domingo, 26 de septiembre de 2010

En Casa del Herrero: Azadón de Palo


¿Pensaba desgarrarme las vestiduras y poner el grito en el cielo? Nada constructivo; así es que mejor tratar de verlo con el cristal de “lecciones aprendidas”, no vaya a ser que un día hasta a mí me pase, cierto?

Tenemos al US-CERT, cuyo About us dice que: “is charged with providing response support and defense against cyber attacks for the Federal Civil Executive Branch”. Uno esperaría que este US-CERT fuera “punta de lanza” en cuestiones de seguridad que por cierto, forma parte del Department of Homeland Security.

Recientemente le hicieron una revisión a sus sistemas. Encontraron “202 huecos de seguridad críticos” debido a falta de parches (el 93% de estos huecos estaban en las aplicaciones y el restante fueron parches del sistema operativo). Ahora ya me entienden el título de “En Casa del Herrero…”: una agencia encargada de proteger pero ella misma está “desprotegida”.

Y pongo desprotegida entre comillas; no sabemos los controles compensatorios existentes o la criticidad de los sistemas involucrados. En fin, les ofrezco las lecciones aprendidas de este caso desde mi punto de vista:

+ Si eres de “los de seguridad”, protégete. El asesor financiero lleno de deudas, el bombero sin extinguidor en casa o la patrulla que se pasa el alto (en otros países, claro). La lección es que si eres de los “de seguridad”, pues debes de servir de ejemplo de lo que “debería de ser”. Aplica las medidas y controles que quieres que los demás apliquen y sigue las políticas de seguridad. Suena obvio pero no siempre es así.

+ Mantenerse actualizado es difícil. Tener la infraestructura al día en cuestión de últimos parches y últimas versiones es un infierno. Nuevas versiones de Adobe Reader y Flash, parches de Windows y Unix, service packs de SQL Server…y la lista se incrementa entre más aplicaciones y operativos se tenga. Inclusive algunas aplicaciones se dedican a parchar con el fin de automatizar esta actividad; ciertamente es una ayuda pero igual habrá ventanas de tiempo con des-actualizaciones y sistemas críticos en donde se deba de actualizar a mano y de manera pausada, entre otros “detallitos”.

+ Auto-hackéate. Pentest para jugar el papel del hacker y tratar de penetrar redes y/o sistemas. Lo anterior con el fin de evaluar el nivel de protección y tapar nosotros mismos los huecos de seguridad para evitar un “quemón” externo.

+ Fácil de atacar, difícil defender. Resultaría muy fácil criticar al US-CERT. “Pues qué brutos”, dirán algunos. Sin embargo, estar del otro lado viendo la manera de entrar en una red o sistema es “sencillo”: hay que encontrar un solo eslabón débil. Estar de este lado protegiendo resulta más complicado de lo que parece. En ciertas zonas de provincia donde abundan las hormigas, ¿han tratado de mantener un tarro de miel abierto y “sellar” la casa para evitar que entren hormigas e infesten la miel? Para entrar, una hormiga requiere de un descuido (una puerta abierta), un pequeño orificio no detectado o entrar colgada de la ropa de una persona. La hormiga es el hacker, la miel tu información. Sin hablar de esas “hormigas internas” que pensamos nunca se atreverían a tocar la miel. La lección es no bajar la guardia, dejar de pensar que somos invulnerables y sí tener una sana dosis de paranoia.

+ Bienvenidos los Controles Compensatorios. Existe un riesgo por tener aplicaciones des-actualizadas. Lo mejor sería mantenerlas actualizadas (lo cual no es fácil). Ok. Dadas las circunstancias, ponemos un control compensatorio, por ejemplo usando unos IPS personales o herramientas como SandboxIE. Este es sólo un ejemplo de cómo podemos mitigar riesgos con controles compensatorios que precisamente hacen eso: compensan la pata coja.

+ Administración del riesgo. “Oh! Mira cuántos parches faltan, es un desastre! ¡Cómo es posible! ¡No, no, no!”. Si nos ponemos a gritar “catástrofe” sin siquiera saber qué tipo de debilidades se encontraron, en dónde se encontraron y el impacto real entonces no estamos administrando riesgos y en cambio sí nos estamos orientado al “peor de los escenarios”. Sobre todo en cuestión de nuevas versiones en aplicaciones y parches faltantes en sistemas operativos, quiero ver quién tiene su infraestructura actualizada al 100% y que sostenga ese estado. Para administrar el riesgo de seguridad en las TI, hay que entenderlo, y para entenderlo, lo que se llama entenderlo, no sólo hay que saber cómo funcionan las TI sino (también) cómo un atacante puede ir más allá de las limitaciones impuestas por estas tecnologías.

domingo, 5 de septiembre de 2010

Tomando el Control de tu Automóvil



¿Qué nos viene a la mente cuando pensamos en autos? Una hermosa carrocería con un color llamativo, llantas con rines vistosos y un motor que ruge cuando apenas pisamos el acelerador. Creo que a nadie nos cruza la idea de computadoras, sensores y procesadores, cierto?

Los viejos tiempos. El Modelo T, creado por Henry Ford, era puramente mecánico, cero computadoras. Nada de circuitos, sólo motor. Hasta autos como por ejemplo los vochos todavía son autos autos y tienes que saber solamente cómo arreglar un motor para ponerlo en marcha de nuevo. Una banda por aquí, una bujía por allá, un distribuidor y volilá!

Hoy todo ha cambiado. La vida de la mayoría de los autos de reciente fabricación es regida por las nuevas tecnologías. Este mismo año tuve problemas con mi auto. Fue “la computadora”. Todo empezó con la falla del tacómetro para terminar con jaloneos inexplicables al acelerar. “Son las bujías güero”, me llegaron a decir; y yo feliz porque el costo de reposición era muy razonable. Pero no, de hecho resultó ser “la computadora” y me insistieron “Esto es el principio, si no la cambia, pues un día igual y ni prende”. Sí, tuve que cambiar “la computadora”.

En fin. Entremos en materia. Desde el 2008, los autos en EUA deben de traer ya sensores en las llantas para que manden datos de su presión a la ECU del automóvil (Electronic Control Unit). Al estar en constante movimiento, lo más fácil es transmitir esta información inalámbricamente. Y bueno, aquí mismo podríamos acabar este post porque ya sabes cómo acaba la historia.

La información que mandan las llantas viaja sin cifrar, es decir, en claro. La señal se puede recibir hasta a 40 metros de distancia de cada llanta. Cada 90 segundos el sensor de la llanta manda un “ping” al ECU para informar el nivel de la presión.

Estarás pensando “¿Y eso qué?”. Un grupo de investigadores descubrió que puedes enviar información falsa al ECU, sustituyendo la que mandan las llantas. Lo anterior crea una “confusión” del ECU que a su vez “vuelve loco” al tablero que ve el conductor. Es posible “crashear” el ECU y a veces ni con un reboot es suficiente para componerlo.

Lo anterior se logra enviando repetidamente información de “baja presión” o datos de presión fuera del rango lógico.

Otro vector es que si yo sé el ID de los sensores de tus llantas, podría poner rastreadores en ciertas ubicaciones para saber cuando llegas a un lugar (clubes nocturnos, reuniones políticas, etc.).

¿Nos debemos preocupar por los sensores de presión en las llantas? ¿Volver a los caballos? ¿Comprar autos antiguos para no ser hackeados? No, no lo vamos a hacer. El punto que no hay que perder de vista es la incorporación de tecnología en artículos de uso cotidiano -como los autos- sin que muchas veces se tenga en cuenta su seguridad.

Este mismo año se llegaron a demostrar inseguridades en los autos mucho más peligrosas (que esta de la presión de las llantas) donde se llegó a tomar un control real del auto (deshabilitar frenos, acelerar o impedir apagar el motor).

Entre más crezca la incorporación de procesadores y mini redes inalámbricas que transmitan datos en tostadores, refrigeradores y autos, la exposición a diversas inseguridades será mayor con diferentes consecuencias (finalmente, si logran que mi refri reporte falta de queso oaxaca, no va a ser algo que me quite el sueño). Y para variar, en estos casos como en otros, los fabricantes desean que las cosas funcionen, no que sean seguras. El objetivo es que funcione el envío del nivel de presión de las llantas; si eso se cumple, todo mundo feliz. ¿No es verdad?