22 septiembre 2011

Seguridad y sostenibilidad

El pasado lunes publiqué un post en el Blog de Seguridad de INTECO, en el que introducía brevemente un concepto que creo que en un futuro puede ser una de las estrellas del mundo de la seguridad: la sostenibilidad aplicada a la seguridad de la información. ¿Qué os parece el planteamiento? ¿Qué fallos le veis? Espero vuestros comentarios.

15 septiembre 2011

Agua y seguridad

A veces, me encuentro con personas que ponen cara de extrañeza cuando les hablas de mezclar el mundo de la seguridad informática con el de la seguridad "tradicional". Sin embargo, día tras día surgen ejemplos que ponen de manifiesto la importancia de avanzar en esa fusión.

El último caso lo encontramos en Noruega, en el sistema de suministro de agua potable de Oslo. Parece ser que se podía acceder a través de Bluetooth al sistema de control y suministro de agua, utilizando la contraseña 0-0-0-0. Esa sencilla clave, la segunda clave numérica más utilizada según algunos estudios, permitía que cualquiera, símplemente con un móvil con bluetooth, pudiera acceder al sistema, interrumpir el suministro, alterar la presión... En definitiva, tener el control del suministro de agua de la capital de Noruega.

Este sólo es un ejemplo más de que el mundo físico y el electrónico cada vez están más interrelacionados, y de que ya no basta con la seguridad física para proteger apropiadamente las infraestructuras críticas. No obstante, tampoco debemos caer en la tentación (propia del sector TIC, por otra parte) de pensar que ahora lo que cuenta es la seguridad informática, y olvidarnos de la seguridad física o pensar que las preocupaciones al respecto deben ser menores. La verdad es que no es una labor sencilla, por mucho que ahora contemos con una Ley y un Real Decreto que regulan estos aspectos. Y no por el hecho en sí de balancear ambos mundos, sino por tratar de hacer confluir los intereses de dos perfiles profesionales muy diferentes, que nunca se han entendido y que ahora tienen que trabajar en equipo, superando sus egos y prejuicios. ¿Seremos capaces de proteger adecuadamente nuestras infraestructuras físicas? ¿O la próxima noticia contará alguna historia sobre el riesgo que ha sufrido una capital española? Al menos, esperemos que en ese caso no haya sido por mantener las claves de acceso por defecto...

08 septiembre 2011

Certificados y confianza

La noticia de que una nueva entidad de certificación, DigiNotar, ha sido comprometida ha acrecentado las dudas acerca del sistema PKI y, por ende, acerca de los elementos sobre los que se fundamenta la seguridad hoy en día. ¿Podemos seguir confiando en el SSL, en el "candadito" del navegador? Ayer mismo Hispasec publicaba, en su una-al-dia, una breve pero clara relación de los incidentes de seguridad más importantes sufridos por el sistema PKI en los últimos tiempos, con un mensaje preocupante al final: esto sólo acaba de empezar. ¿La situación es realmente tan preocupante como parece?

En cualquier caso, creo que no estaría de más hacer un pequeño análisis de los últimos incidentes. Del correspondiente a GlobalSign todavía no se sabe mucho, ya que está bajo investigación. También lo está el de DigiCert, pero en este caso tenemos un análisis bastante interesante sobre la intrusión, muy instructivo y recomendable. Del primero de ellos no hay un análisis tan detallado, pero se puede resumir en que el atacante entró en la RA (autoridad de registro) a través de internet, y en ella estaban almacenadas las claves necesarias para emitir los certificados contra la CA (autoridad de certificación).

Viendo los hechos, a mi me parece claro un aspecto: el nivel de automatización y ejecución on-line de todo el proceso es excesivamente alto. Por un lado, porque no se requiere autenticación fuerte basada en token físico (tarjeta criptográfica) para la emisión de un certificado. Por otro, porque tampoco da la sensación de que se requiera la intervención humana expresa para proceder a dicha emisión. Y por último, porque un equipo que sólo actúa una vez al año (como mucho) como es una CA raíz jamás debería estar no ya conectado a la red, sino siquiera encendido.

Dicho esto, no creo que el sistema PKI esté en peligro... pero sí que me parece necesaria una migración rápida a soluciones SSL-EV. Para los profanos, los certificados SSL-EV son los que "colorean de verde" la barra del navegador. El EV significa "validación extendida", o dicho de otra forma, verificación rigurosa de la identidad del solicitante antes de emitir el certificado. Por tanto, no es un cambio tecnológico, sino procedimental: las RAs tienen la obligación de emitir "manualmente" los certificados, ya que se deben verificar un montón de datos para autenticar fehacientemente al solicitante del certificado antes de emitirlo.

Obviamente, siempre será imprescindible cumplir las especificaciones de seguridad que contienen las normas que regulan el mundo de las PKIs... y más si se está certificado en ellas por una tercera parte confiable. Esa tercera parte, que acredita el correcto cumplimiento, es quien garantiza la viabilidad de todo el sistema, y desde mi punto de vista debería ser a quien se exijan responsabilidades si se demuestran incumplimientos importantes no identificados. Es cierto que esto supone una gran responsabilidad para los auditores, pero... ¿Acaso no es ésa su función?