V Cumbre de Analistas de Seguridad de Kasperky Lab

Carlos Alvarez, SSR Technical Engagement - Sr Manager Security Stabilility Resiliency Team.jpg

Carlos Alvarez, SR Manager Security Engagement  de ICANN

Reportaje exclusivo a Carlos Alvarez, SR Manager Security Engagement  de ICANN invitado especial en la V Cumbre de Analistas de Seguridad de Kaspersky Lab en Santiago de Chile.

  1. ¿Cuál es la visión de ICANN acerca de la seguridad actual?

Antes de responderte esta pregunta, una aclaración: ICANN no tiene tenga una posición particular respecto del estado de la seguridad actual. Esta respuesta parte más bien del sentido común y de mi experiencia personal obtenida después de lidiar con estos temas por un tiempo largo.

Hay recursos del DNS (como nombres de dominio y direcciones IP) que son utilizados por los delincuentes para afectar a los usuarios y, al hacerlo, si es en gran escala, pueden potencialmente poner operaciones asociadas al DNS en riesgo. Teniendo en cuenta que desde una perspectiva técnica la responsabilidad de ICANN está enfocada en apoyar a la comunidad de Internet para mantener la seguridad, la estabilidad y la resiliencia del Sistema de Nombres de Dominio (DNS), creo yo que es razonable pedir a cada actor que cada cual asuma su propia responsabilidad, de acuerdo al lugar que cada uno ocupa:

  • Los proveedores de acceso a Internet pueden, por ejemplo, filtrar los paquetes de datos, enviados por sus clientes a través de sus enrutadores, que tienen la dirección IP de origen falsificada. Pueden también administrar sus servidores de DNS para que filtren el tráfico que corresponda a ataques distribuidos de denegación de servicios. Así como pueden suscribirse a listas de bloqueo que eviten que sus usuarios puedan conectarse con dominios o direcciones IP maliciosas.
  • Los fabricantes de hardware, como enrutadores y módems, pueden configurarlos de fábrica para que actualicen su firmware automáticamente sin intervención del usuario y hacer más amigables las interfaces para que los usuarios nunca dejen nombres de usuario y claves por defecto y puedan, de una manera sencilla, escoger la configuración segura que más les convenga.
  • Los desarrolladores de software pueden seguir metodologías para desarrollo seguro de aplicaciones que les permitan reducir lo que se conoce como la ‘deuda técnica’, que corresponde al costo total de actualizar el código de cada aplicación para eliminar todos los bugs y fallos de seguridad que pueda tener hacia el futuro.
  • Los usuarios deben entender que ellos son su primera línea de defensa. Que deben tomar control de su vida en línea y escoger ellos mismos, con un conocimiento informado, qué quieren compartir y qué no, en dónde lo van a compartir y con quién. Deben entender que lo que compartan queda potencialmente hecho público. Que deben contar con herramientas básicas de seguridad (software anti-malware, firewall, administración de credenciales de acceso) y seguir prácticas de sentido común (no hacer click en links que llegan por correo siendo una de las más importantes).

Si todos los participantes en Internet asumen la responsabilidad que corresponde a cada uno, los casos de abuso en línea disminuirían significativamente o, al menos, su impacto tanto en cuanto al daño causado a los usuarios finales como a las potenciales consecuencias respecto del DNS mismo.

  1. ¿Cómo está colaborando ICANN para desmantelar botnets activas?

Las botnets suelen utilizar nombres de dominio como servidores de comando y control y como puntos de distribución de malware. Es decir, los delincuentes que controlan las botnets usan nombres de dominio a través de los que operan servidores que usan para enviar comandos a las máquinas infectadas y para distribuir y actualizar el código malicioso.

Algunas botnets usan algoritmos automatizados de generación de dominios que, al ser descifrados, permiten conocer todos los dominios que la botnet habría de registrar en el futuro, incluso años adelante. Cuando estos dominios son descifrados, los operadores de los registros de los dominios de alto nivel pueden seguir un procedimiento ante ICANN denominado Expedited Registry Security Request o ERSR, que permite asumir el control de la infraestructura criminal o redirigir el tráfico asociado a un dominio de comando y control a un servidor controlado por alguien que lo puede monitorear y analizar, típicamente una agencia de policía o un miembro de la comunidad de seguridad.

Por otro lado, la comunidad operacional de seguridad envía frecuentemente reportes de abuso a los registradores de nombres de dominio y, de esos reportes, algunos suelen ser relativos a dominios asociados a botnets. Los registradores tienen ciertas obligaciones contractuales frente a ICANN respecto de las acciones que deben tomar cuando reciben información sobre dominios maliciosos, por lo que si no responden de forma razonable ante un reporte de abuso, ICANN les exige el cumplimiento de su obligación.

  1. ¿Qué impacto tendrá IoT en la tarea de ICANN?

Una aclaración, nuevamente: ICANN no tiene una posición particular respecto del IoT. Esta respuesta es más bien mi visión personal respecto de algunas implicaciones que el IoT tendrá en relación con el DNS.

Por un lado, haciendo eco de una entrevista publicada por LACNIC acá, la cantidad de dispositivos en el IoT va a ser tal que la migración a IPv6 va a ser inevitable. Algunos seguirán tratando de posponer la migración mediante el uso de medidas como el Carrier Grade NAT o CGN, pero tarde o temprano se verán forzados a migrar.

Por otro lado, desde la perspectiva de seguridad, estabilidad y resiliencia del DNS, el IoT nos recuerda los ataques de denegación distribuida de servicios, el hijacking y el poisoning del DNS. Como es bien sabido, el software de los millones de dispositivos que en la actualidad pueden conectarse a Internet, desde refrigeradores hasta bombillas de luz, no siempre es fácilmente actualizable, lo que hace que las vulnerabilidades en su código no sean fácilmente corregibles o que, simplemente, no puedan ser corregidas de forma alguna. Por otra parte, estos dispositivos suelen aceptar tráfico de DNS aunque no lo necesiten para su operación.

Sumando estos dos vectores tenemos dispositivos vulnerables que no pueden ser fácilmente corregidos y que además aceptan tráfico de DNS. Esto se convierte en un coctel que permite configurar ataques masivos de denegación distribuida de servicios que pueden ser lanzados a través de muchos dispositivos del IoT vulnerables abusando de recursos del DNS.

Por otra parte, los dispositivos del IoT que son vulnerables y aceptan tráfico de DNS pueden ser comprometidos buscando que se comuniquen con servidores controlados por criminales, es decir, las consultas al DNS enviadas por los dispositivos terminan llegando en estos casos a servidores de DNS maliciosos. Cuando esto ocurre y los dispositivos se conectan con esos servidores controlados por los delincuentes, son redirigidos a sitios desde los que pueden descargar malware o código dañino que los infecta, los recluta en una o más botnets y los puede convertir en puntos desde los que es posible lanzar ataques de diversas clases contra cualquier tercero en cualquier lugar.

También, los dominios legítimos de los fabricantes de estos dispositivos, que son usados por ellos para actualizar el firmware, pueden ser comprometidos con el fin de inyectar en los dispositivos código malicioso con el que se puede hacer cualquier actividad dañina imaginable.

La solución a estos problemas está en las manos de los fabricantes de los dispositivos de IoT, de los fabricantes de los enrutadores y, en parte, en las manos de los proveedores de acceso a Internet. Obviamente, los usuarios finales tienen una enorme responsabilidad en cuanto a los dispositivos que están dispuestos a usar y a las consecuencias que puedan derivarse de ese uso. Su primera responsabilidad radica en adquirir un nivel mínimo de familiaridad con la tecnología que utilizan, que obviamente debe incluir elementos fundamentales de seguridad y privacidad.

  1. ¿Cuál es su visión personal sobre el nuevo paradigma de seguridad en la red?

Un principio fundamental que ayudaría a evitar muchos dolores de cabeza sería el ser escéptico y desconfiar de lo que se ve en Internet y de lo que se ofrece a través de la red.

Si los usuarios se aproximan a lo que encuentren en Internet con desconfianza y queriendo indagar acerca de lo que hay detrás de cada cosa, se evitarían muchas ocasiones en las que se exponen innecesariamente a ver sus máquinas y su información comprometidas.

  1. ¿Considera positiva la conjunción de big data+ analítica + seguridad?

Claro, en el mundo de la seguridad en el DNS las cantidades de datos que se analizan cada día exceden las capacidades de cómputo que existían hace solamente unos pocos años. Estas capacidades de análisis actuales permiten detectar campañas maliciosas en tiempo real, bloquearlas, definir modus operandi, identificar a los potenciales responsables de la actividad dañina, incluso predecir los recursos que, así no existan hoy, los criminales usarán en un futuro próximo o mediato para cometer sus fechorías.

  1. ¿En el futuro veremos científicos de datos especializados en seguridad?

¡Ya existen! Y desde hace unos años han estado protegiendo a los usuarios en silencio, sin que sea notoria su existencia.

  1. Para hacer frente al futuro del cibercrimen, las empresas legales ¿deben crear un marco colaborativo?

Si no hay colaboración no es posible pensar en ganar la pelea contra el cíber delito. Las empresas, las agencias de policía, los grupos de seguridad voluntarios, todos deben compartir información. Respetando las políticas corporativas de cada cual y la ley en cada jurisdicción, claro está, pero compartiendo datos que permitan proteger a los usuarios.

Por ejemplo, si una empresa es comprometida y al hacer el análisis del malware se encuentra que los servidores de comando y control están asociados a dos dominios, esa empresa, sin compartir información que esté protegida o sea confidencial, puede compartir con la comunidad de seguridad los nombres de esos dos dominios. Al hacerlo, los expertos pueden buscar que esos dominios sean dados de baja, pueden buscar tomar control de ellos para analizar la actividad de la botnet a la que están asociados, pueden identificar toda la infraestructura criminal que usen los delincuentes (nombres de dominio, direcciones IP, servidores de resolución) y toda esa infraestructura puede ser incluida en listas negras que se distribuyen a nivel mundial y que evitan que los dispositivos de los usuarios en todo el mundo se conecten a esos recursos que ya se sabe son maliciosos.

Y todo esto sin revelar datos confidenciales o que permitan identificar personas naturales.

  1. ¿Los proveedores de Internet están metabolizando este cambio correctamente?

Algunos sí. Valga acá mencionar ejemplos dignos de seguir: El Routing Resilience Manifesto es un documento acordado entre varios actores de la comunidad técnica de Internet, incluyendo de forma muy relevante a la Internet Society. Incluye buenas prácticas que los ISPs pueden voluntariamente implementar para incrementar los niveles de seguridad asociados al tráfico de datos que pasa por sus redes.

Los ISPs que están listados en esta página decidieron voluntariamente unirse al Manifesto e implementar algunas de las medidas que él contempla. Es algo que los ISPs en todos los países podrían imitar. Sería muy positivo si lo hicieran.

  1. Hace unos años se hizo muy famosa una Internet 2, para ámbitos académicos ¿Podría surgir en un futuro una internet segura, que funcione de forma paralela a la Internet de hoy?

Depende de a qué te refieres con una Internet segura. Hoy existen redes cerradas, desconectadas de Internet, que funcionan sobre TCP/IP, que es la suite de protocolos sobre los que opera Internet. Estas redes, que típicamente son de gobiernos o empresas grandes, son seguras en la medida en la que el acceso a ellas es restringido y en la medida en la que exista esa separación física entre ellas e Internet.

Pero si te refieres a una red que funcione en forma paralela a la Internet de hoy, pensando en que lo haga sobre protocolos diferentes a TCP/IP, es imposible predecir cuando pueda llegar a existir o determinar si ya existe. Requeriría hardware diferente, software diferente, sería realmente un nuevo paradigma pero, por eso mismo, su implementación sería tan costosa que si acaso existiera hoy, serían muy pocas las organizaciones en el mundo con recursos para tenerla y serían probablemente de naturaleza gubernamental.

Lo que seguirá ocurriendo, muy seguramente, es que se seguirán poniendo capas sobre capas para tratar de cerrar las brechas que existen y que empiezan a nivel de los protocolos mismos. Es decir, seguiremos sobre la Internet que hoy conocemos y en ella se implementarán mejoras. Seguramente no nos toque a nosotros ver una nueva red que implique un cambio paradigmático de protocolos.

  1. ¿Cuáles son los desafíos que hoy enfrenta ICANN para cumplir en los próximos 3 años?

Más que los desafíos que enfrenta ICANN, quisiera reiterar dos preocupaciones que existen en la comunidad técnica de Internet desde hace varios años, pero que revisten tal nivel de importancia que permanecen siendo actuales. Consisten en la falta de validación de la dirección IP de origen y la pobre administración o la mala configuración de servidores abiertos de DNS.

En lenguaje sencillo, los grandes ataques de denegación de servicio utilizan dos vectores mediante los que consiguen dirigir volúmenes muy grandes de datos contra sus víctimas. Esos vectores hacen uso de la posibilidad de falsificar la dirección IP (reflexión) desde la que los paquetes de datos son enviados a servidores abiertos de DNS (amplificación) y de la pobre administración que con alguna frecuencia se da a estos servidores abiertos.

Si los ISPs no dejaran pasar paquetes con la dirección de origen falsificada y si los servidores de DNS abiertos fueran bien administrados, esos ataques masivos de denegación de servicios que abusan de recursos del DNS serían cosa del pasado.

En este link se puede encontrar una buena explicación de la forma en la que estos ataques ocurren.