Download Seguridad en Infraestructuras Críticas: Economía y La Bolsa

Seguridad en Infraestructuras Críticas: Economía y La Bolsa
Cuando hablamos de seguridad en infraestructuras críticas la mayoría de los lectores
enseguida lo asociamos a seguridad en sistemas de control industrial y SCADA, y hay bastante
literatura, papers y charlas al respecto, muchos temas de smart grid, depuradoras de agua y
demás, pero desde un punto de vista más formal las infraestructuras críticas son mucho más
que eso, en su definición, según CNPIC, se incluyen los sistemas de transporte, energía y en
general, siguiendo una analogía con SGSI, cualquier "activo" esencial para el "negocio" de un
país, entendiendo como ese negocio, “el bienestar de sus ciudadanos”.
Siguiendo esas ideas, y viendo los titulares de cualquier telediario, enseguida todos
entendemos la economía como un activo crítico para un país, y si algo hemos aprendido
todos en España en estos años de crisis, es que la economía financiera es algo que afecta a
nuestro bienestar, y que está "manejada" por algo que llaman "los mercados".
Entonces, si la economía financiera (manejada por "los mercados") es un activo crítico para un
país, ¿en qué infraestructuras IT se soporta y como están protegidas?
A poco que busquemos en Google, enseguida vamos a toparnos con que en España "los
mercados" están regulados por la Comisión Nacional del Mercado de Valores (CNMV) y
gestionados por la empresa Bolsas y Mercados Españoles (BME), empresa cotizada a su vez
en la propia bolsa (en el IBEX35 para ser exactos).
Esta empresa dispone de muchas filiales interesantes para todo lo que es la infraestructura IT
que hace funcionar nuestras Bolsas, entre ellas: BME Consulting, MEFF y Sociedad de Bolsas
S.A. Estas dos últimas son especialmente interesantes en cuanto al tema de mercados e
infraestructura IT, pero centrándonos en Sociedad de Bolsas, es la empresa encargada del
“Sistema de Interconexión Bursátil Español (SIBE)”, cuya definición viene a ser: plataforma
técnica de contratación del mercado de valores español.
Vamos, SIBE es el core a nivel IT de las bolsas en España y en la misma Web de Sociedad de
Bolsas ya indican que “El acceso a dicha plataforma electrónica de contratación se realiza a
través de los terminales de contratación que ofrece Sociedad de Bolsas ("Terminal SIBE
Windows TSW") o a través de Aplicaciones Externas homologadas al efecto”. Y a partir de aquí
las “malas ideas” surgen y el tema se pone interesante para los expertos en seguridad IT...
Estas aplicaciones externas homologadas (lista online!) son básicamente las plataformas IT
utilizadas por los operadores bursátiles autorizados en sus sistemas (los que vemos en la tele
histéricos al teléfono) ..No hace falta buscar demasiado para encontrar algún software
descargable desde Internet, incluso más de uno, para uso y disfrute de reversers y researchers
interesados. Y claro estas aplicaciones se comunican con SIBE a través de los “SIBE-GATE”.
Llegados a este punto, recordemos que la economía y su infraestructura IT, y esto incluye a las
“aplicaciones externas homologadas”, son o deben ser, una infraestructura crítica, y como tal
tratados y protegidos, y estoy convencido de que el sistema SIBE es tratado como tal, incluso
los “Terminal SIBE Windows TSW” (un fantástico Windows 2000!??) y las redes de
comunicación que utilizan, y por supuesto también, las aplicaciones externas pasan algún filtro
de seguridad para estar “homologadas” (por ser optimista), pero..
Pero resulta que a su vez muchos operadores bursátiles autorizados extienden todavía más
toda la maraña de operación bursátil, desde SIBE pasando por sus “aplicaciones externas
Artículo originalmente publicado en Security By Default
homologadas”, hasta digamos los terminales de operación que desarrollan ellos mismos (la
mayoría de las veces apps web) y que proporcionan a sus clientes (o sea tú o yo).
Este es el caso por ejemplo de Visual Trader, un proveedor para operadores bursátiles, donde
en su web además de otras muchas cosas, te cuentan que disponen de una arquitectura para
la operación [figura1], y también de una arquitectura para aplicaciones de terceros que se
comuniquen con sus sistemas a través de Internet [figura2] (si es que los demás no lo hacían
ya!, claro..) para que así los clientes del operador bursátil puedan operar cómodamente en
bolsa.
Figura 1 - Arquitectura de Red para Operación.
Figura 2 - Arquitectura de Red para Clientes vía Internet.
Por supuesto este esquema no es exclusivo de Visual Trader, cualquier servicio online de
operación bursátil funciona así, incluso desde tu móvil :)
Aquí hay que recordar al trader Josef Ajram en el programa Salvados de LaSexta, donde
cuenta (a partir de 7’40’’) lo fácil y cómodo (=inseguro?) que es para cualquiera operar
(=manipular?) desde su casa en los mercados.
Artículo originalmente publicado en Security By Default
No quiero poner en duda los niveles de seguridad de toda esta infraestructura IT en la que se
apoyan los mercados financieros, pero sí tenemos claro que esto es una infraestructura crítica,
con los niveles de seguridad que eso implica, y con la que se comunican infinidad de otras
aplicaciones, ¿donde ponemos la frontera de la misma?, ¿donde deja de ser
infraestructura crítica y pasa a ser software de la empresa X sin más restricciones? Y en
toda esta maraña de aplicaciones y sistemas ¿Tienen todos unos niveles de cifrado y
autenticación acorde a una infraestructura crítica? ¿Hay algún leak de users/passwords
:)? ¿Las redes donde se utilizan están suficientemente protegidas? ¿Si le dejamos estas
aplicaciones a algún reverser sacará muchos exploits? ¿Podría existir un “stuxnet”
adaptado a esta infraestructura?
Esto evidentemente abre muchas posibilidades.. digamos que si buscamos (y podemos
encontrar) en SHODAN un dispositivo SCADA bastante crítico, también podemos encontrar
elementos de esta infraestructura en la que se apoyan los mercados (ejemplos chorras 1 y 2).
Y no pensemos que esto es exclusivamente “made in Spain”, se puede seguir rascando en
Google/SHODAN sobre sistemas análogos a SIBE como … NYSE EURONEXT (utilizado no
solo en la bolsa de Nueva York), NASDAQ OMX (utilizado no solo en NASDAQ), el protocolo
FIX utilizado en la mayoría de estos sistemas, etc… En sus webs te encuentras de todo, y
también esto o esto :)
Y no solo eso!.. También existen aplicaciones de automatización de órdenes, y algunas
realmente publican mucha información sobre cómo funcionan... Y más divertido aún!.. los dark
pool... mercados “no regulados” (es decir sin una CNMV que marque las reglas) y algunos
gestionados por ejemplo por.. siii Goldman Sachs (los que “gobiernan el mundo” según Alessio
Rastani)…incluso en España existen.
Es evidente que todos estos sistemas tienen medidas de seguridad, pero... pero la cantidad de
vectores de ataque tiende a infinito, y esto hace que los incidentes de seguridad sean como las
meigas.. haberlas hailas..
●
●
●
●
●
●
El más llamativo.. 6 de Mayo de 2010, 1 Billón de dólares que se volatilizan por las
órdenes automáticas. Hay referencias en muchos medios de comunicación: Libertad
Digital, Blog de Alex Rayón, Expansión, El País, El mundo.
El mítico de Anonymous vía DDoS a la bolsa de Nueva York.
La bolsa de Tel Avid atacada y el gobierno lo califica de ciberofensiva.
La bolsa de Hong Kong tampoco se salva.
Y este verano... Knight Capital, un dark pool y más cosas, pierde 400 Millones de
Dólares por un “error informático” en su software de órdenes automáticas.
O también este verano... el SIBE se cae y cierra la bolsa Española 5 horas.
Quizás manipular los mercados (si!, quiero decir hackear) para beneficio propio no sea algo de
ciencia ficción.
PD: Durante la realización de este artículo no se maltrato a ningún gatito, ni tampoco se ejecutó
ningún nmap.
Artículo cortesía de Daniel Fírvida
Artículo originalmente publicado en Security By Default