El blog de los empleados
de Telefónica I+D

Autor: Javier Carbonell

Lo único constante es el cambio. Parece un tópico pero sin duda alguna afirmación, de François de la Rochefoucauld y que Heráclito en la antigua Grecia ya nos adelantaba con su “nadie se baña dos veces en el mismo río” (sobre todo si hay pirañas J) puede ser un buen resumen del informe de la Sociedad de la Información que ha sido recientemente presentado por Telefónica

Parecía que iba a ser un año de continuidad, de cubrir el expediente,  dado el elevado grado de desarrollo de algunas variables, y más aún con la crisis económica condicionando nuestras decisiones. Pero no… la velocidad no solo no aminora sino que acelera y se recordará el año 2011 como un año clave en el que se han producido avances de gran importancia tanto cuantitativos como cualitativos.

De todos ello creo que merece la pena destacar el aumento de la Internet productiva, porque tras unos años en los que el ocio ha sido el motor del crecimiento y que el resto de los servicios estaban pero no acababan de entrar a formar parte de la vida de los usuarios, al menos de una forma masiva, esto ha cambiado. Y es que este año mucha gente ha descubierto que Internet es mucho más que películas, vídeos, fotos…, y ha crecido substancialmente el número de personas que han recurrido a Internet para realizar cursos, comprar, relacionarse con las administraciones, en definitiva como herramienta en las actividades cotidianas haciéndolas más productivas. Como coautor del Informe de la Sociedad de la Información de Telefónica, en el presente post voy a poner la lupa en este hecho, ampliando la información para los que se hayan quedado con ganas de un poquito más.

Destaca como este cambio hacia la Internet productiva se ha producido en todas las franjas de edad, tanto en el género masculino como femenino y en todas las actividades (tan solo se ha producido un leve descenso entre los más jóvenes en la actividad de buscar noticias, quizás influido por los nuevos medios como las redes sociales para acceder a información). No obstante, este crecimiento no se ha producido de forma homogénea y en general los crecimientos porcentuales han sido más elevados en el género masculino y entre la población mayor. En el caso de la población mayor (de 65 años o más) destaca que en seis de las siete actividades analizadas el crecimiento es superior al 100%, y tan solo es inferior en la de acceso a contenidos audiovisuales, o sea la única que no se encuadra entre las actividades productivas.

Figura 1: Evolución de la utilización de Internet para la realización de actividades en el segmento de mayores de 65 años 

Fuente: Telefónica

De entre todas las actividades en las que Internet puede jugar un papel importante creo que merece la pena destacar recibir cursos de formación. Todos somos conscientes del  grado de exigencia de la sociedad en cuanto formación y lo importante de este aspecto para sobrevivir en un mercado tan competitivo, por eso especialmente ahora se convierte en una variable clave para poder mejorar la productividad y afrontar una situación económica delicada como la actual. Internet puede ser una herramienta muy interesante en este aspecto por lo que vamos a analizar en más profundidad cómo ha evolucionado la adopción de Internet con este fin. Como se observa en la figura 2, se ha producido un crecimiento muy importante en todos los segmentos de la población en este aspecto. Este incremento es mucho más importante, al menos en números relativos, en el segmento más maduro desde 45 años hasta más de 65, con incrementos en todos los segmentos superiores al 100%.

Figura 2: Evolución de la utilización de Internet para recibir cursos de formación 

Fuente: Telefónica

Se observa por tanto como Internet está entrando en una fase más avanzada y empieza a ser visto por muchos ciudadanos como una herramienta fundamental en su día a día. Destaca además como es esta nueva visión de Internet la que está constituyendo como el motor de crecimiento en los segmentos maduros, muy por encima del consumo de servicios audiovisuales que ha sido el principal motor en los segmentos más jóvenes.

Autor: David Prieto

Thomas Jefferson: “La eterna vigilancia es el precio de la libertad”. Este principio se puede aplicar para la seguridad en la red.

A finales de año es necesario hacer un balance de las amenazas a la seguridad y trending topics recogidos por el grupo de hacking ético durante el año pasado. Esta entrada intenta proporcionar no solo temas importantes en nuestra actividad sino que también presta especial atención a tendencias claves en la seguridad previstas para el 2012 desde la perspectiva de los hackers.

Para mostrar la complejidad y sofisticación del mapa de la seguridad podríamos destacar 5 bloques de seguridad:

• “Context Aware” en Seguridad.
• Trustability
• Difusión de Conocimientos e Innovación: CMD in RootedCON & Foro Seguridad RedIRIS, Escuela de excelencia técnica Telefónica (EET), V Jornadas Seguridad CCN-CERT.
• Colaborar con terceras partes (ISC).
• Servicios “pentesting” para Cloud (Seguridad en TCloud).

Context Aware en Seguridad

Se define contexto como cualquier información que caracteriza la situación de una entidad (persona, lugar, u objeto) que es relevante para la interacción entre usuario y aplicación, incluyendo el ambiente que les rodea. Por tanto, Context-aware en Seguridad es un sistema capaz de utilizar distintas fuentes de información para aumentar la toma de decisiones en seguridad y promover su uso en el desarrollo de servicios.

Trustability

De acuerdo con el tema anterior, debemos cambiar nuestro concepto de confianza y romper con las ideas existentes del mismo. En vez de hablar de confianza (la cual nunca tuvimos), proponemos utilizar trustability, que nos permite proporcionar al usuario o servicios con unos niveles variables de confianza y seguridad dependiendo del contexto.

Difusión de conocimientos e Innovación

A pesar de movernos en el ámbito de ideas en seguridad, en el mundo “interconectado”  de hoy en día es muy importante compartir todas las ideas con tus compañeros para que puedan ser aceptadas. Y ha sido muy gratificante ver como han sido aprobadas en muchos eventos: CMD en RootedCON & Foro Seguridad RedIRIS, Escuela de Excelencia Técnica Telefóncia (EET) V Jornadas Seguridad CCN-CERT.

Colaborar con terceras partes (ISC)

Cuando se trata de temas de seguridad, no hay duda de que si quieres llegar a cualquier tipo de conclusión, necesitas crear estrategias en base a colaborar con terceras partes. En nuestro caso, debido a nuestros estudios del protocolo DNS y su amplia gama de usos, ambos legales y no tan legales, hemos estado en contacto con gente de ISC (Consorcio de Sistemas de Internet, Inc) el cual  ha dirigido a la industria con la más completa referencia de implementaciones estándar de DNS ( BIND).

Pentesting la Cloud (Seguridad en TCloud)

La influencia de los servicios cloud en la política de seguridad de las empresas se está convirtiendo en una pesadilla para un profesional de la seguridad como resultado de ceder control de datos corporativos a la cloud, sobre todo una parte de la cloud que la empresa no controla. Esta situación hace plantear preguntas  sobre la seguridad de la información. Para abordar este asunto en la Plataforma Cloud de Telefóncia, concretamente TCloud, hemos aplicado nuestra metodología de hacking para identificar posibles vulnerabilidades en la cloud Pública de Telefónica y para evitar que un usuario tuviera acceso a la información de otro usuario.

Seguridad IPv6

Y por último pero no por eso menos importante, está la Seguridad IPv6. Como ya se sabe,  el principal conductor para IPv6 es el agotamiento de las direcciones IPv4, pero además de obtener más direcciones IP, IPv6 va a proporcionar nuevas ventajas en una amplia gama de áreas, y la mejora de la seguridad es una de ellas (enfoque estándar y homogéneo). Está previsto que 2012 será el año en el que la nueva generación del protocolo de Internet (IPv6) sea desplegada de forma completa por los ISPs y empresas, por ello es inevitable pensar en el despliegue de IPv6 en las redes de Telefónica y sobre todo, en el nuevo esquema de seguridad.

Autor: Francisco Jesús Gómez

La importancia de la seguridad

Un aspecto fundamental de los servicios en Internet, ya sea a nivel de aplicación o a nivel de red, es la seguridad de los mismos. Actualmente se dedican muchos esfuerzos en este sentido con el objetivo de mantener la seguridad y privacidad de los usuarios en Internet.

Para poder mantener un nivel de seguridad adecuado es necesario realizar pruebas no solo sobre los dispositivos y aplicaciones que nos van a dar acceso a la información, si no sobre cualquier elemento que vaya a manejar la información dentro de Internet.

Existen muchos ámbitos sobre los que se trabaja desde el punto de vista de la seguridad, uno de ellos son las pruebas sobre esos dispositivos que manejan la información. Generalizando, podemos decir que los dispositivos incluyen una pila de protocolos, como por ejemplo TCP/IP.

Los dispositivos pueden ir desde un servidor de Hosting en Internet a un simple robot creado con “Arduino” con capacidad para conectarse a una red de datos.

Además, la llegada del nuevo direccionamiento (IPv6) en Internet le da un nuevo enfoque al concepto de M2M (Machine to Machine) y trae de la mano la capacidad de incluir como dispositivo de Internet cualquier objeto que a priori no fue concebido para tener esta capacidad.

Un ejemplo cercano a muchos de nosotros es cualquiera de nuestros dispositivos capaces de conectarse a redes Wifi (terminales móviles, tabletas, reproductores mp3, etc.). Todos ellos implementan una pila de protocolos capaz de darnos acceso a la red de datos a través de un punto de acceso inalámbrico.

Pues bien, la pila que nos permite hacer esto ha sido probada no solo a nivel de rendimiento y compatibilidad, sino también desde un punto de vista de seguridad. Comprobando su capacidad de soportar posibles “ataques” de usuarios maliciosos u otras amenazas para ser capaz de salvaguardar nuestra seguridad como usuarios del dispositivo.

Para realizar este tipo de pruebas sobre los dispositivos es necesario contar con herramientas que nos permitan modificar a nuestro antojo los datos que intercambiamos con el dispositivos. Existen muchas opciones, pero una herramienta, de código abierto, que desde hace unos años se utiliza para realizar este tipo de tareas es Scapy, y sobre ella hablaremos hoy.

Scapy: ¿Qué tiene de especial?

Según su propia descripción Scapy es una “aplicación interactiva capaz de manejar y manipular paquetes con multitud de protocolos. Permite capturar de diferentes interfaces de red, comprobar en tiempo real parámetros, crear nuevos protocolos, etc. Gracias a sus capacidades es posible realizar de forma manual y automática tareas como escaneos, tracerouting o pruebas de red. Además nos da la posibilidad de crear paquetes mal formados, inyectar tramas 802.11 inválidas o combinar técnicas de forma automática.”

Lo que nos proporciona una base potente para realizar pruebas sobre sistemas de red. Scapy nos permite monitorizar la red como lo hace Wireshark o Tcpdump, implementar pruebas de protocolo, añadir nuevos protocolos sobre los que implementa de forma nativa, implementar pruebas de “fuzzing” sobre los protocolos implementados, etc.

Pero como no puede tenerlo todo, Scapy sacrifica una interfaz intuitiva por una capacidad increíble de ser utilizada como librería dentro de scripts escritos en Python. Es en este punto donde Smart Scapy (SScapy) intenta aportar su granito de arena.

SScapy: Smart Scapy

SScapy proporciona una interfaz gráfica que nos permitirá la creación e inyección de paquetes (en un futuro también la captura) de una forma intuitiva. Incluye un modo que se ha denominado “smart mode” (for dummy users), este modo realiza parte del trabajo de creación de paquetes.

Al nacer dentro de un proyecto de innovación sobre IPv6, es este protocolo el que se ha implementado en primer lugar. La herramienta nos permitirá crear de forma rápida e intuitiva paquetes ICMPv6, añadir Extension Headers, paquetes NDP(Neighbour Discovery Protocol), MRD, DHCPv6 (en un futuro), etc. y modificarlos posteriormente en función de nuestras necesidades.

¿Tu plataforma utiliza IPv6? Quizás estés interesado en evaluar la robustez de la misma con SScapy…

La limitación SScapy la marca el propio Scapy. SScapy solamente soportará los protocolos que Scapy sea capaz de interpretar. La librería QT4 y el propio Python nos servirán de apoyo para dotar a Scapy de todas la capacidades que demandemos.

La interfaz tiene el siguiente aspecto:

El paquete se construye desde el panel izquierdo y se muestra en el derecho. Debajo de los controles de envío de paquetes obtendremos información sobre el envío y la construcción del paquete.

Haciendo uso de diálogos auxiliares se pueden añadir información sobre las capas y sus atributos. Por ejemplo registros DNS en una posible respuesta:

SScapy permite incluir como valor de los atributos, funciones nativas de Scapy. Esto nos ayuda a realizar algunas pruebas de “fuzzing“:

Una vez que tenemos la primera versión, pre-alpha, con ciertas capacidades sienta las bases para poder añadir funcionalidad poco a poco y en base a nuestras inquietudes/necesidades. A grandes rasgos, los siguientes pasos que tenemos escritos en el “roadmap” son:

1. Incluir nuevos protocolos.
2. Dar la capacidad a la herramienta de actuar en modo servidor. Siendo capaz de interactuar con la red en base a las comunicaciones activas y permitiéndonos crear pequeños “falsos” servidores.
3. Implementar ataques conocidos para poder ser reproducidos de forma “sencilla”.
4. Un pequeño “Wizard” para la creación de capas (”layers”) para integrarlas sobre el propio Scapy.

Sobre qué pilares estamos trabajando

• Planteamiento abierto: Scapy es un framework abierto que nos permite tener la garantía de poder hacer crecer el proyecto, tanto por nosotros como por la comunidad.
• Una herramienta que surge de una necesidad: SScapy nace de una necesidad interna y se convierte en una solución que puede servir para otros muchos.
• Participación: SScapy esta siendo posible gracias al trabajo de investigación enmarcado en la iniciativa de Network and Security, y al equipo de Hacking Ético.

Autor: Francisco Jesús Gómez

Los días 13 y 14 de Diciembre se celebró en Madrid la V jornada STIC del CCN-CERT

El CCN-CERT es el centro de respuesta ante incidentes dependiente del Centro Nacional de Inteligencia (CNI), creado como Capacidad de Respuesta ante Incidentes de Seguridad y como CERT Gubernamental encargado de velar por la seguridad de los sistemas de toda la Administración.

Quizás esta definición no sea lo suficientemente clara. Para ayudarnos a comprender que es un CERT la web del CCN-CERT nos ofrece la siguiente definición:

El término CERT proviene de las siglas en inglés Computer Emergency Response Team y viene a definir a un equipo de personas dedicado a la implantación y gestión de medidas tecnológicas con el objetivo de mitigar el riesgo de ataques contra los sistemas de la comunidad a la que se proporciona el servicio. También es conocido por las siglas CSIRT (Computer Security and Incidente Response Team) y ofrece servicios de respuesta ante incidentes y de gestión de seguridad.

El primer CERT se creó en 1988 en la Universidad Carnegie Mellon, en Estados Unidos (propietaria de esta marca registrada), y desde entonces han ido creándose este tipo de Equipos en todo el mundo y en distintos ámbitos de la sociedad (Administración, Universidad, investigación, empresa, etc).

Más información en CCN-CERT FAQ.

Las jornadas estuvieron orientadas a la puesta en común del trabajo realizado por el CCN-CERT y todas las administraciones públicas. Según indican en la presentación de la jornada: “Durante los últimos cinco años, las jornadas STIC CCN-CERT se han convertido en una cita ineludible del personal de la Administración para la puesta en común de conocimientos, el análisis de las amenazas y el estudio de las soluciones y tendencias con las que hacer frente a estos ciberataques.“

Las jornadas no fueron de libre acceso, e incluso la primera jornada estuvo limitado el acceso a personal de la administración pública.

En esta quinta edición se presentó el Esquema Nacional de Seguridad y se trataron temas relacionados con Denegación de Servicio, sistemas SCADA, compromiso de información, APT, protocolos en infraestructuras críticas e incluso el eDNI. En la mesa redonda titulada “Necesidad en la coordinación de gestión de incidentes” han colaborado los CERTs: Andalucia-CERT; CCN-CERT; CESICAT; CSIRT-CV; INTECO-CERT; IRIS-CERT.

Este año Telefónica Digital tuvo presencia en este evento por partida doble: David Barroso y dos miembros del Equipo de Hacking, Carlos Díaz y Francisco Gómez, han tenido la oportunidad de participar tratando temas relacionados con los ataques de denegación de servicio distribuidos (DDoS) y las medidas que se pueden tomar para mitigarlos, y las capacidades de protocolos claves de Internet como el DNS en las “botnets” y el cibercrimen.

https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=2583&Itemid=198&lang=es