miércoles, 24 de abril de 2013

"Para Spotbros, la seguridad no es una opción, es una obligación"

El primer “input” que muchos usuarios tuvieron de Spotbros fue que era una plataforma de mensajería similar a Whatsapp pero más segura. Y lo aseguraba nada más y nada menos que Enrique Dans. Por eso nos hemos puesto en contacto con la app y hemos realizado esta entrevista a Álvaro Marcos, responsable del equipo de IOS y de la seguridad de Spotbros.

Seguridad Spotbros
Álvaro Marcos, reponsable de seguridad de Spotbros.

Álvaro, "Spotbros es un Whatssap más seguro" ¿Es un buen eslogan para darse a conocer o realmente a los usuarios no les importa demasiado la seguridad?


En las primeras apariciones en los medios, que fueron prensa digital, se habló de Spotbros como el "Whatsapp seguro" y similares. Había habido recientemente varias fallos de seguridad de Whatsapp de los que se hablaba bastante, y en ese momento la comparativa en ese sentido era inevitable y también una buena forma de darse a conocer, sí. La seguridad en Spotbros se ha tenido en cuenta desde el primer momento a la hora del diseño y eso se nota. No sabría decir con certeza en qué medida los usuarios valoran la seguridad como un factor diferenciador a la hora de elegir Spotbros como aplicación de mensajería, pero sea como fuere, nosotros siempre hemos tenido claro que no es una opción: ser seguros es una obligación.

La seguridad es solo unos de los aspectos diferenciadores. Spotbros es más que un Whatsapp seguro, porque tenemos muchas otras funcionalidades novedosas como son el shout, los spots, las aplicaciones, incluso un timeline propio.

¿Falta conciencia ciudadana en relación a la importancia de la seguridad?


El concepto de seguridad en los teléfonos inteligentes está cambiando y va a cambiar más a medida que la gente se de cuenta de que cada vez se centraliza más información privada y sensible en ellos. Cuentas de sus redes sociales, fotos personales, conversaciones privadas, canales de compra con tarjeta de crédito... Todo esto en un dispositivo móvil, que es relativamente fácil de perder, de robar, y que cada vez tiene más conectividad con la red .

Es importante que los sistemas operativos y las aplicaciones sean seguras de por sí, pero es fundamental la seguridad activa y el uso correcto por parte de los usuarios. Creo que sí que falta conciencia ciudadana en este aspecto porque se trata de algo nuevo, en los albores de lo que va a ser. La gente se irá concienciando.

¿Cuáles son esas deficiencias de seguridad de Whatsapp?


En primer lugar, y la más evidente, es que no hay una restricción de quién puede escribirte un mensaje privado por Whatsapp ya que es suficiente con tener el número de teléfono de una persona para poder escribirle. En este sentido funciona de manera similar al SMS tradicional pero con la diferencia de que la persona que te escribe no está gastando ni un céntimo. La diferencia en Spotbros es que se basa en relaciones de amistad, por eso para que un usuario pueda mandar un mensaje privado a otro previamente ha tenido que enviar una solicitud de amistad y ser aceptada, o bien que ambos usuarios tengan el teléfono del otro en su agenda en cuyo caso automáticamente son contactos en Spotbros.

Otro fallo muy sonado era la falta de cifrado en la comunicación con el servidor por lo que las conversaciones se enviaban en texto limpio y eran potencialmente visibles para terceros en redes WiFi públicas, pero eso ya lo arreglaron. En Spotbros todas las comunicaciones se cifran con AES256-GCM, un algoritmo de cifrado muy fuerte.

Finalmente el sistema de autentificación de Whatsapp, al no basarse en el binomio nombre de usuario y contraseña, aunque muy cómodo para el usuario, ha demostrado ser un coladero constante. Hasta hace poco era bastante trivial suplantar una cuenta de Whatsapp en un teléfono debido a que los datos para la autentificación eran el número de teléfono, y el IMEI o la dirección MAC de la interfaz WiFi, datos fáciles de obtener desde el propio terminal. Recientemente han hecho algunas mejoras en el sistema de autenticación pero el problema de concepto sigue estando y no me extrañaría que vuelvan a dar que hablar en el mal sentido. En Spotbros el usuario tiene un nombre y una contraseña escogidos por él mismo, y mientras esta información se mantenga en su privacidad, no hay vulnerabilidad posible.

¿Cómo las habéis detectado y cómo las habéis evitado en vuestra plataforma?


Como decía, en Spotbros tuvimos en cuenta todos estos aspectos desde el inicio del diseño. La autentificación basada en usuario y contraseña, el cifrado, las relaciones de amistad, y el borrado de cualquier información en un máximo de 30 días en los servidores, son los pilares de la seguridad en Spotbros.

Se prevé que el malware móvil sea uno de los que más crezca en 2013, sobre todo en Android. ¿Estáis preparados para ello?, ¿cómo?


Creo que nadie está preparado al 100% para eso porque en última instancia vas a depender de la seguridad del sistema que subyace por debajo de ti, en este caso el sistema operativo Android. Aún así la práctica más segura es hacer las cosas basando lo menos posible la seguridad en el sistema subyacente, para ser menos vulnerable, y eso esa es la filosofía que seguimos en Spotbros. Pero es importante entender que al final la seguridad activa y el sentido común en el uso es la mejor medida: no acceder a sitios web sospechosos, no instalar aplicaciones que se reciben por correo electrónico, no ser objeto de hack social... básicamente aplicar lo que ya hemos aprendido en el uso del PC al móvil, porque al final viene a ser lo mismo.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian

viernes, 19 de abril de 2013

Resumen semanal de seguridad online y vulnerabilidades web (II)

1. Ataque masivo a las webs Wordpress


Una botnet (conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática) con más de 90.000 servidores estaba siendo utilitada para adivinar el nombre de usuario y la contraseña y acceder al administrador de las webs hechas con wordpress.

Se trata de un ataque de “fuerza bruta” que provoca problemas en los blogs infectados, que pueden haber visto cómo el usuario no podía acceder a su panel de administración o cómo, si lograba hacerlo, la página iba lenta.

2. Un hacker de Bangladesh hackea Google Kenia


Además de los dominios de keniatas de empresas como  Dell, Skype, HP, Youtube, LinkedIn, Bing, Microsoft y otros. Parece ser que el hacker ha comprometido algunos servidores  DNS  (se postula que los del registrador de dominios .ke) para que los visitantes de Google en Kenia fueran redirigidos a otra página. No es la primera vez que este hacker actúa contra grandes empresas, y tampoco es la primera vez que este tipo de ataque se utiliza. Las páginas webs de Google en varios países ya fueron atacadas anteriormente con este sistema.

3. China y Estados Unidos son los países que más ataques DDos generan
 

Sólo entre dos países, China (35%) y Estados Unidos (28%), generan más del 60% de los ataques DDos (ataque de denegación de servicio, Denial of Service en inglés) en el mundo.  India, Brasil y Rusia le siguen en este ranking de generadores de DDos que ha elaborado la empresa Prolexic. En el tercer trimestre de 2012, el número de ataques se incrementó un 88% y también aumentó considerablemente la magnitud de alguno de ellos.



Ataques DDoS distribuidos por países
Fuente: Fuente: Blogs.eset-la


4. Los 10 fallos web más habituales de las aplicaciones web


Vía Inteco, nos llega la información sobre el top ten de Owasp (Open Web Application Security Project), la lista de los diez fallos de seguridad web más comunes en aplicaciones web, que además permite ver cómo estos fallos han ido evolucionando desde la primera edición de la lista en 2004. En 2007 hubo una segunda lista y en 2010 otra. La lista de 2013 no ha cambiado mucho respecto a la de 2010.



Tabla de la evolución de las vulnerabilidades web
Fuente: Owasp.

Este trabajo permite ver cómo hay fallos que se repiten desde 2004, como es el caso de los fallos de inyección (Injection Flaws), que escalan puestos en la lista. También ha crecido la importancia de la  gestión de sesiones y los problemas de autenticación (Broken Authentication and Session Management) y las configuraciones por defecto o la falta de parametrización segura de las aplicaciones web (Security Missconfiguration). En cambio, los XSS (Cross-Site Scripting)y la falsificación de peticiones entre sitios (Cross-Site Request Forgery –CSRF) parecen haber perdido importancia.

Para más información puedes consultar el informe completo aquí.

5. Java corrige 42 vulnerabilidades


Java ha corregido 42 fallos de Seguridad, la mayoría de ellos críticos, en su nueva actualización, además ha mejorado los mensajes de seguridad y ha quitado algunas opciones de seguridad peligrosas que no servían para nada. Los detalles los tenéis en este post de Sergio de los Santos en Unaaldia de Hispasec.

martes, 16 de abril de 2013

Sergio de los Santos: "Es necesario auditar la web si la empresa quiere que no se la desfiguren"

"Todavía el usuario piensa que no hay nada que interese en su ordenador y que el malware es un juego".

"El crimen en internet es la tercera fuerza lucrativa detrás de la prostitución y el tráfico de drogas".

"Para una empresa que aloja una página y no quiere que se la "desfiguren" o roben los datos, es necesario auditarla".

"No hay recursos suficientes para plantear una seguridad seria. O bien se dejan las auditorías a medias"

Son algunos de los titulares que nos deja esta entrevista con Sergio de los Santos, ingeniero técnico en informática de sistemas, certificado CISA y Auditor PCI (Qualified Securit Assesor). Coordina varios servicios en Hispasec y es el responsable del boletín diario de seguridad más veterano en español, una-al-día. Veamos la entrevista al completo:

Sergio de los Santos, experto en Seguridad Online
De los Santos, experto en Seguridad Web.

 

Eres consultor de seguridad en Hispasec, y posees más de 10 años de experiencia en el ámbito de la seguridad online  y, de hecho, eres el autor del/anuario "Una-al-día: 12 años de seguridad" y "Máxima seguridad en Windows: Secretos Técnicos"  ¿Cómo dirías que ha cambiado la seguridad online en esta década? En concreto, ¿se han perfeccionado los ataques?, ¿también se ha mejorado la defensa, o sea, la seguridad?


Hace 10 años la seguridad se centraba en el perímetro. Se intentaba sobre todo proteger a los sistemas que daban la cara a internet (correo, web, DNS...). Las empresas hablaban de VPN, DMZ, red perimetral, y los ataques llegaban por el compromiso de los servidores. Hoy en día esto sigue ocurriendo, pero después de tanto tiempo centrándose en este tipo de seguridad, y la aparición de la nube (trasladar los servicios a terceros y evitar los servidores propios), el malware que afecta a este tipo de sistemas y los atacantes, lo tienen más complejo.

A medida que avanzaba el concepto de web 2.0 y la nube, la "acción" se traslada al navegador del usuario, desde donde se abre la ventana al mundo y, por tanto, a los peligros. Ahora el problema está en los ataques directos al usuario en la red interna, y  estos suelen venir a través de los programas que utiliza y que son ahora los que "dan la cara" a internet. Así para un atacante es mucho más sencillo enviar un fichero adjunto o invitar a la víctima a que visite una web con un navegador vulnerable, que eludir toda la seguridad del perímetro.

Por tanto, los ataques no es solo que se perfeccionen, sino que acuden al punto más débil, y siempre funcionan (como la naturaleza) en función de la ley del mínimo esfuerzo que habla de que, si el objetivo concreto no te importa, debes ir a por los que menos "energía" conlleven.

La seguridad ha mejorado en el sentido de que ya hay objetivos son más complejos de conseguir, pero en contraposición se han añadido nuevos huecos que están aprovechando. Por tanto, aunque en diferente configuración, en suma no ha mejorado mucho.

Lo que sí han mejorado sustancialmente es el nivel técnico del malware.

En una entrevista reciente, hablas de la mafia y la industria del malware. ¿Somos conscientes de ello?


No. El usuario todavía piensa que no hay nada que interese en su ordenador y que el malware es un juego. Nada más lejos de la realidad. En su ordenador hay o bien contraseñas, o bien datos o bien recursos. Las contraseñas son vendidas, los datos secuestrados (puede que no interesen al atacante, pero seguro que le interesan al dueño...) y los recursos explotados. Cada ordenador es interesante, aunque parezca que no tiene nada.

Y por supuesto, todo esto se engloba dentro de una economía con una vida propia. En estos momentos, según la policía, el crimen en general en internet es la tercera fuerza lucrativa detrás de la prostitución y el tráfico de drogas.

¿Qué hay que hacer para evitar que los hackers exploten las vulnerabilidades de una web?


Para una empresa que aloja una página y no quiere que se la "desfiguren" o roben los datos, es necesario auditarla. Adelantarse a lo que intentará el atacante, pero realizado por una empresa contratada y con la confianza de que no se hará daño.

También concienciar a los administradores y usuarios, puesto que junto con la web en sí, serán el objetivo. Por ejemplo un atacante podrá intentar, en vez de atacar a la web directamente, entrar en el equipo personal del administrador y robarle le contraseña. De hecho estos son los métodos más usados.

Para evitar que un usuario quede infectado por los atacantes, es necesario fundamentalmente:
  • Actualizar todos los programas en cuanto es posible.
  • Bastionar los programas activando sus opciones de seguridad. Informarse de cómo hacerlo y de qué protegen.
  • Conocer qué nuevos programas están siendo atacados y cómo protegerse, estar al tanto de las noticias al respecto.

¿Crees que existe suficiente conciencia entre las empresas con web sobre  la necesidad de proteger su página de los ataques?


Sí, pero no hay recursos suficientes para plantear una seguridad seria. O bien dejan las auditorías "a medias". Sería necesario una concienciación global y una auditoría a todos los puntos de la cadena. Dejarlo a medias significa que el atacante irá por el punto más vulnerable.

¿Crees que se realizan suficientes escaneos de vulnerabilidades en las páginas web?


No. Es necesaria una auditoría anual y manual, tanto de las páginas web como de los administradores, probando su nivel de concienciación y protección en los equipos desde donde las administran.

Precisamente dejarlo en manos de un análisis "automático" y un escaneo periódico es la garantía del fracaso.

¿Qué vaticinas para el año 2013?, ¿por dónde atacarán los hackers?


Seguirán las grandes fugas masivas de datos desde empresas reconocidas, como ha venido ocurriendo en los últimos dos años. También continuarán los niveles masivos de infección de malware (en torno al 50% de los Windows españoles).

Parece que el marcado del móvil será el siguiente objetivo. Crece más que el de sobremesa, y allí donde los usuarios naveguen, estará la amenaza.

....

Web de Security Guardian: http://www.security-guardian.com/ 
Linkedin de Security Guardian: http://www.linkedin.com/company/security-guardian
Twitter de Security Guardian: @securitguardian