“No todos los dispositivos están diseñados para detectar las técnicas de evasión avanzada”
Javier Larrea, director técnico de Stonesoft, explica cómo descubrieron las técnicas de evasión avanzada y cómo trabaja su compañía con tecnologías como la virtualización o la nube.
1. Stonesoft, una empresa puramente tecnológica
Seguridad empresarial, crisis económica, virtualización y cloud son algunos de los temas que hemos tratado con Javier Larrea, director técnico de Stonesoft, una empresa de seguridad que a finales del año pasado anunció las Técnicas de Evasión Avanzadas, que ponen en entredicho los paradigmas de seguridad actuales al poder superar la mayoría de las soluciones de seguridad que existen actualmente en el mercado.
El acceso seguro a la red es una de las máximas de seguridad para una empresa, la nube hará desaparecer a los pequeños proveedores, la crisis económica no ha afectado demasiado a Stonesoft, el valor añadido de esta compañía es ser una “empresa puramente tecnológica” y los ataques a Word Press podrían ser fruto de ataques con técnicas de evasión avanzadas. Éstas y otras conclusiones pueden descubrirse en esta entrevista.
¿Cuáles son las medidas de seguridad imprescindibles que necesita una empresa?
Depende del volumen y del sector en el que esté la organización, depende de si nos movemos en la media y pequeña empresa o en las grandes corporaciones.
Las grandes organizaciones tienen que enfocar la seguridad en grandes áreas, como en área de seguridad perimetral, área de securización de las redes internas, securización de LAN; creemos que cada vez cobra más importante la parte de acceso seguro a la red, a la nube, por ejemplo aplicativos de SalesFoorce, o aplicativos de Web 2.0, que desde las organizaciones e exigen mecanismos de autentificación más fuertes, de doble factor, o mecanismos de autenticación vía ticketing.
¿Cómo ha afectado la crisis económica a Stonesoft?
A nivel de compañía hay que diferenciar el mercado español del mercado del resto de Europa. En el resto de Europa la crisis se ha dejado de lado, economías como la alemana ya están creciendo por encima del 3%, y la francesa tiene un buen crecimiento. Estamos empezando a tener muy buenas cifras en Estados Unidos, aunque es un mercado complicado porque hay mucha competencia; también hemos observado mucho crecimiento en el norte de África. En general son los mercados en los que nos hemos enfocado este año y el pasado: Norte de África, Centroeuropa y Estados Unidos. Y también es nuestra intención tener más presencia en Latinoamérica.
En España, nosotros la crisis no la hemos notado, lo que pasa es la que la inercia que lleva este sector es a uno o dos años, sobre todo en la administración pública, donde de un día para otros se cortan los presupuestos. Pero nosotros por suerte nos mantenemos en cifras respecto al 2009 y 2010. O sea que hemos observado crecimiento y hemos cumplido las previsiones que había, que era mantenernos en cifras.
2. Nube y virtualización
¿Cómo trabaja Stonesoft con la virtualización y el cloud?
Todos los servicios de cloud lo dan proveedores de servicio y son los proveedores de servicio los que tienen que implementar la seguridad de cara a que entre los diferentes servicios que se dan, entre los diferentes clientes, haya una separación administrativa, que los entornos estén separados desde el punto de vista de la seguridad, ese sería un aspecto. Y luego otro aspecto es el acceso seguro a los datos, que eso se resuelve mediante mecanismos de autenticación por parte de los usuarios que nos permita, no sólo tener una autenticación usuario-password, sino tener autenticaciones fuertes, de doble factor, o mecanismos de Federación de Identidades, es decir, mecanismos a través de los cuales unas organizaciones delegan en otros el sistema de acceso o validación.
Y luego está la necesidad de mantener la integridad de la información, es decir, que esa información no se modifique en el proveedor de acceso y que esa información no salga de ese proveedor que da los servicios de cloud. El proveedor de servicio de cloud no sólo tiene que proteger sus sistemas frente a la autenticación exterior sino proteger su sistema dentro de su sistema global, es decir que unos sistemas no se puedan ver afectados por otros y que no pueda haber fuga de información.
Los productos que nosotros tenemos son productos muy válidos para el acceso seguro a la nube, como el nuevo servicio de autenticación que vamos a sacar en breve, que es Stongate Autentication Server, que va a permitir entre otras cosas que los usuarios de una organización puedan acceder de forma segura con mecanismos de autenticación fuertes a esos servicios; y por otro lado tenemos la capacidad de proveer al que dota de esos servicios de cloud de mecanismos de aprovisionamiento de mecanismos de seguridad virtuales, por ejemplo, que permiten que un proveedor de servicios dentro de una granja de servidores pueda implementar servicios de seguridad (firewall, IPS, etc) para un conjunto de clientes.
¿Cree que la nube es el gran negocio de las empresas de seguridad?
Puede ser un gran mercado para la seguridad, pero hoy por hoy no es algo que haya “roto” en España y entiendo que tampoco fuera. Yo creo que hay que romper. Es lo que pasó con el comercio electrónico, que costó mucho superar ese tabú de meter los datos de la tarjeta en Internet, algo que ahora hace muchísima gente. Pero hoy por hoy sólo las aplicaciones muy genéricas de gestión y en las que no se guarda información crítica del negocio son las que se están moviendo en el entorno cloud.
Sí que veo un riesgo de que muchos proveedores de seguridad, y también de seguridad gestionada, vayan a desaparecer. Existen pequeños proveedores de acceso alojando servicios de sus clientes, o simplemente hosting de sus clientes, pero el cloud nos lleva a que probablemente sólo queden grandes compañías que den esos servicios y por tanto las pequeñas tiendan a desaparecer porque como es un entorno ubicuo en el que da igual dónde estés, yo creo que a futuro puedan desaparecer pequeños proveedores, no sólo de servicio, sino de seguridad también.
En ese futuro, ¿cuál sería la posición de Stonesoft?
Lo que hay que conseguir, lo que queremos nosotros, son cuentas globales con las que puedas llegar a acuerdos y vender tus productos en régimos en alquiler/renting o pago por uso. De modo que tienes un acuerdo con una empresa de telecomunicaciones a gran escala y le puedas vender tus sistemas, tus firewalls virtuales, tus IPS virtuales, tus sistemas de acceso virtual, o reales, pero sobre todo hablamos de virtuales porque nosotros podemos verder licencias virtuales a un coste de alquiler y basado en un uso.
¿Cómo afecta esto al canal de distribución tradicional?
De momento estos planteamientos no eliminan las necesidades que hay actuales. El esquema sería el mismo, con integradores y mayoristas. En lugar de licenciamiento por adquisición es un licenciamiento por uso, pero el resto se mantiene. Realmente eso ya lo tenemos porque actualmente estamos vendiendo licencias virtuales que tienen un alquiler anual. El problema de los proyectos globales es tener un control fuera de tus fronteras, porque al final hay unos data center distribuidos por todo el mundo y tiene que haber un control de todo ello.
3. Técnicas de Evasión Avanzada
¿Cuál es el valor añadido de Stonesoft?
A nivel filosófico nosotros somos una empresa puramente tecnológica de seguridad en la que más del 50% de los recursos que invierte Stonesoft son en desarrollo y en tecnología, y eso es un valor. No se trata de una empresa de marketing que vende servicios o productos de seguridad, sino que es una empresa tecnológica que invierte mucho en tecnología, y no lo deseable en marketing.
A nivel de productos, tenemos unas soluciones cuyos puntos fuertes son la centralización de la gestión y la estabilidad de la plataforma. La gestión se ha enfocado mucho a proveedores de seguridad gestionada, a proveedores de cloud, porque nuestros productos tiene mucho valor cuando trabajamos con volúmenes muy importantes de dispositivos o entornos distribuidos, ahí es donde nosotros somos muy fuertes.
Técnicas de evasión avanzadas, ¿cómo se descubren, y cómo se están implementando?
Las técnicas de evasión se conocen desde hace más de diez años, lo que Stonesoft hizo a raíz de un análisis de NSS Labs en el que no se obtuvieron los resultados deseables fue investigar en este terreno. Después de dos años de investigación, en octubre del año pasado se sacó a la luz pública el descubrimiento que hizo Stonesoft: que las técnicas de evasión conocidas hasta ese momento eran la punta del iceberg de una cantidad muy grande de posibles nuevas técnicas de evasión que se basaban, por un lado en nuevas técnicas y por otro en la posibilidad de combinarlas haciendo pequeñas variaciones y aplicándolas en diferentes protocolos.
Lo que siempre se ha preguntado la gente de desarrollo era si nadie ha utilizado o investigado hasta que lo hicimos nosotros; la pregunta era si a los que conocían determinadas técnicas de evasión les interesaba no sacarlo a la luz, porque lo que pretenden estas técnicas de evasión es lanzar ataques que pasen desapercibidos. Interesaría que nadie conociera estas técnicas porque abre las puertas a cualquier sistema siempre que sea vulnerable.
Stonesoft lo anunció, lo transmitió al CERT en Finlandia, el organismo que lleva toda la parte de gestión de vulnerabilidades y el proceso de notificación a fabricantes. Pasados unos seis meses, un paquete de 23 técnicas descubiertas por Stonesoft han sido sacadas a la luz y frente a estas 23 evasiones hay algunos fabricantes que han reaccionado y otros que están en la misma situación que hace seis meses, que no han hecho absolutamente nada.
Esto no sólo depende del interés del fabricante, sino de la tecnología de la que disponga, porque no todos los dispositivos están diseñados para poder detectar esas técnicas de evasión; es decir el diseño conceptual del sistema no está preparado para ello. Nosotros, a medida que descubrimos esas nuevas técnicas de evasión las vamos implementando. Al ser una solución software nos permite construir o reconstruir el protocolo de forma más amplia que otros dispositivos que basan su tecnología en hardware.
Después de publicar las 23 técnicas de evasión, ¿se ha detectado un incremento de su uso?
De momento no hay datos porque se han publicado hace poco pero se han estado publicando artículos de protestas de gobiernos, o de World Press, que aseguran que han sido atacados desde China… para realizar esos ataques, parta entrar en un sistema y que éste no se les bloquee tienen que utilizar técnicas muy avanzadas y las técnicas de evasión tratan de entrar sin pasar desapercibidos, y ni siquiera se sabe, no sólo si ha utilizado una técnica de evasión, sino cómo ha entrado, y ese es el problema. Es decir, el problema no sólo es que entren, sino que después de que hayan entrado te queda una sensación de impotencia porque no sabes cómo ni por dónde han entrado, porque no queda rastro.
Habéis publicado 23 técnicas, ¿hay más?
Sí. Se han transmitido al CERT otras 124.
¿Y cuántas puede haber?
Puede haber miles, para las que la gran mayoría de los productos de seguridad son vulnerables, pero si tu sistema es capaz de analizar el protocolo como lo hace el servidor atacado y normalizarlo es asumible por un sistema de seguridad. Si un sistema de seguridad está bien diseñado no es necesario que conozca esas miles de técnicas, sino que las detectaría sin necesidad de tenerlas implementadas una a una.
Al final es algo muy complejo pero de lo que se trata es que hasta ahora nadie sabía que eso existía, pero existía y ahora sabemos que existe y lo que tenemos que hacer es tomar las medidas necesarias para, en la medida de lo posible, protegernos.