El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 27-11-2018 18:59:56

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,577

Alemania lanza la primera norma para segurizar los routers: La BSI

El BSI alemán: Luces y sombras

BSI_1.jpg

  En 2016 un hacker inglés llamado BestBuy ha lanzado un ataque "industrial" contra Deutsche Telekom y ha conseguido meterse en muchísimos routers.
  Pero ha querido ir demasiado lejos y el disparo le ha salido por la culata.
Best buy ha decidido forzar una actualización maligna para implementar una puerta trasera casi "permanente". 
Resultó que su actualización no era bastante bien hecha y ha dejado sin Internet a cerca de un millón de consumidores (al mismo momento)
  Los del servicio de atención al cliente de vodafone se recordarán sin dudas de este momento toda su vida... lol

BSI_2.jpg

 
(ver Mirai botnet attack hits thousands of home routers, throwing users offline by Zack Whittaker @ ZDNet)
  Obviamente se ha hablado mucho de este incidente lo que ha llevado las autoridades alemanes a redactar unas reglas de seguridad especificas a los puntos de acceso.
En otros países se hubiera aplicado la famosa técnica de la "avestruz" ("Aquí no ha pasado nada")
Pero hay que reconocer que Alemania está un paso adelante en materia de cyberseguridad.
Hay que decir también que eran (¿son?) el primer objetivo del amistoso espionaje EE.UU. en Europa (cf PRISM, el móvil de Merkel,  el espionaje del Bundestag (asamblea federal)  desde la embajada americanaç etc...)   
  Este contexto hace que la opinión publica alemana (y incluso la clase política) están muy sensibles a las preguntas de cyberseguridad

  Es la primera vez que hay algo así, específicamente enfocado a los SOHO (routers domésticos) 
Existe la ley californiana (cf La California promulga la primer ley contra passwords inseguros ) pero es más geneal y mucho menos exigente. 
Veamos un poco lo que preconiza las autoridades alemanes y luego veremos los limites de este texto.

Reglas de seguridad para routers
  1. La configuración por defecto no debe tener a otros servicios activados que DNS, HTTP, HTTPS, DHCP, DHCPv6, y ICMPv6. (fin de las puertas traseras telnet y otros)

  2. Las típicas "redes para invitados" no deben permitir el acceso a la interfaz de configuración  (un poco paranoico)

  3. El ESSID no debe contener información tipo modelo o fabricante (pffff.... protección básica anti script kiddie pero que no sirve de nada contra alguien que busca un poco)

  4. Los Routers deben venir con WPA por defecto (Es el caso desde mucho tiempo en Alemania, pasé por ahí en 2007 y no se veían ni una sola red WEP.  pero no hace daño precisarlo)

  5. La llave WPA por defecto debe tener por lo menos 20 caracetres (un poco overkill pero no nos vamos a quejar si son más seguras) 

  6. La contraseña WIFI por defecto no debe incluir datos relativos al routers (su essid, bssid, modelo, fabricante etc...)

  7. El router debe permitir cambiar dicha contraseña (nunca ha visto un router que no permite cambiar la llave WPA) y debe incluir algo para que la contraseña elegida sea robusta

  8. El WPS en modo PIN debe estar desactivado por defecto. Si se activa, el PIN debe cambiar cuando se reinicia el servicio (por ejemplo después un bloqueo. impidiendo así la possiblidad de llevar un ataque brute force)

  9. La contraseña de acceso a la interfaz de configuración debe tener por lo menos 8 caracteres y mezclar todo tipo de caracteres

  10. Al igual que con la contraseña WPA, se pide que la contraseña de acceso a la interfaz de configuración se puede modificar

  11. El panel de administración del punto de acceso debe llevar un sistema de defensa contra los ataques de fuerza bruta

  12. Por defecto el acceso remoto a la configuración ha de ser deshabilitado

  13. Jamás un router debe incluir una cuenta no documentada (un punto importante ya que "prohibe" las backdoors)

Hay otras medidas como: obligar a que la interfaz enseñe la versión del firmware, obligar el router a tener un log fácilmente consultable, etc...
ver: BSI TR-03148: Secure Broadband Router (oficina federal alemana para la seguridad de la información) 
El texto es muy extenso y cubre muchos aspectos promoviendo practicas "sanas"
Podemos decir que, sin ser perfecto, es un buen esfuerzo con recomendaciones básicas que van en el buen sentido.
Sin embargo hay pegas...

Otra oportunidad no aprovechada

   Se repite lo mismo que con la ley californianas. Las medidas son buenas (obvias si se tiene un mínimo de conocimiento) pero no son para nada suficientes.
El punto negro en ambos casos es que las normas no obligan a brindar soporte.
La configuración por defecto es un aspecto menor en los problemas de seguridad: El usuario puede (debe) modificarla.
Los botnets como MIrai usan brechas groseras del 2012 que no deberían verse en al actualidad, 
El verdadero asunto es la falta de actualización que permite la explotación de brechas de seguridad muy conocidas.
  Y contra ello el usuario no puede hacer nada,...
  Si se quiere prevenir ataques como los de Best buy no hay otra solución que obligar fabricantes o/y ISP a parchear les brechas de seguridad que vayan apareciendo.
La BSI no obliga a nada más que señalar al usuario que el producto ya no tiene soporte. 
Y nada impide que sea el día siguiente su salida...    tongue
 
  El segundo punto negro, al igual que con la leí californiana, es que el texto no dice nada respecto al "jailbreak"
Los usuarios no son libres de instalar un firmware de terceros para poder tener actualizaciones de seguridad cuando el ISP y/o el fabricante paran de dar soporte.
Lo penoso de este asunto es que podemos decir que todas las reglas editadas son inútiles si se usa OpenWRT o DDwrt. 
El texto reconoce la necesidad de tener practicas inspiradas del funcionamiento con código abierto sin dar del todo el paso.

  Al final los usuarios se quedan a la merced de lo que hace el ISP cuando se ha demostrado que no son a la altura (y no tienen otra obligación que indicar que el dispositivo no tiene soporte cuando les da la ganas de parar de brindar soporte)

  Otro aspecto que amenora el alcance de esta incitativa es que no va a ser una ley coercitiva.
Las autoridades alemanes privilegian la idea de una especie de "logo seguridad" bien visible que se pondría sobre los routers que reglas dictadas,
Pero ponemos suponer que si lo hace Deutshe Telkom, lo hará también vodafone etc..     
Lo que se pide es elemental y muy fácil de respetar,     
  El mayor problema es que no se ataca el problema a la raíz: Los firmwares "customs" de código cerrado que cagan los ISP
Y aunque se les obligaría a brindar 5 años de soporte nunca serán seguros por el hecho de no ser de codigo abiertos,

  El CCC, famoso "club de hacker alemań"  habla de una "payasada".
Estaban presentes en las comisiones con otra organización que se dedica a promover el uso de OpenWRT
Denuncian el hecho de que los ISP hayan trabajado juntos para "orientar" las conclusiones de las comisiones y impedir que se tome en cuenta sus ideas.

CCC said it attended the BSI meetings on this topic together with members of OpenWrt, a software project that provides open-source firmware for SOHO routers, and they say telecom lobby groups have put considerable effort into sabotaging the rules as a whole

Germany proposes router security guidelines by Catalin Cimpanu @ ZDnet

  Se ha notado estos últimos años (desde las revelaciones de Snowden) un "esfuerzo" por parte de los "legisladores"
La ley Californiana o el BSI alemán son ejemplos de este intento
Desgraciadamente estos textos jurídicos parecen ser "parches" un poco ridículos...
Las practicas que prohíben son tan "infantiles" que deberían ser consideradas como crímenes   big_smile
Lo que haría falta es un buen formateo del sistema y repensar todo desde cero. 
   El problema es que en ambos casos se ha incluido a los industriales en la "reflexión" para redactar los textos.
    La comisión o el grupo de trabajo encargados de pensar estos textos deberían ser unicamente formado  por expertos de seguridad independientes
   De lo contrario seguiremos teniendo a directivas superficiales que tapan errores groseros.
¿En que mundo delirante vivimos para que se pueda considerar como un avance en 2018 obligar a usar el WPA en lugar del WEP?
  ¿Hace falta precisar a los fabricantes y ISP que el WEP está oficialmente considerado como inseguro desde hace 15 años?
  Si lo que se pretende con esto es realmente proteger a [email protected] [email protected] quedamos muy lejos de la cuenta...

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#2 27-11-2018 20:18:55

josep345
Usuario

Registrado: 19-11-2017
Mensajes: 686

Re: Alemania lanza la primera norma para segurizar los routers: La BSI

Estos alemanes....Parece que quieren hacer las cosas medianamente bien,tal vez en un futuro lo consigan..pero como todo en la vida,nada es para siempre,creo que estaremos así toda la vida,jugando al gato y al ratón,siempre habrá un (hacker) dispuesto a poner en evidencia a las grandes empresas. tongue


Debes Aprender que puedes hacer Todo bien y aun así fallar.

Creación Alargador USB-3.0 Con Cable RJ45   

Desconectado

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

Temas similares

Tema Respuestas Vistas Ultimo mensaje
El negocio del gaming por josep345
5 181 Ayer 19:44:21 por josep345
15 492 Ayer 18:52:10 por josep345
7 711 Ayer 16:15:59 por kcdtv
Saludos por Huev0
2 83 12-12-2018 18:50:54 por josep345
1 69 11-12-2018 17:44:23 por kcdtv

Pie de página

Información del usuario

Ultimo usuario registrado: cooperland
Usuarios registrados conectados: 0
Invitados conectados: 11

Estadisticas de los foros

Número total de usuarios registrados: 1,305
Número total de temas: 1,239
Número total de mensajes: 12,663

Máx. usuarios conectados: 74 el 13-11-2018 18:47:20