domingo, 7 de febrero de 2010

RFC 3924: La Intercepción es Legal


¿Puertas traseras incorporadas de fábrica? Uno esperaría que las llamadas “backdoors” fueran obra de crackers con fines obscuros. Pero no siempre es así ya que en el caso que examinaremos, la puerta trasera es una cortesía.

El investigador de IBM (en su división de Internet Security Systems) Tom Cross armó una plática en el BlackHat este año en torno a un mecanismo de intercepción legal incorporada en dispositivos de red Cisco. En varios países, al parecer se les “invita” a estos fabricantes (que unen las entrañas de Internet) a incorporar puertas traseras para que en caso de tener que espiar, ejem, digo, interceptar legalmente a alguien, sea posible hacerlo a nivel paquetes de red y se vaya directo a la entidad legal.

Todo parece indicar que estas backdoors se incorporan en los dispositivos de red que usan los proveedores de servicio de Internet (ISP Internet Service Providers) para que en caso de que haya una orden judicial de por medio, la información sea capturada y enviada directamente a la entidad legal solicitante sin intermediarios. Existe un RFC -3924- que inclusive toca estas cuestiones de intercepción: Cisco Architecture for Lawful Intercept in IP Networks. Por cierto, no sólo la marca Cisco está sujeta a incorporar estos mecanismos sino otros fabricantes de dispositivos de red.

El investigador Tom Cross expuso varias razones por las cuales un atacante podría aprovechar estas “bondades” y usarlas para interceptar ilegalmente un tráfico específico de un ISP. En otras palabras, la puerta trasera de fábrica no está muy protegida que digamos: falta de autenticación robusta en el protocolo SNMPv3 (se emitió un parche para darle solución: CVE-2008-0960, lo tendrán ya instalado?), falta de bitácoras que registren intentos de intercepción y la falta de cifrado forzoso al extraer la información, entre otras debilidades.

Al respecto, leí un comentario de un usuario que decía que “el que nada debe, nada teme”; alguien más le contestó: “en ese caso seguro no tendrás inconveniente en dejar que te instale varias webcams en tu casa”.

Ahora bien, al leer esta noticia me asaltaron algunas ideas que van más allá de los hallazgos de la plática de Tom. ¿Las puertas traseras podrían ser incorporadas en dispositivos de red (ruteadores, switches) destinados a ser vendidos a organizaciones en general? ¿Podría una entidad gubernamental usar estas “facilidades” para espiar a otra entidad extranjera? ¿Tal vez Tom sólo habló de lo que se le permitió hablar? En general consideramos a los fabricantes de firewalls, ruteadores, antivirus, sistemas operativos y de aplicaciones como confiables.

La información, como –espero- sabemos, es valiosa, y un estado valora en demasía la información de estados extranjeros, útil principalmente para seguridad nacional. ¿Podría ser que ciertos sistemas operativos, dispositivos de red o celulares tuvieran mecanismos ocultos de intercepción? No soy yo quien debe responder a estas preguntas, usted qué piensa? Twitter: @FaustoCepeda.

2 comentarios:

Fernando Alameda dijo...

Que tal Fausto.

Este tipo de eventos vienen a confirmar de cierta forma lo que en otros sitios se ha especulado. Que si tal o cual sistema tiene oculto algún mecanismo para espiar a terceros.

Debido a la complejidad de los sistemas es casi imposible saber si lo que se supone deben hacer lo hacen y nada más, o si bajo ciertas circunstancias hacen algo más que nunca nos damos por enterados.

Lo voy a dejar con la siguiente pregunta... si tu fueras una compañia como CISCO o cualquier gobierno, no harías lo imposible por tener una ventaja sobre tus competidores? Que tarde o temprano te descubran y lo enmascares bajo las palabras ¨intercepción legal¨ es otra historia.

Entonces es donde entra en juego la pericia y la paranoia de los profesionales de la seguridad para vigilar más de cerca lo que pasa en nuestro entorno tanto humano como tecnológico.

Saludos!

MC Fausto Cepeda, CISSP, CISA, CISM. dijo...

Coincido. Al comprar hardware y sw de un fabricante (sobre todo extranjero) estás comprando una caja negra. Aquí el factor confianza es cable, porque se confía en que la caja negra hace -únicamente- lo que dice en el manual que hace. Me sorprendería si no lo hicieran así en algunos productos, de alguna forma u otra.
Gracias por el comentario y saludos.