El blog de Hector Montenegro

National Technology Officer de Microsoft Ibérica Twitter: @hectorsm

Ciberseguridad: Microsoft, ahora más que nunca !!!!

Ciberseguridad: Microsoft, ahora más que nunca !!!!

  • Comments 5
  • Likes

imageEl pasado Jueves 14 de Noviembre de 2013, tuve el privilegio (siempre lo es) de participar en el CIO Forum para grandes organizaciones de Microsoft. Tener la oportunidad de exponer a clientes, Partners y compañeros es una de las tareas más gratificantes de mi trabajo como Technology Officer de esta casa.

Nunca, o casi nunca, suelo reproducir en redes sociales el detalle de ese tipo de contenidos. No por nada, la verdad. Quizá porque tan pronto terminas un compromiso de este estilo ya estás trabajando en el siguiente. Pero en esta ocasión voy a seguir la recomendación de algún cliente y compañeros y voy a tomarme el tiempo para extender por medio de este post el contenido de esa sesión. A menos de una semana de esa jornada, tengo aun frescos los mensajes y no me cuesta demasiado reproducirlos casi literalmente a continuación:

image“Muchas gracias por asistir a esta sesión sobre Ciberseguridad que he decidido titular como “Microsoft: ahora más que nunca”. Hablaremos de esa idea recogida en el título, nos aproximaremos igualmente a la Ciberseguridad desde la Inteligencia con especial atención al programa Cyberthreat intelligence Program y finalmente hablaremos de las consecuencias de seguridad que tiene el fin de soporte de Windows XP para Abril del 2014.

1.- Microsoft: Ahora más que nunca

imagePocas reflexiones trasmiten tan bien como ésta la idea que pretendo compartir: “La experiencia no es lo que le pasa a un hombre, es lo que un hombre hace con lo que le pasa”.  Y aplica de forma idéntica a una organización, en este caso como Microsoft. ¿Qué nos ha pasado? ¿Qué hemos hecho con lo que nos ha pasado? y lo más importante ¿Qué experiencia hemos acumulado con lo que nos ha pasado?

Aquello que “nos pasó”, tuvo nombre propio. Años 2001-2002 aprox. y se llamaba Código Rojo, Slamer, Blaster, Nimda etc. Y se tomó una decisión importante, desde un fuerte liderazgo incuestionable como el de Bill Gates, por aquel entonces Chief Software Architect de Microsoft (además de Presidente). La decisión se llamó “TrustWorthy Computing” y supuso redefinir las prioridades de la compañía, desde ahí y para siempre, con la seguridad, privacidad, confidencialidad y confianza como ejes centrales de todo negocio de Microsoft. “Se acabó la fiesta compañeros”. Siempre se escogerá la seguridad antes de pensar siquiera en una nueva funcionalidad”   image 

No voy a contar a estas alturas que es eso de Trustworthy computing. No exagero si digo que en 12 años lo habré hecho 200 veces. Pero si posicionaré ese momento y esa fecha, 2002, como el inicio de una travesía que nos fue llevando a convertirnos como compañía en una de las más expertas en seguridad, y muy especialmente en desarrollo seguro de código. Con muchos retos y satisfacciones por el camino, e incluso reconocimientos que llegaban de todo ámbito. Hasta se nos llegó a tildar en el 2008 de “Sacerdotes Supremos de la SeguridadSonrisa image

O incluso en 2006 Gartner  señalaba a Microsoft como los lideres indiscutibles en el Desarrollo Seguro de Código. image

Trustworthy Computing es el único “branding” de Microsoft, no perteneciente a producto, que se mantiene intacto más de 12 años después, con una estructura liderada por Scott Charney, y con un liderazgo al que nadie escapa dentro de la casa. Eso significa incluso capacidad de veto al lanzamiento de cualquier producto, en el caso que no hubiera sido desarrollado con los criterios exigidos por un proceso que no ha hecho otra cosa que mejorar y alimentarse en nada más y nada menos que 12 años. Y eso es mucho tiempo. Eso es mucha experiencia acumulada. 12 años de experiencia, en lo que probablemente sea el entorno más demandante del mundo en materia de seguridad, dará para atesorar una experiencia que AHORA MAS QUE NUNCA, es importante poner en valor.

Cuando leo algunas informaciones sobre los problemas masivos de seguridad de entornos Android, puesto claramente en el punto de mira del malware, viendo como se ceba con las Apps de Android con aumentos del 400%,  con ejemplos tan recientes como el de BadNews con millones de descargas o con los recientes descubrimientos presentados en las conferencias BlackHat en donde se indica que el 83% de las 400 apps mas descargadas para Android están asociadas con problemas de seguridad, o el 91% de las apps para iOS, o la información más reciente por parte de Karpersky en su último informe, donde apunta que Android acapara el 97,5% de los ataques a plataformas móviles acumulando un total de 120,341 modificaciones de malware movil en su sistema, creciendo en 20.000 sobre el trimestre anterior, no puedo evitar recordar ese año 2002 de infausto recuerdo para Microsoft, pero que a su vez fue un ejemplo de como convertir una crisis en oportunidad.

12 años después, vemos muchos fabricantes necesitados de su propio “TrustWorthy Computing”. Y sin duda grandes compañías como Google o Apple u Oracle (atención especial a los problemas de Java) terminarán prestando la atención necesaria a la seguridad. Pero 12 años de diferencia, y de experiencia son muchos y en estos momentos en los que la Ciberseguridad es prioritaria, la apuesta por Microsoft es más importante que nunca.

imageLas cosas en materia de ciberseguridad han cambiado por 4 o 5 factores fundamentalmente:

UNO, los ataques provienen desde cualquier sitio. No busquemos lejanos lugares de oriente, que también, y miremos con más atención al vecino, que igual nos podríamos llevar una sorpresa. Pero es que además,

DOS, se dirigen a cualquier objetivo. No hace falta ser un Banco para ser objeto de ataque. Son muchos los ataques dirigidos por ejemplo a capturar la propiedad Intelectual de, digamos , una industria que sufre un ataque que,

TRES, esta dirigido a ella y solo a ella para conseguir una información determinada y no otra (un plano de diseño un algoritmo etc…). Son los Ataques Persistentes Avanzados (o APTs) y

CUATRO, ya no se trata de “ScriptKidies”. La ingeniería inversa sobre estos ataques demuestran la existencia de auténticos equipos profesionales de desarrollo, lo que indica la profesionalización y negocio detrás de estas actividades. Y

CINCO, la tecnología es vulnerable. Full stop.  No existe la invulnerabilidad 100%. Por eso es MUY importante que cuando tomemos decisiones en materia TIC, la seguridad sea considerada en su espectro más amplio y nos hagamos preguntas de este estilo: ¿Cuáles son los criterios de desarrollo imageseguro de este fabricante, if any?¿SDL? ¿Cómo de ágiles son sus mecanismos de respuestas a incidentes de seguridad?¿Dispone de sistemas contrastados de corrección de problemas y distribución testeada de los Updates?¿Mantienen espacios de colaboración con el sector, clientes, usuarios en materia de seguridad?¿Certifica tecnología y procesos en materia de seguridad en organismos internacionales como ISO?¿Common Criteria?¿Mantiene una voluntad clara de ayudarme a cumplir con mis obligaciones legales en ámbitos como la seguridad y la privacidad? etc..

La respuesta de Microsoft es afirmativa y rotunda en todos y cada una de esas cuestiones.

2.- Ciberseguridad desde la inteligencia. Programa Cyberthreat Intelligence Program

imageSi solo fuerais a prestar atención a una slide, escogería esta. La he llamado Telemetría Global, y recoge diferentes fuentes de información masivas que en materia de Seguridad, Microsoft analiza y obtiene inteligencia, que posteriormente comparte. Cada una de ellas por separados ya sería de por si una fuente brutal de información. La combinación de todas ellas hacen que estemos sin duda ante el mayor BigData de Seguridad que hoy en día se puede tener acceso. De hecho, así lo definen algunos CERTS con los que compartimos esta información.

Estamos ante billones de datos que, a nivel estadístico muestran más una foto de la realidad que una estadística más. Estamos hablando de la información agregada de: MSRT (herramienta presente en 600M PCs en todo el mundo), sistemas on line de Microsoft que permiten analizar patrones de distribución de malware, internet Explorer y la info antiphishing, Antimalware como Security Essentials, BING (con billones de páginas escaneadas por semana, nos da una foto de WEB maliciosos), Hotmail/Outlook.com nos indica fundamentalmente patrones de Spam y otras amenazas.

La suma de esta información es simplemente BRUTAL. y con ella hacemos dos cosas. Alimentar trimestralmente un magnífico report que muchos imageconoceréis, que se llama Microsoft Security Intelligence Report y puede ser examinado en www.microsoft.com/SIR , pero por otro lado, hemos dado vida a esa masiva cantidad de datos en modo servicio cloud que ofrecemos casi en tiempo real (media hora de diferencia) a CERTS como INTECO en el caso de España, sobre aquellos datos relevantes para nuestro país. En palabras de los propios CERTS: “Oro Puro”. Muy especialmente para luchar con eficacia contra las rede s de BotNets

El acuerdo se llama Cloud-Cyberthreat Intelligence program, y imagefue firmado entre Orlando Ayala, VP de Microsoft Corp. y Victor Calvo Sotelo, Secretario de Estado de la SETSI en Junio de 2013, con una enorme repercusión internacional, dada la característica pionera del acuerdo.

Pues bien, algunos de los datos que esta Telemetría Global nos aporta, y que se incluyen en el Microsoft Security Intelligence Report, anteriormente mencionado, nos dan información muy relevante en materia de ciberseguridad. image

No nombraré más que un 2 o 3% de la información que se recoge en ese report. Les invito a que lo examinen con tranquilidad en el caso de haber despertado su interés.

Pero si me parecía relevante compartir algunos datos como por ejemplo: la protección asociada al uso de imagealgún Software de imageseguridad (7.1 veces mayor) o los patrones de infección en los países más expuestos como Iraq, Pakistan o Korea, u otros países de los que aprender en materia de Seguridad por sus bajísimos ratios de infección como el caso de Finlandia, Dinamarca o Japón.

Igualmente interesante resulta ver la evolución de las vulnerabilidades en la tecnología, y ver como un elevado porcentaje de los ataques encuentran su camino a través de las aplicaciones instaladas, o como , en línea de lo comentado en esta charla, el porcentaje de vulnerabilidades en productos Microsoft frente al total de la industria TIC es del 3.1%. Creedme que noimageimage

siempre hemos podido “presumir” de este dato. Hay mucho trabajo aun por hacer, pero no cabe la menor duda de los enormes resultados obtenidos por el esfuerzo de Microsoft en esta materia en la última década. image

Especialmente interesante resultan también los datos que señalan a Java y lectores de PDFs tipo Adobe como responsables de altos grados de infección.

En España, alguien está haciendo un muy buen trabajo en los 2/3 últimos años. Hemos pasado de ser uno de los países con mayores ratios de infección, liderando claramente la foto Europea, a tener ratios muy similares a nuestros vecinos.  Será responsabilidad del sector público? Del sector privado? Ámbos?  El hecho es ese, y ahí dejo una “medalla” para quien quiera cogerla.image

Y finalmente llegamos a otras de las estadísticas (insisto en llamarles “fotos de la realidad” cuando estamos analizando billones de muestras) más interesantes. La que hace referencia a los Sistemas Operativos.

imageLa grafica es de por si muy autoexplicativa. Pero aterrizando el dato, os puedo decir con esa cantidad de datos en la mano que, HOY EN DIA ES 14 VECES MÁS PROBABLE SER INFECTADO POR ALGÚN TIPO DE MALWARE DESDE UN WINDOWS XP SOPORTADO, QUE DESDE UN WINDOWS 8.

Y aquí enlazamos con la parte final de esta presentación:

3.- Fin de Soporte de Windows XP

El 8 de Abril de 2014, Microsoft dejará de dar soporte a la última versión soportada de Windows XP. Estos es. Windows XP SP3. esto significa entre otras muchas cosas, que Microsoft ya no desarrollará más hotfixes o Updates de seguridad para este sistema operativo.

El propio Centro Criptológico Nacional (CCN-CERT) ya alertó en Febrero del 2013 sobre esta circunstancia, catalogando el nivel de riesgo de mantenerse con un sistema no soportado como de Muy ALTO.image

Pues vaya faena. Pero… ¿De verdad nos damos cuenta de la barbaridad de tiempo que ha transcurrido, especialmente en el ámbito tecnológico, desde el año 2001, fecha de lanzamiento de Windows XP?

Es mucho tiempo?¿Poco? Pensemos en ese año. Estas imágenes nos pueden ayudar a darnos cuenta del imagetiempo que ha transcurrido. Los primeros Windows XP los pagamos en PESETAS Sonrisa . Algunos aun nos conectábamos a internet por Infovía Plus (y la única “voz sobre IP” real que recuerdo es la de mi familia para que “colgara” internet, porque alguien tenia que hablar por Teléfono Guiño). Esos móviles de la foto eran nuestros cacharros de la época, y por cierto, fue la última jura de bandera. El ultio año de “Mili”. En fin… Ha pasado muuucho tiempo… Todos recordaremos igualmente lo que hacíamos y donde estábamos ese fatídico 11 de Septiembre de 2001

¿De verdad pretendemos enfrentar los retos presentes de seguridad con tecnología del año  2001? Creo que no. De hecho, fijaros como la tecnología ha ido respondiendo en el tiempo a los retos en seguridad que se han planteado en cada época.

De hecho, los mayores avances de un Sistema Operativo al siguiente, vienen de la mano de la seguridad. A la vista de está imagen… De verdad pensamos que podremos lidiar con las amenazas del 2013 equipados con tecnología del 2001?

image

Pero no es ese el único problema. Pensad sobre ello. A partir de ese momento, Abril del 2013, los “atacantes” tendrán toda la ventaja sobre los “defensores”· Me explico: cuando Microsoft corrige un problema de seguridad que afecta a varios sistemas operativos, se publica el update correspondiente a cada uno de los SOs afectados por la misma vulnerabilidad. Bien.

Cuando a partir de ahora Microsoft publique la solución de una vulnerabilidad, y distribuya los Updates correspondientes a los sistemas operativos soportados (Windows 7, 8,  Vista etc), lo primero que hará un atacante será chequear (via ingenieraí inversa) si ese update corrige un problema que también existiría en Windows XP. Y si así fuera, tendrá todas las pistas del mundo para desarrollar un exploit sobre esa vulnerabilidad. Con la certeza de que ese exploit podría funcionar for ever and ever, dado que Microsoft ya no va a desarrollar Updates. Es lo que se llama un ZeroDay, pero para siempre.

No me ha costado demasiado esfuerzo encontrar en este momento paginas como ésta con el título: “Windows XP retirement will be hacker heaven”. De imagehecho el artículo se interna en el negocio real existente en torno a los exploits sobre Windows XP, poniendo precios que van desde los 50,000$ a os 150,000$ por un exploit ZeroDay (es decir, un exploit que se distribuye la vez que el fabricante tiene conocimiento de su existencia, dando una ventana de tiempo de uso de entre 15 días y dos meses. El tiempo que el fabricante tarda en desarrollar el update).

Pues bien, si fuerais hackers y estuvierais buscando vulnerabilidades a Windows XP.. ¿Las publicaríais ahora sabiendo que Microsoft las va a corregir en breve o más bien esperaríais al 9 de Abril sabiendo que Microsoft ya no la corregirá y por tanto tendréis un “ZeroDay” para siempre? No nos engañemos. Es puro negocio. Y ese exploit tendrá probablemente un precio superior.

Por tanto, no tomar decisiones en materia de Windows XP, es ya una decisión y me temo que muy arriesgada, porque si hoy en día hemos detectado que es 14 veces más probable ser infectado con un Windows XP soportado que con un Windows 8… ¿Cuántas veces será más probable ser infectado con imageun Windows XP NO SOPORTADO que con un Windows 8.1? Me temo que podemos llegar a las 3 cifras. 

Y sinceramente, desde la perspectiva de seguridad, no se me ocurren medidas tan eficaces como la de migrar un Windows XP a un Windows 8, 8.1 o incluso 7. Tan solo esa medida, puede aumentar la seguridad de mi IT en muuuuchos enteros.

No en vano Windows 8 es probablemente el Sistema Operativo más seguro que nunca se ha desarrollado. Fundamentalmente porque es evidente que sabemos de que hablamos cuando hablamos de seguridad. Y por eso, insisto en el título de la charla. Ciberseguridad: Microsoft, ahora más que nunca !!

Comments
  • De los mejores post que he leído últimamente. Enhorabuena

  • Héctor, es un post brillante y con argumentos muy convincentes. Que pena no haber podido ver y escuchar la presentación. ¡Enhorabuena!

  • Contundente. Me alegro leer argumentos de este tipo. Estoy cansada de oírlos siempre en sentido contrario y los razonamientos del post me parecen muy ciertos. Echo en falta mas posts. Escribes muy bien y contracorriente.

  • De acuerdo con los comentarios anteriores

    gran post¡¡¡

    gracias

  • Muchas gracias a todos por vuestros comentarios (que espero no hayan sido hechos desde XP ;-)). Es broma (tenéis hasta Abril ;-))

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment