Hace uns mesos es van reunir a Barcelona els principals experts del món en seguretat de xarxes informàtiques, en un esdeveniment conegut com Black Hat, sobre la ciberdelinqüència i el programari maligne. Entre els ponents només hi havia un espanyol, l’analista Raúl Siles, soci fundador de Taddong , una companyia espanyola que ofereix serveis avançats de seguretat informàtica a tot el món. És possible seguir les seves recerques a través del seu compte en Twitter, en el blog de l’empresa i en la seva pàgina personal. En aquesta entrevista, respon a algunes de les principals preocupacions dels usuaris en matèria de seguretat en Internet.
Tots els components d’un ordinador, tant maquinari com programari, els han desenvolupat persones i són potencialment vulnerables a problemes de seguretat. En l’actualitat, dues dels principals objectius dels atacs informàtics, a causa de la seva complexitat i les seves nombroses vulnerabilitats de seguretat, són les aplicacions web i les aplicacions client més utilitzades, com els lectors de fitxers PDF, reproductors flaix, Java, els navegadors web, reproductors multimèdia, etc.
D’altra banda, no podem oblidar que un dels punts més vulnerables encara és l’usuari. Un bon exemple és el recent incident de seguretat en el qual un atacant va aconseguir un nom d’usuari i contrasenya vàlids per a generar certificats digitals associats a una autoritat certificadora de confiança afiliada a l’empresa Comodo. Com a resultat, es van generar nou certificats fraudulents per a llocs web de Google, Microsoft, Yahoo o Skype, que permetrien a l’atacant interceptar i manipular les comunicacions segures, en teoria, de qualsevol usuari cap a aquests llocs web.
“Els mecanismes de protecció de les xarxes wifi basats en WEP creen una falsa sensació de seguretat”Els mecanismes de protecció de les xarxes wifi basats en WEP creen una falsa sensació de seguretat. El fet d’haver de configurar i utilitzar una contrasenya d’accés a una xarxa wifi pot fer pensar a l’usuari que la mateixa és segura, sense ser conscient que es coneixen vulnerabilitats associades a WEP des de l’any 2001 i que un atacant pot obtenir la contrasenya en menys d’un minut des de l’any 2007. Per desgràcia, encara avui dia molts proveïdors de telecomunicacions i fabricants configuren per defecte els punts d’accés wifi amb WEP, en lloc d’usar l’opció recomanada, WPA2, que ha d’usar-se amb claus bastant llargues i que no siguin fàcilment adivinables.
Si es configuren de manera adequada, les xarxes wifi suposen un nivell de seguretat, en alguns casos, fins i tot superior a les xarxes cablejades. És important diferenciar entre tres tipus d’escenaris molt comuns avui dia en la utilització de les xarxes wifi i els seus nivells de seguretat. Una xarxa wifi personal o corporativa, ben configurada amb els mecanismes de seguretat disponibles en l’actualitat -com WPA2, Personal o Enterprise- pot considerar-se segura. Una xarxa wifi pública compartida, configurada amb els mateixos mecanismes de seguretat anteriors, però en la qual tots els usuaris comparteixen l’accés, té problemes de seguretat pel fet que, per la seva naturalesa, aquestes xarxes wifi estan disponibles per al públic en general. Qualsevol usuari podria capturar i manipular el trànsit d’altres usuaris. Per a acabar, una xarxa wifi pública compartida, oberta o insegura -sense xifrat, basada en WEP o en WPA2, però amb una clau fàcilment adivinable- és insegura, ja que qualsevol, fins i tot sense ser usuari de la xarxa, podria capturar i manipular el trànsit dels usuaris legítims.
“L’ús de dispositius mòbils en mecanismes d’autenticació de transferències bancàries ha obert la porta a nous tipus de programari maliciós”En principi no, ja que els mecanismes de sincronització actuals se centren en permetre a un usuari compartir les seves dades privades entre els seus diferents dispositius, com el seu portàtil i el seu telèfon mòbil, i no en la compartició de dades entre usuaris. No obstant això, aquest tipus de sincronització personal i la utilització de dispositius mòbils en mecanismes d’autenticació més avançats -com la validació de transferències en la banca electrònica mitjançant un missatge SMS enviat al telèfon de l’usuari- ha obert la porta a nous tipus de programari maliciós. El seu objectiu és infectar tant l’ordinador com el telèfon de la víctima per a disposar de control sobre tots els elements involucrats a validar la transacció financera i poder així manipular-la.
“En nombroses ocasions, els servidors que conformen un ‘núvol’ estan situats en països on el nivell de seguretat és inferior al de l’organització que fa ús d’ells”
Sens dubte, l’externalització de serveis i tecnologies de la informació cap al “núvol” requereix per part dels usuaris i empreses una anàlisi molt exhaustiva dels mecanismes de seguretat associats a les infraestructures, tecnologies i processos emprats per les companyies que proporcionen aquest “núvol”. Aquesta anàlisi no ha de centrar-se només en les tecnologies més avançades, sinó també en els principis bàsics, com la seguretat física. En nombroses ocasions, els servidors i xarxes que conformen el “núvol” estan situats en països estrangers on el nivell de seguretat en l’accés als mateixos és inferior al de l’organització que fa ús d’ells.
D’altra banda, l’agrupació de dades privades o sensibles en un mateix enclavament té el risc que un únic incident de seguretat podria comprometre les dades de múltiples entitats o organitzacions. Aquest tipus d’incidents els hem viscut en nombroses ocasions en el passat amb empreses de” hosting“, on s’alberguen els servidors i aplicacions web de múltiples organitzacions, i, per desgràcia, els tornarem a veure.
Les afirmacions respecte a la seguretat proporcionada pels algorismes de xifrat i la longitud de les claus depenen molt del moment temporal, de la capacitat de càlcul i de les possibles noves recerques en aquest àrea. Avui dia, les claus de xifrat simètric de 128 bits encara poden considerar-se segures, un fet ratificat per la seva àmplia utilització en el comerç electrònic en Internet. No obstant això, sempre és recomanable l’adopció d’estàndards més avançats, com AES enfront de RC4, i de longituds de claus majors, sempre després de valorar el possible impacte en el rendiment de la infraestructura i les aplicacions que fan ús d’elles. En el cas dels algorismes de xifrat, la grandària de les claus sí que importa.
“Avui dia, les claus de xifrat simètric de 128 bits encara poden considerar-se segures”
El problema no és tant l’algorisme de xifrat empleat, sinó la correcta utilització d’aquest. RC4 s’empra tant en HTTPS, per a l’accés xifrat a la web, com en WEP, per a l’accés, en teoria segur, a les xarxes wifi. En el primer cas, l’accés mitjançant HTTPS i RC4 es considera prou segur i s’empra diàriament en la banca i el comerç electrònic en Internet. En el segon cas, l’accés mitjançant WEP i RC4 a les xarxes wifi és molt insegur, pel fet que l’ús que es fa de l’algorisme per part de WEP és vulnerable, tal com especificava en origen el propi disseny de RC4.
Per desgràcia, la seguretat no és un tot o res. És important tenir en compte la complexitat del programari, i en concret de les aplicacions web, que utilitzem diàriament per a qualsevol tasca de la vida quotidiana, com gestionar operacions i transferències bancàries en Internet, comprar viatges, entrades d’espectacles i altres productes. La complexitat i la seguretat no són molt bons amics, segons la meva experiència i les auditories de seguretat realitzades durant els últims deu anys, per la qual cosa encara queda molt a avançar per a disposar d’aplicacions web amb un nivell de seguretat i protecció elevat, si bé és cert que les aplicacions web de les entitats financeres són de les més segures, pel fet que la seguretat és un concepte intrínsec a elles i al fet que disposen de mecanismes complementaris per a la identificació i validació de transaccions sospitoses o fraudulentes.
“Hi ha nombroses vulnerabilitats de seguretat que afecten les aplicacions web de comerç electrònic i que no se solucionen mitjançant el xifrat de les comunicacions”
La indústria informàtica, en concret pel que fa a la seguretat, tendeix a simplificar molt els missatges enviats als usuaris per a reduir la complexitat tecnològica que hi ha darrere. Per aquest motiu, és molt comú veure el missatge “aquest lloc web és segur” en moltes pàgines web, la qual cosa indica només que s’empra un certificat digital per a xifrar les comunicacions entre l’usuari i l’aplicació web. A més, molts llocs web fan ús de xifrat només durant part de la conversa, i no íntegrament, la qual cosa permet la realització d’atacs per a segrestar la sessió de l’usuari en l’aplicació web i suplantar-li. Qualsevol pot obtenir un domini i espai web en Internet per deu euros a l’any i adquirir un certificat digital, fins i tot, de manera gratuïta.
Aquest mecanisme de xifrat, encara que necessari i imprescindible, només protegeix enfront d’un nombre reduït d’atacs, com la intercepció per part d’un atacant de les comunicacions crítiques de l’usuari, en les quals es realitza el pagament amb la targeta de crèdit. Hi ha nombroses vulnerabilitats de seguretat que afecten les aplicacions web de comerç electrònic i que no se solucionen mitjançant el xifrat de les comunicacions, per la qual cosa el missatge transmès a l’usuari és incomplet i pot ser enganyós. Per tant, la utilització d’un certificat digital no hauria de ser l’únic element que un usuari ha de valorar en comprar amb confiança en un lloc web de comerç elecrónico, sinó que hauria d’avaluar també la reputació d’aquest lloc web i l’experiència prèvia d’altres usuaris.
La resposta no és si ho veurem, ja que en l’actualitat hi ha nombrosos exemples de programari maliciós per a múltiples plataformes mòbils com iPhone, Symbian, Windows Mobile/Phone, Android, etc., sinó quan el seu número superarà al del programari maliciós per als ordinadors. Crec que no és una cosa imminent. Els dispositius mòbils actuals són ordenadors complets en miniatura amb les mateixes capacitats, o fins i tot més, que els ordinadors portàtils o de sobretaula. La seva capacitat de processament, memòria, opcions de connectivitat -Bluetooth, wifi, 2G o 3G- i altres funcionalitats com a GPS i cambra, juntament amb la seva vinculació a l’usuari les 24 hores i el seu ús en tasques quotidianes i sensibles, fan d’ells un objectiu molt atractiu per al crim organitzat.
“Els mecanismes de seguretat disponibles avui en els dispositius mòbils són similars als que teníem fa deu anys en els ordinadors”
A sobre, els mecanismes de seguretat disponibles avui en els dispositius mòbils són similars als que teníem fa deu anys en els ordinadors. En molts dispositius mòbils no és senzill per a l’usuari determinar si es connecta a una xarxa wifi basada en WEP o WPA2, ja que l’única cosa que pot veure és que la xarxa té associat la icona d’un cadenat, per la qual cosa ha de ser segura. O no? De la mateixa manera, molts d’aquests dispositius mòbils no permeten determinar si l’accés a un lloc web fa ús de xifrat mitjançant HTTPS, amb el que no és senzill verificar els detalls del certificat digital empleat.
En efecte. L’existència d’un nombre major d’atacs o programari maliciós per a un sistema operatiu en particular no depèn tant de la plataforma, sinó de la seva adopció per part dels usuaris i, per tant, del retorn de la inversió que obtindrà l’atacant. Tots ells estan basats en programari potencialment vulnerable i, de fet, tots han presentat vulnerabilitats en el passat i el faran en el futur.
En el cas concret d’Android, plataforma la seguretat de la qual analitzem en l’actualitat, es va difondre al març de 2011 a través d’Android Market -la botiga d’aplicacions mòbils d’Android/Google- un conjunt d’unes 50 aplicacions que contenien un programari maliciós denominat DroidDream. Com a resultat, Google va eliminar aquestes aplicacions de la botiga i es va veure obligat a utilitzar el seu sistema d’eliminació remota d’aplicacions dels dispositius mòbils dels usuaris -uns 200.000 segons xifres no oficials- que havien instal·lat alguna d’aquestes aplicacions i estaven, per tant, infectats.
En general, els usuaris sí que haurien de considerar que la seva seguretat està en dubte en navegar per Internet, ja que la majoria d’usuaris utilitza Internet per a accedir a múltiples llocs web, tant de confiança com no. Una de les amenaces principals en Internet avui dia és que qualsevol lloc web pot atacar a l’usuari, fins i tot els de confiança, ja que els atacants aconsegueixen comprometre aquests llocs web i utilitzar-los per a estendre l’atac als seus clients. Aquesta afirmació està ratificada per l’elevat nombre d’ordinadors infectats en el món, tant personals com corporatius, i l’existència de xarxes d’ordinadors compromesos controlades per atacants.
“Els usuaris sí que haurien de considerar que la seva seguretat està en dubte en navegar per Internet”
En concret, el navegador web i les aplicacions client, o plugins, associats a aquest són un dels objectius principals dels atacants i del crim organitzat en l’actualitat. A causa de les nombroses vulnerabilitats en aquests, i a versions antigues en els equips dels usuaris, constitueixen la porta d’entrada per a prendre control de l’ordinador de l’usuari, de les seves comunicacions i de totes les seves activitats en Internet.
Els usuaris haurien de seguir almenys les següents recomanacions i bones pràctiques amb l’objectiu d’augmentar la seva seguretat en la navegació web en Internet:
Mantenir l’ordinador al dia i instal·lar les últimes actualitzacions de seguretat disponibles per al sistema operatiu.
Mantenir el navegador web actualitzat a l’última versió disponible. És preferible utilitzar les últimes versions dels navegadors web, ja que disposen de millores de seguretat significatives, com Firefox 4, Internet Explorer 9, Chrome 10, Opera 11 o Safari 5.
Mantenir actualitzades a l’última versió disponible totes les extensions o plugins del navegador web associades a aplicacions client molt utilitzades, com Adobe Reader, Adobe Flash, Java, o els reproductors multimèdia Windows Mitjana Player, QuickTime o RealPlayer.
Accedir als llocs web mitjançant HTTPS enfront d’HTTP, sempre que sigui possible, és a dir, en llocs web que suportin tots dos. Utilitats com a “HTTPS Everywhere”, només per a Firefox, permeten automatitzar l’ús d’HTTPS.
Mai s’ha d’acceptar un certificat digital invàlid en connexions web xifrades HTTPS.
No reutilitzar la mateixa contrasenya per a diferents llocs i serveis web.
Utilitzar dos ordinadors, dues màquines virtuals, o almenys dos navegadors web per a accedir a llocs web de diferent criticitat, com la navegació web ocasional o consulta d’informació i notícies, i la navegació web rellevant de banca en línia o compres en Internet.
