Entradas populares

jueves, 9 de julio de 2015

Ipv6: ¿Dónde estás? ¿Hola?

Hace tiempo que no comento nada sobre IPv6 y os advierto que viene una serie completa del tema. Eso sí, ahora le ha tocado a la Internet de las cosas (Todo aquello que no tiene que ver con los usuarios) ser el epicentro de las entradas de IPv6.
Pero vamos, contestando a la pregunta, dónde está IPv6 y cómo podemos seguir el avance. Espero excuséis el lenguaje formal....

La objetivación del estado de adopción de IPv6 de forma única o en modo de pila compartida la podemos obtener de dos tipos de Fuentes.
La primera fuente serían los organismos encargados de asignar IPv6 a los dispositivos o que lo monitorizan. Sin embargo esta fuente, ofrece una visión sesgada de la información. Esta afirmación se sostiene por el hecho de que un dispositivo que tenga asignado direccionamiento IPv6, no implica incondicionalmente que esté utilizando este protocolo de comunicación con otros dispositivos.
La organización que asigna direccionamiento IPv6, muestra el porcentaje de sistemas autónomos BGP con el protocolo activo. [6]

En la web, muestra un mapa interactivo con el número exacto de AS duales. España ostenta 378 AS IPv6 registrados comparado con 1197 de Alemania.
Algunas estadísticas de organizaciones que monitorizan el estado de despliegue puede ser el estudio llevado a cabo por la NIST (National Institute of Standars and Tecnology). La metodología de dicho estudio, se puede leer aquí. http://fedv6-deployment.antd.nist.gov/govmon.html
Las estadísticas son recogidas activamente, comprobando el grado de adopción en su entorno.

La segunda fuente del grado de penetración de IPv6 serían aquellos que tienen acceso a las estadísticas del tráfico real. Sin embargo esta fuente, también ofrece una visión sesgada de la información. En esta ocasión cabe observar que aquellos dispositivos pertenecientes a redes internas, traducidas a IPv4, o con comunicaciones transportadas sobre IPv4 de forma cifrada, no son visibles a las operadoras.
Clarificar que las redes internas,  pueden ser tan grandes como la propia internet, algunos ejemplos de redes “internas” de gran tamaño pueden ser:
·       Redes internas de empresas multinacionales que se comunican mediante redes privadas cifradas.
·       Redes IPv6 de servicio de las mismas operadoras.
·       Redes de transporte de operadoras independientes de los protocolos basadas en conmutación de circuitos.
·       Redes de telefonía para dispositivos inteligentes.
·       Redes M2M no contabilizadas como redes de clientes.
En referencia a la segunda fuente, podríamos distinguir cuatro bloques:
·       Empresas proveedoras de servicio online como Google, Yahoo, Microsoft, Amazon o Facebook .
·       Empresas proveedoras de conectividad como ISP u operadoras de telefonía como AT&T, NTT, Movistar, Vodafone o  Verizon.
·       Empresas de distribución de contenido(CDN) y protección anti-dDOS a nivel mundial como Akamai o Arbor Networks.
·       Organizaciones gubernamentales con competencias en las comunicaciones.
Entre estas fuentes, he escogido a Google por considerarla una de las fuentes más fiables para tomar el pulso al despliegue de IPV6, y lo hace en tiempo real. En la gráfica se distingue los usuarios de internet con tráfico nativo con IPv6 y aquellos que utilizan IPv6 pero utilizan como transporte entre sus redes IPv4 mediante túneles Teredo. Introducir una precaución en la interpretación de los datos mostrados, Google desde Europa parece omnipresente, pero en otros países los lideres del mercado son otros como puede ser Yahoo para EEUU o Baido en China.
En otra de sus gráficas se muestra el grado de despliegue IPv6 por países.


[7]
Referencias
 [6] [Artículo en línea][Fecha de consulta 14 Marzo de 2015]
<http://www.ipv6actnow.org/info/statistics/>
[7] [Artículo en línea][Fecha de consulta 14 Marzo de 2015]
<http://www.google.com/intl/en/ipv6/statistics.html>
0 comentarios

lunes, 23 de marzo de 2015

Susto o muerte: Hacking ético o Intrusión

Habeis realizado alguna notificación a terceros de una vulnerabilidad de su web, su
aplicación o servidor ? En mi caso, lo he hecho en dos ocasiones. La primer vez fue tras visitar la web de un grupo de música. Lo primero que me llamo la atención fue la tienda online. Esta tienda permitía comprar productos del grupo ya que la música es gratuita.
Al ver el formulario, ya vi que la seguridad no era su fuerte. Permitía sin casi conocimientos de hacking:
  • Fijar tu el precio de los productos mediante manipulación de parámetros (Proxificando).
  • Revisar las compras de terceros.
  • Ver los pedidos anteriores
  • Manipular todo el código de la web para inyectar 
Bien, vista la gravedad de los problemas identificados pensé como notificarlo. Evidentemente no había ninguna opción para notificar un problema de seguridad. De forma que decidí enviar un correo que me respondieron sorprendidos pero agradecidos.
La segunda vez que he notificado vulnerabilidades graves, mi sorpresa ha sido identificarlo en una organización grande con reputados expertos. Evidentemente estos expertos no han participado en el ciclo de desarrollo seguro, ni han realizado ninguna auditoría de seguridad de caja gris.
El asunto es bastante grave porque la información que gestiona tiene precio en el mercado, existe una canal B donde venderla y la impunidad para hacerlo es absoluta. Por otra parte, las diferentes brechas permiten acceder a información critica por una parte pero sobretodo a información especialmente protegida por la agencia española de protección de datos. Aspectos como personas que han sufrido violencia de género, bajos ingresos, minusvalias... Etc.
La respuesta a la notificación, que moralmente debía hacer, pero que sabia que iba a causar malestar en la organización, fue políticamente correcta inicialmente. No proporcione los posibles vectores de ataque y el resultado hasta que estuve seguro que proporcionaba la información a personal interno y no a una tercera empresa que gestionaba el contacto center.
La respuesta a este segundo mensaje tardo en llegar. Además de la respuesta institucional, incluía un aviso para navegantes. En concreto me recordaba la política de uso y que existían sanciones para los infractores. Supongo que era una forma de solicitar que no comprobase ningún vector adicional. En uno de esos paragrafos hacia mención de que tenían identificados los vectores menos importantes y minimizaban los graves con un argumentaría propio de tertulianos de un canal de entretenimiento.
http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-disrupted
Resumen: Es cuestión de tiempo que tengan un incidente grave de seguridad al tener muchos atacantes con motivación económica que pueden acceder a sus plataformas y en segundo lugar, por la gravedad de las brechas y la facilidad de explotarlas (5 minutos).


0 comentarios

martes, 17 de marzo de 2015

Como sobrevivir (legalmente) a la contratación de servicios Cloud

Todo el mundo tiene en mente la nueva panacea, aquello que acaba con los problemas de los departamentos IT. Pago por uso, recursos hardware ilimitados, operación 24x7, backups, monitorización y cualquier requerimiento técnico que se nos ocurra. Pagas y lo tienes
http://sdtheory.s3.amazonaws.com
inmediatamente. ¿Pero donde está el truco? Si compro una infraestructura la amortización es muy corta, y luego no tengo coste, pero no tienes flexibilidad para adaptarte a nuevas demandas, recortas al máximo en servicios, el mantenimiento es reactivo y plazos de proyectos muy largos. 
Ahhh! entonces los SaaS, IaaS, PaaS,  y lo que se te ocurra, como Service no tiene contrapartidas?
Si no pagas se acaba la fiesta, pagas por todos y cada uno de los servicios extra, y muchas veces al tratarse de infraestructura compartida te pueden estrangular el tráfico o verte afectado por problemas de terceros.
Pero lo peor (también te puede pasar en tu infraestructura) son las Transferencias de Datos Internacionales con infracciones punibles y perseguidas por la Agencia Española de Protección de Datos(AEPD). Las multas pueden llegar a 600.000€
¿Que son las TDI?, cualquier tipo de información que viajen fuera de España. Eso incluye desde servicios como gmail, amazon, Office 360, pero también un CPD operado desde India, aunque los datos estén en España. Pero existen excepciones y acuerdos que nos permiten notificar que datos se van a transmitir, pero no es necesario esperar autorizaciones. Os adjunto las principales excepciones:
* Requieren de registro de los ficheros pero no petición de autorización Artículos 26 Directiva 95/46 y 34 LOPD)
*Servicios médicos
*Auxilio judicial
*Tratados o convenios internacionales.
*Transferencias dinerarias de acuerdo a su legislación
* Consentimiento inequívoco. (No confundir con expreso)
*Solo si lo acepta ambas partes.
*Aplicación típica en los empleado propios, que no necesariamente es por escrito.
*Información artículo 5 LOPD articulo 27 LOPD    
*Se debe informar expresamente que se va a ceder a un tercer país que no asegura la protección de sus datos. Artículo 44 del nuevo borrador.
*Se piden por escrito, locución o cualquier soporte duradero.    
*Consentimiento libre y revocable (No confundir con una información cualificada).
* NO PUEDE SER CASILLA PREMARCADA (o equivalente) porque requiere una acción simple por parte del usuario.
*Celebración o ejecución contrato celebrado o por celebrar
*Interés público necesario o legal (Legal o aduanero)
*Reconocimiento, ejercicio o defensa de un derecho en proceso.
*Desde un registro público a petición personas con interés legítimo
*País adecuado a nivel de protección

2 comentarios

miércoles, 7 de enero de 2015

OT: Je suis Charlie


http://www.charliehebdo.fr/index.html


0 comentarios
Suscribirse a: Entradas (Atom)