Monday, May 30, 2011

Los riesgos que representan los Smartphones en las Compañías

Note: This post is available in English


Los teléfonos móviles evolucionaron a lo que hoy llamamos Smartphone: un dispositivo con características de una computadora personal que además de cumplir con la funcionalidad básica de un teléfono móvil, le permite a uno: estar conectado e integrado con redes sociales (Facebook, Twitter, LinkedIn,etc.), Internet (WiFI ó 2/3G), recibir correos electrónicos, leer y editar archivos (Excel, Word, PDF, etc.), tomar fotografías y filmar videos, instalar aplicaciones de productividad ó juegos y compartir agendas corporativas, entre otras cosas.

Según estadísticas, desde Diciembre 2010, en EE.UU. el 31% de la población ya posee un Smartphone y se espera que para fines del 2011 éstos superen el 50%. Este nivel de aceptación de estos dispositivos también se hace notar en las Compañías, dado que cada vez más empleados concurren a sus lugares de trabajo con uno de éstos.

Estas posibilidades de integración, interconexión y nuevas tecnologías traen aparejados nuevos riesgos de seguridad, tanto personales como corporativos. Las fronteras de seguridad de las Compañías ahora deben moverse a los dispositivos finales (como ser los Smartphones).

¿Qué riesgos implican los Smartphones para las Compañías?

Algunos de los riesgos que puede afrontar una Compañía con la utilización de Smartphones podrían ser los siguientes:

  • Robo de información confidencial e impactos asociados 
  • Obtención de credenciales de acceso a aplicaciones corporativas y personales 
  • Daño de imagen corporativa 
  • Diseminación de programas maliciosos 
  • Ataques de ingeniería social 
A continuación describiré los posibles vectores de ataque que afrontan las Compañías para cada riesgo:

Robo de información confidencial e impactos asociados
El robo de información confidencial podría perpetuarse mediante los siguientes vectores de ataque:

  • Robo ó pérdida del dispositivo: Los Smartphones permiten, entre otras cosas, guardar archivos en sus memorias principales y extendidas, al igual que correos corporativos y mensajes de texto. Un ejecutivo puede ser víctima de un ataque (ej. Espionaje industrial) donde el objetivo sea substraer el dispositivo para obtener acceso a la información que éste almacena. También uno puede ser víctima de un robo ó simplemente perder el mismo, exponiendo la información guardada en éste. 
  • Extracción de información confidencial: Muchas Compañías utilizan varios controles para evitar que empleados extraigan información confidencial. Los Smartphones pueden utilizarse para copiar información sensible, al igual que los medios removibles (ej. USB Pen drive, memory card, etc.). 
  • Uso de cámaras fotográficas / grabado de conversaciones: Varios Smartphones traen incorporadas cámaras que permiten tomar fotografías y filmar videos al igual que grabar conversaciones. Estas funcionalidades podrían permitir a un empleado utilizar dichas funcionalidades para extraer la información confidencial (fotografías ó filmaciones de planos, pantallas, documentos, etc.) 
  • Instalación de aplicaciones maliciosas: Mediante la instalación de aplicaciones maliciosas, como ser un troyano, un atacante podría llegar a obtener acceso remoto al dispositivo y extraer información confidencial guardada en éste. 
  • Información residual: El cambio de equipos de telefonía móvil en una Compañía es un hecho común. Normalmente estos cambios implican la reasignación de equipos usados a diferentes empleados. Si no se realiza un correcto borrado de información y reseteo de los dispositivos, es posible que un empleado reciba uno que contenga información confidencial o personal del usuario anterior. 

Obtención de credenciales de acceso a aplicaciones corporativas y personales
La obtención de credenciales de acceso a aplicaciones corporativas y personales podría perpetuarse mediante los siguientes vectores de ataque:

  • Robo ó pérdida del dispositivo: La mayoría de las aplicaciones permiten guardar las contraseñas para evitar que el usuario tenga que ingresarlas nuevamente cada vez que éste accede a la aplicación. Si un atacante posee acceso físico al dispositivo, es posible que logre acceder a aplicaciones corporativas (intranets, extranets, VPN, etc.) y/o personales (web mail, redes sociales, etc.) simplemente ejecutando las mismas. 
  • Escucha pasiva de redes WiFi inseguras: La mayoría de los dispositivos poseen la funcionalidad WiFi permitiendo el acceso a una red inalámbrica. Si un usuario se conecta a redes WiFi públicas (llamadas Hotspots) y ésta no ofrece ningún tipo de seguridad, como ser el cifrado de la conexión, un atacante podría estar escuchando pasivamente el tráfico de red y obtener de esta forma credenciales de acceso. 
  • Instalación de aplicaciones maliciosas: Mediante la instalación de aplicaciones maliciosas, como ser un troyano, un atacante podría llegar a obtener claves de acceso a aplicaciones. A modo de ejemplo, un usuario podría instalar un juego que en realidad resulta ser un Troyano que captura todas las teclas que oprime y las envía por correo electrónico al atacante. 
Daño de imagen corporativa
Un atacante con acceso a un Smartphone de un ejecutivo (ó mediante la instalación de aplicaciones maliciosas) podría obtener acceso a la agenda de contactos de éste y así lanzar una campaña de desprestigio contra la Compañía por medio de correos electrónicos ó SMS. 

Diseminación de programas maliciosos
La mayoría de las Compañías posee software antivirus en estaciones de trabajo, servidores, correo electrónico y puertas de acceso a Internet. Sin embargo, aún no se considera un Smartphone como un posible medio de distribución de programas maliciosos. La instalación de aplicaciones maliciosas en los dispositivos y posterior conexión de éstos con servicios o redes de la Compañía podría permitir la diseminación de virus, gusanos, troyanos y otros. 

Ataques de ingeniería social
La mayoría de los usuarios guarda sus datos personales (nombre, dirección, empresa, teléfono, etc.) en sus teléfonos móviles. Un atacante con acceso al dispositivo, a estos datos y a la agenda telefónica podría lanzar un ataque de ingeniería social contra una persona en búsqueda de un objetivo mayor, como ser credenciales de acceso.


Qué medidas deben tomar las Compañías para minimizar estos riesgos? 

Las Compañías deben considerar a los Smartphones como un dispositivo más que debe ser protegido. A continuación enumero algunas de las medidas de seguridad que las Compañías deberían considerar respecto al uso de éstos:
  1. Establecer una política de seguridad: Las Compañías deben desarrollar e implementar una política de seguridad específica que establezca los requerimientos básicos de seguridad que deben poseer los Smartphones.
  2. Establecer lineamientos base (baselines) de seguridad: Las Compañías deben desarrollar lineamientos de configuración básicos y obligatorios que deberán poseer los Smartphones que utilizan ó acceden a los sistemas de la misma, como ser:  
    • Bloqueo de pantalla: Configurar el dispositivo para solicitar un PIN para el desbloqueo de pantalla. De esta forma, un atacante no podrá utilizar el dispositivo sin el PIN correcto ó tendrá que borrarlo en su totalidad, incluyendo datos personales como ser agendas y correos. 
    • Bloqueo de la tarjeta SIM: Configurar al dispositivo para solicitar el PIN de la tarjeta SIM cada vez que se encienda el dispositivo. De esta forma, un atacante que no posea el PIN no podrá utilizar la misma. 
    • Cifrado de datos en memoria MicroSD: Configurar el dispositivo para cifrar los datos almacenados en la memoria externa (MicroSD). Esto le impide a un atacante obtener acceso directo a los archivos guardados en la memoria externa mediante la extracción del a misma. 
    • Configuración del puerto USB por Defecto: Configurar el modo de operación por defecto del puerto USB a “Cargar Batería”. Normalmente, esta opción viene configurada en modo “Almacenamiento Removible”, permitiendo a un atacante acceder a los archivos guardados en el dispositivo ni bien éste es conectado al puerto USB y sin requerir el ingreso del PIN de acceso u otros. De esta forma, si el atacante desea cambiar de modo, deberá ingresar el PIN en el dispositivo. 
    • Configuración de Sincronización / docking: Configurar al dispositivo para que solicite el PIN al Sincronizar el dispositivo con una estación de trabajo. De esta forma, un atacante no podrá sincronizar el dispositivo sin el PIN correspondiente y obtener la agenda, archivos y correos. 
    • Cifrado de credenciales: Configurar con una contraseña fuerte la funcionalidad de almacenamiento de credenciales dentro del dispositivo. Las credenciales, como ser certificados SSL ó contraseñas de VPN (claves compartidas), son guardadas en un subsistema especial dentro del dispositivo. Proteger este sistema con una contraseña impediría a un atacante acceder a sus credenciales. 
    • Configuración de funcionalidades BlueTooth: Deshabilitar por defecto la funcionalidad de BlueTooth y requerir siempre autentificación del mismo al utilizarlo. 
    • Configuración de funcionalidades WiFi: Deshabilitar por defecto la funcionalidad de WiFi y siempre utilizar redes que contengan algún método de cifrado (WPA-PSK, WPA2-PSK ó WEP) 
    • Configuración de funcionalidades USB Teethering / Wifi HotSpot: Deshabilitar las funcionalidades para compartir Internet por medio del puerto USB (ej. celular brindando acceso a una notebook) o HotSpot (ej. Celular actuando como un punto de acceso WiFi). 
    • No permitir la utilización del usuario root del dispositivo ó jailbreak: De esta manera solo se podrán instalar programas oficiales y validados por el proveedor del sistema operativo. Dichos programas traen firmas digitales y pasan por varias pruebas antes de ser publicadas. Utilizar un Smartphone que contenga un jailbreak ó acceso al usuario root permite pasar por alto estos controles y aumentar la posibilidad de instalar programas maliciosos. 
  1. Recomendaciones respecto a las aplicaciones
    • No guardar las contraseñas en las aplicaciones: De esta forma, un atacante que posea acceso al dispositivo no podrá acceder a las aplicaciones fácilmente. 
    • Utilizar conexiones seguras: configurar las aplicaciones para utilizar conexiones seguras, como ser SSL. De esta forma, si un atacante está escuchando el tráfico WiFi, no podrá obtener credenciales de acceso. 
    • Solo instalar aplicaciones firmadas digitalmente ó que provengan del proveedor ó sitio oficial del fabricante del dispositivo (ej. Android Store, Iphone Store): De esta forma, se evitará instalar aplicaciones maliciosas. También es importante validar que tipo de permisos requiere la aplicación. 
    • Aplicar parches de seguridad del sistema operativo y de aplicaciones: Los sistemas operativos de los Smartphones suelen ser actualizados cada vez que se detectan nuevas vulnerabilidades. Lo mismo sucede con las aplicaciones. Por estos motivos, es importante estar al tanto de las actualizaciones e instalarlas cuando sea necesario. 
  1. No incluir información personal en el dispositivo: Para evitar ataques de ingeniería social, se recomienda no guardar datos personales, como ser empresa, teléfono ú otros datos del dueño del dispositivo. 
  2. Software antivirus: Si está disponible, instalar un software antivirus en el dispositivo. 
  3. Rastreo y borrado remoto: Existen herramientas que permiten localizar y de ser necesario, borrar todos los datos de un dispositivo en forma remota. Esto implicaría que por más que un atacante posea el dispositivo, ni bien este establezca una conexión con Internet recibirá comandos remotos que podrán activar el GPS y establecer su ubicación ó borrar todos los datos.
 Por Agustin Chernitsky  

Sunday, May 15, 2011

The responsibility for Information Security rests with the Company’s Senior Management: A case study on Epsilon and Sony PSN

Nota: Esta nota está disponible en Español 

During the last month, two historic information security breaches occurred: the personal information theft to Epsilon and Sony PlayStation Network (PSN).

Epsilon, an on-line marketing (e-mail) company, suffered an attack on the 1st of April where personal information (including full names, e-mail addresses and preferences) belonging to the 2% of their customers (which represents 2.500 companies) was extracted. This doesn’t seem much, but this percentage included 50 highly worldwide recognized companies, such as: Ameriprise Financial, Barclay's Bank of Delaware, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, JPMorgan Chase, Marks and Spencer, Marriott and TD Ameritrade among others. The quantity of stolen records is not exactly known, but if we take into account that Epsilon sends out approximately 40 billion e-mails per year, the number of affected records could be very high.

On the other hand, we have the Sony PSN case. On the 20th of April the Sony on-line entertainment network, which allows users the to play games on-line, watch movies, TV shows and access exclusive contents went off-line and entered maintenance mode. On April the 26th Sony announced that personal information belonging to 78 million users was extracted from their servers, becoming one of the biggest information thefts in history. The stolen information included: full name, full address (city, state/province, zip code and country), e-mail address, date of birth, user, password (PSN) and credit card numbers.

The ramifications of both incidents form an excellent case study of what could happen when a successful attack takes place. Next, I will list some the key risks that the Companies mentioned above are facing (or may face).

What are the risks that these Companies are facing?

  • Non-compliance fines: There are federal laws that companies must meet that establish the protection mechanisms of stored personal information. As an example, Argentina has the law Nº 25.326 called Personal Data Protection, while the US has the Privacy Act of 1974 (personal information protection managed by federal agencies), Gramm-Leach-Bliley Act (financial data protection) and Health Insurance Portability and Accountability Act (HIPAA) of 1996 (personal health information protection). An incident involving personal information theft can start an investigation by the controlling entities of each country (this is so because each country has its own laws and regulations) in order to verify if the Company was in compliance or not with the required regulations, and if it wasn’t, apply the corresponding fines.
  • Lawsuits: The affected third parties, such as Sony PSN users, are already filing lawsuits against the Company for negligence. In the case of Epsilon affected customers, they could sue the Company for damages resulting from the incident (let us remember that the Epsilon affected customers were other Companies and their customers). 
  • Collateral damage: In the Sony case, it is estimated that the credit card information theft could cost the credit card Companies 300 million USD just to replace them (this cost will be faced by Sony). In the Epsilon case, it is estimated that each affected client will be facing a cost of 5.5 million USD in lawsuits, settlements, lost clients, revenue, etc.  
  • Government investigations: In both cases, the US Government started a public investigation against the Companies. For the Sony PSN case, also the Governments of England and Hong Kong are investigation the incident. In the US, the House of Representatives demanded explanations to Sony about the incident and the steps that it will take in order to protect the affected customers. With regards to the Epsilon case, the US Attorney General was requested to investigate the Company for possible civil and criminal liability.  
  • Financial effects: Both Companies suffered a drop between 2 and 5 percent of their shares. Furthermore, it is estimated that the total cost of the breach for Sony will be around 24 billion USD whereas for Epsilon 4 billion USD.  
  • Loss of image and trust: There is no doubt that both Companies suffered an important loss of image. However, Sony is the most affected one due to the way they handled the incident and the impact that it had to the PSN mission (let us remember that the PSN is still off-line). What affected Sony most is the loss of trust from their clients: even though the majority of them just wants the PSN back on-line, they state that they won’t put their personal data in Sony’s hands again. With regards to Epsilon, it is estimated in the cost of the breach (the 4 billion USD) the expected loss of customers.  
  • Information Selling: The extracted information could be sold to the Companies competition, resulting in future losses. 
What are the risks that affected users/customers face for the information breach? 

  • Fishing / Spear-phishing attacks: The information extracted from Epsilon has already been used in phishing attacks and this is just the beginning. The same could happen with Sony.
  • Identity Theft: With the data extracted from Sony an identity theft attack to the PSN users could be executed. Even though the data stolen did not contain the social security numbers, it was still a lot of information and an attack of this type could be executed. Moreover, attackers could launch social engineering attacks obtain the missing data.  
  • Access on-line applications: The information stolen both from Epsilon and Sony could be used by attackers to launch brute force attacks on on-line applications like eBay, Gmail, Amazon, Paypal and others by trial and error. Why? Since the majority of the users use the same e-mail and even passwords to access different on-line applications, the attackers could try and access them by guessing the passwords (remember they do have a lot of personal information and this makes their job easier).  
  • Credit card duplicates: In Sony’s case, where the attackers obtained the credit card numbers, the Company asked the affected customers to periodically check their card statements or have them replaced. This due to the fact that attackers could use those credit card numbers to make on-line transactions or credit card duplicates. However, and according to Sony, the probability of this happening is really low since the credit card numbers were encrypted.  
Why the responsibility for Information Security rests with the Company’s Senior Management?

Senior Management has the responsibility to get acquainted with all the risks that could affect the Company’s mission. This implies the detection of the risks that could affect the confidentiality, integrity and availability of information and/or systems that it requires in order to provide its services. It must perform an exhaustive risk analysis in order to detect, quantify and prioritize them. This is known as due diligence.

Once management knows the risks that could affect the Company’s mission, they must implement the corresponding safeguards in order to mitigate them. This is known as due care.

If Senior Management does not perform a Due Diligence and Due Care, in the event of a successful attack (such as those that happened to Sony and Epsilon), the Company could be held liable for not taking the proper measures to prevent them.

 By Agustin Chernitsky

Friday, May 13, 2011

La responsabilidad por la seguridad de la información recae en la Alta Gerencia de las Compañías: Epsilon y Sony PSN, un caso de estudio.

Note: This post is available in English

En el último mes ocurrieron dos grandes robos de información que pasaron a la historia: El robo de información de datos personales a Epsilon y a Sony PSN (PlayStation Network).

Epsilon, una empresa de envío masivos de e-mail (on-line Marketing), sufrió un ataque el 1 de Abril donde se extrajeron datos personales (nombres completos, direcciones de e-mail y preferencias) del 2% de sus clientes (representando 2.500 clientes). Esto no parece ser mucho, pero ese porcentaje estaba conformado por 50 empresas altamente reconocidas a nivel mundial, como ser: Ameriprise Financial, Barclay's Bank of Delaware, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, JPMorgan Chase, Marks and Spencer, Marriott y TD Ameritrade entre otros. La cantidad de registros robados no se sabe con exactitud, pero teniendo en cuenta que la empresa envía aproximadamente 40 billones de e-mails por año, la cantidad de registros afectados puede ser más que interesante.

Por el otro lado, tenemos el caso Sony PSN. El 20 de Abril la red de entretenimientos on-line de Sony, que incluye la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información personal de sus 78 millones de usuarios fue extraída de sus servidores, convirtiéndose así en uno de los robos de información personal más grande de la historia superando al incidente de Epsilon. Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a la red PSN y números de tarjetas de crédito.

Ambos incidentes son un excelente caso de estudio de las ramificaciones que pueden ocurrir cuando un ataque tiene éxito. A continuación enumero algunos de los riesgos que están afrontando ó podrían afrontar las empresas previamente mencionadas.

¿Qué riesgos afrontan las compañías ante el robo de información?
  • Multas por falta de cumplimiento regulatorio: Existen legislaciones nacionales sobre la protección de datos personales que deben cumplir las compañías. A modo de ejemplo, en Argentina rige la Ley Nº 25.326 de Protección de Datos Personales mientras que en EE.UU. tenemos el Privacy Act of 1974 (resguardo de información personal administrada por agencias federales), Gramm-Leach-Bliley Act (sobre datos financieros) y Health Insurance Portability and Accountability Act (HIPAA) de 1996 (datos personales médicos). El robo de información personal puede iniciar una investigación por los entes de control de cada nación (dado que para cada país aplica una regulación local) para verificar si la Compañía estaba ó no en cumplimiento con la regulación y en caso que no lo esté, aplicar multas acorde. 
  • Acciones legales de terceros afectados: Los terceros afectados, como ser los usuarios de Sony PSN ya se encuentran presentando demandas contra la compañía por negligencia. En el caso de los clientes de Epsilon afectados, podrían iniciar una demanda a la Compañía por los daños y perjuicios causados por el incidente (recordemos que en el caso Epsilon, los afectados fueron empresas clientes de ésta y sus clientes finales)
  • Daños colaterales: En el caso de Sony PSN, se estima que el robo de información de las tarjetas de crédito les podría costar alrededor de 300 millones de dólares reemplazar las tarjetas (costo que Sony confirmó que se hará cargo). En el caso de Epsilon, cada cliente de la misma se podría ver afectado en 5.5 millones de dólares por demandas, acuerdos, pérdidas de clientes, etc. 
  • Investigaciones Gubernamentales: en ambos casos, el Gobierno de EE.UU. inició una investigación contra las Compañías. En el caso de Sony PSN, los Gobiernos de EE.UU., Inglaterra y Hong Kong se encuentran investigando el hecho. La cámara de diputados (House of Representatives) de EE.UU. exigió explicaciones sobre el incidente y las medidas que ésta va a tomar para proteger a los usuarios afectados. En el caso Epsilon, se le solicitó al Fiscal General de EE.UU. que investigue las responsabilidades civiles y penales de la compañía por el robo de información. 
  • Efectos financieros: Ambas compañías sufrieron una baja en sus acciones entre los 2 y 5 puntos porcentuales. Adicionalmente, se estimó que el ataque a Sony le costará a la Compañía 24 billones de dólares mientras que a Epsilon 4 billones de dólares. 
  • Pérdida de imagen y confianza: Sin dudas que ambas Compañías sufrieron una pérdida de imagen importante. Aún así, Sony es la más afectada por la forma en que manejo el incidente y el impacto que tuvo sobre la disponibilidad del servicio (recordemos que la red PSN sigue inactiva). Lo que más afecto a Sony fue la pérdida de confianza de sus usuarios: por más que éstos solo quieren que vuelva la red PSN para poder jugar, afirman que no volverán a poner sus datos personales en servidores de Sony. En lo que respecta a Epsilon, se sabe que parte del costo esperado del ataque incluye la pérdida de esperada de clientes.
  • Venta de la información: Los datos extraídos pueden ser vendidos a la competencia de las respectivas compañías, resultando en futuras pérdidas. 
¿Qué riesgos afrontan los usuarios afectados por el robo de información?
  • Ataques de Phishing y/o Spear-Phishing: La información obtenida del robo de datos a Epsilon ya fue utilizada en ataques de Phishing y se estima que esto es solo el principio. Lo mismo podría suceder con los datos extraídos de Sony. 
  • Robo de identidad: Con los datos extraídos de Sony se podría llegar a concretar el robo de identidad de los usuarios de la red PSN. Por más que en el caso de los datos robados no incluían el número de seguridad social (equivalente al CUIL ó DNI en Argentina) aún así podría efectuarse el Robo de Identidad ó realizar otro ataque de ingeniería social para obtener los datos faltantes. 
  • Uso de la información para acceder a aplicaciones on-line: Los datos obtenidos tanto de Sony como de Epsilon podrían utilizarse por los atacantes para intentar acceder a aplicaciones on-line, como ser e-bay, gmail, amazon, paypal, etc. ¿Por qué? Dado que la mayoría de las personas utiliza el mismo e-mail y hasta la misma contraseña como credenciales de acceso a todas las aplicaciones on-line que utiliza, los atacantes pueden intentar acceder a dichas aplicaciones hasta lograrlo. Incluso, con la información extraída les sería más fácil adivinar una contraseña. 
  • Duplicación de tarjetas: En el caso de Sony, donde se obtuvieron números de tarjetas de crédito, se pidió a los clientes afectados que revisen en forma periódica los resúmenes de dichas tarjetas ó que las reemplacen. Esto es debido a que los atacantes podrían utilizar dichos números para realizar transacciones on-line ó duplicar tarjetas. Sin embargo, la probabilidad de que esto suceda es bajo dado que las mismas se encontraban cifradas y sin el código de seguridad (según Sony). 
¿Por qué la Seguridad de la Información recae sobre la Alta Gerencia de las Compañías?

 La alta gerencia es responsable de conocer todos los riesgos que podrían llegar a afectar la misión de la Compañía. Esto implica detectar aquellos que puedan causar la pérdida de confidencialidad, integridad y disponibilidad de la información y/o los sistemas que ésta posee para brindar sus servicios. La Compañía debe realizar un análisis de riesgos exhaustivo para determinar los mismos, cuantificarlos y priorizarlos. Esto se conoce como Due Diligence .

Una vez que la gerencia conoce todos los riesgos que pueden afectar la misión de la Compañía, deben implementar medidas para mitigar los mismos. Esto se conoce como Due Care.

Si no toman estas medidas, en el caso de un ataque (como ser el que le sucedió a Sony y Epsilon) podrían llegar a ser encontrados como negligentes por no haber tomado todos los recaudos necesarios para prevenir el mismo.

Por Agustin Chernitsky

Tuesday, May 3, 2011

Sony PSN Attack: Is the Company accountable for the incident?

Nota: Este post está disponible en Español

The Sony PlayStation Network (PSN), which allows the possibility of on-line gaming, movie and TV program watching among other exclusive contents, went offline and entered into maintenance mode on April the 20th. On April 26th the Company released a press statement where they declared that personal information belonging to 78 million users was extracted from their servers during a security breach, becoming this way one of the biggest data breaches in history.

The extracted information consisted of: Full names, full address (city, state, zip code and country), e-mail addresses, date of birth, PSN user and password and Credit card data (presumed in 10 million numbers).
The big question we are all asking ourselves is: how could this happen to Sony? The truth is that in the information security world, no one is excluded of incidents. This is so, because there is no 100% effective safeguard. What one can do is to perform a risk analysis of the IT infrastructure and implement the required safeguards to reduce the risks at an acceptable level for the Company.
So, the real question here is: Is Sony accountable for the incident? Did it execute a Due Diligence and Due Care to prevent this from happening? To answer these questions, I took the liberty to analyze the PSN network and the attack itself.
How does the PSN work?
The PSN uses the Internet (HTTPS protocol) to connect the PS3 consoles to the servers where the user accesses different network functions. The communication between these two is done through the use of Web Services, which is a software that uses a group of protocols and standards that allows applications to exchange data (in this case, between the PS3 consoles and the servers). Because the protocol in use is HTTPS, it requires a Web server like Apache or Microsoft IIS.
The IT infrastructure of the PSN is based on a 3-tier architecture:
1.   Application Layer (presentation or frontend): interacts with the PS3 consoles and communicates with the following layer (logic layer).
2.   Logical Layer: Processes requests from the application layer and requests information from the data layer.
3.   Data Layer (Backend): Database servers. It’s an independent layer and its main function is to store and retrieve data.
Between layers, the PSN has implemented firewalls to control the traffic access flow. This is done because in theory, the application layer should not interact directly with the data layer. These are known as multitier architectures.
The Identification & Authentication process between the PS3 and PSN is as follows:
1.   The PS3 establishes an SSL connection with the PSN authentication server. The PSN server authenticates with the SSL Certificate to the PS3.
2.   The PS3 then sends a passphrase (a long password) as authentication to the PSN.
3.   Then it sends parameters, such as Firmware version (i.e. 3.60) used by the PS3.
4.   Then user credentials are sent among other transactions.
How secure is the PSN?
The Company designed the console in such a way that it could only play authorized games and prevent user’s access and modifications. This made many users disappointed and created a motive for various users and hackers to jailbreak the PS3 in order to execute any game or program. Sony based the PSN security on the foundation that console was secured: Big mistake.
This mistake was confirmed when the hacker GeoHot (which became famous after jailbreaking the iPhone), hacked the PS3 with other hackers and found the private keys (root keys) of the console. These keys allow a user to digitally sign and install software not authorized by Sony, including Operating Systems (like AsbestOS, a compact Linux). This permitted the distribution of custom Firmware (called homebrew) that contained all the necessary hacks for the users to have full control of their PS3.
Sony tried to block the access to the PSN of the hacked PS3 consoles by filtering the Firmware version and by implementing authentication methods (a passphrase). Still, users got access by performing a man in the middle attack, as follows:
1.   First they needed to understand how the protocol worked between the PS3 consoles and the PSN. Since the traffic between them is encrypted with SSL, they implemented modifications to the PS3 in order to intercept the traffic. What they did was:
a.   Created a Certificate Authority (CA) to issue a SSL certificate to the domain auth.np.ac.playstation.net (this domain points to the IP of the authentication PSN server).
b.   Installed a proxy server between the PS3 and the Internet and configured it with the issued SSL Certificate.
c.   Modified the PS3 DNS configuration to point the domain auth.np.ac.playstation.net to the proxy server’s IP address.
d.   Copied the CA public root certificate to the PS3 console, so the certification path was valid.
2.   With this steps, this is what happened when the PS3 connects to the PSN:
a.   The PS3 resolves the domain auth.np.ac.playstation.net to the local proxy IP
b.   It establishes an SSL connection with the Proxy. Since the fake SSL certificate is signed by the CA certificate copied into the PS3 and it was issued to the domain auth.np.ac.playstation.net, the console assumes that the connection is authentic
c.   The Proxy establishes the connection to the real auth.np.ac.playstation.net server and resends all the traffic to that server and backwards.
3.   Now the users can see all the encrypted traffic between the PS3 and the PSN.
4.   From the traffic analysis, the users obtained two important protocol parameters:
a.   The PS3 sent to the authentication server the current firmware version (i.e. 3.66 or 3.56), used to block unwanted consoles.
b.   The latest Firmware sent an authentication passphrase, which was the same for all PS3.
5.   To bypass these controls implemented by Sony, they used the Proxy to modify these parameters on the fly. For example, when the Firmware parameter entered the proxy with value of 3.55, it was changed to 3.60 and sent to the PSN servers. The same happened with the passphrase parameter.
¿How was the PSN attacked?
In the last press conference, Sony did not provide many details on the attack, but they did explain us how it was achieved:
1.   The attackers knew the existence of a known vulnerability in the Apache web servers. We can assume that they obtained this information from the traffic analysis of the PS3 or by fingerprinting the servers.
2.   They sent a valid transaction to the Web Service with a code that executed the vulnerability. This allowed them to install communication software, compromising the logical layer of the PSN. Since it was a valid transaction, the firewalls where of no use.
3.   Once inside the logical layer, the attacker started a privilege escalation attack to obtain access to the data layer.
Due to the lack of information from Sony and analyzing the attack, we can assume that the communication tool was a backdoor and the fact that it was a valid transaction, might imply that a hacked PS3 console and Proxy was used.

Sony’s PowerPoint slide illustrating the attack
Is Sony accountable for the incident?
If we do a quick review of the security infrastructure of the PSN, we could establish the following:
·    The security was based on the concept that the PS3 console was secured: One of the basic Information Security principles is “do not trust the client”.
·    The PSN does not contain a strong Identification & Authentication method: Using the same passphrase for all PS3 consoles was a mistake, since it was easy to obtain.
·    The PSN servers authenticated to the PS3 by using SSL certificates, but the PS3 only by using a shared passphrase: Why they did not implement double authentication mechanisms? Why they did not use Digital Certificates to authenticate the PS3?
·    Servers with vulnerabilities: Why Sony did not patch their servers? Why Sony did not know their servers were vulnerable?
·    Intrusion detection safeguards: Why Sony did not implement an N-IDS (Network Intrusion Detection Systems) and/or H-IDS (Host based Intrusion Detection Systems) in combination with a WAF (Web Application Firewall) to detect and stop the attack?
·    Data encryption: Why critical personal data was not encrypted? Only the credit card numbers were and the passwords were hashed.
·    Application controls: Why the application layer did not detect the incorrect payload in the transaction?
·    Incident Response: Was Sony ready for an incident of this magnitude? Why it took them 6 days to notify the customers?
·    Information Security Governance: Why in the press conference on the 1st of May they announced that a new CISO position was going to be created to monitor the security of the PSN?
If Sony did not know that they servers where vulnerable, then they were responsible for not executing a proper risk assessment on their IT infrastructure (Due Diligence). If they knew their servers were vulnerable and did not patch them, then they did not execute Due Care and are responsible for that.

By Agustin Chernitsky   

Thanks to: Fer Spettoli, Rami Corletti and Leo Rosso for their input

Monday, May 2, 2011

Ataque a la red Sony PSN: ¿Es responsable la Compañía?


Note: This post is available in English.

El 20 de Abril la red de entretenimientos on-line de Sony (Sony PlayStation Network ó PSN), que permite la posibilidad de jugar juegos on-line, ver películas, programas de TV y contenidos exclusivos salió de línea y entró en modo de mantenimiento. El 26 de Abril Sony hizo público que información  personal de sus 78 millones de usuarios fue extraída de sus servidores (101.269 de Argentina), convirtiéndose así en uno de los robo de información personal más grande de la historia.


Dentro de la información extraída, se encontraba: Nombre completo, dirección completa (ciudad, estado/provincia, código postal y país), dirección de e-mail, fecha de nacimiento, usuario y contraseña de ingreso a red PSN y números de tarjetas de crédito (estimado en 10 millones de números).
La pregunta que nos hacemos todos es ¿Cómo le sucede esto a un gigante como Sony? Lo cierto es que en el mundo de la Seguridad de la Información nadie esta exento de incidentes, dado que no existe un control 100% infalible. Lo que uno puede hacer es un análisis de los riesgos de su infraestructura de IT e implementar los controles necesarios para reducir estos riesgos al mínimo aceptable por la Compañía.
Por lo tanto, la pregunta que nos debemos hacer es: ¿Es Sony responsable del incidente? ¿Tomó todas las medidas necesarias para impedir que esto suceda? Para determinar esto, decidí realizar un análisis de la infraestructura de la red PSN y del ataque en sí.
¿Cómo funciona la Red PSN?
La red PSN utiliza Internet (protocolo HTTPS) para conectar las consolas PS3 a los servidores donde los usuarios acceden a las diferentes funcionalidades que la misma ofrece. Las comunicaciones entre las partes son a través de Web Services, que por definición es un software que utiliza un conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones (en este caso, entre las consolas PS3 y los servidores). Como protocolo de transporte es el HTTPS, éste requiere un servidor Web, como ser el Apache ó Microsoft IIS.
La infraestructura de IT de los servidores de la red PSN está basada en 3 capas:
1.   Capa de aplicación (presentación ó frontend): En esta capa se encuentran el software que interactúa con las consolas PS3 y sólo se comunica con la capa que le sigue (la capa lógica). En esta capa se utiliza el servidor Web Apache donde se ejecutan los Web Services.
2.   Capa lógica: La capa lógica es la que procesa las solicitudes de la capa de aplicación y solicita información a la capa de datos.
3.   Capa de datos (ó backend): La capa de datos son los servidores de base de datos. Esta capa es independiente de las demás capas y su función es guardar y buscar datos.
Entre capa y capa la red PSN posee firewalls para controlar el flujo de acceso entre las mismas, dado que en teoría, desde la capa de aplicación no se podría acceder a la capa de datos directamente. Esta arquitectura es conocida como arquitecturas de múltiples capas (ó multitier architectures).
Como es el proceso de Identificación y Autentificación de las consolas PS3 con la red PSN:
1.   La consola establece una conexión segura (SSL) vía Internet con el servidor de autentificación de la red PSN. De esta forma el servidor se autentifica con la consola PS3 y la misma sabe que está conectada con el servidor correcto.
2.   Una vez iniciada la conexión, la consola PS3 envía un passphrase (una contraseña más larga, como ser una frase) como forma de autentificación de la misma ante la red PSN.
3.   Como parte de los parámetros, envía el número de firmware (software) que está utilizando (e.j. 3.60).  
4.   Luego se envían las credenciales de acceso del usuario y otras transacciones.
¿Cuán segura es la red PSN?
La Compañía diseño la consola para que solo pueda ejecutar juegos autorizados por la misma y que no pueda ser accedida por terceros para ser modificada. Esto generó recelos en la comunidad de usuarios y motivó a varios usuarios y hackers a tratar de desbloquear la consola para poder ejecutar cualquier juego ó programa. Este fue el error de Sony: basar la seguridad de la red PSN suponiendo que la consola era segura.
Así fue como el hacker Geohot (famoso por realizar el jailbreak del iPhone),  logró  hackear la PS3  en conjunto con otros hackers y  encontrar las llaves privadas (root keys) de la misma. Estas llaves les permiten a los usuarios firmar digitalmente e  instalar software no avalado por Sony en las consolas, incluyendo sistemas operativos (como ser AsbestOS, un sistema Linux compacto). Esto permitió la distribución de Firmware no oficiales (llamados Homebrew) que ya contenían todos los hackeos necesarios para que los usuarios tengan el control de sus consolas PS3.
Sony intentó varias veces bloquear el acceso a la red PSN de las consolas PS3 hackeadas mediante la versión del Firmware y por medio de la implementación de claves de autentificación (passphrase). Aún así, los usuarios lograron seguir accediendo a la misma mediante la implementación de un ataque del tipo Man in the Middle, que consistió en lo siguiente:
1.   Lo primero que necesitaron es entender cómo funciona el protocolo entre las consolas PS3 y la red PSN. Pero como el tráfico era cifrado por SSL, necesitaban implementar modificaciones a la consola  PS3 para poder interceptar el tráfico cifrado. Lo que hicieron fue lo siguiente:
a.   Crearon su propio Certificate Authority (CA) que emita un certificado SSL a nombre del dominio auth.np.ac.playstation.net. Este dominio apunta a la dirección IP del servidor de autentificación de la red PSN.
b.   Instalaron un servidor proxy entre la consola PS3 e Internet y lo configuraron con el certificado SSL creado anteriormente.
c.   Modificaron la configuración de la consola PS3 para que resuelva el dominio auth.np.ac.playstation.net a la dirección IP del servidor proxy instalado.
d.   Copiaron el certificado público del CA creado a la consola PS3, para que éste tome al certificado SSL como válido.
2.   De esta forma, sucede lo siguiente al conectarse la  PS3 con la PSN:
a.   La PS3 resuelve la dirección auth.np.ac.playstation.net con la del proxy.
b.   Establece una conexión SSL con el Proxy. Como el certificado SSL está firmado por el CA creado y está emitido para el dominio auth.np.ac.playstation.net, la PS3 cree que es una conexión auténtica con el servidor de Sony.
c.   El Proxy establece una conexión con el verdadero servidor de Sony y re-envía todo el tráfico de red a ese servidor y viceversa.
3.   Una vez logrado esto, el atacante puede ver el tráfico de red cifrado entre la consola PS3 y los servidores de la red PSN por medio del Proxy.
4.   Como resultado del análisis del tráfico, los atacantes pudieron determinar dos parámetros importantes:
a.   La consola le enviaba al servidor de autentificación la versión del Firmware que utilizaba (ej. 3.55 ó 3.56)
b.   La consola de la PS3 con el último Firmware le enviaba un passphrase como forma de autentificación, siendo éste igual para todas.
5.   Para resolver estos controles impuestos por Sony, utilizaron directamente el Proxy para modificar los parámetros en cuestión en tiempo real. De esta manera, cuando el parámetro de Firmware ingresaba al Proxy con el valor 3.55, el mismo lo cambiaba por el valor 3.60 y lo re-enviaba a los servidores de Sony. Lo mismo con el parámetro para el passphrase.
¿Cómo fue el ataque a la red PSN?
En su última conferencia de prensa, Sony no dio demasiados detalles sobre cómo fue el ataque, pero si los suficientes para lograr entender como fue realizado el mismo:
1.       Los atacantes, sabían de la existencia de una vulnerabilidad conocida en los servidores Web Apache. Podemos estimar que esta información la pudieron obtener del análisis de tráfico entre la consola PS3 y la red PSN.
2.       Enviaron una transacción válida al Web Service  con un código que utilizó la vulnerabilidad para instalar un software de comunicación. De esta forma, se comprometió  la capa lógica de la red PSN. Al ser una transacción válida, los firewalls no fueron de mucha utilidad.
3.       Una vez dentro de la capa lógica el atacante inició, mediantes técnicas de elevación de privilegios, un ataque  a la capa de datos y obtener acceso a los mismos.
Dada la falta de confirmación por parte de Sony, tras el análisis del ataque podemos estimar que la herramienta de comunicación instalada fue un backdoor y que el hecho de utilizar una transacción válida puede llegar a implicar el uso de una consola PS3 hackeada y un Proxy (para modificar la transacción acorde).


Slide de la presentación de Sony sobre cómo fue el ataque

¿Es Sony responsable del incidente?
Si hacemos una revisión rápida de la infraestructura de seguridad de la red PSN, podemos establecer lo siguiente:
·    La seguridad estaba basada en que la consola PS3 era segura: Uno de los conceptos en la  seguridad de la información  es “no confiar en el cliente”.
·    La red PSN no posee un método de Identificación y Autentificación fuerte: Utilizar el mismo passphrase para todas las consolas es un grave error, ya que como se comprobó, es fácil de obtener.
·    El servidor de la red PSN se identificaba y autentificaba a la consola PS3 por medio de SSL, pero ésta solo lo hacía mediante un passphrase: ¿Por qué no se utilizó un método de doble autentificación (cliente con servidor y viceversa)? ¿Por qué no se utilizaron tecnologías más seguras, cómo certificados digitales?
·    Servidores vulnerables: Se sabía que el servidor Web Apache tenía una vulnerabilidad  ¿Por qué Sony no lo actualizó? ¿Por qué Sony no sabía que era vulnerable?
·    Falta de controles de detección de intrusos: ¿Por qué Sony no instaló entre capas de su infraestructura un N-IDS  (Network Intrussion Detection Systems) y/o un  H-IDS (Host based Intrussion Detection Systems) en combinación con un WAF (Web Application Firewall) para detectar y detener el ataque?
·    Falta de cifrado de datos: ¿Por qué no estaban cifrados los datos más críticos de los usuarios? Solo las tarjetas de crédito estaban (aparentemente) cifradas y las contraseñas estaban guardados en formato hash.
·    Falta de controles aplicativos: ¿Por qué la capa de aplicación no detectó parámetros incorrectos?
·    Respuesta a incidentes: ¿Estaba preparada Sony para un incidente de este tipo? ¿Por qué tardaron más de 6 días en notificar el incidente?
·    Postura sobre seguridad de la información: ¿Por qué recién en la conferencia de prensa  del 1ro de Mayo se anunció la creación del puesto Chief Information Security Officer  para monitorear la seguridad de la red PSN?
Si Sony no sabía que los servidores eran vulnerables, entonces es responsable por no realizar un análisis de riesgos de su infraestructura de IT. Si en cambio sabía que los servidores eran vulnerables, entonces es responsable por no actualizarlos.
Por Agustin Chernitsky
Gracias: Fer Spettoli, Rami Corletti y Leo Rosso por el input!