El blog de los empleados
de Telefónica I+D

Autores: Fernando Goicolea, Jose Luis González

Los usuarios de nuevas tecnologías necesitan interactuar a diario con diversas interfaces de control proporcionadas por los distintos fabricantes de dispositivos electrónicos de uso diario como electrodomésticos, dispositivos multimedia o teléfonos móviles. Un buen número de usuarios reales de estas interfaces de control calificarían la interacción con las mismas como poco natural o muy compleja.

El proyecto LifeWear, “Mobilized Lifestyle with Wearables” se basa en la idea de que las interacciones entre personas y dispositivos electrónicos deben ser naturales, sin interfaces externas complejas, y propone mejorar la calidad de vida de las personas mediante la utilización de sensores y dispositivos integrados en la ropa.

LifeWear pretende cubrir un amplio abanico de necesidades entre los usuarios actuales o futuros de dispositivos electrónicos. Uno de los mayores retos del proyecto es desarrollar el uso de la monitorización fisiológica moderna con el objetivo de conocer en tiempo real distintos parámetros sobre el estado de las personas, como el pulso o la temperatura, y en su caso poder llevar a cabo diversas acciones como avisar a las emergencias sanitarias ante un problema de salud importante.

Por otro lado, el proyecto busca ir más allá de la telemedicina y la teleasistencia. Es posible desarrollar sistemas y dispositivos integrados en la ropa que permitan aprender las acciones del usuario en distintas situaciones. Concretamente se explora la posibilidad de utilizar estos dispositivos integrados en la ropa “wearables” en actividades como el entrenamiento deportivo o situaciones de trabajo con un riesgo importante, como en las que se ven involucrados bomberos o mineros por ejemplo. El abanico de posibilidades es muy amplio.

A lo largo del proyecto se llevarán a cabo investigaciones en últimas tecnologías sobre los siguientes campos: dispositivos y sensores integrables en la ropa, interacción Hombre-Maquina (Human Machine Interaction) y Hombre-Computador (Human Computer Interaction), aprendizaje de máquinas, computación ubicua centrada en la personalización, así como privacidad e interacción fluida. Los resultados del proyecto tendrán un gran impacto en la normalización de las tecnologías especializadas en sistemas que se puedan llevar puestos, así como en nuevos métodos de HMI y HCI, aplicables a un amplio abanico de dispositivos, como teléfonos móviles, equipos médicos o sistemas de domótica.

Los resultados de estas investigaciones serán difundidos por toda Europa por medio de las Universidades e Institutos de Investigación participantes en el proyecto.

El proyecto LifeWear reúne a más de 30 socios de distintos países entre los que se encuentra Telefónica PDI, constituyendo un consorcio internacional bajo el amparo de la oficina ITEA2 y el Subprograma Avanza de Competitividad (I+D+i).

Autor: Francisco Jesús Gómez

Un año más, y ya van 3, se ha celebrado en Madrid la RootedCON y el Área de Seguridad de PDI participó en el congreso.

¿Qué es la #RootedCON? Vamos a intentar situar estas jóvenes conferencias que se han convertido en solo tres sesiones en un referente a nivel nacional.

La RootedCON nace el año 2010 y en la web podemos leer:

Rooted CON nació con el propósito de promover el intercambio de conocimiento entre los miembros de la comunidad de seguridad, en particular reivindicando la enorme capacidad de los profesionales hispanoparlantes.

Una de las primeras premisas fue mantener de forma rígida el principio de neutralidad que ha caracterizado cada una de sus ediciones. En Rooted CON pudieron, pueden y podrán hablar y presentar sus ideas los miembros de la comunidad de seguridad, estudiantes, profesionales, empresas, aficionados, fuerzas del estado, hackers y, por qué no, artistas y académicos.

Otra de las premisas es evitar la censura. Mientras se ciñan a los límites de la legalidad, los contenidos no serán nunca censurados y se presentarán con la  profesionalidad y el rigor necesarios; sabemos que nuestros ponentes son profesionales serios, cuyos contenidos merecen ser tratados con todo el respeto.

Y, por supuesto, dos premisas que en realidad son una misma: promover el conocimiento técnico y asegurarnos de que, en todo momento, haya diversión y se disfrute en un ambiente de animación e intercambio.

Una vez estamos situados, vamos a intentar resumir lo más destacado del evento, sin entrar en el detalle de todas y cada una de las charlas. Por supuesto esto solamente son unas pinceladas, os recomendamos ver cada una de las charlas cuando la organización las publique en la web del congreso [www.rootedcon.es].

DIA 1

Comenzó la primera jornada de la tercera edición de la RootedCON con una ponencia de la mano de AlientVault. Se trata de una ponencia de un patrocinador, pero esto no fue óbice para asistir a un charla técnica y de calidad (al menos así nos pareció a nosotros).

Nos presentaron una de las iniciativas que han nacido hace poco del “Lab” de AlientVault. Se trata de un sistema de reputación abierto. Mediante una serie de comprobaciones, alimentan una base de datos de reputación de IPs que actualizan cada hora y que está disponible para quien quiera utilizarla. Entre sus objetivos futuros está ofrecer un servicio, con acceso en tiempo real, para realizar consultas sobre la base de datos sin necesidad de descargárselas.

De este primer día, además de esta primera charla, destacamos el trabajo realizado por Yago Jesús en relación a la situación que vivimos actualmente en cuanto a la gestión de los certificados digitales y en concreto a la oscuridad que rodea a las entidades certificadoras.

Nos presentó una aplicación realmente práctica que nos permite (en Windows) eliminar de nuestro almacén de CAs todas aquellas que no deberíamos necesitar nunca, por ejemplo una CA de Ucrania.

También por la tarde, “Epsylon“, nos mostró las funcionalidades de la herramienta XSSer e hizo hincapié en la necesidad de elevar el nivel de riesgo de los ataques XSS (Cross Site Scripting)… ¿cómo lo hizo? De forma muy sencilla y eficaz, mostrando primero un video con la herramienta mencionada realizando un escaneo masivo en internet y después mostrando algunos resultados positivos en páginas Web con cierto nombre, como por ejemplo portales gubernamentales.

Además de esto, pudimos ver Ingeniería social, Forense a bajo coste y la mala implementación del cliente de mensajería de Google (XMPP).

DIA 2

Llegamos al segundo día y comenzamos con una atropellada charla de Gerardo García Peña, pero muy interesante. El contenido de las trasparencias y la bibliografía (Seis trasparencias) puede servir de referencia para documentarse sobre la Denegación de servicio.

El día fue especialmente “fuerte”, pudimos ver como crear una red de maquinas comprometidas para navegar de forma anónima… o para lo que se quiera. Esta charla la realizó Jaime Peñalba en colaboración con personal de la Guardia Civil (Unidad telemática).

Pero antes de acabar el día Chema Alonso y Manu “the sur” nos mostraron una botnet basada en JavaScript (con ayuda de caché de tu navegador) con la que monitorizaron usuarios en busca de mafias y “chicos malos”. El tercer día Chema y Manu se convirtieron en el cazador cazado!

Además de esto, pudimos ver Hooking en Windows, Hardware Hacking y seguridad domótica.

DIA 3

Llegamos al tercer día y por supuesto las cosas no serían diferentes. La gente de Taddong comenzaron mostrando nuevos ataques basados en estación base falsa (sobre 2G). Las demos que realizan son siempre entretenidas, pocas veces se ve en acción una estación base falsa (sobre todo por el coste que tiene montar el entorno… con su jaula de Faraday incluida).

Después de ver técnicas para realizar ‘reversing’ sobre binarios que han sido “protegidos”, analizar la seguridad que los aviones no tripulados (presentes en el espacio aéreo de cualquier ciudad) o analizar ataques sobre plataformas Android, asistimos a las dos últimas charlas ya con cansancio acumulado… pero con ganas de descubrir las últimas sorpresas.

Antes de ver en acción a Raúl Siles, Manu Quintans y Frank Ruiz nos mostraron su trabajo realizado a la hora de monitorizar y tomar el control.

Para concluir, Raúl Siles liberó en directo una nueva versión de ZAP Proxy con soporte para realizar pruebas con el DNI electrónico. Es decir, poder realizar test de intrusión sobre aplicativos con este soporte. Y además de esto José Antonio Guasch se encargó de revisar el nivel de seguridad de los clientes pesados que interactúan con el DNIe y mostrar sus debilidades.

Por nuestra parte completamos el trabajo expuesto en la edición anterior tratando el tema de la fuga de información (data-leak) desde un Host infectado (perteneciente a una botnet, por ejemplo) utilizando el protocolo DNS. Al igual que en la distribución (mostrada en la edición de 2011), hemos mantenido nuestra filosofía de utilizar en la medida de los posible los servidores DNS del Host, utilizar registros utilizados en la navegación Web (Tipo A y CNAME normalmente) y siempre mantener un tamaño de paquete por debajo del límite permitido por los estándares.

Como parte del trabajo que se ha realizado, en paralelo, liberaremos un laboratorio sobre el que trabajar y poder realizar pruebas que faciliten la detección de esta amenaza en entorno empresariales y de cliente.

Hemos subido el PDF de la presentación que realizamos a SlideShare con algunas modificación en base al feedback recibido en las conferencias.

http://www.slideshare.net/ffranz/rootedcon2012-dns-a-botnet-dialect-carlos-diaz-francisco-j-gomez

Autor: Javier Carbonell

Dados los ratios de crecimiento en la utilización de Internet para la realización de actividades productivas, parece que algo importante hubiera sucedido en el mundo de Internet durante el último año que ha empujado a los usuarios a lanzarse a utilizar este tipo de aplicaciones. Sin embargo, el año 2011 ha sido un año caracterizado por la crisis en cuanto a la situación económica y por el crecimiento de la Banda Ancha Móvil en lo relativo a las TIC, y no parece que estas características sean elementos suficientes que puedan explicar por si solas este crecimiento.

En principio merece la pena la pena destacar dos aspectos a considerar para matizar este crecimiento, por una parte en ciertos casos se partía de ratios de penetración pequeños por lo que incrementos absolutos no excesivamente grandes han supuesto crecimientos en porcentaje bastante elevados; por otra parte, a diferencia con otros informes que hay en el mercado, nosotros recogemos los usuarios esporádicos de los servicios. En otras palabras tenemos en cuenta aquellos usuarios que se han acercado a un determinado servicio porque alguien les ha animado, o simplemente porque han visto publicidad y quieren ver de qué va esto…,  total nada se pierde por probar.

Profundizando y ampliando los datos del SIE2011, observamos que conviven diferentes patrones de crecimiento en la utilización de Internet para realizar actividades.  Estos patrones dependen del grado de madurez de los servicios. Así, la figura 1 muestra dos patrones muy diferentes, uno de una actividad muy consolidada en el uso de Internet como es “Utilización de Internet para organizar un viaje” y otro de otra actividad también consolidada aunque no tan madura como es “Utilización de Internet para realizar compras”

Figura 1: Crecimiento en el uso de las actividades “organizar un viaje” y “realizar compras” según intensidad de uso.

Como se observa son dos patrones de crecimiento casi opuestos. En el caso de “Organizar un viaje”, la actividad está muy consolidada y el crecimiento se produce principalmente basada en los usuarios más asiduos, con grandes crecimientos entre los que utilizan siempre o generalmente Internet para realizar esta actividad, e incluso se produce un descenso en el número de usuarios esporádicos. Opuesto es el caso de los que utilizan Internet para realizar compras, donde aunque todos los segmentos crecen, la mayor parte del crecimiento se centra en el grupo de los usuarios esporádicos que se han animado a probar el servicio.

Sin duda alguna siempre hay una primera vez para todo, y antes de ser un usuario fiel, e incluso un seguidor radical de algo, siempre se pasa esa primera cita en la que el escepticismo es la nota dominante. Si uno se queda con buen sabor de boca, lo normal es que el acontecimiento se vuelva a repetir y vaya cobrando más fuerza, en el caso de no ser así la tendencia será a no volver. Desde este punto de vista, el año 2011 ha sido un año de “prueba” para muchos usuarios respecto al comercio electrónico, esperemos que se hayan llevado una grata impresión y el próximo año se consoliden como usuario asiduos, la respuesta en el SIE2012.

Autor: Luis Cucala

Crece la ceremonia de la confusión en torno de las muy mal llamadas Super Wi-Fi. Aparece una nueva noticia de un despliegue de una de estas lo-que-sean Wi-Fi y los detalles que se describen son cuando menos cuestionables. La noticia es:

SuperWiFi launched in Canada, but it’s not U.S. Super Wi-Fi

Se trata de una red que va a desplegar una empresa llamada Navigata Communications 2009, a través de su subsidiaria kuMobile, y van a emplear una licencia que tienen en la banda de 3,5 GHz. ¡¿3,5 GHz?! pero si eso no es espectro de televisión, no es el Espectro Blanco sin usar por los operadores de TV. Es espectro que entre otras cosas se licenció para WiMax. Si esto suena muy raro, lo que viene luego es mucho más llamativo. La noticia dice:

The kuMobile SuperWiFi network will support the 802.11n standard delivering throughput up to 160 Mbps. SuperWiFi users will be able to access the Internet throughout the city from any standard WiFi-enabled device. Voice, video, data and web browsing will all be supported on a high-speed, low-latency network”

Vamos a “desestructurar” la noticia:

1. Si esa “lo-que-sea Wi-Fi” funciona en la banda de 3,5 GHz, no es estándar 802.11n
2. Esa “lo-que-sea Wi-Fi” no puede dar 160 Mb/sg en una zona de cobertura amplia. Ya lo hemos contado en otras aportaciones a este blog. Lo que no puede ser no puede ser, y además es imposible. Si el 802.11f, un Wi-Fi 11n “tuneado” para funcionar en zonas amplias no puede, menos un 11n normal.
3. ¡Pero cómo se va a poder conectar un usuario con un dispositivo normal Wi-Fi 11n a esa “lo-que-sea Wi-Fi”! ¡Si no funcionan en la misma banda de frecuencia!. El 11n estándar trabaja en las bandas de 2,4 y 5 GHz, pero no en 3,5 GHz

Este tipo de noticias han conseguido incluso “irritar” a la Wi-Fi Alliance, guardiana de la implementación estándar de Wi-Fi y certificadora de todos los productos que llevan ese nombre. Han realizado un comunicado oficial muy esclarecedor:

Wi-Fi Alliance® statement regarding “Super Wi-Fi”

Inaccurate moniker will lead to consumer confusion

Los dos puntos principales de su comunicado son los siguientes:

1. The technology touted as “Super Wi-Fi” does not interoperate with the billions of Wi-Fi devices in use today
2. Today’s deployments in Television White Spaces do not deliver the same user experience as is available in Wi-Fi hotspots and home networks

Palabra de la Wi-Fi Alliance

Aprovecho la noticia del primer condado en EE.UU en instalar una llamada “Super Wi-Fi”, para intentar acotar cómo de súper es esta Super Wi-Fi. Mucho me temo que es un impactante nombre comercial que puede llevar a engaño.

Los proponentes de esta nueva (aunque realmente no demasiado) Wi-Fi le han puesto el prefijo de súper por su gran cobertura. Esto es cierto. Los espacios blancos de TV en las bandas  de VHF/UHF permiten una mayor cobertura que en las bandas tradicionales de 2,5 y 5 GHz usadas por la Wi-Fi convencional. También es cierto que las potencias de transmisión que se permiten, de hasta 4 vatios de potencia radiada equivalente, son superiores a la de la Wi-Fi normal. Estos dos hechos pueden permitir una cobertura importante, siempre y cuando haya espectro blanco disponible, lo que no es tan evidente, tal como comentamos en otra entrada este blog.

Por lo demás, esta Super Wi-Fi tiene poco de súper, al menos si se compara con un buen estándar radio para exteriores. Decíamos ayer:

“El estándar 802.11af es  básicamente una Wi-Fi 11n con ciertos ajustes para funcionar (algo mejor) en entornos de exteriores amplios, donde hay muchos caminos de propagación”

Vamos a entrar en profundidades.

El estándar Wi-Fi (802.11 y variantes) se diseñó como una extensión inalámbrica de la LAN (IEEE 802) para funcionamiento en interiores. En interiores pasa lo siguiente:

• La diferencia de retardos entre los diferentes caminos de propagación es pequeña, de modo que la interferencia entre símbolos (por ejemplo, los datos transportados por una subportadora OFDM) es moderada.
• Por razones similares al punto anterior, cuando se produce un desvanecimiento de la señal, afecta a todo el ancho de banda de la misma (por ejemplo a todas sus subportadoras OFDM). Es lo que se conoce cómo desvanecimiento plano.

Por esta razón, el Wi-Fi con modulación OFDM (11g y 11n) se diseñó con relativamente pocas subportadoras para el ancho de banda disponible, que llevan una tasa de transmisión elevada por subportadora (total, no pasa nada, no hay mucha interferencia entre símbolos),  con pocas subportadoras piloto por frecuencia (total, para qué, el desvanecimiento es plano), y cuando en la capa MAC un terminal se hace con el uso de una trama Wi-Fi la emplea en su totalidad (”si la pillo yo, es para nadie más, da igual si hay otros usuarios en mejores condiciones radio”). La Super Wi-Fi 802.11af hace básicamente lo mismo.
Maravilloso si estamos en interiores, ¿pero que le puede pasar en exteriores si las distancias de propagación son grandes?. Veamos las posibles vicisitudes de la “Super” Wi-Fi:

•  Se producirá mayor interferencia entre símbolos en cada subportadora. Para mitigar esto la Wi-Fi tendrá que emplear un índice de modulación más bajo en cada subportadora (p.e. pasar de 64 QAM a 16 QAM) y reducir así la tasa de transmisión disponible. No es casualidad que las interface radio diseñadas expresamente para funcionamiento en exteriores (cómo DVB-T, LTE) tengan muchas más subportadora, menos espaciadas.
• El desvanecimiento de la señal no será plano, unas subportadoras llegarán bien al receptor, y otras no. Como el transmisor Wi-Fi no tiene ni idea de cuales llegan bien y cuáles no, al mandar todas las subportadoras con la misma modulación, tasa de transmisión, potencia, estará desperdiciando recursos radio; se mandan datos en subportadoras que nunca podrán recibirse bien. LTE “rellena” solo las portadoras que el receptor le indica que va a recibir bien.
• Si un dispositivo “Super Wi-Fi” se hace con el uso de una trama, durante ese tiempo la usará el solito, no importa si otros dispositivos están en mejores condiciones y pudieran usar parte de ese espectro a la vez. En Wi-Fi “nadie pone orden” en distribuir el uso de los recursos radio, ni se puede usar un “slot” temporal a la vez para varios usuarios. En LTE si se puede hacer todo esto.

En resumen, IEEE 802.11af (ya sin súper ni entre comillas) aprovecha la capa física y parte de la MAC de un estándar muy barato, lo que está muy bien, y que permite reusar mucha de la tecnología Wi-Fi existente (lo que también está muy bien, en particular para los dueños de los IPR), pero hay otros interfaces radio que son más súper para exteriores.

Un Super LTE en espacios blancos funcionará mejor.

Autor: Ignacio Berberana

Hace algo más de dos años David Reed (que entre sus credenciales tiene el hecho de haber diseñado el protocolo UDP) causó un importante revuelo (cierto que en círculos más bien reducidos) al indicar y razonar que los problemas de alta latencia de la red 3G de AT&T se debían a un problema de diseño de la misma y no tanto a la proverbial falta de espectro (la secuencia de mensajes se puede encontrar aquí). En concreto el problema se debía, según Reed, al uso de buffers de gran tamaño en las RNCs para evitar las pérdidas de paquetes.

La idea de que el uso de buffers de mayor capacidad, algo cada vez más habitual dado el bajo precio de la memoria, puede llegar a ser perjudicial para el retardo y la congestión en las redes puede parecer algo ‘contra-intuitivo,’ si se me permite la expresión. Pero afortunadamente las causas de este problema, que se conoce como bufferbloat y que afecta también a las redes fijas, están ahora explicadas con mucha claridad en un artículo de Jim Gettys (que fue editor de HTTP/1.1 en IETF) disponible aquí. Por lo que parece, el excesivo tamaño de los buffers confunde a los algoritmos que TCP implementa para evitar la congestión e impide que se informe a tiempo a los nodos que están generando la misma. Como se explica en el artículo, no es un problema que no se conociera o para el que no exista una solución disponible (AQM – Adaptive Queue Management), solo parece que había caído en el olvido.

Autor: Javier Carbonell

Lo único constante es el cambio. Parece un tópico pero sin duda alguna afirmación, de François de la Rochefoucauld y que Heráclito en la antigua Grecia ya nos adelantaba con su “nadie se baña dos veces en el mismo río” (sobre todo si hay pirañas J) puede ser un buen resumen del informe de la Sociedad de la Información que ha sido recientemente presentado por Telefónica

Parecía que iba a ser un año de continuidad, de cubrir el expediente,  dado el elevado grado de desarrollo de algunas variables, y más aún con la crisis económica condicionando nuestras decisiones. Pero no… la velocidad no solo no aminora sino que acelera y se recordará el año 2011 como un año clave en el que se han producido avances de gran importancia tanto cuantitativos como cualitativos.

De todos ello creo que merece la pena destacar el aumento de la Internet productiva, porque tras unos años en los que el ocio ha sido el motor del crecimiento y que el resto de los servicios estaban pero no acababan de entrar a formar parte de la vida de los usuarios, al menos de una forma masiva, esto ha cambiado. Y es que este año mucha gente ha descubierto que Internet es mucho más que películas, vídeos, fotos…, y ha crecido substancialmente el número de personas que han recurrido a Internet para realizar cursos, comprar, relacionarse con las administraciones, en definitiva como herramienta en las actividades cotidianas haciéndolas más productivas. Como coautor del Informe de la Sociedad de la Información de Telefónica, en el presente post voy a poner la lupa en este hecho, ampliando la información para los que se hayan quedado con ganas de un poquito más.

Destaca como este cambio hacia la Internet productiva se ha producido en todas las franjas de edad, tanto en el género masculino como femenino y en todas las actividades (tan solo se ha producido un leve descenso entre los más jóvenes en la actividad de buscar noticias, quizás influido por los nuevos medios como las redes sociales para acceder a información). No obstante, este crecimiento no se ha producido de forma homogénea y en general los crecimientos porcentuales han sido más elevados en el género masculino y entre la población mayor. En el caso de la población mayor (de 65 años o más) destaca que en seis de las siete actividades analizadas el crecimiento es superior al 100%, y tan solo es inferior en la de acceso a contenidos audiovisuales, o sea la única que no se encuadra entre las actividades productivas.

Figura 1: Evolución de la utilización de Internet para la realización de actividades en el segmento de mayores de 65 años 

Fuente: Telefónica

De entre todas las actividades en las que Internet puede jugar un papel importante creo que merece la pena destacar recibir cursos de formación. Todos somos conscientes del  grado de exigencia de la sociedad en cuanto formación y lo importante de este aspecto para sobrevivir en un mercado tan competitivo, por eso especialmente ahora se convierte en una variable clave para poder mejorar la productividad y afrontar una situación económica delicada como la actual. Internet puede ser una herramienta muy interesante en este aspecto por lo que vamos a analizar en más profundidad cómo ha evolucionado la adopción de Internet con este fin. Como se observa en la figura 2, se ha producido un crecimiento muy importante en todos los segmentos de la población en este aspecto. Este incremento es mucho más importante, al menos en números relativos, en el segmento más maduro desde 45 años hasta más de 65, con incrementos en todos los segmentos superiores al 100%.

Figura 2: Evolución de la utilización de Internet para recibir cursos de formación 

Fuente: Telefónica

Se observa por tanto como Internet está entrando en una fase más avanzada y empieza a ser visto por muchos ciudadanos como una herramienta fundamental en su día a día. Destaca además como es esta nueva visión de Internet la que está constituyendo como el motor de crecimiento en los segmentos maduros, muy por encima del consumo de servicios audiovisuales que ha sido el principal motor en los segmentos más jóvenes.

Autor: David Prieto

Thomas Jefferson: “La eterna vigilancia es el precio de la libertad”. Este principio se puede aplicar para la seguridad en la red.

A finales de año es necesario hacer un balance de las amenazas a la seguridad y trending topics recogidos por el grupo de hacking ético durante el año pasado. Esta entrada intenta proporcionar no solo temas importantes en nuestra actividad sino que también presta especial atención a tendencias claves en la seguridad previstas para el 2012 desde la perspectiva de los hackers.

Para mostrar la complejidad y sofisticación del mapa de la seguridad podríamos destacar 5 bloques de seguridad:

• “Context Aware” en Seguridad.
• Trustability
• Difusión de Conocimientos e Innovación: CMD in RootedCON & Foro Seguridad RedIRIS, Escuela de excelencia técnica Telefónica (EET), V Jornadas Seguridad CCN-CERT.
• Colaborar con terceras partes (ISC).
• Servicios “pentesting” para Cloud (Seguridad en TCloud).

Context Aware en Seguridad

Se define contexto como cualquier información que caracteriza la situación de una entidad (persona, lugar, u objeto) que es relevante para la interacción entre usuario y aplicación, incluyendo el ambiente que les rodea. Por tanto, Context-aware en Seguridad es un sistema capaz de utilizar distintas fuentes de información para aumentar la toma de decisiones en seguridad y promover su uso en el desarrollo de servicios.

Trustability

De acuerdo con el tema anterior, debemos cambiar nuestro concepto de confianza y romper con las ideas existentes del mismo. En vez de hablar de confianza (la cual nunca tuvimos), proponemos utilizar trustability, que nos permite proporcionar al usuario o servicios con unos niveles variables de confianza y seguridad dependiendo del contexto.

Difusión de conocimientos e Innovación

A pesar de movernos en el ámbito de ideas en seguridad, en el mundo “interconectado”  de hoy en día es muy importante compartir todas las ideas con tus compañeros para que puedan ser aceptadas. Y ha sido muy gratificante ver como han sido aprobadas en muchos eventos: CMD en RootedCON & Foro Seguridad RedIRIS, Escuela de Excelencia Técnica Telefóncia (EET) V Jornadas Seguridad CCN-CERT.

Colaborar con terceras partes (ISC)

Cuando se trata de temas de seguridad, no hay duda de que si quieres llegar a cualquier tipo de conclusión, necesitas crear estrategias en base a colaborar con terceras partes. En nuestro caso, debido a nuestros estudios del protocolo DNS y su amplia gama de usos, ambos legales y no tan legales, hemos estado en contacto con gente de ISC (Consorcio de Sistemas de Internet, Inc) el cual  ha dirigido a la industria con la más completa referencia de implementaciones estándar de DNS ( BIND).

Pentesting la Cloud (Seguridad en TCloud)

La influencia de los servicios cloud en la política de seguridad de las empresas se está convirtiendo en una pesadilla para un profesional de la seguridad como resultado de ceder control de datos corporativos a la cloud, sobre todo una parte de la cloud que la empresa no controla. Esta situación hace plantear preguntas  sobre la seguridad de la información. Para abordar este asunto en la Plataforma Cloud de Telefóncia, concretamente TCloud, hemos aplicado nuestra metodología de hacking para identificar posibles vulnerabilidades en la cloud Pública de Telefónica y para evitar que un usuario tuviera acceso a la información de otro usuario.

Seguridad IPv6

Y por último pero no por eso menos importante, está la Seguridad IPv6. Como ya se sabe,  el principal conductor para IPv6 es el agotamiento de las direcciones IPv4, pero además de obtener más direcciones IP, IPv6 va a proporcionar nuevas ventajas en una amplia gama de áreas, y la mejora de la seguridad es una de ellas (enfoque estándar y homogéneo). Está previsto que 2012 será el año en el que la nueva generación del protocolo de Internet (IPv6) sea desplegada de forma completa por los ISPs y empresas, por ello es inevitable pensar en el despliegue de IPv6 en las redes de Telefónica y sobre todo, en el nuevo esquema de seguridad.

Autor: Francisco Jesús Gómez

La importancia de la seguridad

Un aspecto fundamental de los servicios en Internet, ya sea a nivel de aplicación o a nivel de red, es la seguridad de los mismos. Actualmente se dedican muchos esfuerzos en este sentido con el objetivo de mantener la seguridad y privacidad de los usuarios en Internet.

Para poder mantener un nivel de seguridad adecuado es necesario realizar pruebas no solo sobre los dispositivos y aplicaciones que nos van a dar acceso a la información, si no sobre cualquier elemento que vaya a manejar la información dentro de Internet.

Existen muchos ámbitos sobre los que se trabaja desde el punto de vista de la seguridad, uno de ellos son las pruebas sobre esos dispositivos que manejan la información. Generalizando, podemos decir que los dispositivos incluyen una pila de protocolos, como por ejemplo TCP/IP.

Los dispositivos pueden ir desde un servidor de Hosting en Internet a un simple robot creado con “Arduino” con capacidad para conectarse a una red de datos.

Además, la llegada del nuevo direccionamiento (IPv6) en Internet le da un nuevo enfoque al concepto de M2M (Machine to Machine) y trae de la mano la capacidad de incluir como dispositivo de Internet cualquier objeto que a priori no fue concebido para tener esta capacidad.

Un ejemplo cercano a muchos de nosotros es cualquiera de nuestros dispositivos capaces de conectarse a redes Wifi (terminales móviles, tabletas, reproductores mp3, etc.). Todos ellos implementan una pila de protocolos capaz de darnos acceso a la red de datos a través de un punto de acceso inalámbrico.

Pues bien, la pila que nos permite hacer esto ha sido probada no solo a nivel de rendimiento y compatibilidad, sino también desde un punto de vista de seguridad. Comprobando su capacidad de soportar posibles “ataques” de usuarios maliciosos u otras amenazas para ser capaz de salvaguardar nuestra seguridad como usuarios del dispositivo.

Para realizar este tipo de pruebas sobre los dispositivos es necesario contar con herramientas que nos permitan modificar a nuestro antojo los datos que intercambiamos con el dispositivos. Existen muchas opciones, pero una herramienta, de código abierto, que desde hace unos años se utiliza para realizar este tipo de tareas es Scapy, y sobre ella hablaremos hoy.

Scapy: ¿Qué tiene de especial?

Según su propia descripción Scapy es una “aplicación interactiva capaz de manejar y manipular paquetes con multitud de protocolos. Permite capturar de diferentes interfaces de red, comprobar en tiempo real parámetros, crear nuevos protocolos, etc. Gracias a sus capacidades es posible realizar de forma manual y automática tareas como escaneos, tracerouting o pruebas de red. Además nos da la posibilidad de crear paquetes mal formados, inyectar tramas 802.11 inválidas o combinar técnicas de forma automática.”

Lo que nos proporciona una base potente para realizar pruebas sobre sistemas de red. Scapy nos permite monitorizar la red como lo hace Wireshark o Tcpdump, implementar pruebas de protocolo, añadir nuevos protocolos sobre los que implementa de forma nativa, implementar pruebas de “fuzzing” sobre los protocolos implementados, etc.

Pero como no puede tenerlo todo, Scapy sacrifica una interfaz intuitiva por una capacidad increíble de ser utilizada como librería dentro de scripts escritos en Python. Es en este punto donde Smart Scapy (SScapy) intenta aportar su granito de arena.

SScapy: Smart Scapy

SScapy proporciona una interfaz gráfica que nos permitirá la creación e inyección de paquetes (en un futuro también la captura) de una forma intuitiva. Incluye un modo que se ha denominado “smart mode” (for dummy users), este modo realiza parte del trabajo de creación de paquetes.

Al nacer dentro de un proyecto de innovación sobre IPv6, es este protocolo el que se ha implementado en primer lugar. La herramienta nos permitirá crear de forma rápida e intuitiva paquetes ICMPv6, añadir Extension Headers, paquetes NDP(Neighbour Discovery Protocol), MRD, DHCPv6 (en un futuro), etc. y modificarlos posteriormente en función de nuestras necesidades.

¿Tu plataforma utiliza IPv6? Quizás estés interesado en evaluar la robustez de la misma con SScapy…

La limitación SScapy la marca el propio Scapy. SScapy solamente soportará los protocolos que Scapy sea capaz de interpretar. La librería QT4 y el propio Python nos servirán de apoyo para dotar a Scapy de todas la capacidades que demandemos.

La interfaz tiene el siguiente aspecto:

El paquete se construye desde el panel izquierdo y se muestra en el derecho. Debajo de los controles de envío de paquetes obtendremos información sobre el envío y la construcción del paquete.

Haciendo uso de diálogos auxiliares se pueden añadir información sobre las capas y sus atributos. Por ejemplo registros DNS en una posible respuesta:

SScapy permite incluir como valor de los atributos, funciones nativas de Scapy. Esto nos ayuda a realizar algunas pruebas de “fuzzing“:

Una vez que tenemos la primera versión, pre-alpha, con ciertas capacidades sienta las bases para poder añadir funcionalidad poco a poco y en base a nuestras inquietudes/necesidades. A grandes rasgos, los siguientes pasos que tenemos escritos en el “roadmap” son:

1. Incluir nuevos protocolos.
2. Dar la capacidad a la herramienta de actuar en modo servidor. Siendo capaz de interactuar con la red en base a las comunicaciones activas y permitiéndonos crear pequeños “falsos” servidores.
3. Implementar ataques conocidos para poder ser reproducidos de forma “sencilla”.
4. Un pequeño “Wizard” para la creación de capas (”layers”) para integrarlas sobre el propio Scapy.

Sobre qué pilares estamos trabajando

• Planteamiento abierto: Scapy es un framework abierto que nos permite tener la garantía de poder hacer crecer el proyecto, tanto por nosotros como por la comunidad.
• Una herramienta que surge de una necesidad: SScapy nace de una necesidad interna y se convierte en una solución que puede servir para otros muchos.
• Participación: SScapy esta siendo posible gracias al trabajo de investigación enmarcado en la iniciativa de Network and Security, y al equipo de Hacking Ético.