Sobre la situación de Kaspersky con EEUU

En estas últimas semanas, vienen saliendo distintas notas en diarios y blogs sobre el conflicto que hay entre EEUU y la empresa de seguridad rusa Kaspersky Lab.

Voy a hacer mi humilde esfuerzo por ordenar lo que vino pasando hasta ahora desde que empecé a seguir el tema.

Disclaimer: Esto es exclusivamente mi opinión personal y en base a las fuentes que yo encontré en internet.

Para los que vienen siguiendo el tema no voy a decir nada nuevo, y esto es solo una compilación y traducción de lo que vengo leyendo, sobre todo en Twitter y los portales de noticias.

13 de septiembre de 2017: Comunicado del Departamento de Seguridad de EEUU prohibiendo productos de Kaspersky en sus agencias.

(Link)

TL;DR: Por miedo a que las agencias de inteligencia rusa puedan exigirle a Kaspersky cooperar revelando información de las computadoras de sus usuarios, prohibieron el uso de sus productos en el Departamento de Seguridad. Básicamente por ser rusa.

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) emitió un comunicado en el que ordenó a todas sus agencias y departamentos “identificar cualquier uso o presencia de productos de Kaspersky o sus sistemas de información (…) e implementar los planes para la discontinuación y remoción de los mismos de los sistemas de información”.

En el comunicado dicen basarse en “los riesgos de seguridad que conlleva usar productos de Kaspersky en los sistemas de información federales”, porque “los productos y soluciones de Kaspersky tienen amplio acceso a los archivos y privilegios elevados en las computadoras en las que están instalados”, lo cual podría ser explotado por actores maliciosos (léase otras agencias de inteligencia, hackers, terroristas, etc.).

El DHS dijo estar preocupado por posibles lazos entre ciertas personas en Kaspersky y la inteligencia rusa, y por “artículos en la ley rusa que permiten a las agencias de inteligencia pedir u ordenar cooperación de Kaspersky, e interceptar comunicaciones que pasan por redes rusas”.

Finalmente dice que “el gobierno ruso, por su cuenta o colaborando con Kaspersky, podría aprovecharse del acceso provisto por productos de Kaspersky para comprometer información federal, y es un riesgo que implica directamente a la seguridad nacional estadounidense”.

Hasta aquí el comunicado. Encontré una página que recopila y permite comparar legislaciones de inteligencia de diferentes países, recolectadas por abogados.

Por ejemplo, en la ley rusa
La ley aplicaría más que nada a los ISP y otras empresas de telecomunicaciones, y en principio no influiría en una empresa de antivirus como Kaspersky de manera directa.

Respuesta de Kaspersky Lab via @e_kaspersky (Eugene Kaspersky), el CEO y fundador de la empresa:

TL;DR: Kaspersky Lab dice que son acusaciones sin fundamento, que no tiene nada que ver con las agencias rusas y nadie presentó pruebas.

“Dado que Kaspersky Lab no tiene lazos inapropiados con ningún gobierno, la empresa está decepcionada con la decisión del Departamento de Seguridad Nacional de EEUU, y vamos a aprovechar esta oportunidad para brindarle a la agencia información adicional que confirma que estas acusaciones carecen completamente de fundamento. Ninguna persona ni organización presentó públicamente evidencia creíble ya que el alegato está basado en falsas acusaciones y suposiciones erróneas, incluyendo las afirmaciones acerca de la legislación rusa y las políticas que impactarían a la empresa”

Comunicado de prensa más extenso

Respecto del comunicado del DHS salió este artículo en PCMag UK sobre los rumores y la situación de Kaspersky, y tienen bastante más idea que yo.

No es la primera vez que EEUU hace este tipo de acusaciones a Kaspersky Lab, y su CEO ya ofreció mostrar el código de sus productos para disipar las sospechas.

Acá hay una nota de julio de este año al respecto en AP news.

Acusaciones en un artículo de opinión en el NY Times del 4 de septiembre

…y la respuesta en un comunicado de prensa de Kaspersky Lab.

 

14 de septiembre de 2017: El CEO de Kaspersky invitado a declarar frente a la Cámara de Representantes de Estados Unidos

TL;DR: El Congreso de EEUU llama al CEO de Kaspersky a declarar. E. Kaspersky acepta (si le dan una visa para entrar…). Después le posponen la audiencia. Continuará…

(Link)

 El comité de Ciencia, Espacio y Tecnología de la Cámara de Representantes de EEUU invitó oficialmente al CEO de Kaspersky Lab a declarar en una audiencia a realizarse el 27 de septiembre, “a la luz de sus repetidas ofertas de ‘reunirse con funcionarios del gobierno y testificar frente al congreso’”, para revisar “hasta qué punto el gobierno federal hace uso de los productos de su empresa”.

Respuesta de @e_kaspersky en Twitter:

“Acepté la invitación a testificar frente a la Cámara de Representantes de EEUU y responder las acusaciones sobre KL [Kaspersky Lab]. Ojalá que me den la visa.”

Challenge accepted!

Comunicado de prensa

Pero parece que reprogramaron la audiencia…

 

Mientras tanto, otras empresas de seguridad…

Aprovechando la situación, algunas empresas de seguridad como McAfee intentaron atraer a los clientes de Kaspersky en EEUU vendiendo “seguridad hecha en Estados Unidos”, apoyándose en que “el FBI aconseja no usar Kaspersky por sus supuestos lazos con espías rusos”

(via @e_kaspersky)

Al final de este artículo hay una recopilación de publicidades parecidas

5 de octubre de 2017: El Wall Street Journal publica un artículo acusando a Kaspersky de facilitar a los hackers rusos el robo de datos a la NSA en 2015

(Link)

Muy buen análisis y citas del artículo
En un artículo de The Wall Street Journal (WSJ), según informaron (anónimamente) “varias personas entendidas en el asunto”, hackers trabajando para el gobierno ruso robaron información altamente confidencial de la NSA en 2015. Un individuo contratado por de la NSA, según dijeron estas personas, se llevó esta información a la computadora de su casa, y estos hackers “habrían atacado la computadora después de haber identificado los archivos porque el empleado usaba un popular antivirus hecho por Kaspersky”. Expertos citados por WSJ dijeron que el software pudo haber detectado muestras de código malicioso en esa información, y lo que no se sabe es si “los técnicos de Kaspersky programaron el software para buscar (…) indicios de material de la NSA” o “si Kaspersky alertó al gobierno ruso del hallazgo”.

Nuevamente según “personas [anónimas] entendidas en el asunto”, “los investigadores sí determinaron que, valiéndose del conocimiento provisto por el software de Kaspersky (…), hackers contratados por Rusia localizaron la computadora y robaron gran cantidad de información”.

Además, el artículo menciona que la NSA no hizo declaraciones al respecto, y “el Departamento de Defensa, del cual la NSA es parte, tiene contrato con otra empresa antivirus, no Kaspersky”.

El artículo no cita una fuente concreta ni presenta pruebas acerca del empleado, su computadora o la participación de Kaspersky o los hackers.

Además, como bien dice el artículo de ArsTechnica, deja la duda de cómo consiguieron la información estos hackers: ¿Es un bug en el antivirus?, ¿Están comprometidas las redes y los sistemas de Kaspersky?, ¿Es a propósito, y Kaspersky les pasó la información directamente?

En cualquier caso, ¿qué hacía un empleado de la NSA llevándose información altamente confidencial a su casa? Haya tenido o no que ver Kaspersky en la filtración desde la computadora del empleado, hay una filtración desde la NSA a esa computadora antes por parte del empleado. Y si la NSA trabaja con malware para hacer espionaje, es de esperar que el antivirus lo detecte…

La respuesta de Kaspersky Lab al respecto en Twitter (via @e_kaspersky):

Comunicado de prensa

“Kaspersky Lab no recibió ninguna evidencia sustentando la participación de la empresa en el incidente del que se la acusa en el Wall Street Journal el 5 de octubre de 2017, y es desafortunado que la cobertura mediática de afirmaciones sin fundamento continúe perpetuando las acusaciones a la empresa.

“Reiteramos nuestra voluntad de trabajar junto con las autoridades de EEUU para responder a cualquier inquietud que puedan tener acerca de nuestros productos, y respetuosamente solicitamos cualquier información relevante que pueda permitir a la empresa comenzar una investigación lo antes posible

“Como la empresa privada que es, Kaspersky Lab no tiene lazos inapropiados con ningún gobierno, incluyendo Rusia, y la única conclusión es que Kaspersky quedó en medio de una contienda geopolítica.

“No vamos a disculparnos por ser agresivos en la batalla contra el malware y los cibercriminales. La empresa detecta activamente y mitiga infecciones de malware, sin importar su origen, y lo hemos estado haciendo orgullosamente durante 20 años, lo cual nos llevó a mantenernos en los primeros lugares en pruebas independientes de detección de malware. También es importante notar que los productos de Kaspersky Lab adhieren a los estrictos estándares de la industria de la ciberseguridad y tienen niveles de acceso y privilegios sobre los sistemas que protegen similares a los de otros populares proveedores de seguridad en EEUU y en todo el mundo”– Kaspersky Lab

Ya veremos cómo se sigue desarrollando esto en los próximos días.

 

 

Podcasts de Seguridad!

Les comparto una selección de podcast activos y muy buenos que he estado escuchando últimamente:

SANS Internet Storm Center Daily Network Security Podcast_logo
Este podcast es breve y sale sin falta todos los dias, ideal para actualizarte durante la mañana

Brakeing Down Security podcast
Este podcast tiene muy buen nivel de los temas tratados, es un poco mas largo, una hora al menos y sale regularmente todas las semanas

Paul’s Security Weekly
Este podcast esta estrenando una emisión semanal dedicado a la seguridad en las empresas, mientras continua con su acostumbrada y famosa periodicidad.

Down the Security Rabbithole
De periodicidad menos frecuente, pero constante, trata temas no tan técnicos en si pero muy interesantes a todo lo referente con la seguridad informática.

Defensive Security Podcast
Otro excelente podcast con temas relacionados con la seguridad informatica, de duración larga pero interesante.

Crimen Digital
Este podcast se especializa sobre todo en la parte forense de la seguridad informática. Lo mejor que escuche en español

Otros dos mas, sobre los que no tengo mucho para decir:
Security Advisor Alliance Podcast
Data Driven Security

‘Políticas y Acciones de Ciberdefensa del Ministerio de Defensa’ en #SegurInfoArgentina2015

Una de las charlas a las que elegí asistir en la jornada SegurInfo Argentina 2015, fue la que dieron:
Sergio Rossi , Jefe de Gabinete del Ministerio de Defensa
César Daniel Cicerchia, Comando Conjunto de Ciberdefensa
Fernando CorvalanAsesor Jefatura de Gabinete , Ministerio de Defensa
Oscar NissAsesor Jefatura de Gabinete, Ministerio de Defensa

En esta charla, se expuso las acciones del gobierno en materia de seguridad informática, comparto con uds las anotaciones que hice:segurinfo-cert

El gobierno en pro de una mayor soberanía digital y de aumentar la seguridad en el cyber espacio, comenzó en 2013 la creación de un Comando en Conjunto de CyberDefensa, junto con otras acciones aún en desarrollo, como lo es la creación del CERT.

El abordaje se comienza desde la difusión, dando charlas técnicas e informativas y se continua mediante la vinculación con universidades, camaras empresariales, y organizaciones de Investigación. Así mismo, se planea la creación de una Maestria de Cyber Defensa y un Consejo Consultivo ( entre Universidades, empresas y Consultores).

MINDEX

El ONTI (Oficina Nacional de Tecnologías de la Información), las FFAA, y el Ministerio de Defensa, estan trabajando en conjunto para poder definir políticas alineadas a los estándares mundiales y la definición de las variables a ser defendidas. Una de las acciones tomadas fue la creación de MINDEX, una distro linux ‘debian based’, creada con el fin de tener todas las herramientas necesarias para la encriptación y transmisión de datos de forma segura sin depender de ninguna empresa/corporación.
Esta distribución también cuenta con las herramientas ofimáticas necesarias para el trabajo diario de del Ministerio de defensa donde se esta implementando.

NETWORKING

Por otro lado, se esta trabajando en Firewalls y monitoreo en tiempo real del tráfico, en conjunto con tecnologías de BigData, para poder poder detectar y detener la formación de BotNets.
También se esta trabajando en la securización de las redes móviles.
Y con el fin de tenes disponibles recursos para la investigación y entramiento, se utilizarán la virtualización y la super computación como medio para dicho fin.

Mas allá de lo técnico

Para poder dar un marco legal y legislativo también se esta buscando generar leyes acordes que al mismo tiempo tengan sentido en el ámbito de las políticas, normas y estándares regionales y mundiales, sumando a esto la doctrina militar.
Se buscará obtener el Nivel 4 como mínimo en las auditorias*

Mis Conclusiones

La presentación me dejó una buena impresión de las medidas que se están intentando tomar, sobre todo la creación de un CERT. Creo somos uno de los muchos paises (o de entre todos) que tenemos como materia pendiente dar un marco legal al ‘cyberespacio’.  Sin embargo me deja abierta la duda sobre la transparencia que tendrá los controles que se aplicarán, y si estos no serán en algún (o en todo) momento utilizado para controlar y no para proteger.

*Nota del autor: ?????

Decisión administrativa | Boletin Oficial

~have fun

Mascherano securiza tu server

No, no es que Mascherano se haya vuelto SysAdmin, si no que Mozilla ha creado MASCHE (Memory Analysis Suite for Checking the Harmony of Endpoints)masch
Masche proporciona funciones básicas para la digitalización de la memoria de los procesos sin interrumpir las operaciones del sistema. MASCHE no provee las mismas funciones forenses que otros frameworks (llamesé Volatility o Rekall),  en lugar de esto, se focaliza en la búsqueda de expresiones regulares y cadenas de bytes en los procesos de grandes muchos sistemas y lo hace muy rápido. Además funciona en Linux, Windows y MAC os.

A que ya lo estas queriendo bajar!!!

~have fun