20 septiembre 2012

Algo falla en seguridad

Lo siento pero hoy no quiero hablar de nada técnico, hoy me apetece lloriquear un poco

Cada día nos despertamos con una derrota nueva en las batallas contra el malware. Poco a poco la guerra parece no tener sentido. El número de muestras diarias es incalculable. Las compañías de antivirus no son capaces de analizar cada una de ellas y buscan las mejores formas de solucionar el problema. Soluciones que son insuficientes.

Analistas aplican ingeniería inversa para despiezar cada nueva familia de bichos en millones de trozos y buscar patrones que los identifiquen. Patrones que sirvan para todos ellos y que no requieran que cada mínima variación sirva para evadir su detección. Pero la técnica falla, y no una o dos veces, falla demasiadas. Incluso auto-detectandose así mismos como malware.

Dejas de leer twitter para escribir un correo electrónico y cuando vuelves la mirada, te encuentras con un 0-day en Java que son incapaces de parchear u otro para Internet Explorer que llega a salpicar hasta su más reciente y fortificada versión 9, incluso sobre en el intocable Windows 7 con ASLR.

Aplicaciones programadas por los mejores hackers para automatizar los análisis y las protecciones a todos los niveles: UEFI/BIOS, sistema operativo, aplicaciones, plugins... Nada parece funcionar. 

Ni siquiera Google y toda su fuerza tecnológica ha podido solucionar los problemas en el correo electrónico. Estamos terminando 2012 y aún seguimos recibiendo  phishings de paypal, o de cualquier otra entidad.


Pero como no recibirlo, si cualquiera puede mandar estos correos, comprando en el mercado negro kits para explotar vulnerabilidades e infectar equipos. Vulnerabilidades, que por cierto, son implantadas antes en estos frameworks de fraude que parcheadas por los fabricantes. Tal y como ha ocurrido con el último fallo de Java.

La seguridad perimetral parecen unas rodilleras para saltar desde el Empire State Building. 

Fabricantes con un increíble prestigio en seguridad como F5 son pillados en renuncios ridículos. Tecnología de seguridad que puede ser esquivada de 150 formas distintas. Consultoras especialistas, contratadas por el gobierno como compañías punteras, son penetradas con una vulnerabilidad de hace 10 años.  Empresas que deciden fumarse con papel reciclado vulnerabilidades reportadas hace 13 años.

¿Y nos sorprende lo que hace anonymous? Analizándolo fríamente, es incluso poco.

Por cada iniciativa que busca soluciones innovadoras a los problemas de forma defensiva, tal y como hacen en Bluehat Prize Contest, nacen tres empresas dispuestas a vender vulnerabilidades a un cuarto de millón de dólares o concursos que premian al hacker más rápido en hacer saltar por los aires la seguridad de un navegador. El fin podría ser el mismo, mejorar la seguridad, pero ¿lo es?

Es mi sensación o ¿el avance en materia de seguridad es demasiado lento?

16 comments :

Madrikeka dijo...

Yo estoy pensando en hacer una mini-auditoría de unas aplicaciones internas que han hecho mi compis (si me dejan, claro!, esa es otra) y me da palo, por que no quier saber los fallos que me puedo encontrar, solo con deciros, que la pagina de acceso donde metes el usuario y contraseña, también tienes el botón para cambiarla.....os digo todo (el día que vi ese botón, me sangraron los ojos) y se supone que estoy en un sitio grande donde se deberían preocupar de estas cosas....pero a la gente, solo le importa mas la seguridad de imagen, que la real.
Y nada, algún día nos llevaremos un susto!

Luis Alejandro dijo...

Totalmente de acuerdo contigo, el ciclo de la
Vulnerabilidad se ha vuelto un lucrativo negocio donde ya no es claro si las compañias de seguridad realmente quieren resolver los problemas de fondo, o simplemente prefieren mitigar los sintomas! Parecido a lo que hacen las farmaceuticas con la salud de las personas.

Oscar Calvo dijo...

Al contrario, deberíamos alegrarnos de que la cosa este así, sobre todo para los que nos dedicamos al mundo de seguridad. Menos lirirli y más lerele. Ya está bien de realizar implementaciones por las pinzas o de gastar el doble en marketing de productos que en el desarrollo del propio producto.
Si las empresas necesitan gastarse más en seguridad (desde el fabricante hasta el cliente) que se lo gasten. Hasta que la seguridad no tome la importancia que se merece y se siga viendo como algo "secundario" para la mayoría de las empresas, seguiremos viendo este tipo de incididentes.

Ignacio Agulló Sousa dijo...

¿Puedo resumir tu artículo en una frase? "Aplicaciones ofertadas >> aplicaciones con mantenimiento decente de seguridad".
Ya que estamos en ello, ¿qué sería un "mantenimiento decente de seguridad"? Pues en mi opinión sería aquélla mítica frase de "10 fucking days" (10 jodidos días) para remediar cada vulnerabilidad descubierta. Despidieron al que la dijo, pero tenía toda la razón; a lo mejor el motivo del despido fue la palabrota.
Por eso vamos a seguir necesitando SecurityByDefault y demás sitos de seguridad, para estar informados de la clase de mantenimiento de seguridad que tienen las aplicaciones. Este mantenimiento es la línea que separa los productos de primera línea del resto.

sddsgsd dijo...

Hola!!!! porque no hablais del mega fallo de IE??? Que opinais de la recomendacion alemana???? Es como vuestra recomendacion sobre el fallo de Java!!

http://www.europapress.es/portaltic/software/seguridad-00646/noticia-gobierno-aleman-aconseja-ciudadanos-evitar-uso-internet-explorer-20120919144333.html

sddsgsd dijo...

jajaj cuando no interesa poneis captcha y moderacion a segun que IP eh??? que profesionales sois!!!!

sddsgsd dijo...

que pensais sobre la reocmendacion alemana??
http://www.europapress.es/portaltic/software/seguridad-00646/noticia-gobierno-aleman-aconseja-ciudadanos-evitar-uso-internet-explorer-20120919144333.html

Simplicius (Not real Nick) dijo...

Lo has contado con la dosis de realidad correcta! El problema empieza en las empresas, tanto las empresas clientes como las que venden soluciones de seguridad o servicios de auditoría (está mal generalizar, pero es así...), todos los días vemos casos muy ridículos. casos que hacen que nos sulfuremos pero aún así no se consigue nada, es una sensación de impotencia, trabajadores que ofrecen soluciones a medida a la empresa en la que trabajan, soluciones realizadas fuera de su cometido o fuera de horas laborales, a coste cero y soluciones muchísimo mejor que la que comprarán a algún fabricante, a esa persona altruista que suele disfrutatar haciendo estas cosas, se le conoce como "el friki", de nada sirve lo que haga, nadie en la empresa se dará cuenta de que su solución no solo es a coste cero sino que es mejor que la que van a comprar. Casos de empleados que sea su función o no, intentan día a día mejorar la seguridad, reportando vulnerabilidades o intentando implicar a otros departamentos para subsanar errores, esos empleados que reportan a sus superiores vulnerabilidades por las que están muy preocupados, porque ellos si conocen el riesgo real y todo lo que podría pasar, con nuevamente considerados como "frikis" y o bien las vulnerabilidades que esa persona afirma que existen no se le da credibilidad o nadie comprueba que realmente sea así o lo que todavía es más alucinante, "se asumen los riesgos", la típica frase de un jefe con nulos conocimientos de seguridad aunque dice trabajar en seguridad desde hace 30 años, frase que muchos de ellos no pronunciarían si en lugar de ir a charlas de F5, Cisco, etc, asistiesen a congresos como la RootedCon (ya no digo congresos internacionales como la Defcon, BlackHat, CCC, etc), pues eso que Alejandro está enfadado y yo creo que multiplico su enfado x4 :D

Un saludo "frikis".

Joseba dijo...

Es muy simple: cambiar las leyes y que los fabricantes de código asuman las consecuencias de su mal funcionamiento. Como en los automóviles.

Felipe Jarenau dijo...

Sí, se ven casos muy ridículos (El caso de F5 por ejemplo).


Pero siendo realistas, también se ven casos muy muy trabados. Casos en los que algunas personas del lado "oscuro" trabajan muy duro para sacarle los colores a la compañía objetivo. Es imposible que una empresa pueda invertir Un Gritón de Dólares en Seguridad de la aplicación o el servicio, ya que, o no saldría en la vida a producción (y no podrían ganar pasta con esto). Al fin y al cabo, el mercado y el cliente es el que manda y si haces algo el segundo ya no vale una mierda tu producto.


Una empresa seria llegará a un compromiso entre seguridad y el "Time to Market" (como les gusta a los comerciales los nombrecitos en inglés...) o simplemente, no será rentable.


Bajo mi punto de vista, si que es motivo de mofa si una empresa cae en ridiculeces como las de F5 o las cagada de MySQL CVE-2012-2122. Pero es comprensible que los productos salgan al mercado para ganar dinero y, al igual que una cámara de seguridad se puede romper de una pedrada, las web de paypal y demás seguirán siendo víctimas de trucos no muy técnicos como phishing.


En resumen, sieeeempre hay alguna forma de romper lo que otros construyen. Y si se quiere vivir seguro al 110% no tenemos que ir al campo a vivir en pelotas con nuestras ovejas.


PD: Buen post. Nunca había escrito tanto en un comentario...

Angel Alvarez Nuñez dijo...

Quizas habria que cambiar el enfoque, un planteamiento nuevo porque en la constante carrera exploit/parche llevamos las de perder un enfoque como el que sugeria Sergio de los Santos en su libro y desarrollar herramientas en esa linea seria mas practico.
Muy buen post Alejandro XD

SiD dijo...

Buenos días Alex.

Creo que muchos aun no hemos interiorizado el rol que juega la seguridad en la eterna lucha tanque/misil.

Creerse misil cuando sólo se es tanque lleva, la mayoría de los días, a sentir un alto grado de frustración.

La historia nos demuestra que sólo hay una cosa más bonita que proteger algo... sitiarlo y conquistarlo. Pero mientras cae la plaza se sigue aprendiendo para proteger la siguiente. Es cansado, sí, pero alguien tiene que hacerlo. Lo importante de todo esto es no cambiar de sombrero. No dejarse llevar por el miedo y la ira ya que, como seguramente sabrás, El Miedo lleva a la Ira, la Ira lleva al... ;)

Para estos días de bajón lo mejor es acordarse de cuando uno no llegaba a los 20 años de edad. Visualizar esa energía y ser capaz de cargarse un poco de ella.

Y sí, la seguridad parece el primo tonto de la familia, apartada de la mesa y comiendo las sobras del día anterior. Pero que se le va a hacer, es un "derivado" del modelo de negocio.

debaja dijo...

es fácil, el malware genera ingresos, la defensa gastos.... así no se llega a ningún sitio, hasta que pase algo realmente gordo, algún sistema de electricidad, gas etc.... o algo en el que realmente se pierda dinero de verdad, no se darán cuenta que la defensa no es sólo gasto también es algo que te puede hacer NO perder dinero.

Román Ramírez dijo...

Creo que aquí está el quid de la cuestión. La seguridad, por mucho que haya evolucionado, se asume como un elemento molesto.


Y como elemento molesto se trata de que moleste lo menos posible.


Así nacen las excusas de "estar alineado con el negocio" (causarle pocos problemas a los que solamente entienden de excel para que ellos no te causen muchos problemas a ti) o "la gestión de riesgos".


Yo cuando veo a los "expertos" en gestión de riesgos que circulan por el mundo no dejo de alucinar. Esta gente, sin entender cómo funcionan los controles de seguridad, se permite el lujo de determinar que la organización está en un nivel de control del 85%. Toma ya.


Pero es que, sinceramente, tampoco les dejan muchos opciones puesto que presentar sistemáticamente informes con todo rojo y "Crítico" escrito en cada casilla es, como poco, garantía de que te pongan en la calle.


¿Cómo hacer que la seguridad mejore? MÁS REGULACIÓN y unas sanciones salvajes.


Que es lo que se hizo con las normativas de incendios o las de seguridad laboral... de otra manera, los genios de la "excel" seguirán "alineados con el negocio" y el ecosistema cada vez más inseguro.

Román Ramírez dijo...

Una excelente idea, necesaria absolutamente. Sanciones.

Román Ramírez dijo...

Es trabajo basura. En vez de dedicarnos a cosas más importantes como puede ser Inteligencia de Seguridad, perdemos el tiempo en chorradas por las que muchos deberían recibir condenadas por responsabilidad.


Vamos, que no quiero que mi carrera profesional gire alrededor de discusiones (siempre iguales) de "por qué no has parcheado este problema que expone a mi organización".


Más seriedad, por favor.