD. buen articulo tocayo

☠ Dani Martinez ☠ dijo...

esto de que no salgan los gifs es un fail xD

Daniel Fírvida dijo...












Hola 2kat





Si vienes del mundo financiero, tal vez
los controles de seguridad que veas te parezcan suficientes, pero
vente al mundo de la seguridad informática y los incidentes de
seguridad y quizás tu visión cambie


-Si como dices los deslices o huecos en las
High frecuency trading deberían estar prohibidos y sin embargo se
producen los incidentes, es que los controles están fallando, y si
esto es así, alguien puede intentar aprovecharse de ello. No basta
con que los gobiernos los prohíban, los controles existentes tienen que
funcionar.
-Es evidente que no puedes alterar la bolsa desde tu
móvil, pero si pegas una patada a un banner de publicidad y salen 4
brokers online con los que operar de mil maneras distintas (ETF, CFD,
Forex, , materias primas, etc.), es que el sistema se esta abriendo a
muy rápida velocidad a muchos actores nuevos, y cuando haces un
sistema tan abierto, es mas fácil cometer errores o no probar
suficientemente algo. Es evidente que la operación bursátil es
bastante compleja, pero no tienes que pensar en un desastre total.
Los sistemas SCADA también son muy complejos, las infraestructuras
de Sony o RSA también lo eran, hay miles de ejemplos de sitios donde
la seguridad y los controles no solo no se presuponen, si no que
existen pero fallan, y en muchos ámbitos de la seguridad los
expertos advierten de esto. La Bolsa es un sistema muy interconectado
actualmente, y el incidente no tiene pq ocurrir en el Core de ese
sistema (BME por ejemplo), es cuestión de tiempo (o motivación) que
algún broker online tenga algún nuevo susto, eso incluye algún
leak de passwords, con lo que ya podrás hacerte pasar por otro
usuario, y etc, etc, etc. El ejemplo de Knight Capital es muy
esclarecedor de esto, no se trato de un hacker, pero si de un
incidente de seguridad informática con importantes consecuencias para su negocio, el sistema fallo y los controles
no fueron suficientes. ¿Por que no puede producirse el próximo en
IG Markets, BATS o easy-forex.com, que fijo tiene menos medios para
probar sus mecanismos de seguridad que los tienen otros operadores
mas grandes?





Como decía, los controles pueden
fallar, no basta con que existan, tienen que estar correctamente
probados y en sistemas muy interconectados o abiertos y complejos,
mas!, de lo contrario suceden incidentes como los ejemplos del articulo.

Daniel Fírvida dijo...













Gracias tio! :)





Me alegra que te gustara el articulo,
yo lo cierto es que no me preocupo pq la seguridad de todo esto falle
un día con un evento importante, me preocupa que falle todos los
días ;)

esbromanoterayes dijo...

Muy bueno, les dejo mis dies.

rafael dijo...

muchas de estas infraestructura ademas de lo que cuenta Daniel estan basadas en una comunicaciones mediante un protocolo FIX o OFX y los agentes se les denomina SAB en algunos paises en el cual la comunicacion entre la bolsa y el SAB es Texto plano, en las versiones anteriores a la 4.0 el sistema de cifrado es bastante basico y ademas tienen una estructura de Session , cryptografia se les puede implementar con ssl , y la magia de su super seguridad la conexion cambia de puerto sub-aleatoriamente (eso es la seguridad de la bolsa) ademas de algunos IDS/IPS y firewalls de Juniper/CISCO/Checkpoint entre otros pero el protocolo en si es totalmente vulnerable a DDoS, buffer overflow, fuzzing, explotación.. e otros.. ;) son infraestructuras el cual son totalmente vulnerables, y eso deberia preocupar no queremos que la crisis se extienda ;)

curropar dijo...

Hola,

He trabajado entre 2005 y 2011 en una empresa miembro de SIBE (es decir, que opera en Bolsa), dando soporte a los sistemas de los traders. Quisiera puntualizar un par de cosas.

Efectivamente, técnicamente todo esto es así. Pero lo cierto es que un particular que se conecta desde casa, ni aun teniendo dinero, puede ejecutar órdenes a la ligera, ya que según la directiva MiFID http://en.wikipedia.org/wiki/Markets_in_Financial_Instruments_Directive los miembros a través de los cuales se ejecutan dichas órdenes están obligados a supervisarlas. El efecto es que, bajo unos parámetros, dichas órdenes se ejecutan directamente en el mercado (que suele ser lo normal), y si los superan, llega a la pantalla del trader (para el mercado español, hay que aprobar un examen, tener un "carnet" de trader y estar dado de alta ante SIBE por la empresa donde operan), el cual la supervisa y la ejecuta, o no. Esto funciona así también para clientes corporativos, aunque obviamente los límites son mayores.

En segundo lugar, los TSW (el artículo que enlazas es de 2002) efectivamente eran Windows 2000. Y digo eran porque en 2009 o 2010 (si no recuerdo mal) se migraron a Windows XP. Vale, no es que fuera un SO nuevo en ese momento, pero oye, mejor que W2K ;D En cualquier caso, estos equipos están físicamente desconectados de cualquier red que no sea la de SIBE: cuando se contratan estos terminales (es obligatorio contratar al menos uno cuando eres miembro de Bolsa), SIBE instala en el miembro 2 líneas dedicadas, 2 routers, 2 switches (por duplicado siempre, por temas de redundancia) y los terminales contratados. Sólo ellos tienen acceso lógico a dichos elementos, y los puertos que no se usan están deshabilitados. La realidad es que estos terminales SIBE no se usan más que en casos de emergencia (algún problema con la plataforma alternativa que usas habitualmente), ya que su software es, de facto, inusable.

En tercer lugar, la Sociedad de Bolsas (que incluye las Bolsas de Madrid, Barcelona, Bilbao y Valencia) es la bolsa que más dificultades pone para operar en el mundo (tengo la certeza de que es la que más dificultades pone en Europa, y me resulta difícil imaginar a los americanos o a los asiáticos poniendo más dificultades). Es una dificultad a tres niveles: normativa, técnica y económica.

Obviando la dificultad normativa (sólo diré que es muy estricta con los plazos de operación y liquidación de las operaciones), la dificultad técnica es una consecuencia directa de la dificultad normativa. Pondré como ejemplo que, operando la empresa para la que trabajaba en todas las plazas financieras europeas importantes y teniendo todos los sistemas integrados, los sistemas que teníamos en el mercado español eran los únicos que diferían del resto.

Y en cuanto al nivel económico, otro ejemplo, verificable por todos: de todas las aplicaciones de terceros permitidas por Sociedad de Bolsa/SIBE (ver el enlace en el artículo), ni siquiera la mitad de ellas están desarrolladas por compañías de software; el resto están desarrolladas por instituciones financieras con una gran solvencia (Santander, BBVA, Merryl Linch, UBS...).

Por supuesto, el sistema es atacable, pero:
- Puede que sea el sistema menos expuesto de Europa.
- Si quieres atacar el sistema para beneficiarte económicamente, te estás equivocando de mercado: ataca las bolsas de Nueva York, Londres o Frankfurt ;)
- Si quieres atacar el sistema para debilitar el país, el que tenga esa "necesidad" seguro que tiene mejores medios: bajar el rate del bono español, decir que no se confía en la economía española... Creo que sabéis a qué me refiero ;)