Lima, Perú, 20 de septiembre del 2014.— Entrevistamos a Walter Cuestas, un reconocido profesional peruano del llamado «Ethical Hacking» quien comparte con nosotros muchos aspectos de su profesión y de la importancia de entender sus metodologías y mejorar la seguridad de los entornos computacionales.
IT/USERS: Sr. Cuestas ¿cómo definiría su labor?
W.C.: Cómo la de un miembro perteneciente a un grupo de Hackers Éticos, el único equipo de Hackers Éticos que existe en el Perú. Existen otros Hackers Éticos, pero, no forman parte de algún equipo.
IT/USERS: ¿En qué consiste el Ethical Hacking?
W.C.: Es el «buscar«, «encontrar” vulnerabilidades de la seguridad informática en las organizaciones, bajo un entorno controlado y con parámetros de ética. Entonces, lo que ocurre es que las organizaciones en lugar de esperar a recibir ataques, contratan a un equipo como el nuestro para que evalúen su seguridad y reciban recomendaciones para resolver los problemas que tengan. Realmente, es la parte que ellos más valoran, las recomendaciones que nosotros entregamos, el que si puedan ejecutar esas recomendaciones y resolver sus problemas antes de sufrir ataques.
IT/USERS: ¿Cuál es la metodología que usan para determinar vulnerabilidades?
W.C.: Eso es interesante, pocas veces nos preguntan sobre este tipo de cosas. Existen metodologías estándares, la principal es OSSTMM, metodología que esta en su versión 3, es la más madura que existe y es la más utilizada en general. Lo que hace esta metodología es definir un marco para toda la evaluación, define todos los puntos de control, define cuales deben ser los resultados que uno obtenga, cuán exhaustiva debe ser la evaluación.
Lo hace en diferentes aspectos : en las redes tradicionales, el aspecto de las redes locales, a través del Internet, las redes inalámbricas, la seguridad física, la participación de los usuarios, incluso indicando como se deben desarrollar pruebas de ingeniería social y hay una parte en la cual no profundiza mucho esta metodología que es la parte de evaluación de aplicaciones web.
Para eso nosotros utilizamos una guía de una organización que se llama OWASP. Es un proyecto de seguridad que también tiene bastantes años y se enfoca en tres aspectos básicamente: desarrollar guías para quienes elaboran las aplicaciones, los programadores, desarrolladores, puedan crear aplicaciones de manera segura.
Lo otro, es desarrollar guías para que los que evalúan la seguridad sepan cómo se debe evaluar y cuán exhaustivas deben ser las evaluaciones de aplicaciones web y, por último, lo que hacen es apoyar proyectos que desarrollan herramientas para las pruebas de Ethical Hacking, o Pruebas de Penetración.
Adicionalmente, siempre hay algunos elementos que también determinan qué cosas se deben hacer y qué no en las evaluaciones, por ejemplo, cuando se trata de entidades financieras que deben cumplir la norma de PCI DCS, este estándar determina qué se debe evaluar, cómo, cuál es el alcance, en qué orden y que condiciones debe tener el evaluador, inclusive.
Hoy en día hay una norma específica sobre el tema de la seguridad informática que es el reglamento de Tarjetas de Crédito y de Débito que si apunta bastante al tema de la seguridad informática y cómo se debe evaluar a diferencia de normas anteriores que todavía existen de la SBS (Superintendencia de Banca y Seguros del Perú, N. del E.), pero, que no profundizaban tanto el aspecto técnico.
Ocasionalmente hay organizaciones que tienen que cumplir con SOX, tienen alguna dependencia corporativa de los Estados Unidos y entonces este estándar, SOX, que tiene que ver la seguridad de los aspectos contables y financieros, es aplicado.
Son elementos que van en paralelo. Las metodologías OSSTMM y las guías de evaluación de OWASP, eso es en lo que uno se basa.
IT/USERS: Dentro de su larga trayectoria profesional en el campo de Ethical Hacking, si pudiéramos hacer un «time line» ¿cual considera Usted los Hitos, en la evolución del Malware, de las vulnerabilidades, de los grandes ataques, en estos últimos 10 años?
W.C.: Mi perspectiva es bien particular al respecto, creo que nada ha cambiado, se siguen encontrando mas o menos las mismas “cosas”. Por ejemplo, Mauricio Urízar —que es nuestro Gerente de Consultoría, encontró un par de vulnerabilidades “nuevas” —nadie las había descubierto antes, en un software muy utilizado para el manejo de procesos, BIZAGI, que es un BPM, muy utilizado en nuestro mercado. Encontró estas vulnerabilidades y se hizo el anuncio, pero esas vulnerabilidades persisten. Inyecciones de comandos SQL y ataques del tipo “Cross Site Scripting” que son inyecciones en páginas de código, principalmente JavaScript.
Esto no es nuevo, ya desde hace 10 años existían estas vulnerabilidades de este tipo y estamos hablando de un software que es moderno y que genera “Web Services” que apoyan a decisiones importantes en BPM y, sin embargo, no se han “parchado” estas vulnerabilidades que son tan antiguas. No hay mucho de nuevo, para decir verdad, cada cosa que uno va encontrando, son cosas que ya existían, son “reminiscencias del pasado”, así parece…
IT/USERS: ¿Hablamos de “remakes” por usar este término?
W.C.: De hecho, siempre vamos a caer en la controversia de cuál es el origen de los dos, por un lado es que los desarrolladores de la tecnología no han tenido como una pauta importante el aspecto de la Seguridad, eso por un lado…
IT/USERS: O sea, tiene una parte de responsabilidad la Industria…
W.C.: Sí, de hecho, en el caso de Bizagi, lo primero que hicimos nosotros fue notificarles y lo que recibimos de ellos fue primero desdén y luego, amenazas legales. Entonces lo que tuvimos que hacer fue acudir al CERT, el Centro de Atención de incidentes de Seguridad de la Universidad Carnegie Mellon para que ellos funjan como intermediarios. Ellos los notificaron y allí sí reconocieron las vulnerabilidades y sacaron los “parches” respectivos.
IT/USERS: Hay una suerte de mucha irresponsabilidad de algunos fabricantes…
W.C.: De hecho que sí, entonces como decía, por una lado hay mucha responsabilidad de los que desarrollaron la tecnología y por el otro de quienes la administran. Ese es todo un tema, porque también las vulnerabilidades se presentan por ambos lados, porque cuando te toca una herramienta tecnológica, que digamos tiene un nivel “aceptable” de seguridad, que tiene opciones para asegurar y no las están usando, entonces ahí tenemos un problema de administración. Y otra vez volvemos a lo mismo que hace diez años.
IT/USERS: Entonces, ¿no han evolucionado esas famosas “amenazas avanzadas y persistentes” o APTs?
W.C.: Pero es que cuando uno revisa el APT, por ahí hay un par de estrategias bien interesantes, “medio distractivas” para que la gente caiga en los ataques, pero cuando llegas “hacia adentro” ves que lo que están utilizando, tanto a nivel de programas como la forma de extraer la información y la forma para permanecer “metidos dentro de las redes”, tampoco es que haya nada nuevo ahí.
De hecho, el año pasado, tuve la ocasión de realizar una presentación sobre APT, les presenté dos o tres casos muy conocidos a nivel mundial y mas o menos las “desmembraba” para que vieran de qué se trataba y tampoco resultó que sea algo sumamente nuevo. Lo que pasa es que, el mundo tecnológico se ha revolucionado tanto, que hoy en día a todo el mundo le hablan, mira tú tienes un teléfono con aplicaciones Android, con aplicaciones en iOS, y que son vulnerables, tienes que poder lidiar con eso y los smartphones están diseminados por todo el mundo. Hace 10 años de lo que hablábamos eran de las vulnerabilidades de Microsoft y más nada. En ese sentido si puede haber cambiado el panorama mundial de las vulnerabilidades.
IT/USERS: O sea, y realmente nos sorprende mucho su afirmación, conforme ha venido incrementándose la movilidad, las plataformas móviles, las amenazas han subsistido, cuando bien pudieron haber sido eliminadas en su momento ¿es lo que nos está tratando de decir?
W.C.: De hecho que sí, las formas de corrección, las formas de evitar esas vulnerabilidades, también existen desde hace mucho años. Entonces, si hoy en día, por ejemplo yo tengo una aplicación en mi teléfono inteligente, registra datos de esa persona en una Base de Datos SQL en el mismo dispositivo y esa aplicación es vulnerable a una inyección de SQL, la forma de no ser víctima de eso, es no concatenar y usar “búsquedas parametrizadas”. Esa solución existe desde hace muchos años y se conocen en todos los entornos. ¿Porqué no la utilizan en la aplicación que están instalando en el Teléfono?
IT/USERS: Habría que buscar la respuesta…
W.C.: Exacto, ése es el punto, uno se dice cómo puede pasar. Nosotros lo que realmente encontramos es que a las personas las presionan mucho, porque las cosas sean “bonitas”, “fáciles de usar” y “rápidas”, pero no por la seguridad, que termina siempre siendo sacrificada. Hasta que —y esto tampoco ha cambiado en los últimos años— les “pega” de alguna manera, hasta que ocurre algo que les hace perder dinero y entonces se dan cuenta fehacientemente que les pudo hacer perder mucho más dinero. Nosotros hemos tenido este año, un par de casos de fraude relacionados a Bancos, donde no se concretaron los fraudes, pero estábamos hablando de miles de dólares.
Entonces los dueños se dicen: “Hey, ya aquí me han atacado”… estoy viendo que han adulterado documentos, que han usado una combinación de una mafia con la gente de los Bancos, aprovechándose de la gente nuestra, utilizando correo electrónico, utilizando documentos falseados y ciertas formas de cambiar personal en las entidades bancarias en el momento específico y dicen “Ya esto, es real”, yo necesito saber cómo es esto, porque no me pasó, no perdí el dinero, pero lo puede perder.
Entonces, cuando pasan cosas así, ya la gente se pone más lista con el tema de la seguridad.
IT/USERS: Ante este panorama, que obviamente como decían los romanos “No ha nada nuevo bajo el Sol”, ¿qué nos espera, qué les espera a los Usuarios, a la Industria, cómo ve Usted, lo que se viene?
W.C.: Yo lo que estoy viendo sí, —de buena forma— porque ya comienza a aparecer en los medios de comunicación masivos, por ejemplo, es que cada vez se está dando más cabida a que la gente tenga acceso a la información, y advertirles cómo pueden ser atacados, eso es una parte bien importante, porque hasta ahora, seguimos viviendo mayoritariamente en una “sociedad informática” que se ve el tema de la seguridad como una forma de decir “a ver, qué tengo que hacer para protegerme.” Entonces hay mucha inversión en protección, pero nunca están pensando en “cómo realmente los atacan” y esto es vital. Uno tiene que saber “cómo te atacan, para poder defenderte mejor” no hay forma, esto es así de simple. Lo que sí veo bien es que últimamente —por lo menos en los últimos dos años— en los medios locales, que invitan a la gente que opine sobre temas de seguridad informática, esto me parece muy bueno.
Para finalizar quisiera comentar acerca de “BlackHat” un evento internacional de Hackers—que se realiza en USA— si alguien no tiene la oportunidad de viajar y ver presencialmente el evento, cuando terminan las conferencias, prácticamente todos los videos de las conferencias se publican en YouTube, entonces hoy en día la gente tiene acceso más fácil a la información y ahí en ese evento se enfocan en el tema de las vulnerabilidades. Lo que interesa más es que esta información está al alcance de los profesionales de la seguridad, porque hay mucho que aprender sobre todo en el tema que enfaticé antes, que es la movilidad. El tema del BYOD es un gran desafío, porque hasta ahora los niveles de seguridad están en la capa de conexión pero no dentro de los dispositivos, porque ya que hasta ahí no ha llegado la gestión de la seguridad.
Acerca de Walter Cuestas:
Walter es el Gerente General de Open-Sec, cuenta con las certificaciones OSCP, C)PTC, C)PTE y C|EH. Dirigie el equipo de hackers éticos de Open-Sec desde el 2006.
Ha participado como expositor en eventos como LimaHack, Campus Party Quito, CSI Pereira y eventos de OWASP Perú Chapter. Tambien, ha publicado articulos en revistas especializadas como Hakin9, PenTest Magazine y Hack-in-Sight.
Acerca de OpenSec: http://www.open-sec.com http://ehopen-sec.blogspot.com