Cybersecurity... is here to stay...


Alguna reflexión sobre los “ataques” de la semana pasada. ¿Podemos aprender algo de lo ocurrido? Seguro que si.

Ha sido una prueba más de que la red no es invulnerable y la verdad es que hay que dudar de si alguna vez lo será.

No es un “ataque” de pesimismo, pero si del realismo con el que los profesionales de la seguridad abordan estos asuntos desde hace tiempo.

¿Nos tendremos que acostumbrar de una vez por todas a pensar en términos de gestión del riesgo y asumir de una vez que el riesgo cero NO existe?

¿Qué la ciberseguridad está aquí para quedarse y nunca será un concepto del pasado?Captura

¿Es tan dramático aceptar esa tesis de partida?

En el mundo NO Digital nadie busca la seguridad absoluta, y a cada paso gestionamos casi de forma automática el riesgo, basados en nuestra capacidad, experiencia y entorno social.

Coger el coche cada mañana para desplazarnos a nuestro lugar de trabajo implica una gestión del riesgo implícita, casi automática, en la que los beneficios de tal acción se ven claramente superados por las amenazas derivadas del uso del vehículo. Esa decisión estará muy determinada por nuestra capacidad al volante, experiencia como conductor y entorno social (seguro que nuestro análisis de riesgo es distinto si conduces en Madrid o en Hanoy ).

El mundo Digital no es muy diferente.

La ecuación nos seguirá saliendo indudablemente favorable al uso de la tecnología en nuestros procesos de transformación digital e igualmente saldremos “a conducir”.

Pero no deberemos descuidar nuestras capacidades, nuestra experiencia y entorno en nuestro análisis del riesgo, ya sea por nuestros medios propios o por medios ajenos (con mayor capacidad y experiencia)

Este ataque parece que ha sido provocado por una red de botnets (miles de dispositivos previamente infectados y controlados para lanzar ataques masivos a un punto en concreto).

Ya sabemos que estas redes de Botnets casi siempre han estado protagonizadas por PCs “secuestrados”, pero en esta ocasión los dispositivos “zombies” han sido dispositivos más básicos, como Routers, o elementos típicos del IoT como cámaras de video etc..

El objetivo fundamental han sido los servicios de DNS (resolución de nombres, y probablemente uno de los grandes talones de Aquiles del diseño de internet) de un gran proveedor de internet como Dyn.

Pero por lo que voy leyendo, hay muchas circunstancias sobre las que reflexionar:

  1. ¿Por qué el proveedor no tenía protegidos convenientemente sus DNSs cuando hay tecnologías y procedimientos conocidos que le hubieran ayudado? ¿Se consideró y/o protocolizó un escenario de riesgo que contemplara un ataque de esas características a sus DNSs, siendo como son un punto crítico para el servicio? Buena oportunidad de aprendizaje !
  2. ¿Por qué grandes servicios o empresas en internet, grandes clientes y compañías, dependen de la resolución de nombres de un solo proveedor? Algunos clientes de Dyn no han sufrido el ataque simplemente porque tuvieron esa precaución. Ha sido especialmente comentado el cuidado que determinados servicios del mundo del porno, clientes de Dyn, han tenido para poder continuar con su operación habitual.  Ellos si tenían redundados sus proveedores del servicio de DNS, mientras que otros “gigantes” por todos conocidos, sorprendentemente no. Mi buen amigo Miguel Vidal (@mvidallopez) publicaba recientemente esta prueba de lo que digo:

fotoMiguelVidal

  • 3.- La gran mayoría de los elementos infectados en esta red de botnets lo han sido por descuidar las actualizaciones de seguridad. Tienen mucho camino por delante para llegar al nivel de automatización y corrección remota de problemas de seguridad que por ejemplo tienen el mundo Windows. A veces es un fastidio? Si. Pero el resultado es que cada vez resulta más complicado comprometer dispositivos correctamente actualizados y configurados como los basados en Windows 10, y el mundo de los routers domésticos o elementos IoT está a años luz a este respecto en cuanto a capacidades básicas de actualización y corrección de vulnerabilidades.

A este respecto recomiendo leer el artículo de Bruce Schneier sobre estos asuntos donde literalmente dice:

 

“Our computers and smartphones are as secure as they are because there are teams of security engineers working on the problem. Companies like Microsoft, Apple, and Google spend a lot of time testing their code before it's released, and quickly patch vulnerabilities when they're discovered. Those companies can support such teams because those companies make a huge amount of money, either directly or indirectly, from their software­ -- and, in part, compete on its security. This isn't true of embedded systems like digital video recorders or home routers. Those systems are sold at a much lower margin, and are often built by offshore third parties. The companies involved simply don't have the expertise to make them secure.

Even worse, most of these devices don't have any way to be patched. Even though the source code to the botnet that attacked Krebs has been made public, we can't update the affected devices. Microsoft delivers security patches to your computer once a month. Apple does it just as regularly, but not on a fixed schedule. But the only way for you to update the firmware in your home router is to throw it away and buy a new one

 

Igualmente, los proveedores de servicios de internet en el mundo del consumo, también tienen, como todos, un gran espacio de mejora y poco a poco deberán ir eliminando esas políticas que dejan en manos de usuarios ciertas responsabilidades en materia de seguridad que no deberían, como p.e. el uso de credenciales de autenticación muy débiles y comunes a todos los routers de sus clientes (Admin, 1234 etc..) o establecer la instalación de routers que permitan al menos una adecuada gestión remota de las actualizaciones de seguridad, para evitar lo que comenta Schneier en su artículo (“But the only way for you to update the firmware in your home router is to throw it away and buy a new one”)

Es decir, como bien apunta Bruce Schenier, compañías como Microsoft llevan mucho tiempo marcando el camino hacia una mayor seguridad en todos sus ámbitos, conscientes de que no hay transformación digital posible desde la falta de confianza en la tecnología. Pero es un camino que todos los  participantes de esta “maraña digital” deberán transitar más pronto que tarde, y muy especialmente (aunque no solo, a la vista de lo ocurrido en este suceso) esos players del mundo IoT para los que la seguridad nunca ha sido un factor esencial sino más bien un gasto prescindible y cuyos dispositivos pueden ser hackeados en tres minutos.


Comments (0)

Skip to main content