Ayer se hizo público un Torrent que era llamativo por incluir multitud de ficheros correspondientes a Hacking Team, una compañía dedicada a programar herramientas informáticas ofensivas para algunos Estados. El fichero ha corrido como la pólvora a través de torrents, y muchos expertos en seguridad han analizado su contenido, que incluía tanto clientes, datos de identificación, código fuente, etc… Está claro que una situación como ésta ha dañado fuertemente la reputación de alguien que se dedica precisamente a temas de seguridad informática.

Visto todo lo que ha sucedido, hay varias cosas que creo que deberían quedar claras tras el ataque sufrido por Hacking Team

No es lo mismo atacar que defender

Para mí este es el primer factor, y tal vez el más importante. Un atacante busca las vulnerabilidades, puede llegar a conocer el sistema que hay detrás y sacar información que le permita llevar a cabo el ataque. Debemos tener en cuenta además de que en caso de que resulte posible obtener información sobre el software y versión no resulta complicado encontrar listas de vulnerabilidades que pueden intentarse.

En cambio, quien defiende debe jugar con muchos parámetros, tanto técnicos como personales, sin estar pensando en un único tipo de atacante concreto, y debiendo en muchos casos prestar atención a múltiples niveles de infraestructura.

Nadie es intocable y no existe el sistema seguro 100%

Una de las alarmas que suelen aparecer en la publicidad de multitud de sistemas seguros es la afirmación de que un sistema puede ser efectivamente seguro 100%, que nunca va a producirse un acceso no autorizado y que, por lo tanto, tus datos se encuentran totalmente seguros. El problema es que una de las primeras cosas que aprendes cuando empiezas a ver temas de seguridad es que conseguir la seguridad absoluta es imposible.

Puedes tener un sistema muy seguro, con cortafuegos perfectamente configurados, con jaulas para todos tus procesos, con todas tus aplicaciones perfectamente configuradas y un acceso por certificado seguro, pero basta con una vulnerabilidad zero-day severa (o el caso más típico, un riesgo de seguridad a causa de cómo actúan los propios trabajadores de la empresa) para que la seguridad del sistema se desmorone como un castillo de naipes.

Es por esto que no basta en pensar en cómo impedir el acceso, sino también en pensar a qué tendría acceso un potencial atacante que obtuviera acceso a nuestra máquina y establecer mecanismos de actuación una vez hayamos detectado dicho acceso no autorizado.

De la filtración de datos de la empresa de Hacking Team podemos destacar cómo se han obtenido los correos electrónicos, multitud de contraseñas de usuarios que facilitaban a sus clientes, el código fuente de las aplicaciones, así como los resultados de diversos pentesting, y todo gracias a alguna vulnerabilidad que tenían en sus sistemas. Y lo que es más grave a mi parecer, estamos hablando de más de 400GB de información sin que ninguna alarma saltara (el filtrado incluía que durante el acceso algunos de los trabajadores se dedicaban a otras tareas, como son las redes sociales).

passwords
Otras contraseñas se encontraban en ficheros de texto plano en el mismo escritorio de algunos usuarios (de nuevo, una práctica muy inadecuada). Los archivos filtrados de contraseñas nos va a permitir hablar de otro punto importante

Si es posible, desactiva los accesos a través de login/password, pero en todo caso no utilices acceso root

Permitir accesos remotos como superusuario de esta manera es muy mala práctica, ya no digamos el hecho de que la empresa contaba con acceso a la propia contraseña asignada a cada uno de los usuarios en tal forma que los atacantes se pudieron hacer con ellas. Por otro lado, resulta recomendable utilizar certificados (protegidos, lógicamente) para el acceso a las máquinas, evitando así el riesgo de que suceda algo como lo que ha pasado en este caso.

El cifrado no es algo para ocultar lo malo que haces

Otro tema al que no se le da importancia es al cifrado de los correos electrónicos. Como he mencionado antes, se ha tenido acceso a los correos que esta empresa de seguridad mantenía con sus clientes, lo cual resulta llamativo precisamente por el área de trabajo a la que se dedicaban. Justamente en uno de los correos se mencionaba que

cifrado

Dejémoslo claro: El cifrado NO es que solo debas usarlo cuando tengas algo que ocultar, sino que garantiza que los mensajes no puedan ser estudiados tanto durante la llegada hasta el servidor de destino (desconocemos si el emisor o receptor se encuentran en un entorno hostil, o si incluso los datos pasaran por un territorio en el que la protección dichos datos pueda quedar sometida a restricciones de algún tipo). Además, un uso adecuado del cifrado habría impedido que se pudiera tener acceso a todas las comunicaciones que ha tenido la empresa, con lo cual seguramente la repercusión habría sido menor.

En este caso además parece que se ha tenido acceso finalmente a las llaves GPG del usuario directamente, con lo cual al no contar con forward secrecy, sus mensajes aunque estén cifrados quedarían asimismo comprometidos una vez obtenidas dichas llaves

Otro tema es que si eres una empresa que se dedica a temas de seguridad, a prestar soluciones para espiar a usuarios (de manera confidencial) incluyendo a estados, en mi opinión sí que se tiene mucho que ocultar.

Cuidado con el software que te facilitan

Por supuesto que los Estados pueden contratar con expertos en una materia para obtener una solución informática (aunque en este caso, tratándose de herramientas ofensivas habría que ver si cumplen la Ley), pero eso no quiere decir que se deba confiar ciegamente en la solución que se nos facilita.

Esto lo menciono porque entre el código fuente de las aplicaciones también se encuentra código que parece hacer referencia a la existencia de backdoors en su solución de RCS.

backdoor

Por lo tanto, en el caso de que realmente fuera así, nos encontraríamos con que el Estado estaría utilizando para sus funciones una herramienta informática que instala backdoors, con todos los riesgos que ello supone. Y lo que es más, y espero que fuera una función no informada, en algunos casos el contenido se generaba dentro del equipo del usuario…

pedo

Esto ya podría viciar más de un caso, por la posible duda en si el contenido no ha sido generado por la propia solución informática (y además, ahora conocemos quienes son los clientes que pueden haberla usado).

Esta solución NO cumpliría las nuevas Leyes

Una de las dudas es si esta solución puede haber sido la escogida para los registros remotos habilitados por la nueva Ley. Personalmente espero que no, porque a mi parecer no cumple las exigencias de la misma al ir mucho más allá de lo permitido. Me baso en las propias características del software que se han hecho públicas

lic1

 

En el caso de teléfonos móviles nos encontramos con una habilitación que va mucho más allá de un mero registro remoto, permitiendo funcionalidades como es la utilización del micrófono, geolocalización, así como acceso a herramientas de mensajería que pueden afectar derechos como son la privacidad de las comunicaciones. Con los precedentes, existe un riesgo serio y tangible de que se obtuvieran pruebas nulas a partir de una solución como esta (otros aspectos no conformes a la Ley aparte) con lo cual no sería la opción por la que optaría.

Por otro lado, mencionar que en el caso de iOS requiere que al dispositivo se le hubiera realizado un jailbreak, mientras que en el caso de Android algunas funcionalidades requieren estar en root (aunque intenta realizarlo automáticamente, seguramente utilizando los últimos métodos conocidos).lic2

En el caso de Sistemas Operativos en ordenadores, de nuevo tenemos los mismos riesgos, pudiendo ver que además se hace referencia de manera expresa a transacciones de criptomoneda (seguramente por los intereses de algunos de sus clientes) así como correos electrónicos, chats de Facebook y otras funciones que, de nuevo, exceden de lo que puede considerarse un registro remoto.

Si la Policía y el CNI realmente han utilizado estas soluciones, lo primero que deberían hacer es comprobar si han sido víctimas del backdoor que parece existir en la aplicación y, después, dejar de utilizar una herramienta de una empresa tan poco respetuosa con los derechos de terceros (y tan poco preocupada por su seguridad interna) como ha resultado ser Hacking Team.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.