Stuxnet, un “misterioso” virus que ataca los sitios web industriales.

Este malware poco tiene que ver con los virus tradicionales, podríamos estar ante una ciber-arma destinada a atacar infarestructuras sensibles.

Es un programa poco común este que circula desde hace casi un año por Internet. Detectado a principios del 2009 por una pequeña empresa de seguridad Bielorusa, VirusBlokAda, esta nueva modalidad de virus ha dado mucho que hablar a los expertos y eso por dos razones:

  1. Ha sido el primero en sacar provecho de una vulnerabilidad Zero Day que afectaba a los iconos de Windows.
  2. Mas adelante se ha descubierto que Stuxnet explotaba en realidad 3 fallos mas de seguridad de Windows que no habían sido parcheados (dos de ellos lo han sido desde entonces) para intentar infectar el ordenador. Esto es muy raro por parte de un malware.

Eric Filiol experto en seguridad y director del grupo ESIEA declara que: “El código es relativamente clásico pero es interesante desde un punto de visto técnico ya que consiste en un caballo de Troya acompañado por tecnologías del tipo rootkit para hacerlo invisible…Este bichito es desde luego muy persistente ya que además utiliza certificados digitales Verisign robados para hacer pasar por auténticos los drivers de Windows qu necesita para expandirse

A por los sistemas industriales.

Lo que ha extrañado a algunos expertos en seguridad es tanto la calidad del código de este malware como sus objetivos. a este gusano no le interesa el PC de cualquiera, solo está interesado por los sistemas de control industrial: fábricas, centrales nucleares, etc.

Estos sistemas Scada (Supervisory Control And Data Acquisition) son los encargados de la gestión de las mediciones y actuaciones necesarias para el buen funcionamiento de un un sitio de control industrial. Stuxnet sabe elegir a sus víctimas y solo se interesa a los que tiene un programa Scada como WinCC y PCS7 de Siemens y que funcionan bajo Windows.

Estos programas sirven para programar, desde Windows, controladores de lógica programable (PLC) de los mini ordenadores que son los que realmente controlan el funcionamiento automático del sitio industrial. En un comunicado del 22/09/2010 Siemens aseguraba, después de haber estudiado al gusano: “Este no parece ser el resultado de la mente privilegiada de un hacker sino el producto de conocimiento de un grupo de expertos con conocimiento en ingeniería de los controles industriales”.

De tal manera que aunque el gusano haya contaminado decenas de miles de ordenadores en el mundo entero se ha limitado a quedarse dormido en la inmensa mayoría de ellas ya que no le interesaban. Eric Filiol comenta: ” Stuxnet tiene los medios adecuados para analizar los sistemas infecyados y buscar en ellos un serie de criterios que indiquen que se trata de un máquina industrial”. Siemens informa que existe unas 15 fábricas, a nivel mundial, contaminadas por el gusano.

¿Será Stuxnet la primera ciber-arma?

¿Pero para que sirve Stuxnet?

Cuando se descubrió por primera vez, los investigadores pensaron en una nueva forma de espionaje industrial. Después de varias semanas de análisis del código empiezan a pensar de otra manera, y muchos piensan que no se trata de espionaje industrial pero mas bien de una tentativa de ciber-sabotaje.

Los investigadores de Siemens indican que el gusano puede, por lo menos en teoría, influir sobre ciertas operaciones que el PC realice sobre el sistema de control. Esta teoría toma peso gracias a la información  del Christian Science Monitor que publicaba un artículo de Ralph Langner, quien estudió una parte del gusano, y para quien queda claro que Stuxnet es un tipo de ciber-ataque cuyo objetivo está en la destrucción de procesos industriales del mundo físico.

Symantec a publicado un artículo explicando el proceso de infección y en particular como  Stuxnet consigue reprogramar un PLC, siguiendo las instrucciones de los piratas. Básicamente lo hace interceptanto y modificando las comunicaciones entre el ordenador infectado y el PLC.

En resumen, Stuxnet, sería capaz de desnaturar el correcto funcionamiento de un autómata responsable de la gestión de una infraestructura como por ejemplo una central eléctrica. Siemens comunica que ningún edificio industrial habría visto alterada su actividad normal, el gusano que ha infectado unas 15 instalaciones no habría, por lo menos de manera visible, modificado nada en los sistemas.

Buscando al padre de Stuxnet.

Existe un gran revuelo en la red acerca del origen de este gusano. La teoría de Langner, puramente especulativa, ha sido ampliamente difundida estos últimos días. Según el mismo comenta Stuxnet habría sido concebido para atacar la seguridad de la central nuclear de Busher en Iran. Para apoyar su tésis utiliza una captura de pantalla, del 2009, del programa WinCC que muestra un mensaje de error indicando que la licencia de uso ha expirado. Esta imagen está disponible en el sitio web de United Press International.  De esta imagen Langner deduce que se trata de un problema de seguridad de los sistemas de información de la central. Su teoría parece reforzarse con datos de Symantec que indicaba que a finales de julio el 60% de los ataques de Stuxnet iban dirigidos contra Irán.

El contrapunto lo pone de nuevo Eric Filiol: “Un ataque dirigido tiende a ser un ataque discreto. Pero no ha sido el caso de Stuxnet que no  ha atacado solo Irán sino más bien se ha difundido por todo el mundo“.

La única manera de descubrir el origen del gusano es encontrar las primeras conexiones, en esto están los expertos.

Fuente: Blaunia – Noticias de TI

Mutify el programa que permite eliminar la publicidad de Spotify

Mutify permite enmudecer la publicidad automática que Spotify emite entre canción y canción.

No quieres pagar por escuchar música en internet y entonces escuchas la versión gratuita de Spotify. El problema es que tampoco quieres escuchar la publicidad que Spotify Free intercala entre las canciones que emite.

El programa que permite hacer esto se llama Mutify, no suprime la publicidad del flujo emito, no efectúa ningún crack sobre el sistema, simplemente corta el sonido. Una vez instalado (son unos 4,3Mb solo para Windows) el programa se presenta como una pequeña ventana con el botón “Mute this track”

Mutify: Para silenciar las publicidades de Spotify, pulsa.

Lista negra

Cuando la publicidad suena por nuestros altavoces, el programa nos indicará al anunciante y el título del anuncio (de la misma manera que par un extracto de música convencional). Nos bastará con pulsar sobre el botón para que la publicidad se enmudezca a la vez que se almacena en una lista negra. Cuando esta misma publicidad vuelva a sonar el programa la detectará y la enmudecerá.

Para un primer uso tendremos que pulsar sobre el botón “Mute this track” a cada vez que oigamos la publicidad pero a medida que el programa aprenda será capaz de enmudecerla el solo. Es un antispam que identifica sonidos indeseados.

Debemos tener cuidado con no pulsar sobre “Mute this track” durante la reproducción de nuestra canción favorita ya que esta sería catalogada como publicidad y pasada a la lista negra.

Pero: ¿Qué pasa cuando la publicidad está enmudecida? Pues justamente nada: el silencio. En lugar de la publicidad tendremos que escuchar unos segundos de silencio entre canción y canción. Esto nos permitirá justamente reflexionar sobre los modelos económicos de los sitios webs de streaming.

Página web de descarga: Tip-tux

Fuente: Blaunia – Noticias de TI

Seguridad de los sistemas de información – Metodología Magerit (II)

Análisis y gestión de riesgos aplicados a la seguridad de los sistemas de información.

El libro I de la metodología Magerit define la seguridad como: la capacidad de un sistema de información para resistir, con un determinado nivel de confianza, frente a las amenazas que comprometerían la integridad, autenticidad, disponibilidad y confidencialidad de los datos datos almacenados o transmitidos y de los servicios que dicho sistema ofrece.  El objetivo es proteger a la organización valorando los diferentes dimensiones de la seguridad.

Nota: Pensando en la seguridad física y lógica de los sistemas de información creo que podríamos remplazar “los datos datos almacenados o transmitidos y de los servicios que dicho sistema ofrece” por activos ya que los activos son tanto los datos, los servicios pero también el personal y los recursos hardware. Es solo una propuesta y espero vuestros omentarios.


Integridad:

Es la propiedad de mantener los recursos libres de cualquier tipo de modificación no autorizada. La integridad de la información se ve violada cuando un actor (empleado, programa, malware o proceso),  por accidente o mala intención, altera de alguna manera los datos ya sea modificándolos o borrándolos. Toda modificación de la información importante de una organización debe ser autorizada y registrada.
Ejemplo de violación de la integridad lógica: Un empleado despedido se aprovecha de un agujero de seguridad en la extranet de una empresa, entra y altera los datos de contacto de los clientes. El resultado es que ni la facturación ni los mailings llegarán a quien tienen que llegar y la empresa se verá fuertemente desprestigiada.
Ejemplo de violación de la integridad física: Un empleado despedido se aprovecha de un descuido del personal del departamento de sistemas y intercambia varias tarjetas de la centralita telefónica. El resultado es una desconfiguración a bajo nivel de esta y el resultado visible es que la organización pierde la posibilidad de comunicarse con el exterior.

Autenticidad:

Es la propiedad que permite que  no haya duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física.
Ejemplo de violación de la autenticidad lógica: Un empleado despedido se dedica a engañar a los clientes de su antigua empresa enviándoles e-mails en nombre de esta reclamándoles el pago de una factura. El resultado vuelve a ser una grave pérdida de prestigio de la organización.
Ejemplo de violación de la autenticidad física: Una empresa se dispone a contratar a una persona sin haberse asegurado de la veracidad de su curriculum. El resultado puede ser un bajo rendimiento de esta persona lo que conllevará una menos competitividad de la organización.

Disponibilidad.

Es la propiedad que garantiza la disposición de los recursos a ser usados cuando sea necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.
Ejemplo de violación de la disponibilidad lógica: El ordenador del contable de la organización se ve infectado por un virus el día que este tiene que confeccionar las nóminas. La consecuencia es que el programa de nóminas no se puede utilizar hasta que el departamento de sistemas desinfecte la máquina y la consecuencia última es que los trabajadores ven como se retrasa su paga mensual.
Ejemplo de violación de la disponibilidad física: La zona donde se encuentra la empresa se ve inmersa en un corte de energía eléctrica producida por unas obras que han seccionado un cable eléctrico, todos sus ordenadores se apagan de repente. Por no disponer de un SAI y de un generador la organización ve paralizada su actividad.

Confidencialidad.

Es la propiedad que asegura que  la información llegue solamente a las personas autorizadas. La confidencialidad es una propiedad de difícil recuperación. Una violación de la confidencialidad puede perfectamente menoscabar la confianza de los demás actores en la organización que no es diligente en el mantenimiento del secreto. Además estos fallos puede suponer el incumplimiento de leyes y compromisos contractuales relativos a la custodia de los datos.

Ejemplo de violación de la confidencialidad lógica: Una empresa que realiza venta de material de ocasión por internet ve como todos los datos de clientes que se han registrado son accedidos por un ex-empleado que además los cede a la competencia y a una lista de spam. Aquí vemos un claro ejemplo de como la violación de la confidencialidad hace que la empresa no respecte la LOPD.
Ejemplo de violación de la confidencialidad física: No se me ocurre ningún ejemplo ¿Alguno de vosotros tiene una idea?
Todas estas características de la seguridad de los sistemas de información pueden ser necesarias o no, depende de cada organización en particular. Será necesario desplegar recursos (tiempo, personal, dinero) para contar con una o varias de estas características de la seguridad. Estos esfuerzos que la organización va a poner para conseguir sus objetivos no deben partir de la nada y contar con el buen hacer de los profesionales que los desempeñen, es importante que estén racionalizados, esto es el propósito de las metodologías de análisis y gestión de riesgos, de las cuales Magerit forma parte.
Veamos qué es, para Magerit, un riesgo así como el análisis de los riesgos y su gestión.
Riesgo: Es la valoración del grado de exposición a que una amenaza afecta a un activo causando así daños a la estructura de la organización.  Para cada uno de los activos de la organización es importante conocer todas sus características y así poder determinar si son o no de interés para la organización. Una vez este primer paso efectuado podremos determinar en qué medida estas características están amenazadas, esto nos lleva al análisis de riesgos.
Análisis de riesgos: Es el proceso sistemático que permitirá determinar, más o menos, la importancia de los riesgos a los que está expuesta la organización. Sabiendo cuales son las consecuencias podemos tomar decisiones que nos permitirán gestionar estos riesgos.
Gestión de riesgos: Una vez conocidos los riesgos y el impacto que pueden tener en los activos vamos a determinar las salvaguardas que permitan reducir los riesgos conocidos para llevarlos por debajo del umbral de riesgo admisible.
Nota: Debemos tener en cuenta que el propósito de un SGSI es justamente este: reducir los riesgos por debajo de cierto umbra. La seguridad total no existe y si existiese su coste la haría inviable.
Es justamente por este último punto que es importante utilizar una aproximación metódica que permita tomar decisiones con fundamento y explicar racionalmente las decisiones tomadas.

Fuente: Blaunia – Noticias de TI

Seguridad de los sistemas de información – Metodología Magerit (I)

Definición

MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información. Magerit es una metodología promovida por el CSAE (Consejo Superior de Administración Electrónica), cuya finalidad es sistematizar el análisis de los riesgos a los que están sometidos los sistemas de información. Conocer los riesgos a los que están sometidos los activos de una empresa es el primer paso para poder protegerlos. Magerit no propone un método milagroso para eliminar los fallos sino una aproximación metódica que no dependa de la pericia del técnico que realiza el análisis de riesgos. Para la dirección de una empresa el temor a lo desconocido es lo peor y es el origen de la desconfianza en los sistemas de información. Magerit es una metodología que nos permite tener bajo control los posibles fallos de los sistemas de información: es decir sabemos lo que pueden pasar (con mucha, bastante o poca probabilidad) y sabemos que hacer cuando esto ocurra para recuperar lo antes posible la actividad empresarial.

Objetivos de Magerit

Los objetivos son de dos clases: directos e indirectos.

Objetivos directos:

  1. Concienciar a todos los usuarios de los sistemas de información de la existencia de riesgos y de como poder controlarlos cuanto antes. Los usuarios de los sistemas de información son todos los empleados de una empresa, desde el director general al último becario. Todos usan los sistemas de información, todos deben de estar implicados.
  2. Magerit nos presenta un método sistematizado para el análisis de los riesgos de los sistemas de información. Al darnos un marco de trabajo fomenta las buenas prácticas y asegura, a la empresa que lo utiliza, que no está a merced de la pericia del consultor de turno.
  3. Una vez que el análisis a descubierto los riesgos, a los que nuestro sistema de información está expuesto, Magerit nos ayuda a planificar las medidas oportunas  para controlarlos.

Objetivos indirectos:

  1. Una vez que tenemos los riesgos analizados y controlados y nuestro personal formado, Magerit ayuda a la empresa a prepararse para el proceso de certificación, interna o externa.

Entregables de Magerit.

La metodología Magerit permite entregar unos informes homogéneos, entendibles por cualquier profesional. Estos informes recogen las conclusiones del proyecto de análisis y gestión del riesgo. Los entregables son:

  • Modelo de valor: Presenta el valor que tienen los activos para la empresa así como sus interdependencias.
  • Mapa de riesgos: Presenta las amenazas a las que están expuestos los activos que hemos detallado en el modelo de valor.
  • Evaluación de salvaguardas: Este informe nos indica la eficacia de las salvaguardas en relación con los riesgos que intentan minimizar
  • Estado de riesgo: Presenta el riesgo residual de los activos, es decir lo que puede pasar sin las salvaguardas desplegadas no funcionan al 100%
  • Informe de insuficiencias:  Ausencia de salvaguardas que pueden ser interesantes para reducir los riesgo del sistema de información.
  • Plan de seguridad: Es el conjunto de acciones de seguridad que concretan las decisiones de la gestión de riesgos.

Fuente: Blaunia – Noticias de TI