martes, 31 de marzo de 2020

El equipo Red Team en primera posición en el evento de ciberseguridad OverDrive Conference

OverDrive Conference es un congreso de ciberseguridad que tiene lugar en Girona cada año a finales de abril. Durante el acontecimiento se realizan charlas y talleres impartidas por expertos del ámbito internacional, como Rusia, China o Estados Unidos. Igual que la mayoría de las conferencias de seguridad, durante unos días se habilita un CTF (Capture The Flag). Este consiste en varios retos de seguridad e informática, divididos en distintas categorías, los cuales tienen que ser solucionados por los participantes. Como no podía ser de otra manera, el equipo de Red Team de Internet Security Auditors ha participado en el CTF con el objetivo de ganar, pero sobre todo de aprender y formar-se en los distintos campos del Hacking.

El CTF de Overdrive está dividido en 6 categorías de retos: Criptoanálisis, Análisis de red, Pentesting de máquina virtuales, Programación, Reverse engineering y Web hacking. Cada categoría dispone de varios retos a resolver con distinto puntaje cada uno, donde los tres primeros participantes en resolverlos reciben una medalla de oro, plata o bronce según la posición.

Inicialmente el equipo se dividió para concentrarse cada uno, o en parejas, en una categoría en la que se sintiera más cómodo para resolver los retos más fáciles rápidamente. De esta manera, se realizaron todos los retos de programación y análisis de red, así como una de las máquinas virtuales y alguno de Criptoanálisis y Web hacking. Después se optó por trabajar en equipo con los retos más avanzados de Criptoanálisis y Web hacking, consiguiendo solucionar algunos muy interesantes como el nivel 5 de Criptoanálisis y el nivel 8 de Web hacking.

En general, los retos encontrados fueron entretenidos y ayudaron a aprender conceptos, técnicas y herramientas nuevas. Sobre todo, en campos donde el equipo no está tan acostumbrado a trabajar como el de Criptoanálisis, donde fue clave el intercambio de conocimientos entre los distintos miembros del equipo.

A día de hoy, el equipo de Red Team de Internet Security Auditors está en primera posición afrontando todos los retos con muchas ganas y energía. Aunque la conferencia se haya tenido que aplazar debido al COVID19, agradecemos el esfuerzo y dedicación en la preparación del CTF y la conferencia a los organizadores de la OverDrive.


¡Enhorabuena equipo!

viernes, 27 de marzo de 2020

Ciberinteligencia frente al Cibercrimen COVID19

Estamos sufriendo una crisis sanitaria de un alcance desconocido, el coronavirus o covid-19 va a cambiar nuestra sociedad, percibimos que nuestra sociedad mutará con la pandemia, al igual que el 11 de septiembre de 2001 lo cambió, el ataque al World Trade Center cambio el paradigma y el concepto de seguridad que conocíamos hasta ese momento, en un primer momento percibimos el cambio a través de las estrictas medidas de seguridad a las que tuvimos que adaptarnos, y tiempo después Snowden acabó de cambiar nuestra percepción y a la sociedad. La sociedad actual también cambiará a raíz de las medidas impuestas por los gobiernos para parar la pandemia, y la sociedad va a cambiar hasta un punto que todavía no somos conscientes.



Las circunstancias como las actuales provocan que salga lo mejor y lo peor de nosotros.

En la comparecencia del día 21/03/2020 el Presidente del Gobierno expuso que los hechos delictivos habían disminuido cerca de un 50% desde la instauración del Estado de Alarma, pero paralelamente la conectividad a Internet ha aumentado de forma exponencial, donde las grandes telecos informan de incrementos que llegan al 80% en algunos casos, dado que muchas empresas se han visto en la necesidad de implantar y estrenarse en el teletrabajo, también necesitamos rellenar el tiempo que tenemos que estar en casa en cuarentena, donde los medios de comunicación aprovechan el tirón mediático para saciar nuestra la sed de noticias dada la incertidumbre y miedo que se ha instalado en la sociedad, el uso del teléfono móvil y de aplicaciones de mensajería han aumentado hasta en un 600% en el caso de Whatsapp, vemos plataformas de contenidos y navegamos por Internet, y esta situación es conocida y aprovechada por los cibercriminales.

El Estado es consciente de esta circunstancia, y tanto el Centro Nacional de Inteligencia (CNI), mediante su brazo operativo en temas de ciberseguridad el Centro Criptológico Nacional (CCN-CERT) como el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) han focalizado los esfuerzos en las minimizar las incidencias en aspectos como el correo electrónico, videoconferencias o el acceso remoto seguro.

Con el desarrollo de las nuevas aplicaciones y páginas web sobre el coronavirus, también se ha producido un desarrollo paralelo de la actividad criminal, provocando que la criminalidad organizada, también está explotando las oportunidades que ofrece la creciente difusión de contenido relacionado con el covid-19.

Ante estas nuevas ciberamenazas se ha generado la necesidad de creación de nuevas estrategias de seguridad, dichas estrategias en ciberseguridad refuerzan la importancia del ciberespacio como escenario donde hacer frente a los nuevos retos y amenazas.

El ciberespacio está considerado como una nueva dimensión estratégica, un quinto dominio, formado por las TIC, las redes y sistemas de información, así como las infraestructuras que soportan las telecomunicaciones, provocando que ya existan fronteras, propiciando una gran globalización, con sus retos y oportunidades, tanto para instituciones nacionales, internacionales, particulares y multinacionales.

En circunstancias como las actuales la Inteligencia es una herramienta de gran utilidad, ¿pero que entendemos por Inteligencia?

La inteligencia es definida por la RAE como “Capacidad de entender o comprender”, “Capacidad de resolver problemas” y “Conocimiento, comprensión, acto de entender”, entre otras acepciones. Desde estos puntos de vista, se trata de un proceso que permite al ser humano llegar a utilizar su capacidad de razonamiento para entender aquello que le rodea y actuar de la forma más adecuada en cada momento.

Según esta interpretación, Inteligencia podríamos definirla como “Capacidad de entender, asimilar, elaborar información y utilizarla adecuadamente. Es la capacidad de procesar información, estando íntimamente ligada a otras funciones mentales como la percepción, o la capacidad de recibir la citada información, y la memoria, junto la capacidad de almacenarla”, pero resumiéndola más todavía, podemos llegar a definir la Inteligencia como Información procesada con vista a la acción.



El concepto de “ciclo de inteligencia” como tal, es una herramienta de utilidad didáctica para mostrar de manera teórica cómo se desarrolla el trabajo de inteligencia, teniendo la ventaja que hace entendible un fenómeno complejo.

La inteligencia se basa en diferentes fases, en función de la fuente que consultemos podemos hablar de 4, 5 o 6 fases, para el presente artículo utilizaremos el ciclo de inteligencia basado en 6 fases:

Ciclo de Inteligencia


Con el presente artículo pretendemos analizar desde un punto de vista de cómo tratar la problemática de la utilización de dominios que utilizan el coronavirus como reclamo con intereses maliciosos, desde el punto de vista de cómo se atacaría desde la ciberinteligencia.

Las fases a seguir son:
  1. Dirección y planificación
  2. Recopilación o recolección de datos
  3. Evaluación de la información
  4. Transformación e Integración
  5. Interpretación (Análisis)
  6. Difusión y evaluación.

1.-Dirección y planificación

En esta fase se deben identificar las necesidades y la información que demandan los destinatarios de la inteligencia.

En el caso presente se decidió identificar y “rastrear” los dominios que pudieran estar siendo creados por ciberdelincuentes con una finalidad delictiva, ya sea para usar en phishing, en la obtención de datos personales, en la propagación de malware o la distribución de aplicaciones móviles delictivas. No solamente se cubrirán los TLDs (Top Level Domain, dominios de primer nivel) más conocidos como .com, .org o .net, sino también otros TLDs relacionados frecuentemente con actividades delictivas tales como .xyz, .site u .online entre otros.

En total se han analizado un total de 900 zonas DNS completas de distintos TLDs con el objetivo de obtener un mayor número de dominios potencialmente fraudulentos que pudieran estar relacionados con actividades de carácter delictivo aprovechando la situación actual de pandemia y la necesidad de información por parte de la población.

Durante estos días también se han detectado y denunciado diversas aplicaciones y webs que, bajo la excusa de la creación de mapas de infección y recolección de datos, nos obligaban a aceptar términos y condiciones que vulneraban nuestra privacidad.

2.-Recopilación o recolección de datos

Esta fase es la encargada de la obtención de los datos, de la información que se precisa para producir la inteligencia necesaria.

En nuestro caso se decide que lo más importante es localizar e identificar las diferentes fuentes de información relevantes y distinguir cuales se van a utilizar y valorar qué volúmenes datos podemos encontrar.

Los medios para su obtención son muy variados, y constituyen los recursos de inteligencia, utilizando diversas disciplinas de recolección de inteligencia como OSINT, en este caso concreto, a través de medios técnicos, y del análisis de la información pública o a través de datos recabados por otros servicios u organismos.

Para nuestra investigación se elige trabajar con los ficheros de zonas DNS completas de un total de 900 dominios de primer nivel, lo cual supone trabajar con alrededor de 200 millones de dominios. Por la extensión del .com (145 millones de dominios registrados) y debido a la limitación de tiempo para la realización de este informe se decide solo contemplar los dominios .com creados durante los últimos días (17 al 22 de marzo). El resto de los TLDs si se procesan completos. Para limitar el alcance, solo se tendrán en cuenta aquellos dominios que presenten los patrones COVID19, COVID-19, CORONAVIRUS y CORONAVID en el nombre del dominio de cualquiera de los TLDs que vamos a procesar. Todos los dominios que no contengan estos patrones estarán fuera del alcance. Sería interesante también la obtención de subdominios que pudieran contener los patrones anteriores en cualquier dominio, pero por limitaciones de tiempo esto queda fuera del alcance. Hay que tener en cuenta que los cibercriminales no siempre van a usar los patrones citados anteriormente en sus campañas e incluso pueden usar dominios que no hacen ninguna referencia a COVID o CORONAVIRUS, pero desde un punto de vista de ingeniera social son más utilizados para engañar a los usuarios y hacerles creer que son dominios legítimos.

También se han buscado los patrones COVID20, COVID-20 pero los resultados positivos han sido residuales, por lo que no se han incluido en el presente informe.

Alguna de los TDLs usados en la obtención de dominios


3.-Evaluación de la información

Una vez se ha recopilado la información, se debe iniciar el proceso de evaluación, donde hay que evaluar:
  • Uso que puede hacerse de la información.El valor de prueba de la información
  • El contenido en sí mismo de la información: la validez de la información y la fuente que a ha facilitado la información.
Este paso es imprescindible para que el proceso analítico sea efectivo ya que posteriormente nos permitirá tener más seguridad en el momento de realizar inferencias, ya que la importancia de evaluar la información tiene consecuencias directas en su utilización a nivel judicial, en el caso de ser necesario.

Las fuentes de información de las que nos hemos nutrido junto a la metodología utilizada facilitaran mucho la categorización y evaluación de los datos obtenidos.

    "Se obtuvieron un total de 12325 dominios en todos los TLDs analizados."

El uso de esta información nos permitirá la detección de posibles campañas fraudulentas que se puedan estar realizando actualmente o que puedan activarse en el futuro.

Se pueden detectar posibles campañas similares a las ya detectadas en semanas anteriores tales como el uso de supuestos mapas que permitían la distribución de malware, aplicaciones móviles que ocultaba ransomware o la solicitud de información personal.

Algunos de los dominios registrados

Algunos de los dominios registrados del TLD .app

Se debe de tener muy en cuenta la rápida creación de estos dominios y su sustitución por otros similares. Es por ello fundamental una monitorización constante y lo más actualizada posible con el fin de poder detectarlos en un tiempo mínimo.

Hay que tener en cuenta que a pesar de que el dominio contenga los patrones anteriormente mencionados, eso no garantiza que el dominio sea malicioso. Existen muchas páginas legítimas que también usarán estos patrones en sus dominios. Esto hará que tengamos que verificar mediante otros mecanismos que el dominio realmente no esta relacionado con el cibercrimen. Es preciso asegurar que cada dominio esta relacionado con la actividades criminal y así evitar falsos positivos, lo cual requiere de una fuerte carga de trabajo.

4.-Transformación e Integración


Una vez hemos seleccionado las fuentes que nos servirán para obtener la totalidad o el máximo posible de información que consideramos que pueden ser de interés para nuestro análisis es necesario realizar un tratamiento. Este tratamiento tendrá como objetivo principal homogeneizar las fuentes y los datos, permitiendo darles un tratamiento que nos ofrecerá la posibilidad de realizar una explotación masiva de los datos para poder representarlas de manera gráfica, dando claridad y descubriendo aspectos que no se habían tenido en cuenta inicialmente.



Para nuestra investigación se obtienen los dominios que pertenecen a cada TLD analizado y se relaciona con su IP/IPs, homogeneizando la información para ser tratada fácilmente. A su vez, se han realizado capturas de cada dominio analizado, así como una copia del código fuente de la página principal que puede ser usado con otros usos en una fase de la investigación posterior. También se hace una recopilación de la información referente a cada certificado SSL con la finalidad de detectar relaciones entre posibles dominios fraudulentos.

Relación de IP y dominios del TLD .xyz

Captura de dominios analizados

5.-Interpretación (Análisis)

 La información que ha sido evaluada no se ha convertido todavía en inteligencia. La información evaluada se convierte en inteligencia únicamente cuando ha sido interpretada en cuanto a su significado.

El alcance del análisis y su credibilidad general dependen del nivel y la precisión de la información adquirida en las fases previas, combinada con la habilidad del analista para interpretarla.

Se suelen utilizar tablas y gráficos para presentar información que muestre al investigador una imagen inicial de relaciones, eventos, actividades, frecuencia, y otros, en función de la necesidad de inteligencia planteada inicialmente.


De un primer análisis temporal, podemos observar un incremento exponencial del registro de dominios que cumplen los requisitos expuestos, aunque debemos señalar que únicamente se pudo extraer información temporal de 7.902 dominios del total analizado.

Durante nuestra investigación se han detectado como una gran cantidad de dominios, hasta miles, todos ellos alojados en unas IP’s muy concretas, así como también se han detectado rangos específicos que agrupan dichas IP’s sospechosas.

Principalmente se detectan dos rangos de IP’s en los que apuntan un alto porcentaje de los dominios analizados.

Destacar el uso de certificados gratuitos y servicios que permiten ocultar la dirección IP real en un porcentaje de los dominios evaluados.

Esta gran concentración de dominios son sospechosos de poder ser utilizados en una actividad delictiva, aunque no nos proporcione una conclusión definitiva, nos señala indicios de que ese agrupamiento de dominios relacionados, recordemos que son dominios que han sido creados utilizando en su denominación alguna de las siguientes estructuras COVID19, COVID-19, CORONAVIRUS o CORONAVID, ya que esta correlación y relación de estos dominios puede señalarnos que detrás exista una posible actividad criminal, ya que no es normal que se registren tantos dominios similares en una IP o rango concreto.

También hemos observado como el mismo dominio está alojado en más de una IP diferente.

Rangos /24 donde apuntan un mayor número de dominios

Si analizamos la distribución de dominios observamos que, los 12.325 dominios sospechosos están alojados en 3.007 direcciones de IP. Des análisis de estas 12.325 se han detectado que 10.079 dominios son únicos, la diferencia radica en que hay miles de dominios que están alojados en más de una IP.

Si analizamos los dominios por TLD observamos que se han registrado los dominios utilizando hasta 348 dominios diferentes, en la siguiente tabla podemos comprobar el TOP 10 de dominios registrados por TLD.

Tabla con el TOP 10 de los TLD más detectados durante esta investigación


Si realizamos la misma comparativa, pero esta vez de los dominios únicos (10.079), podemos observar que hay muy pocos cambios en el orden.

Distribución de los TOP 10 de los TLD (dominios únicos) más detectados

6.-Difusión y Evaluación

El consumidor de inteligencia recibe el producto final obtenido de la ejecución sucesiva de las fases anteriores.


Ciclo realizado durante la ejecución de la presente investigación

En este caso, para mostrar el producto final hemos elaborado el presente artículo donde hemos mostrado las diferentes fases realizadas para la elaboración del presente artículo, realizando una difusión abierta a la comunidad de los resultados y conclusiones obtenidas y siendo trasladado a organismos como el CNPIC y el CCN-CERT.


Autores: Carlos Seisdedos, Analista Ciberseguridad y responsable del área de Ciberinteligencia y Francisco Jesús Rodriguez Montero, Analista Ciberseguridad en ITQLATAM.
Este artículo se publicó originalmente en el blog: https://derechodelared.com

viernes, 20 de marzo de 2020

Desde el confinamiento, Internet Security Auditors sigue colaborando para incrementar el nivel de seguridad de las empresas y particulares

En estos momentos tan difíciles que estamos viviendo debido al confinamiento provocado por el COVID-19, son muchos los que aprovechan el tirón para continuar con sus acciones delictivas, como hemos ido viendo en noticias y redes sociales e incluso seguro que algunos lo han vivido en sus propias carnes.

Desde Internet Security Auditors seguimos trabajando para incrementar el nivel de seguridad de las empresas y particulares, muestra de ello es el gran trabajo de nuestro responsable de ciberinteligencia, que ha participado en el cierre de una página web que se anunciaba como representante del Ministerio de Sanidad, pero lo único que hacia era captar datos de los usuarios.

https://www.rtve.es/noticias/20200318/ciberdelincuentes-aprovechan-teletrabajo-coronavirus-para-lanzar-webs-apps-maliciosas/2010327.shtml

Carlos también ha participado en el artículo: “La no-inteligencia en tiempos de coronavirus” publicado por el Diario 16. Dónde comenta que: “queda mucha inteligencia que aplicar, porque si el 11M fue un antes y después en la forma de entender la seguridad, esta pandemia será una antes y después en nuestras vidas.”

Por nuestra parte, seguiremos manteniéndoos informados desde las redes sociales y publicando recomendaciones y artículos interesantes, como el de Vicente Aguilera sobre “Delitos en época post-pandemia COVID-19

Delitos en época post-pandemia COVID-19

Lamentablemente, nos ha tocado vivir y sufrir la pandemia del Covid-19. El Presidente del Gobierno de España, Pedro Sánchez, ha comunicado esta semana que lo peor está por llegar. Y escuchar estas palabras cuando en España, a día de hoy, superamos los 18.000 casos (con un incremento del 25% respecto al día anterior) y los 800 fallecidos (con un incremento del 28% respecto al día anterior), Italia ha superado en muertes a China (recordemos, 3.405 fallecidos sólo en Italia, de momento), y la UME (Unidad Militar de Emergencia) está desplegada en nuestras calles, junto con el resto de fuerzas y cuerpos de seguridad, para garantizar el confinamiento de la población en sus casas (por cierto, el Gobierno ha comunicado hoy que mantendrá el estado de alarma hasta después de Semana Santa), no resulta nada alentador.

No cabe duda de que venceremos esta pandemia, como ya hemos hecho en múltiples ocasiones en nuestra historia. Pero ahora toca hacer frente, entre todos, a este virus que tiene una altísima capacidad de infección y que, especialmente, afecta con gran impacto a personas de avanzada edad y con otras patologías previas. Nuestros mayores son los más vulnerables. Protejámoslos.
Respecto las medidas a adoptar por la población, las autoridades sanitarias destacan y nos repiten, incesantemente, dos de ellas: un cuidado estricto de nuestra higiene y el confinamiento en nuestras casas.

El confinamiento es una medida drástica, pero se ha observado que resulta imprescindible y tremendamente eficaz en países donde ya han comenzado a superar la situación (como en China, el que fuera el epicentro del virus, que hoy ha tenido únicamente 37 nuevos casos, todos ellos importados y ninguno autóctono).

A consecuencia de este confinamiento, la rutina diaria de la población se ha visto modificada totalmente. El teletrabajo se ha extendido (muchos lo han descubierto por primera vez), los colegios (desde infantil a la Universidad) están cerrados, y debemos organizar nuestra vida en base al contexto en el que nos encontramos.

En este escenario de aislamiento, el consumo de Internet se ha disparado (tanto por razones derivadas del teletrabajo como del ocio digital), provocando una ralentización del tráfico de datos de hasta el 10% en determinadas ciudades.

Sin ninguna duda, pasamos más tiempo conectados a Internet. Y, entre las cosas que realizamos cuando estamos conectados (supuestamente, en nuestro tiempo de ocio), es publicar fotografías y videos en nuestras redes sociales. El aspecto diferenciador, respecto a antes del estado de alarma, se encuentra en que esas fotografías y videos las realizamos desde nuestra vivienda. Generalmente, lo hacemos pensando en transmitir una situación, compartir cómo nos entretenemos, animar a otras personas, ofrecer servicios de ayuda a terceros, o simplemente para pasar el tiempo. Pero no todos son conscientes de que están facilitando mucha más información, información privada, revelando cómo es su vivienda, qué medidas de seguridad disponen, cuantos miembros de la familia residen, donde se ubica cada estancia de la casa, que poder de adquisición tienen, etc. Es más, cuando se publican videos desde la ventana, balcón, terraza o patio, se puede estar revelando la geolocalización exacta de nuestro domicilio.

Esto es posible gracias al uso de técnicas IMINT (Imagery Intelligence) en combinación con otras disciplinas como OSINT (Open Source Intelligence) y SOCMINT (Social Media Intelligence). Aunque la adquisición de información de fuentes abiertas es algo cada vez más conocido, el hecho de explotar esta información junto con aquella obtenida a través de imágenes proporcionadas por satélites o medios aéreos no resulta tan habitual. El acceso a estas imágenes puede obtenerse a través de servicios como Google Maps.

Existen múltiples tutoriales sobre cómo realizar procesos de geolocalización a partir de imágenes o videos. En general, se trata de identificar puntos de referencia o interés y cruzar toda la información disponible para acabar ubicándola en un mapa. Por ejemplo, la imagen o video se analiza en busca de edificios relevantes (catedral, monumento, construcción característica, torre eléctrica, puente, estilos arquitectónicos, etc.), nombres o marcas que puedan aparecer (empresas, comercios, hoteles, restaurantes, gasolineras, calles, etc.), características del terreno (vegetación, árboles, plantas salvajes, montañas, plantas autóctonas, río, lago, etc.),  así como cualquier otro dato o pequeño detalle que permita identificar el país, la ciudad o la zona en la que pueda haber sido realizada (la llave de un hotel, una servilleta de papel con el nombre del restaurante, unos colores que identifiquen una marca corporativa, un logo, etc.). Un análisis con detenimiento de una imagen o video puede revelar muchos más detalles de los que podríamos imaginar.

La información adquirida, y la que se pueda derivar mediante el análisis y procesamiento de esta, se verifica contrastando la supuesta ubicación con las imágenes de satélite. Para ello se pueden utilizar múltiples servicios como los mapas de Google, Bing, Yandex, Yahoo!, OpenStreetMap, etc. u otros que integran varios de ellos, como Wikimapia.

La siguiente captura muestra el uso del servicio Dual Maps para identificar una ubicación:



Pero el problema va más allá de ciudadanos anónimos. En estos días, nos estamos acostumbrando a ver como los programas de televisión conectan con sus colaboradores, que realizan sus crónicas desde sus casas. De esta forma, vemos como presentadores del tiempo realizan los pronósticos desde la terraza de su vivienda, mientras que otros colaboradores se conectan desde su habitación o el salón de su casa. Por otro lado, otros famosos realizan videos de sus caceroladas desde su balcón, entrando y saliendo por las distintas estancias de su casa, futbolistas que nos enseñan como planchan desde su comedor, deportistas que se entrenan en el patio su casa o que corren sin cesar de un lado a otro de su vivienda, o cantantes que realizan conciertos desde su terraza o su salón. Más allá del morbo que pueda despertar conocer como es la vivienda de estos famosos, todos ellos, están exponiendo en Internet donde residen.

Aquellos a los que les preocupe su exposición en Internet, o la de su familia, deberían tener presente estos aspectos y adoptar las medidas de protección adecuadas.

En estos momentos, el número de delitos se ha reducido drásticamente en España (han caído un 70%). No obstante, los delitos que no han descendido de forma tan importante son los robos con fuerza sobre establecimientos (al permanecer cerrados, resultan más atractivos para los delincuentes sabiendo que sus propietarios están en casa o se han marchado a su país de origen).

Ojalá me equivoque, pero muchos delitos que podrían cometerse tras el confinamiento (una vez finalice el estado de alarma) podrían estar forjándose en estos momentos. Los delincuentes, que también conocen y dominan la tecnología, podrían estar identificando ahora sus víctimas, recopilando información sobre ellas, y priorizando sus próximas actividades. Apliquemos el sentido común, y no facilitemos información innecesaria. Por lo menos, aquellos que lo hagan, que sean conscientes de la metainformación que están comunicando.

Autor: Vicente Aguilera - CISA,CISSP, CSSLP, ITILF, PCI ASV, CEH, ECSP, OPST/A OWASP Spain Chapter Leader
Director Departamento de Auditoría.

martes, 10 de marzo de 2020

Análisis PA-DSS Vs PCI SSS y PCI SSLCS

El pasado 16 de enero de 2019 el PCI SSC publicó en el repositorio de su página web cuatro nuevos documentos:



Dichos documentos pertenecen al Marco de Software Seguro (PCI SSF - PCI Software Security Framework) y se componen de dos nuevos estándares;
  • PCI Software Security Standard (PCI SSS)
  • PCI Secure Software Lifecycle Standard (PCI SSLCS)
Estos estándares establecen requisitos de seguridad para el diseño, desarrollo y mantenimiento del software que trata transacciones de pago con datos de tarjeta.

Antes de esta publicación, cualquier software que tratara datos de tarjeta, era susceptible de ser certificable bien por PA-DSS o bien por los requisitos aplicables (principalmente requisito 6) de PCI DSS.

En septiembre de 2019, el PCI SSC ha añadido nuevos documentos entorno al marco PCI SSF, quedando el total formado por 11 documentos disponibles en su página web a través del repositorio anteriormente citado:



¿Qué diferencias hay en el contenido de PA-DSS, PCI SSS y PCI SSLCS?

La estructura de los estándares sigue siendo la misma que PCI DSS o PA-DSS, en los cuales se definen por cada control tres conceptos; objetivo del control, la prueba del requerimiento y la guía. Sin embargo, los controles han sido redistribuidos y agrupados de forma diferente:

# PA-DSS PCI SSS PCI SSLCS
1 No retenga el contenido completo de la pista, el código o valor de verificación de la tarjeta (CAV2, CID, CVC2, CVV2) ni los datos de bloqueo del PIN. Minimizando la superficie de ataque Identificación de activos críticos Gobernanza de seguridad del software Responsabilidad y recursos de seguridad
2 Proteger los datos almacenados del titular de la tarjeta Valores predeterminados seguros Política y estrategia de seguridad del software
3 Proporcione funciones de autenticación segura Retención de datos sensibles Ingeniería de software seguro Identificación y mitigación de amenazas
4 Registre la actividad de la aplicación de pago Mecanismos de protección de software Protección de activos críticos Detección y mitigación de vulnerabilidades
5 Desarrolle aplicaciones de pago seguras Autenticación y control de acceso Software seguro y gestión de datos Gestión del cambio
6 Proteja las transmisiones inalámbricas Protección de datos sensibles Protección de integridad de software
7 Evalúe las aplicaciones de pago para corregir las vulnerabilidades y para mantener las actualizaciones de la aplicación Uso de la criptografía Protección de datos sensibles
8 Facilite la implementación de una red segura Operaciones de software seguro Seguimiento de la actividad Comunicaciones seguras Guía segura del fabricante
9 Los datos de titulares de tarjetas nunca se deben almacenar en un servidor conectado a Internet Detección de ataque Comunicaciones con las partes interesadas
10 Facilite un acceso remoto seguro a la aplicación de pago Gestión segura del ciclo de vida del software Gestión de amenazas y vulnerabilidad Información de actualización de software
11 Cifre el tráfico sensitivo de las redes públicas Actualizaciones seguras de software - -
12 Cifre el acceso administrativo que no sea de consola Guía segura del fabricante - -
13 Mantenga una Guía de implementación de las PA-DSS para los clientes, revendedores e integradores Módulo A - Protección de datos de la cuenta Datos sensibles de autenticación - -
14 Asigne responsabilidades según las PA-DSS al personal y establezca programas de capacitación para el personal, los clientes, los revendedores y los integradores Protección de datos de tarjeta -

 

¿Cuál es el motivo del cambio de estándares?

El nuevo marco de Software Seguro reemplazará PA-DSS con el objetivo de renovar los requisitos del programa PA-DSS por otros más modernos que admitan una gama más amplia de tipos de software de pago con tarjetas, así como diferentes tecnologías y metodologías de desarrollo utilizadas hoy en día. Con este enfoque, el PCI SSC a través del programa SSF proporcionará más agilidad para que los desarrolladores incorporen la seguridad en las aplicaciones de pago con prácticas de desarrollo ágiles y ciclos frecuentes de actualizaciones. El SSF permite un suministro más acelerado de funciones y personalizaciones de las aplicaciones de pago para comercios sin comprometer la seguridad. También mejora la coherencia y la transparencia en las pruebas que se realizan a las aplicaciones de pago, lo que eleva la garantía de validación para comerciantes, proveedores de servicios y compradores que implementan y administran el uso de soluciones de pago.

En resumen, el programa SSF permitirá unos requisitos más flexibles y más opciones de validación que admitirán tecnologías más modernas y una gama más amplia de software de pago.

¿A quién aplica?

El criterio de elegibilidad sigue siendo el mismo que para PA-DSS, por lo que aplican principalmente a software vendido, distribuido o licenciado a terceras partes que esté involucrado en el procesamiento, almacenamiento o transmisión de los datos de tarjeta, no siendo aplicable a desarrollos software internos o a medida.

¿Qué diferencia hay entre los dos nuevos estándares?

El PCI SSS y el PCI SSLCS son dos estándares separados e independientes, sin embargo, abordan conceptos similares, pero desde puntos de vista diferentes:

  • PCI SSLCS se orienta a procesos exclusivos al ciclo de vida del desarrollo o codificación segura de software y está diseñado para certificar empresas de desarrollo de software que quieran certificar su proceso para demostrar su madurez en el diseño y desarrollo de aplicaciones de pago que securicen los datos y las transacciones, así como minimizar las vulnerabilidades y estén protegidas frente a ataques.
  • PCI SSS se enfoca a funcionalidades y funciones seguras (diseño, desarrollo y mantenimiento de las mismas) con el objetivo de proteger la integridad y confidencialidad de los datos de tarjeta. El estándar está diseñado para certificar aplicaciones que estén involucradas, faciliten o directamente soporten transacciones que almacenen, procesen o transmitan datos de tarjeta, siempre y cuando cumplan con el criterio de elegibilidad descrito anteriormente.
Al ser estándares independientes implica que la validación de un software en un estándar (por ejemplo, PCI SSS) no tiene por qué resultar en la validación en el otro estándar (PCI SSLCS o cualquier otro estándar del PCI SSC).

¿Qué ventajas me ofrece cada estándar?

El nuevo marco de software seguro hereda todas las ventajas del programa PA-DSS y añade nuevas características. Podemos resumir todas las principales ventajas en:
  • Aparición en las listas publicadas en la página web oficial del PCI SSC, por lo que cualquier interesado puede consultar de forma ágil y gratuita el estado actualizado de cada aplicación de pago validada (tanto por PCI PA-DSS como por PCI SSF)
  • Al publicar y mantener las listas el PCI SSC de empresas y aplicaciones certificadas, no es necesario solicitar el AoV correspondiente (PCI PA-DSS o PCI SSS) para comprobar que ha sido creado por una empresa utilizando metodología de desarrollo seguro certificada mediante AoC (PCI SSLCS), ya que todo esto estará validado en el proceso de publicación en dichas listas del PCI SSC publicadas en su página web.
  • El nuevo marco PCI SSF, ha sido desarrollado teniendo en cuenta los nuevos avances tecnológicos y las nuevas plataformas de pago emergentes, con el objetivo de validar desarrollos de software modernos con actualizaciones y un ciclo de vida de desarrollo más rápido. De hecho, PCI SSS soportará nuevas actualizaciones con inclusiones de nuevos módulos bajo nuevas versiones del estándar.

 

¿Cambia el tipo de auditorías y certificación que se realizarán respecto a las auditorías de PA-DSS?

No, el proceso de auditoría evaluará de la misma forma la aplicación de pago que como lo haría en una auditoría PA-DSS, dando como resultado dos documentos de certificación; PCI SSS (RoV y AoV) y PCI SSLCS (RoC y AoC). Igualmente se mantiene la lista de software de pago validado en la página web del PCI SSC, que actualmente es la siguiente: https://www.pcisecuritystandards.org/assessors_and_solutions/payment_applications?agree=true

El PCI SSC mantendrá dos listas, una para el estándar PCI SSS y otra para el estándar PCI SSLCS.
Las empresas con certificación PA-DSS, serán candidatas para ser compañías PCI-qualified Secure Software Assessor (SSA) Companies y PCI-qualified Secure Software Lifecycle Assessor (SSLCA) Companies.

Mas información respecto al proceso de auditoría, ya sea auditoría completa o parcial (delta), así como los tipos de cambios y las recertificaciones se puede extraer de los documentos de “Programa” que ha publicado el PCI SSC:
  • Secure-Software-Program-Guide-v1
  • Secure-Software-Life-Cycle-(SLC)-Program-Guide-v1

¿Qué relación tienen los nuevos estándares con otros estándares del PCI SSC?

El marco de software seguro (PCI Software Security Framework) que engloba los dos nuevos estándares ha sido elaborado con elementos de PA-DSS (el cual fue elaborado para validar aplicaciones en entornos PCI DSS), sin embargo, tiene como objetivo dar un nuevo enfoque al desarrollo y distribución de aplicaciones de pago para abarcar diferentes tipos de software, metodologías de desarrollo, más casos de uso y futuras tecnologías.

 ¿Qué transición habrá de PA-DSS al marco PCI Software Security?

En el periodo de transición establecido, coexistirán los dos marcos de validación, PA-DSS y PCI SSF, entre el Q1 de 2020 y el 30 de junio de 2021, en el cual se podrán certificar nuevas aplicaciones por cualquiera de los marcos de validación.

Todas las aplicaciones de pago validadas por PA-DSS se mantendrán actualizadas y continuarán siendo regidas por el programa PA-DSS hasta que se alcance la fecha de vencimiento (28 de octubre 2022 para las aplicaciones de pago validadas según PA-DSS v3.2). Tras dicha fecha de vencimiento, todas las aplicaciones de pago validadas por PA-DSS se moverán a la lista "Solo aceptable para implementaciones preexistentes". En ese momento, las actualizaciones adicionales de las aplicaciones de pago validadas por PA-DSS después del vencimiento del propio estándar PA-DSS deberán evaluarse en el marco de software seguro.

¿Qué debo hacer si estoy próximo o en proceso de certificación de PA-DSS v3.2?

Por el momento se recomienda seguir el programa PA-DSS pues las validaciones de nuevas aplicaciones por PA-DSS v3.2 serán aceptadas hasta el 30 de junio de 2021 y válidas hasta el 28 de octubre de 2022.

Aplicaciones que se quieran validar por el nuevo marco de software seguro podrán iniciar el proceso durante el Q1 de 2020 y seguirán el mismo ciclo de 3 años de validez, al igual que PA-DSS.

¿Cómo me afecta la transición a PCI SSF si ya tengo una aplicación válida y certificada por PA-DSS v3.2?

La aplicación de pago se mantendrá en la “Lista de Aplicaciones de Pago Validadas” hasta su fecha de expiración establecida, y se podrán aplicar cambios según PA-DSS hasta el 28 de octubre de 2022. Tras esta fecha, la aplicación será movida a la lista "Solo aceptable para implementaciones preexistentes" y el programa PA-DSS será clausurado.

Línea de tiempo

CONCLUSIONES

Siguiendo la línea del ciclo de vida de las certificaciones aplicadas por el PCI SSC, era necesaria una renovación de PA-DSS de cara a poder albergar los nuevos desarrollos tecnológicos, por lo que la aparición de PCI SSF viene a cubrir en parte las necesidades en materia de certificación de aplicaciones de pago modernas y diversas. Además, al fraccionar el estándar PA-DSS en dos estándares que se complementan, hace posible que empresas enfocadas única y exclusivamente al desarrollo seguro de código o software, puedan validarse, publicarse y poseer una certificación, en este caso, bajo PCI SSLCS, lo que antes solo con PCI PA-DSS no era posible.
El resto de las empresas que estén cubiertas bajo PA-DSS, seguirán teniendo los mismos beneficios bajo PCI SSF obteniendo una flexibilidad adicional, lo cual, hace que este nuevo cambio de enfoque sea beneficioso para ambas partes, tanto la auditada como para los auditores.

REFERENCIAS

https://www.pcisecuritystandards.org/document_library


Autor: Alberto Villar - CISSP, PCI QSA, PCI PA-QSA, ISO 27001 L.A.
Dpto. Consultoría

Internet Security Auditors nuevamente en los medios

Se han reanudado en el Centro Universitario Asociado a la UNED de Ciudad Real en Valdepeñas las ponencias del Curso “Expertos en Seguridad y Defensa”, que está organizado por la Jefatura del Cuerpo de Policía Local 227 de Valdepeñas.

El pasado martes Carlos Seisdedos, del dpto. de ciberinteligencia, fue el ponente y estuvo hablando sobre un tema de mucho interés, como es el “ciberdelito, hacktivismo y ciberterrorismo”.

Gracias a esta participación de Carlos medios digitales se hicieron eco, y mencionan a Internet Security Auditors:

https://www.elecodevaldepenas.es/texto-diario/mostrar/1837245/analisis-ciberdelito-ciberterrorismo-dentro-curso-experto-seguridad-defensa

https://www.lanzadigital.com/provincia/valdepenas/el-curso-de-seguridad-y-defensa-que-se-celebra-en-valdepenas-trato-el-ciberdelito-y-el-ciberterrorismo/

lunes, 2 de marzo de 2020

Internet Security Auditors en los medios

El pasado día 20 de febrero se presentó en la sede de CIFAL Málaga el tercer curso del aula virtual del Centro Internacional de Formación para Autoridades y Líderes locales: Ciberterrorismo, Ciberinteligencia y Ciberseguridad, Riesgos y Amenazas en un Marco Global en el que Carlos Seisdedos, Responsable del depto. de Ciberinteligencia, participa como coordinador del curso. La presentación del curso se realizó tanto en los medios escritos como en la TV:

https://atalayar.com/content/cifal-m%C3%A1laga-pone-en-marcha-su-tercer-curso-del-aula-virtual-que-versar%C3%A1-sobre

https://www.diariosur.es/malaga-capital/cifal-malaga-presenta-20200220170805-nt.html

https://www.blogmalaga.es/cifal-malaga-presenta-su-tercer-curso-del-aula-virtual/

Por otro lado, el martes 25 se publicó en la revista Cuadernos de Seguridad un artículo de Carlos Seisdedos, dónde habla sobre cómo la ciberinteligencia, es clave para afrontar las nuevas amenazas.

El artículo está en formato digital y formato físico:
https://cuadernosdeseguridad.com/2020/02/ciberinteligencia-seguridad-amenazas/

Para finalizar, el miércoles 26 de febrero el diario: La opinión de Málaga publicaba una entrevista a Carlos dónde hablan sobre Internet Security Auditors y la labor que desarrollamos en el mundo de la ciberseguridad:

https://www.laopiniondemalaga.es/malaga/2020/02/26/labor-ayudar-empresas-diseno-ciberseguridad/1148893.html