Categories
General Security

El cuento del Cloud que quería ser seguro

El 4 de junio asistimos a la primera UOC SEC-CON, en ella participaron ponentes de renombre. Se trataron temas diversos, desde la evolución del Cloud en los últimos años, los ataques de ciberseguridad registrados mas célebres y en que consiste el trabajo de los Mossos en delitos cometidos en este ámbito.
El cuerpo de policia de los Mossos hizo hincapié en la dificultad al recoger evidencias válidas y además Vicente Diaz, Chema Alonso y David Barroso describieron los últimos ataques de más renombre (Stuxnet, Duqu, Flame, hacktivismo).  Este último nos descubrío Tails, un sistema muy aconsejable para los que quieren mantener su privacidad navegando o utilizando equipos de terceros.
Mientras Jesús Luna, Head of DEEDS’ Security Research Group at TU Darmstadt,  especializado en el área de seguridad en la nube y miembro de Cloud Security Alliance contó en forma de cuento  como habían convergido distintas tecnologías virtualización, WebServices, redes de alta velocidad) para llegar a ofrecer los servicios Cloud que conocemos actualmente: IaaS, PaaS, SaaS, etc…

Repasamos las distintas modalidades de cloud existentes:

  • híbrido
  • privado
  • público
  • comunitario

Y  los beneficios que todos conocemos que nos brinda:

  • escalabilidad 
  • pago por uso
  • disponibilidad
  • flexibilidad
  • deslocalización

Pero topamos con la seguridad, según Jesús Luna, la seguridad y la confianza siguen siendo los principales inhibidores para la adopción de tecnologías Cloud entre PyMES europeas. La elección de Proveedores de Servicios Cloud (CSP)  es motivada a menudo en valoraciones sobre los acuerdos en el nivel de servicio (SLA) y sus costes, además recientemente también se basan en aspectos de seguridad y/o privacidad. Desafortunadamente es muy poco común que un CSP especifique con detalle los niveles de seguridad asociados a sus servicios, de este modo no es posible que los clientes tomen decisiones relevantes basándose en directivas de seguridad.

Con el objetivo de evitar estas carencias Cloud Security Alliance propone utilizar especificaciones concretas de seguridad en las SLA de los acuerdos con los CSP, llamándolas “Security Level Agreements” o SecLAs. De este modo sería posible crear ecosistemas Cloud confiables, siendo deseable desarrollar técnicas que nos permitan medir i cuantificar estas características para poder compararlas, negociar y predecir posibles agujeros de seguridad.

Jesús Luna afirmo con firmeza que en un futuro próximo las SLA’s (SecLAs) van a determinar las claves de la relación de los servicios Cloud (CSP) con sus usuarios, también puso énfasis sobre el prospero porvenir de los proveedores de SECaaS.

Categories
In detail Security

SCIT the digital vaccine – Buscando el 100% de Uptime

 
Hola a todos,
Seguramente viendo el título de este POST y de un primer vistazo te preguntarás que tiene que ver  las vacunas con la disponibilidad de los servicios, yo también me hice esa pregunta….

A día de hoy la información es uno de los activos más importantes de cualquier organización. Mantener la confidencialidad, la disponibilidad y la integridad puede llegar a ser una tarea esencial para mantener los niveles de competitividad y rendimiento de cualquier empresa con el objetivo de conseguir beneficios. Actualmente podemos ver como emergen proveedores de soluciones SECaaS (Security as a Service) como Novell, McAfee, Symantec, etc.
Es “archiconocido” que todos los sistemas de la información, plataformas TI, están expuestas a un número ingente de amenazas. Aprovechando cualquiera de las vulnerabilidades conocidas o por conocer (0-day) pueden someter cualquier activo crítico de información a espionaje, sabotaje, fraude, etc.
En esta línea y con el objetivo de reducir los llamados “cyberriesgos” tuve la oportunidad de asistir a principios del 2012 al Fourth Workshop on Cyber Security and Global Affairs and Global Security. En él Arun K. Sood mostró en su presentación unos datos que me impactaron:
En la figura podemos observar que la brecha de  tiempo entre la intrusión y la respuesta ante el ataques es muy alto. En este intervalo de tiempo un atacante ha podido comprometer información crítica de nuestra organización si no disponemos de las herramientas adecuadas que nos ayuden a disminuirlo. En el siguiente documento podréis obtener información detallada y muy extensa sobre este tema: INFORME SOBRE INVESTIGACIONES DE BRECHAS EN LOS DATOS DE 2012.
Arun K. Sook es el fundador de SCIT Labs, spin off de la universidad George Mason, tiene como objetivo crear un framework de clusters de servidores securizados.  Este producto, con el objetivo de acercarse al paradigma de 100% de uptime en todos los sentidos, incluye la mitigación del posible compromiso del propio contenido o información. Este proyecto ha sido bautizado con el nombre “the digital vaccine” y tiene como objetivos principales:

  • Asegurar la disponibilidad de los servicios en infraestructuras críticas.
  • Tolerancia cero a cualquier tipo de  intento de intrusión.
  • Conseguir un nivel redundancia o backup óptimo.

La técnica: La “vacuna” utiliza máquinas virtuales que van rotando cada 60 segundos o menos.  Cada intervalo de rotación se proporciona nuevos servidores que han estado “limpiados” y/o restaurados, este proceso se va repitiendo sucesivamente.

Pese a la ambición de este proyecto no se han visto avances significativos o detalles técnicos en artículos sobre su funcionamiento. Aún así estaremos atentos a lo que va dar de si este workshop en la edición de 2013 (Cyber Resilience Workshop Series) que se llevará a cabo a final de mes y que seguiremos desde cloudadmins.org.
Hasta el próximo POST.  Nos vemos,
Iván Farré – Cloudadmins.org

Categories
In detail Monitoring Security

Cloud, un caldo de cultivo para las botnets ?

Según el último informe publicado por Stratsec, una consultora de seguridad australiana, con un presupuesto de 7$ y unas especificaciones de hardware mínimas, es posible crear botnets basadas en cloud con decenas de miles de máquinas virtuales.

Los investigadores de Stratsec han llegado a esta conclusión después de realizar una serie de experimentos sobre la infraestructura de cinco proveedores de cloud cuyos nombres permanecen en el anonimato. Los resultados indican que los cibercriminales podrían crear y utilizar botnets que funcionaran en máquinas virtuales, y además de una manera sencilla. Stratsec asegura que las botnets serían relativamente fáciles de crear y administrar si se tiene el API del proveedor de cloud.
En definitiva, parece que llevaría menos tiempo crear una botnet en la nube porque replicar las máquinas virtuales es más rápido, serían más estables y más efectivas, porque incrementar la capacidad y ancho de banda disponible es menos costoso.
http://stratsec.blogspot.ro/2012/10/botcloud-emerging-platform-for-cyber.html