Seguridad Descifrada

Si te interesa la seguridad...

2012-01-17T21:37:00.000-06:00

Si te interesa la seguridad informática, a) crea y mantén un blog de seguridad, b) compra y lee un libro de seguridad y c) entiende/domina el menos 3 herramientas de BackTrack.

Hay una vacante de SegInfo. Tu futuro empleador podría preguntarte si te interesa la seguridad realmente o sólo estás ahí por el trabajo y el $$$. Tú le contestarás que sí te interesa y se lo puedes demostrar por a), b) y c) (u otras que se te ocurran).

Y de hecho si te llega o no a hacer esta pregunta, tú podrás también evaluar a tu futuro empleador. ¿Les importa alguien clavado en SegInfo o eso no es realmente relevante y buscan algo más...mmhh..genérico?

Piénsalo.

Un Mundo Nos Vigila

2011-12-13T19:18:00.000-06:00

Pero no hablo de ese mundo, sino de uno más cercano. Andaba netflixeando y me topé con la película “Enemy of the State” con Will Smith y Gene Hackman. Para los que estamos en seguridad de la información sería una buena idea verla o volverla a ver para analizarla desde otra perspectiva y no sólo la de pasarnos un buen rato. Pienso que tiene más de una lección. Por ejemplo aquí enlisto unas:

Comunicaciones Seguras. El ambientalista encuentra el video de un asesinato de un importante político. Lo primero que hace es llamarle a un amigo para contarle el “chisme”. Vaya, un poco de malicia y haberse sentado 5 minutos a pensar sobre lo que tenía entre sus manos le hubiera ayudado. Para cuando habla por teléfono…bam! Línea intervenida. Y de ahí se desencadenan una serie de eventos que acaban con la vida del personaje. Si algún día te encuentras en una situación así o similar, asume el peor escenario, revisa el siguiente punto y actúa en consecuencia.

Un Estado como Adversario Formidable. Como ciudadanos o como responsables de la seguridad de una infraestructura, debemos siempre pensar en un Estado como un titán. Sí, hay grupos de hackers, hay Anonymous, aficionados que se meten a tu cuenta de Twitter y criminales organizados así como espías industriales. Pero de todos los que se me ocurren, el T-Rex es un Estado que cuente con recursos (dinero, gente, entrenamiento etc.) casi limitados, control sobre las infraestructuras, poder legal e ilegal así como una estructura organizada. Aunque también tiene sus debilidades, para nada debemos de menospreciarlo.

Nunca uses un USB que te haya dado un Desconocido. No hay una escena particular pero me acordé que una forma sencilla de “targetear” (ataque dirigido) a alguien sería dándole un USB gratuito de alguna forma para que lo insertara en su equipo de cómputo (hubiera sido una excelente forma de enganchar aún más al personaje de Smith). Por ejemplo, lo primero que hace la gente al encontrar un USB “por ahí tirado” es explorarlo “a ver qué tiene”. Y más si tiene una etiqueta de “fotitoxxx” o “personal”. Y claro, el USB tiene troyano/malware incluido. Pero honestamente, quién plantaría un bicho así en un USB, cierto? Esperen un momento... dijeron StuxNet?

Sana Paranoia. El papel que interpreta Gene Hackman es el de un verdadero paranoico. Si ven la película, coincidirán conmigo en que “no manches, no hay que ser taaan paranoico”. Ok, concedido, pero tampoco hay que ser taaaaan wey (iba a decir “inocente”, pero “wey” es más apropiado). Para los que estamos en seguridad de la información, siempre es sana una dieta de paranoia balanceada con administración de riesgos. Sin embargo recuerden que para una empresa el planear bajo el “peor de los escenarios” es algo cercano a lo incosteable y/o inalcanzable, por eso se habla de administración de riesgos y por eso es algo tan difícil de hacer bien (alejarse del extremo del peor de los escenarios y del otro extremo del “aquí eso no nos pasará”).

Compartir el Conocimiento. Hackman comparte su conocimiento con el inexperto Will. Hay que compartir el poco o mucho conocimiento que tengamos en cuestión de seguridad informática con otras personas. Yo trato de hacerlo usando este blog como herramienta.

Ya para concluir, me gustó lo que el personaje de Hackman dice ya casi al final de la cinta (no es textual): “Debemos usar sus debilidades. Pelea sólo las batallas que sabes que ganarás. Usa sus armas a tu favor. Ellos se debilitan y tú te fortaleces”.

Diciembre 2011: ¿Qué Libros Estoy Leyendo?

2011-12-02T09:14:00.001-06:00

Aunque no dispongo de mucho tiempo, (en tiempos recientes) me gusta leer. No sólo de seguridad vive el hombre, por eso trato de variar mis lecturas. ¿Qué libros ando leyendo? La respuesta a continuación.

Linchpin: Are You Indispensable? Hace unos meses noté que invertía más tiempo en el auto que de costumbre gracias a unas obras cerca de casa (¡Marcelo!); mis podcasts (Security Now, El Explicador, Harvard Business) ya no cubrían las 10 horas de tránsito semanales. Recordé el servicio de Audible y lo contraté hace poco para que me leyeran un libro vía audio; me encantó el concepto de que te lean un libro y aprovechar el otrora tiempo perdido. En mi carrito de Amazon tenía el texto de Linchpin y decidí que sería mi primera compra en Audible.

El libro trata básicamente de que seas un artista en el sentido de que crees valor en tu trabajo. Que no deba haber alguien que exactamente te diga qué hacer y que huyas de empleos con actividades repetitivas porque así eres fácilmente sustituible. Te hace la pregunta de si en tu trabajo eres algo cercano a lo indispensable (o al menos que se notará tu ausencia) o puedes ser sustituido cualquier día de la semana.

Me gustó porque te presenta ese reto de ser alguien que genere VALOR, que dé opiniones, que sea asertivo y que proponga ideas. Que dé de sí más allá de lo que se le pide; que haga que las cosas sucedan sin que se le exija; que sea un artista porque lo suyo no es un trabajo que cualquier fulano podría realizar. Nos plantea que hagamos nuestro trabajo con pasión, rompiendo esquemas, “creando” en lugar de “haciendo”, que no seamos del promedio y del montón. Que hagamos las cosas de manera diferente al agregar valor.

Me pareció interesante la propuesta del texto y sí me hizo pensar en más de una ocasión en mi propio trabajo en seguridad informática y en cómo podría aplicar en concreto lo que en el libro se exponía. No me arrepentí de haberlo adquirido. Le pongo cuatro estrellas.

Einstein: His Life and Universe. No recuerdo cómo llegué a este libro, pero lo tenía en mi carrito de Amazon y cuando vi su índice me llamó la atención. He de confesar que estoy iniciando el libro (y lo puse en pausa porque estoy con el de Steve Jobs). Hasta donde voy se ve que está interesante la biografía.

Honestamente en mi juventud no era muy fan de leer biografías ya que se me hacían aburridas y de flojera el tener que leer un libro entero de la vida de alguien; pero eso ya lo estoy cambiando ya que he visto que al leer las vivencias de personas que admiro de hecho me motiva, me da ideas y me inyecta ganas de superarme en aspectos profesionales y personales. Creo que el truco fue encontrar biografías de personas que admiro y evitar las de personas que aunque muy respetables e importantes, no me hacen “click”.

Steve Jobs. Los que me han estado siguiendo tal vez ya estén hartos de mí hablando de Jobs. Ok, aquí va una vez más. Empezaré diciendo que el libro es objetivo; al menos no trata de esconder “detallitos” ni ser un texto lleno de alabanzas y piropos. Como dije, he descubierto que al leer biografías de personas que admiro me llena de alegría, motivación y me da dos que tres lecciones. Por ejemplo a raíz de este libro he empezado a hacer algunos cambios:

Tirar una cosa al día. En mi lugar de trabajo cada día tiro a la basura algo que no me sirve. Jobs estaba orientado a la simplicidad y a “lo mínimo necesario”. ¿Cómo aplicarlo en mí? Haciendo lo que acabo de decir. También lo estoy haciendo en casa tirando varias cosas un día a la semana. Ya hasta pregunté en mi biblioteca pública más cercana si pueden recibirme donaciones de libros y así lo estaré haciendo en las siguientes semanas.

Piensa diferente. A la persona que más quiero y dada su corta edad, he empezado a inculcarle ideas para que piense fuera de los esquemas pre-establecidos poniéndole ejemplos de algunos pasajes de la vida de Steve. Cuando crezca más quisiera que leyéramos este libro juntos (me parece de más valor que leer el Antiguo Testamento, con el perdón de su mercé). A mí me enseñaron que no hay que tomar riesgos, que hay que ir a la segura, seguir el status quo y que las calificaciones de la escuela son lo más importante.

Ahora veo que las posiciones más interesantes no son de gente que se va a la segura buscando un empleador estable; y que las notas de la escuela aunque importantes, no aseguran un futuro brillante lleno de dinero y satisfacción personal.

Es decir, pienso que hay habilidades que no enseñan en la escuela y ya que estás en el mundo laboral ves que de lo más importante es la habilidad de comunicar/vender ideas, de tener carisma, de tomar riesgos, de tener habilidades de negocio, de ser responsable, de generar ideas innovadoras, de entregar en tiempo resultados; no necesariamente la gente que haga velozmente integrales y derivadas o saque rápidamente un Reverse TCP por medio de un exploit será la que tenga las mejores posiciones sólo con esas habilidades.

No me malentiendan, creo que la educación escolar de los niños hay que complementarla con otras enseñanzas muy útiles allá afuera.

Otro cambio que me interesa ahora aplicar -gracias al libro- es el estilo minimalista. Empezaré por mi cuarto. Aunque entiendo que el minimalismo no sólo es cómo está diseñada una habitación. Por ejemplo mis presentaciones de PowerPoint en el trabajo ya no tienen adornitos ni rayitas; es una presentación en blanco con un bonito Font…es todo.

Steve es un ejemplo extremo, claro está. Un cuate centrado y apasionado por su trabajo y ganas de aterrizar una visión. Con una intensa búsqueda por la excelencia pero teniendo claro que “hay que entregar resultados” y finalizar productos. Una persona “loca” por el diseño y por cómo se interactúa con los productos. En este libro uno se puede asomar a su mundo y tratar de entender su filosofía de vida.

En mi caso, sí he visto que la lectura del libro va más allá que la simple asimilación de letras, palabras y frases; estoy todavía en el proceso de asimilar ideas y aterrizándolas en acciones concretas. Le pongo cinco estrellas y lo recomiendo aunque no sean fan de Steve Jobs (un must si eres emprendedor).

Thinkertoys. Generar ideas como las de crear computadoras en un garaje de una casa o desarrollar un buscador de páginas en Internet. ¿Cómo poder “forzarte” a tener ideas? Este libro trata de proveernos de algunas técnicas para pensar en cosas que no habrías pensado antes.

El libro te invita a cambiar hábitos (para empezar a entrenar la mente a que se salga de lo habitual); nos dice que hay que tener un objetivo de cierta cantidad de nuevas ideas al día o a la semana. En la página 48 se describe por ejemplo una interesante técnica que consiste en listar lo que uno asume de X lugar o situación (“los restaurantes tienen un menú escrito donde la gente ve las opciones para comer”) y luego redactarlo de forma contraria (“no hay menús donde la gente…”) y tratar de ver cómo es que eso podría ser e intentar sacarle un sentido.

El libro me ha ayudado a tener algunas ideas. Por ejemplo para el trabajo que hace mi papá le he propuesto nuevas formas de vender sus servicios; o una idea respecto a QR Codes que le mandé a uno de mis jefes. También la de una app para móviles que puede ser utilizada en las agencias de autos. Ok, no son grandes ideas todavía, pero por algo estoy empezando.

No me considero una persona muy creativa e innovadora que digamos y por eso busco libros como éste (tengo en la mira el de The Innovator's Dilemma: The Revolutionary Book That Will Change the Way You Do Business). Me interesan libros que me ayuden a salirme del molde y que me saquen de mi pequeño status quo.

Este libro que acabo de terminar de leer tiene varias técnicas y si bien no las he aplicado de manera frecuente, ya me han ayudado en algo y espero implementarlas de manera más consistente. Tiene cuatro estrellas.

Web Application Hacker's Handbook. Este libro empieza con un overview de la inseguridad en aplicaciones web para después describir los principales mecanismos de defensa que tiene un WebAdmin. Si no estás muy al tanto de las tecnologías web de hoy en día, también te da un “repasón” (yo aprendí más de una cosa en ese capítulo). Posteriormente ya empieza a describir cómo se “mapea” una aplicación web o cómo se pueden evadir controles tipo “client side”. Voy en el capítulo 6 (todo el libro tiene 20) que se trata de Ataques a la Autenticación.

El libro me está dejando un buen sabor de boca y está muy completo ya que abarca una gama amplia de temas respecto al web hacking y va de lo básico a lo realmente avanzado, es decir, te lleva de la mano.

No está complicado y aburrido como otros libros técnicos que tratan el mismo tema y esto sin mencionar que te da ejemplos para que los lleves a cabo. A pesar de que tiene casi 700 páginas, honestamente no se me está haciendo pesado; he aprendido mucho de este tema y de alguna forma leer este libro es divertido (y no, no me refiero a que hagan chistes).

Le pongo cuatro y media estrellas y lo recomiendo si alguien desea enterarse (más) del tema de hackeo a aplicaciones web.

Metasploit: The Penetration Tester's Guide. Este libro es de reciente publicación y como su título lo dice, habla de Metasploit y de cómo lograr hacer actividades de pentest principalmente con el uso de esta herramienta. Voy empezando con el libro; como ven no soy de los que acaba un libro para empezar otro sino que llevo varios en paralelo, that’s the way I like it.

Tiene un no sé qué que me está gustando más que otros libros que he leído del tema, como el Hacking Exposed que a veces lo encuentro confuso y centrado en herramientitas cuyo uso te describen rápidamente. En el libro de Metasploit se centran en una sola herramienta (apoyado de otras cuantas) pero de forma completa, de manera divertida, al grano y a profundidad.

De los libros de pentesting es de los que más me ha gustado; y nada que ver con la enciclopedia extensa, aburrida, de poca utilidad y del año de la Abuela (versión 6) que es el material de la certificación CEH (también lo voy a donar porque me estorba más de lo que me sirve).

Tiene cuatro estrellas y media y hasta si lo quieres para tu primer libro de pentesting seguro que te servirá.

Conclusión.

Sólo me resta preguntarte respecto a las lecturas que estás haciendo actualmente y si no eres de los que lee mucho, invitarte a que lo hagas (aquí algunos tips). Si alguien como yo que poco se interesaba en la lectura puede lograr leer un par de libros de vez en cuando, sé que también encontrarás un tema que sea tan de tu agrado como para dedicarle unos minutos a la semana.

QuickPost: Cursos de Seguridad Online

2011-12-01T13:31:00.001-06:00

Stanford ha puesto cursos gratuitos de Seguridad Informática en línea. Uno es de Seguridad en Cómputo (inicia en febrero de 2012) y otro es de Criptografía (inicia en enero de 2012).

Pienso que es una buena oportunidad para quien le interese el tema. Las ligas ahí están, ahora sólo falta que te inscribas y nos digas cómo te fue y si te agradaron los cursos.

QuickPost: Tienda de Aplicaciones Privada.

2011-11-30T17:31:00.001-06:00

Me pareció interesante el concepto de tener una tienda de aplicaciones privada dentro de una empresa. La idea general es administrar las aplicaciones de los móviles de los empleados.

Aunque los usuarios podrían acceder a las tiendas de apps “de siempre”, existe la posibilidad de que la tienda privada sea la única que el empleado ve y desde donde baja aplicaciones aprobadas/desarrolladas/compradas por la empresa.

El departamento de TI tendría el control de esta app store© privada aprobando apps para empleados, borrándolas en caso de riesgo y verificándolas. Lo anterior no significaría que se eliminan todos los riesgos en los dispositivos; por ejemplo está el problema de la navegación en sitios maliciosos o por otro lado, el hecho de poder ejecutar attachments infectados del correo.

Todavía no me queda claro cómo se haría lo de "...and each app undergoes a code review before distribution". Para esto se tendría que tener cierto acceso al código fuente de terceros, cuestión que no pienso se pueda llevar a cabo sin problema alguno. Obvio si son apps de la propia empresa no habría obstáculo.

En mi opinión, no todas las organizaciones tendrán los recursos para armar una tienda de apps privada; pero puede ser un mercado que en el futuro lo explote un tercero quien estaría dando este servicio.

En el artículo de ArsTechnica se puede leer que IBM ya tiene algo parecido con su WhirlWind. Así es que esto no sólo es un concepto.

QuickPost: Penetración a un Sistema de Agua

2011-11-22T09:13:00.001-06:00

Las plantas de agua son un ejemplo más de infraestructuras que son administradas con ayuda de sistemas de cómputo SCADA (Supervisory Control And Data Acquisition); así se le llama comúnmente al conjunto de software encargado de manejar plantas de agua, electricidad, etc.

Hace poco, un atacante cuyo nickname es pr0f, logró penetrar al sistema de aguas de Illinois. Al parecer usó una serie de posibles métodos para su ataque: robo de contraseñas de un tercero que da servicios de algún tipo a la planta de agua y acceso a un portal web accesible desde Internet.

¿El daño? Una bomba de agua dejó de funcionar porque se prendió y apagó repetidamente.

Por un lado, no hay que ser alarmistas y pensar que mañana mismo habrá un ataque masivo a infraestructuras SCADA de EUA y de aquellos países que usen sistemas similares. Esta vez fue una bomba de agua; no se envenenó a nadie ni se inundó un pueblo a causa del hackeo. Como siempre, no se puede hacer nada que el propio software no pueda controlar.

Ahora bien, por otro lado, es un hecho que estos sistemas SCADA estimo se pensaron alguna vez inmunes a ataques informáticos y de ahí que desde fábrica (y posteriormente ya implementados), estos sistemas presenten serios huecos de seguridad.

No me explico por qué estos sistemas tendrían que estar conectados a Internet permanentemente y por qué están desprotegidos. Y yo mismo me doy la respuesta: seguramente la gente que administra estos sistemas son expertos en plantas de agua o plantas nucleares, pero NO tienen una noción de los ataques que se pueden llevar a cabo vía Internet y tampoco entienden bien cómo proteger sus sistemas. Tal vez les falta un poco de paranoia.

Lo primero que yo haría es ver la justificación de que estos sistemas sean “vistos” desde Internet. Posteriormente ver la posibilidad de que sólo estén disponibles el tiempo que así se requiere. Y por último y de ser el caso, proteger los diversos accesos a Internet con cifrado y autenticación robusta.

Es sólo el inicio, me parece que la seguridad y protección de este tipo de infraestructuras es un trabajo permanente.

Seguridad Informática en Casa

2011-11-15T09:05:00.001-06:00

Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).

Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.

¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.

Básica 1: Actualizar sistema operativo y sus aplicaciones.

Cualquier sistema operativo va a requerir actualizarse y tiene mecanismos automáticos para llevar a cabo esta tarea. Asegúrate de activarlos; no cuesta dinero porque esta funcionalidad ya viene integrada (búscala en tu Panel de Control).

Por otro lado, las aplicaciones que instalas también van a requerir su manita de gato y varias de ellas no proveen actualizaciones automáticas. Adobe Reader, Flash Player, Office o Java JRE son algunos ejemplos de lo que tendrías que estar actualizando casi cada mes. El PSI de Secunia te puede ayudar a detectar las aplicaciones que necesitan un update.

Básica 2: Suite de seguridad.

Contar con un antivirus, firewall personal y un detector de intrusos es fundamental. Puedes pagar por una suite de seguridad que integre estas herramientas (cuesta alrededor de 700 pesos). O puedes buscar algunas gratuitas. Antivirus como Avast o Microsoft Security Essentials te pueden servir. Comodo tiene su firewall personal gratuito.

Básica 3: Sesión de Usuario.

Cerciórate de que estás iniciando sesión como usuario y no como administrador del sistema. Trabaja el día a día en tu compu como usuario y sólo cuando lo requieras sé administrador.

Básica 4: Usa tu criterio e Investiga.

¿Eres de los que entra a cuanta página se le antoja porque recibiste el link vía correo/twitter/facebook? ¿Visitas sitios XXX tal vez? ¿Instalas cuanta cosa te late al ir navegando? Bien. ¿Y desde esa misma computadora ingresas a la banca en línea y tecleas los passwords de tus sitios favoritos? Tendremos un problema.

No voy a decirte que no abras adjuntos sospechosos, porque yo soy el primero en criticar estas recomendaciones vagas y absurdas (¿cómo sabría un usuario que algo es sospechoso??).

La sugerencia sería que te mantuvieras atento (por ejemplo leyendo este tipo de blogs o googleando/preguntando algo que no sepas). Usar el sentido común (¿de verdad el hijo del rey de Nigeria te dará dinero si lo ayudas a sacar un dinero de su país?) y sé escéptico (¿en serio tu Banco te dice que si no haces click en esa liga te cancelarán la cuenta? Investiga con tu Banco la veracidad de ese correo).

No hay dinero regalado ni offline ni en Internet. Los atacantes tratarán de que hagas click o visites esa página a como dé lugar.

Y si nuestro sentido común falla (después de todo no somos expertos en seguridad ni debemos de serlo), pues aquí están estas recomendaciones de este post que te podrán ayudar a protegerte (y enfatizo “ayudar”; ningún control tecnológico evitará que pongas por propia voluntad el password de tu Banco en una página maliciosa).

Básica 5: Respalda.

El post original contenía sólo las cuatro recomendaciones básicas arriba enlistadas y este de “Respaldo” iba a estar como no-básica. Pero caramba, finalmente los archivos (fotos, música, documentos relevantes) son los que dan vida a un sistema, no crees? Así es que entra como básica: respalda.

Yo sugiero el respaldo tipo 1-2-3. Una copia del respaldo offiste. Usando dos diferentes medios (ej: disco duro y DVD). Tres copias de esos respaldos.

Puedes hacer respaldos mensuales en CD o DVD; tal vez en discos duros externos. Puedes usar la nube ahora que está de moda (Carbonite ofrece respaldos automáticos para varias plataformas y usa nube).

Usa el esquema y servicio que más te agrade PERO respalda. Respalda, respalda, respalda. Y que sea frecuente.

El Resto de las Recomendaciones son:

SandBox: la tendencia es que las aplicaciones incorporen una sandbox por default. Las últimas versiones de Chrome lo hacen; Adobe Reader también. Es mejor preferir este tipo de aplicaciones o ahí están productos como SandBoxIE que hacen el trabajo en la aplicación que desees. Una sandbox dificultará un ataque; cuando te manden un exploit le habrás dado una pastilla azul al malware y no dañará tu sistema principal.

WPA2: pensé en poner esta medida como básica, pero ya eran muchas básicas, no crees? En fin, en casa hay que activar el protocolo WPA o mejor el WPA2. Un amigo me comentó que su vecina estaba ofreciendo acceso a Internet a mitad de precio. ¿De dónde crees que “toma” la señal para venderla? Nota: el protocolo WEP “seguro” no es seguro y pueden entrar en tu red inalámbrica en menos de 5 minutos.

Si no sabes bien cómo habilitar WPA2 en tu ruteador inalámbrico en casa, llama a soporte técnico de tu proveedor para recibir ayuda. Por ejemplo, el Wii, tu iPhone y iPad soportan este protocolo.

Navegación Inteligente: los ataques se centran en Internet Explorer. Luego entonces, usa mejor el Chrome que de hecho tiene una sandbox. O FireFox.

Recomiendo usar el NoScript (o equivalentes). Es un add-on que impide la ejecución de scripts en el navegador; te salvará de más de un problema. Grabémonos esto: los scripts son nuestros enemigos.

Y hablando de add-ons, está el Certificate Patrol que estará al pendiente de tus certificados y alertará de cambios sospechosos. Útil en esta época en que las autoridades certificadoras se tambalean y donde algunas de ellas perdieron nuestra confianza (y precisamente lo que venden es confianza).

Sí, la navegación por Internet se ha vuelto un verdadero paseo por la jungla. Una sugerencia engorrosa pero que te dará un nivel adicional de seguridad es navegar con una máquina virtual. Existen productos gratuitos como VirtualBox, Virtual PC o VMWare Player que te darán la capacidad de montar un sistema operativo “independiente” en tu sistema. Ya que lo instales, puedes arrancar un Linux por ejemplo (Ubuntu, FreeBSD o Linux Mint son buenas opciones). Y ahora sí, desde tu máquina virtual entrar a esa liga que te mandó “el amigo del amigo” o visitar ese tipo de sitios que sabes que te pueden instalar mugre y media sin que te des cuenta. Prueba este esquema de navegación.

También podrías considerar tener un UTM casero (Unified Threat Management) como el que ofrece Astaro (hasta ahora gratuito). O equivalentes. Te dará más protección al navegar, en tu correo y en tu red de casa. Los UTM tratan de darte una seguridad más “integral”.

Por último. ¿Quieres anonimato al navegar? Usa TOR, o como yo le digo: el Ruteador Cebolla. En lo personal ligo mucho esto de la navegación anónima con actividades poco honorables; asegúrate que usas anonimato para algo que valga la pena y no para andar haciendo porquerías. Gracias.

Cifrado de Datos: he escuchado a varias personas decir “pero si en mi compu no tengo nada realmente importante que alguien más quisiera”. Mi respuesta es: “ok, me permites hacer una copia de tu disco duro para llevármela y quedármela?” La respuesta es: “claro que no, tengo fotos personales y ahora que lo recuerdo, a ti qué te importa??”

En fin. Puedes usar TrueCrypt para cifrar tu disco duro entero o parte de él. También lo puedes usar para cifrar tus USB. Hablando de USB, existe un buen software de cifrado llamado Rohos Mini Drive especializado en cifrar dispositivos USB.

Ahora bien, si lo que te interesa es intercambiar correos cifrados, puedes usar opciones gratuitas como OpenPGP o GnuPG. Y una opción más simple y sin costo: HushMail que ofrece proteger tus correos al mismo tiempo que mantiene una interfaz web tipo GMail/HotMail fácil de usar.

Nota: si eres de los que consideran que “no hay nada importante en mi compu” te recuerdo que aun así existe el riesgo de que la conviertan en zombie.

Passwords: hace poco escribí un post de cómo crear contraseñas robustas pero fáciles de recordar. En resumen: personas pueden adivinar tu contraseña. Y si no, ahí están las computadoras para probar N posibles contraseñas hasta que lo logren. Sugerencia: usa contraseñas diferentes para cada sitio/servicio y que sean difíciles de hackear (pero fáciles de recordar).

Puedes usar apps gratuitas para administrar tus passwords. LastPass es una de mis favoritas, úsala y seguro te quedarás con ella.

Hablando de passwords, los servicios online tienen una opción de recuperar tu password en caso de olvido; asegúrate de que las preguntas/respuestas que hiciste sean algo que sólo tu podrías contestar. En medio de una pelea épica, tu compañer@ sentimental podría tratar de hacerse pasar por ti e intentar recuperar tu contraseña; ya le pasó a Palin, por ejemplo (aquí la motivación fue política).

Banca en Línea: prefiere que tu Banco te dé un token para entrar a su sitio (un token es un aparato que te provee de una nueva contraseña –dinámica- cada vez que entras al portal). Existe malware muy especializado cuya finalidad es robar tus credenciales de acceso (username + password estático) y quitarte tu dinero. Ejemplos abundan y constantemente salen nuevas versiones más complejas y difíciles de detectar/erradicar.

El token no es el fin de la historia. Debes fijarte en tener un sistema limpio para poder tranquilamente entrar en tu sesión de banca en línea. Una de las mejores maneras que he encontrado es usar un LiveCD de Linux (por ejemplo Ubuntu) y bootear tu sistema desde ese CD, arrancar FireFox y adelante con tu banca en línea. “Pero qué flojera hacer todo eso para una inche sesión con tu Banco”…ok, no hay problema. Es tu dinero, tú decides. Esta sugerencia te da un sistema limpio cada vez que booteas (sin que instales nada), y si agregas que la gran gran mayoría del malware está enfocado en Windows…ahí lo tienes!

Almacenamiento en la Nube. DropBox y el iCloud son servicios de almacenamiento de documentos en la nube. No son muy seguros pero entiendo que si pones ahí las fotos de tu perro o un trabajo de la escuela pues no tienes de qué preocuparte. Pero si vas a poner ahí la foto del IFE escaneada o documentos corporativos relevantes, es mejor que uses opciones más seguras. Wuala o JungleDisk aplican el PIE (Pre Intnernet Encryption) lo que significa que automáticamente tus datos se cifran en tu sistema y salen así a la nube. Tú mantienes el control, no la nube.

Sistemas Operativos. Sé que dije que me enfocaría en Windows pero me fue irresistible hablar de este punto y además es a manera de conclusión de este largo y aburrido post.

Finalizaré diciendo que todos los sistemas operativos son inseguros instalados como vienen de fábrica (la gran mayoría de los fabricantes quieren que tengas un sistema funcional lleno de maravillosas monerías y no realmente un operativo seguro y restringido).

Sin embargo a todos ellos se les puede endurecer (hardening) para fortalecerlos. Bien configurados, bien administrados y bien usados no hay operativos mejores ni peores. Sin embargo considero que un buen operativo seguro “de fábrica” es FreeBSD. He de confesar que no lo uso del diario…para eso tengo el poderoso y limpio OSX.

Eso es todo. Y claro, te invito a compartir lo que tú haces para mantenerte fuera de problemas.

Steve Jobs Aplicado a la Seguridad

2011-10-28T14:34:00.000-05:00

Todos nos enteramos del fallecimiento de Steve Jobs. He de confesar que lo admiro y deseo expresar mi pesar por haberlo perdido. No podía dejar desapercibida la desaparición de mi “héroe digital”. ¿Cómo abordar el tema? ¿Lo que había significado para mí? ¿Resumir sus logros? Creo que hubiera sido más de lo mismo que hemos estado leyendo. Apliqué lo del “Think different” y me pregunté cómo algunas de las lecciones aprendidas podrían relacionarse a la seguridad de la información.

Antes de empezar, una advertencia. Varias de mis interpretaciones/comentarios no son exclusivas para la seguridad, ahórrense el comentario de “pero eso aplica para otras áreas/disciplinas también”, gracias.

Ok. ¿Cómo armé este post? De entre las lecciones aprendidas que fui encontrando, seleccioné aquellas que podía citar para luego comentar mi manera de aplicar dicha lección al área de seguridad. Ya me dirán cómo me salió.

Guy Kawasaki trabajó un tiempo para Apple y nos dice lo que desde su punto de vista aprendió de Steve Jobs.

Guy dice: Los Expertos No Tienen Idea.

Yo digo: hay de expertos a expertos en seguridad informática. Los hay quienes te dicen qué debes de hacer, pero no cómo debes de hacerlo y probablemente nunca lo han llevado a cabo o sólo han escuchado que alguien lo hizo en “alguna ocasión”.

Te pueden decir que lleves un inventario de las aplicaciones autorizadas para ejecutarse en cada uno de los sistemas o que otorgues permisos de acceso a la información en base a la necesidad de saber (neek-to-know); también te pueden sugerir que bloquees el acceso a Internet a todos excepto a quienes realmente lo necesiten.

Pero no te van a decir cómo hacerlo, ni quién más lo ha llevado a cabo exitosamente (y que lo sepan de primera mano). Lección: algunas veces los que nos dedicamos a la seguridad de la información expresamos alguna buena idea que suena bien en teoría o que supuestamente es una “buena práctica”, pero que al intentar aterrizarlo “al mundo real” informático *corporativo* resulta que es una pesadilla administrativa o que de plano no es factible implementarlo y hay que dar marcha atrás.

El “qué” es importante pero sin el “cómo” se vuelve impráctico.

Guy dice: Los Clientes no te Pueden Decir lo que Necesitan.

Yo digo: las áreas de TI (y no TI) no te van a decir lo que la empresa necesita en cuestión de seguridad. Tu labor es ver la problemática, idear las posibles soluciones y vender (sí, vender) tus ideas para que sean compradas.

Quien debe saber lo que la empresa necesita en cuestión de seguridad deben de ser los profesionales de seguridad. Debemos de estar atentos a los nuevas maneras de atacar y lecciones aprendidas. RSA, StuxNet, DuQu, APT, mobile malware o DigiNotar son cuestiones que hay que saber y entender para proponer lo que la empresa necesita para los ataques de hoy, no para los ataques de los 90.

Si cuando llegaste ya estaba el antivirus, tu labor será darle continuidad o ver si hay algo mejor allá afuera? ¿Cuáles controles eficientes de seguridad sabes que necesita la empresa?

Guy dice: Salta a la Siguiente Curva.

Yo digo: mientras las empresas se pelean por tener su antivirus, la siguiente “curva” son las listas blancas (whitelist). ¿Cuáles son las tendencias en ataques y obvio en soluciones? ¿Cuáles son los controles más novedosos que pudieran servirnos en la empresa?

Gartner publica tendencias en seguridad de la información; el SANS te puede dar buenos tips; a finales de cada año se publican a lo largo y ancho de Internet diferentes artículos referentes a las predicciones en cuestiones de seguridad de la información. ¿Estás al pendiente de las tendencias y “saltas a la curva”?

Guy dice: No Puedes Equivocarte con Gráficas y Grandes Fonts.

Yo digo: obvio, no sólo aplica al área de seguridad. Cuando expongas presentaciones gerenciales para explicar una problemática, nuevos controles u otras cuestiones que impulsen a la seguridad dentro de la empresa, ten cuidado en cómo presentas. Puedes seguir una regla del mismo Guy: 10-20-30. Diez slides de 20 minutos usando un font de tamaño 30.

También puedes ver en YouTube alguna de las Keynote de Apple que haya dado Steve Jobs (un maestro en el arte de presentar). Hay que presentar con estilo para que se entienda lo que deseamos impulsar y el por qué estaremos más seguros con X propuesta o control.

Como dije ya, la seguridad muchas veces hay que venderla porque para la alta dirección y el resto de las áreas de TI no es algo que sientan que necesitan, por lo tanto hay que venderla y saber exponer la necesidad.

Guy dice: Valor es diferente del Precio.

Yo digo: la seguridad cuesta dinero a las corporaciones, pero qué difícil es demostrar su valor para la empresa. En no pocas ocasiones se ve a la bolsa de seguridad como un gasto, y no como una inversión. Un mal necesario que cuesta y tiene un precio, pero que no queda claro “allá arriba” dónde está el valor. Retorno de inversión, pues. ¿Cómo se puede demostrar el valor de los controles/herramientas y del personal de seguridad?

Y claro, no porque la bolsa ($$$) de seguridad esté llena significa que se está agregando valor. Y viceversa.

Guy dice: Los CEO de a de Veras Hacen Demostraciones.

Yo digo: qué importante es hacer demostraciones. Steve Jobs, siendo todo un CEO, salía al escenario (ver sus keynotes) y no sólo platicaba del producto, sino que también lo demostraba en vivo. Si un CEO millonario se da el lujo de hacer demos (pocos CEO lo hacen), no nos falta hacer lo mismo en seguridad para la parte de los riesgos? Muchas veces mostramos los supuestos riesgos en PowerPoint. No será mejor usar más BackTrack/Metasploit y mucho menos PowerPoint?

De preferencia, los riesgos hay que “vivirlos” antes de creer en ellos “porque lo digo yo”. Por eso, qué mejor que te haga un hack lanzándote un exploit y tomar control de tu computadora…en lugar de ponerte un PPT y decirte que ¡aguas! porque podría hackearte cualquier día de la semana si así lo quisiera.

Neil Patel.

Basta de Guy. Vayamos con Neil Patel y sus lecciones:

Neil Patel dice: Mantenlo Simple.

Yo digo: Políticas de seguridad complicadas para entenderlas y claro, extensas como manuales de un transbordador espacial. Campañas de concientización de seguridad enfocadas en la ingeniería de la seguridad en lugar de estar centradas en las personas; posters de la campaña con mucho texto (font de 10) pero pocas imágenes (¡urge minimalismo!).

Los usuarios no son ingenieros en sistemas ni en electrónica y hay que hablar su idioma, hacer que se sientan cómodos. ¿Puedes ser capaz de redactar una política de seguridad en dos páginas? ¿Reportes de indicadores en gráficas y en una sola página (dashboard)? ¿Reportes de tu análisis de riesgos o tu pentest que pesen menos de 1 kilo? Explicar un riesgo o un ataque puede ser complicado de entender “para el resto”, así es que mantenlo simple.

Neil Patel dice: Piensa en Grande.

Yo digo: recuerdo una historia que se me ha quedado grabada hasta hoy. Dice algo así. Le preguntaron a tres caballeros que estaban trabajando en una construcción sobre qué es lo que estaban haciendo. Uno dijo: “Pegando ladrillos”. Otro contestó: “Una pared bien alta”. El tercer hombre afirmó: “Me siento orgulloso porque formo parte de esta magnífica catedral que perdurará por siglos”.

Como responsable de la seguridad de la información de una Institución, tú qué piensas que estás haciendo? ¿Instalando un detector de intrusos o siendo parte de la protección de la información y de la estrategia de seguridad de [nombre de tu empresa]?

Neil Patel dice: “Siempre hay Lugar para la Innovación”

Yo digo: ¿Cómo innovar en el área de seguridad? No estoy desarrollando productos de seguridad, en qué sentido podría innovar? Ok. Una vez hace años fui a una expo de publicidad. En lugar de pasar por ahí viendo y pensando en por qué la gallina cruzó el camino, me pregunté cómo podía aplicar eso que estaba viendo a la seguridad.

Tuve la iniciativa de proponer una campaña de seguridad que no se había hecho antes con algunas ideas de la expo. Lo propuse y tiempo después arrancó la campaña.

Ok, y luego? Tal vez pienses en una manera diferente de presentar una métrica o una mejor manera de convencerlo respecto a que se requiere seguridad en la empresa. Piensa diferente. Salte del molde “porque así siempre se ha hecho”. El punto es que no te empantanes en las cajas aburridas de siempre, “ve por la Macintosh”, por así decirlo. Steve alguna vez dijo: “Innovation distinguishes between a leader and a follower”.

Conclusión.

Hasta ahí le dejamos. Este post está ya demasiado largo. Sin embargo, There is One More Thing: pongo a tu disposición algunas ligas que a mí me han parecido interesantes sobre Steve Jobs, tal vez las disfrutes tanto como yo!

Plática con al autor de la biografía de Steve. Yo ya he pedido el libro llamado “Steve Jobs” de Walter Isaacson.

Entrevista con el exCEO de Apple John Sculley. Te transporta a la mente de Steve.

Video “Todos somos Steve”, me encantó la letra y el ritmo.

Video del famoso discurso de Steve Jobs en Stanford. Inspirador.

Libro “The Second Coming of Steve Jobs” de Alan Deutschman. Ya lo leí y lo recomiendo. Trata del periodo entre su salida de Apple y El Regreso.

Libro “iCon Steve Jobs: The Greatest Second Act in the History of Business” de Jeffrey S. Young. No lo he leído pero me lo han recomendado.

Documental de Discovery: “iGenius”. Lo llegué a ver completo en YouTube pero ya lo quitaron. Supongo que eventualmente pasará en México en el canal ya mencionado.

Dicen que a Steve le interesó este libro: “The Innovator's Dilemma: The Revolutionary Book That Will Change the Way You Do Business” de Clayton M. Christensen. Lo tengo en mi lista de libros a leer.

Usuarios: Presuntos Culpables

2011-10-16T14:33:00.000-05:00

El deporte favorito de algunos expertos en seguridad es levantar la voz en contra de esos infames usuarios. “Son el eslabón más débil de cualquier organización”. “Es que no tienen ni idea de que ponen en riesgo a la información” (favor de agregar tono de voz desesperada).

Desde hace tiempo abundan ejemplos de este deporte por despreciar la poca cultura en seguridad informática de los empleados corporativos: “Es que ni con campañas de security awareness entienden”.

Ahora bien, lo curioso es que cuando volteas a ver las infraestructuras informáticas de estos Señores de la Seguridad te das cuenta de que tienen más hoyos que un queso gruyere.

Sistemas operativos sin tener sus parches al día o aplicaciones desactualizadas y vulnerables. Eso sí, con antivirus (y tal vez no todos actualizados) pero sin listas blancas/firewall personal. Uso de protocolos inseguros “porque todavía no se pueden quitar”. Páginas web que dan la bienvenida a los SQL injection.

Me extraña que se quejen de lo descuidados que son los usuarios cuando ellos mismos no tienen las TI robustas y al día. “Es que mis usuarios le dan click a cuanta cosa les llega y *claro*… ya les cayó el exploit”. Ok dude, pero ese ataque en principio fue posible porque TÚ dejaste al Adobe Reader sin parchar, cierto?

Si bien puedes engañar al usuario para que te dé su contraseña por teléfono y ahí sí no es un problema informático, lo cierto es que muchos otros ataques son posibles en principio porque la infraestructura de TI tiene huecos…y ese no es el trabajo de los usuarios sino de los Señores de la Seguridad de la Información.

“Comprometieron el equipo de este wey y de ahí se metieron al servidor corporativo para sacar los números de tarjetas de crédito de nuestros clientes”. Cuando le preguntamos: “Oye, y el equipo del usuario necesitaba tener conectividad con el servidor corporativo??”. “Errr, bueeeeno. Pues no. Pero es que ÉL ejecutó el attachment cuando claramente debería de saber que es un riesgo…si hasta está en nuestra política de seguridad en la página 876”. “Ah! Mira. Pues qué te parece si hacemos un proyecto para restringir el acceso a los servidores para que no desde cualquier equipo se pueda acceder a ellos. Se puede hacer un filtrado por dirección IP y puerto”. “Aschhh, es que es muuucho trabajo. Mejor educar a los usuarios. Son la base de la seguridad ya que bla, bla, bla”.

No me malentiendan. Los usuarios son parte importante de la estrategia de seguridad dentro de las empresas y ciertamente muchas veces participan activamente para que un ataque se concrete (como por ejemplo en casos de APT). Mi punto es que no debes criticarlos cuando uno mismo no hace lo suficiente por su infraestructura.

En fin. Si conocen a un Señor de la Seguridad que se queje amargamente de lo incivilizados que son sus usuarios en cuestiones de seguridad, por favor acérquenle este pequeño artículo. Seguro me dirá que estoy mal…y saben? Me encanta estar mal.

2011-10-05T23:02:00.000-05:00

Steve Jobs, 1955 - 2011. Te extrañaremos.

Contraseñas Fáciles de Recordar Pero Robustas

2011-10-04T08:12:00.000-05:00

QAZwsx no es una buena contraseña. Tampoco lo es 123456. Los passwords fáciles de adivinar tienen una gran desventaja: que son fáciles de adivinar. Y aunque me preocuparía obviamente que un fulano llevara a cabo esta adivinación, es un hecho que existen herramientas con bastos diccionarios y listas que se encargan automáticamente de intentar las miles de contraseñas que probablemente un usuario (o administrador) pueda llegar a usar.

Así pues, 5noopY, 19761976, 4dmin, F4ust02000, AlejanDRO, Facebook1, tequiero o ammerica no son buenas elecciones aunque a primera vista puedan parecerlo. Los atacantes ya se saben los truquitos de cambiar algunas letras por números, poner sólo algunas letras en mayúsculas o la costumbre de usar nombres de artistas o equipos de futbol como contraseñas (sin olvidar poner 2000 al inicio o al final, es clásico). Y a partir de ahí, se hacen variantes (AlejandRO, AlejanDRO, AlejaNDRO, etc.) y se construye una lista con la cual se efectuarán los cientos de miles de intentos (online u offline).

Y a veces no es necesario hacer listas interminables de posibles contraseñas, basta ver el ejemplo del gusano Morto.

Las contraseñas hoy en día se usan para acceder a redes inalámbricas, para entrar a un sistema de cómputo, un servicio online (Facebook), entrar a la banca en línea o proteger un disco duro cifrado entre muchos otros usos cuyo objetivo es la de autenticar a alguien.

Muchos usuarios ante la cantidad considerable de contraseñas que deben de recordar, optan por usar el mismo password (o máximo un par de ellos) para los N servicios que usan. Y claro, seleccionan contraseñas fáciles de aprenderse y por lo tanto de adivinar. Los entiendo. No es fácil recordar 37 diferentes contraseñas complejas: {bL2BgB*~cwS@E:^PR'R"NPF/U&.

Basta de choro. ¿Qué podemos hacer? A continuación 3 opciones que yo les recomendaría.

Técnica HayStack.

Algunos expertos te dirán que uses contraseñas mega-complejas, con alta entropía ya que de otra manera no sirven. Sólo están contentos si seleccionas ##&ñQQ22!(/!4034Fq$RETyu/%GGc. “¡Maravilloso!”, te dirán. Sí claro, quiero ver quién se lo aprende..me cae que ni el experto usa esta clase de contraseñas. Ok, qué hacer? Técnica Haystack.

El inventor de este método es Steve Gibson, un verdadero experto en seguridad. En su página viene mucho mejor explicado. Aquí un resumen. Romper contraseñas por fuerza bruta se basa en el hecho de probar “n” combinaciones posibles de contraseñas, empezando por las más comunes y posteriormente “armar” posibles contraseñas plausibles; todo lo anterior utilizando herramientas de software que automatizan la labor.

Es posible generar contraseñas robustas pero fáciles de recordar si se tiene en cuenta el tamaño del “search space” o espacio de búsqueda según nos lo explica Steve.

Es posible por lo tanto generar una contraseña fácil de recordar y volverla robusta al completarla con caracteres (“padding”); de esta manera hacemos que el espacio de búsqueda o “search space” se amplíe considerablemente haciendo un hackeo por fuerza bruta excesivamente tardado. Asimismo se puede complementar esta técnica al introducir mayúsculas y números de tal forma que por ejemplo “teclado” queda compuesto como: “T3clado..........”

Vemos la “T” mayúscula, un “3” en lugar de “e” con diez puntos ”.” y según la calculadora del sitio ya mencionado, esta contraseña tardaría varios millones de años en descubrirse por un método de fuerza bruta/exhaustivo (asumiendo a un equipo haciendo mil intentos por segundo en tiempo real).

Otros ejemplos: “Fau5to%%%%%%%%%%%%”, “Rut3ador!!!!!!!!!!!!”, “G4to************”.

La ventaja del método de Haystack es que se pueden usar palabras comunes y muy fáciles de recordar pero muy difíciles de hackear por métodos de fuerza bruta. Entre más “padding” se agregue, más robusta será la contraseña pero mantiene su simplicidad. El tamaño sí importa..no tanto la alta entropía.

Técnica basada en Frases.

Existen varias maneras de crear una “passphrase” en lugar de un “password”. Si buscas en Google “create passphrase” encontrarás varias sugerencias. Por ejemplo una la propone Microsoft:

Iniciamos con una frase que te sea fácil de recordar: “Me encanta la pizza”. Le quitamos los espacios en blanco “Meencantalapizza”. Sustituimos algunas letras por números (se recomienda siempre sustituir los mismos números por las mismas letras para no hacerse bolas), por ejemplo “4” en lugar de “a”: “Meenc4nt4l4pizz4”. Vamos bien pero lo podemos hacer más robusto agregando dos caracteres especiales al final “Meenc4nt4l4pizz4%%”. Y violà. El enunciado clave fácil de recordar es “me encanta la pizza”.

Técnica basada en Papel.

Un experto en seguridad te va a decir que nunca, nunca pongas un password en un papel. Como yo no soy ningún experto, te digo que sí lo pongas. Claro, siguiendo ciertas reglas. Googleando “paper password” encontrarás varias técnicas. Una que me llamó la atención es la de Amit Agarwal en el sitio de Labnol.

Esta técnica se basa en el hecho de crear contraseñas que se construyen a partir de algo que se tiene (un papel de matriz de contraseñas) y algo que se sabe y que es una cadena pequeña de caracteres que el usuario memoriza para añadirla a lo que será la contraseña final.

Usando un papel (que recortaremos y traeremos con nosotros) construiremos una matriz:

Letra

A B

C D

E F

G H

I J

K L

M N

N O

P Q

R S

T U

XYZ

1°

Qi1

DEo

ClT

f)0

SGE

5Ss

Gr5

#$g

MN!

GT$

2°

Oot

9cc

~":

cj7

[aA

uic

nex

3NN

:Q$

Re#

Mkb

1?p

3°

xOO

%!1

0!P

F?z

TIb

57>

maz

nSe

aHl

ycI

XIr

irP

DOm

4°

Oot

N8h

Zsm

g3I

WXd

Qip

5°

jPW

fft

63Q

3E5

50D

B09

yBh

A40

4CF

Empecemos con una palabra sencilla de recordar: “gato”. La primera letra “g” se convierte en “Deo” siguiendo la matriz. Y continuando con el resto de las letras, nos queda que gato es “DEoOotXIrdG”.

Finalmente agregamos una serie de caracteres fáciles de recordar. Por ejemplo “México” con un par de números en lugar de letras: “M3xic0”. Y lo agregamos al final de la serie de caracteres que ya teníamos: “DEoOotXIrdGM3xic0”.

Si perdemos la matriz (recuerden que la tenemos impresa), resulta que el atacante no sabe que la palabra que seleccionamos fue “gato” y tampoco sabrá que le agregamos “M3xic0” al final.

Conclusión.

El mensaje a final de cuentas es que uses contraseñas difíciles de adivinar y de ser posible que uses passwords únicos para cada sitio/servicio/equipo que uses (recuerda que te puedes apoyar de la herramienta LastPass).

Hay diferentes técnicas que puedes llegar a utilizar para generar contraseñas robustas (a mí me convence la HayStack de Gibson); si no te gustan las aquí expuestas busca en Internet otras que te parezcan útiles, sencillas pero robustas.

A pesar de las promesas de dispositivos biométricos o los one-time passwords (tokens), hoy por hoy la manera más usada para autenticar son las contraseñas, así es que mientras otra cosa no suceda, es mejor aprender a convivir con ellas de la mejor manera posible, no crees?

Mi contraseña es “password”

2011-09-25T12:55:00.001-05:00

¿Siguen siendo atractivas las noticias que diariamente salen respecto a nuevos troyanos y otros códigos maliciosos? Para mí, honestamente no. Salen tantos que resulta aburrido seguirles la pista. Confieso que a veces me encuentro en Symantec (o en otros sitios) buenos análisis de un malware y ese sí lo leo porque ya implica conocer el funcionamiento técnico de uno de estos bichos.

Sin embargo hace unas semanas uno de estos especímenes me llamó la atención ya que se enfocaba en servidores y se transmitía por medio de una funcionalidad muy utilizada en servers que es el escritorio remoto. Alerta amarilla. ¿Entonces no es el típico código que roba contraseñas de banca en línea? Al parecer, no.

Rápidamente empecé a leer el detalle en el sitio de FSecure, donde ya me enteré del nombre del enemigo: Morto. Ok. Lo siguiente más importante es entender cómo se propaga para analizar esos vectores de infección y poder hacer algo preventivo/detectivo (sin olvidar La Pregunta de si tu antivirus ya lo detecta).

Seguro se propagaba por una debilidad de software (¿verdad, Blaster y Confiker?). Tal vez por carpetas compartidas o unidades de red. Y cómo olvidar el USB, uno de los medios preferidos por los desarrolladores de malware.

Pues no. Sorpresa. El principal vector de infección de Morto es…el escritorio remoto que usa el protocolo RDP (Remote Desktop Ptotocol). El virus busca equipos que tengan el puerto 3389 abierto y una vez detectado, trata de ingresar al sistema.

Pero momento. Si tienes un servidor con el RDP habilitado, pues igual y obtienes un escritorio remoto, PERO si no tienes el username y password simplemente no entras (quitando a debilidades de RDP, claro). ¿Entonces cómo le hacía Morto? Buena pregunta.

Y la respuesta es: adivinando el username y password. Entonces pensaríamos que el código incluía una enorme base de datos con cientos de miles de posibles nombres de usuario y millones de contraseñas, cierto?

Mmmhh. Pues no. El nombre de usuario era uno solo: “Administrator” e incluía menos de 30 posibles contraseñas. Y con estas armas logró infectar miles de sistemas.

Lo que más me sorprendió es que entre las contraseñas usadas están: admin, password, server, test, user, pass, letmein, 1234qwer, 1qaz2wsx, abc123, admmin123, 123456.

Si ven, son contraseñas construidas a partir de combinaciones del teclado (123qwe) o las típicas usadas por ¿algunos? administradores de sistemas (admin123).

¿No hemos aprendido nada? ¿Cómo es posible que Morto haya tenido éxito al infectar servidores? Se asume que los servidores, a diferencia (probablemente) de los sistemas de usuarios finales, tienen ciertas protecciones como por ejemplo: a) exigencia de contraseñas complejas para administradores y usuarios; b) bloqueo del servidor luego de 3 intentos fallidos; c) tal vez y con suerte, se restringe vía red sólo a unas IP que pueden establecer una conexión hacia el servidor por el puerto 3389.

Sin mencionar que un administrador jamás seleccionaría “test” como contraseña, cierto? En fin.

Todo lo anterior me lleva a constatar que varios no hemos superado le época de las contraseñas débiles en las corporaciones. Y aguas, no estamos hablando de passwords débiles usados en servicios en línea (Facebook, Hotmail, Twitter, G+, etc.), sino que estamos hablando de contraseñas usadas en servidores corporativos.

Morto no explota debilidades en software sino la debilidad en administradores que se les hace fácil ponerle la contraseña “test” a ese servidor de pruebas “que ya merito lo vamos a dar de baja” o “123qwE” porque es robusta e irrompible.

Les debo un post con técnicas para generar contraseñas robustas y fáciles de recordar. Mientras tanto, absténganse de usar contraseñas que según esto son muy fuertes (12345qwert), y si están en una empresa, revisen que sus servidores no tienen passwords chafas o de default. Ah! y háganme un favor, cambien el nombre de la cuenta de “Administrador”.

Administrador de Contraseñas

2011-09-11T20:11:00.000-05:00

Si los usuarios tienen problemas para administrar sus N contraseñas para los N servicios que así lo piden (GMail, Twitter, FaceBook, Yahoo y un largo etcétera), también los administradores de sistemas comparten una problemática similar al tener que administrar varias contraseñas de sus servidores y aplicaciones.

Cuando la cantidad de contraseñas que se deben de manejar es ya considerable, recomiendo hacer uso de un administrador de contraseñas. Dicho administrador es una aplicación que lo que hace es resguardar las diversas contraseñas que usamos con el fin de poder tener acceso a ellas fácilmente.

¿Cuáles son las características de seguridad en las que un administrador de TI se debería de fijar antes de usarlo?

+ Que cifre las contraseñas y nombres de usuario en un archivo de datos, y que al cerrar/bloquear la aplicación éstas no permanezcan en claro. Asimismo revisar que el algoritmo usado para cifrar es uno respetable (AES, Serpent, Twofish, Blowfish, IDEA) y claro, que la llave sea al menos de 128 bits (aunque podría recomendar 256).

+ Que no guarde la base de contraseñas en la nube. Es decir, que sea una aplicación a la antigua, de esas que se instalan en un equipo y que ahí se quedan quietecitas.

+ Que restringa el acceso a las contraseñas guardadas por medio de una contraseña maestra u otro método que logre este objetivo.

+ Que la aplicación sea obtenida de una fuente confiable. Aquí en este post recomendaré la app de PasswordSafe, o pueden buscar otra y “googlearla” para ver si hay comentarios negativos (relacionados a inseguridad). También pueden consultar con el jedi-de-seguridad de su preferencia.

+ Poder respaldar las contraseñas es un must. Normalmente estos administradores de contraseñas van a generar un archivo cifrado donde se resguardan los passwords. Ya sea que la propia aplicación tenga la funcionalidad de respaldar o que sea tan sencillo como copiar y pegar el archivo cifrado, es importante que se pueda llevar a cabo la acción de backup.

+ Que se bloquee la aplicación automáticamente después de que transcurra cierto tiempo sin que se use el programa.

+ Es deseable que no requiera de otro software o librería adicional para que funcione. No queremos introducir más programas al equipo que potencialmente puedan ser un hueco de seguridad.

+ Otra característica deseable es que borre el portapapeles automáticamente al minimizar y/o al cerrar la aplicación, o tal vez después de cierto tiempo transcurrido. Esto claro en caso de que el administrador opere copiando y pegando las contraseñas guardadas.

+ Finalmente, sería agradable ver en este administrador la fecha y hora del último acceso a la misma. Si un fulano de alguna manera tuvo acceso a esta aplicación ayer lunes en la tarde, sabrás que hay algo chueco porque ayer andabas crudo y ni al trabajo llegaste.

Ahora bien, uno de los administradores de contraseñas que he usado y que me ha gustado es la de PasswordSafe en cuyo desarrollo participó el Obi-Wan de la seguridad Bruce Schneier. Es gratuita, segura y realmente fácil de usar.

En fin. Espero que esta información les sea útil. Es importante mencionar que el enfoque de este post es para administradores de sistemas o tal vez usuarios corporativos que acceden a equipos o aplicaciones en su empresa.

Ya para usuarios en casa que desean administrar sus contraseñas de servicios de Internet existen otras opciones con diferentes características como las de LastPass que a mi gusto es de las mejores por su nivel de seguridad y por la gama de opciones que ofrece para facilitarnos la vida.

El hundimiento de DigiNotar

2011-09-04T20:35:00.001-05:00

Nunca había escuchado de la empresa DigiNotar, y tú? No nos culpo, es una empresa por allá en Holanda. ¿Se me había olvidado decir que es una autoridad certificadora de esas de “raíz”? ¿Y se me pasó decir que fue hackeada?

Una autoridad certificadora es aquella que emite certificados digitales. De esos como los que ya vienen pre-instalados en los navegadores y que permiten iniciar una sesión segura usando SSL. En pocas palabras, cuando vas al portal de un banco comercial y aparece el candadito en una de las esquinas del navegador, quiere decir que estás haciendo uso de certificados digitales.

Bien. ¿Pero para qué querría alguien hackear una autoridad certificadora? Ni modo que alguien quisiera obtener un certificado a nombre de…digamos Google, y luego levantar un sitio falso PERO con un certificado digital válido, o sí? Así este sitio fraudulento podría aparecer todavía como más auténtico ya que “hasta el candadito se prendió y sin ninguna advertencia”.

Asimismo, con un certificado digital robado bien puedes hacer ataques de Man-in-the-middle: en tu sesión con GMail hay un tercero en discordia que manda tus peticiones a GMail y a ti te envía todo lo que recibe de GMail; en pocas palabras puede leer todo lo que se manda/recibe en una sesión “segura”. Que de hecho es lo que al parecer hizo el gobierno de Irán con lo cual (de ser cierto) pudo “ver” el contenido de varios de sus ciudadanos que iniciaron una sesión aparentemente “segura” a GMail.

El hackeo fue desde el mes de julio. Y al parecer cerca de 200 certificados falsos de diversas organizaciones fueron generados. El gobierno holandés por precaución revocó certificados por si las moscas: nuevos certificados habrá que generar me temo (ya estoy hablando como Yoda).

Y supongo que la CIA y el Mossad no están felices de que algún fulanito ande por ahí con certificados digitales válidos de sus sitios.

Microsoft, Firefox, Chorme entre otros navegadores han anunciado que dejarán de “confiar” en esta autoridad certificadora llamada DigiNotar con el fin de que no haya más de estos ataques. Le echaron montón y bien podría significar el fin de DigiNotar. Las autoridades certificadoras venden a final de cuentas confianza (no el certificado).

Por cierto, no es la primera (y al parecer no será la última vez) que existe un ataque a autoridades certificadoras. El último que recuerdo fue Comodo.

Podemos pensar que este asunto es totalmente irrelevante para nuestra realidad en México (u otro país). Sin embargo este hackeo nos muestra varios puntos:

Uno: que por default confías en lo que tu navegador confía. Y tu navegador confía en autoridades certificadoras que tú no conoces. Y efectivamente en base a esta endeble confianza, tú estableces enlaces “seguros” a sitios de banca en línea o compras online.

Dos: las autoridades certificadoras son hackeadas. Serán parte de una cadena de seguridad, pero son susceptibles de ataques.

Tres: que aunque el protocolo SSL (TLS) es adecuado, no así la cadena de confianza que sustenta toda esta infraestructura. Moxie explica este punto de mejor manera yendo lejos y afirmando que “At long last, we're finally approaching the critical mass necessary to replace the CA system that we've long since grown out of”.

En fin, la recomendación es que vayas a actualizar tu navegador. Es una de las formas para botar a DigiNotar de tu sistema. También checa las opciones de CertificatePatrol (muy recomendable) o hasta la opción un poco más radical de Convergence.

Los dejo con una cita de Bruce Schneier sobre el tema:"This attack illustrates one of the many security problems with SSL: there are too many single points of trust".

Lo Que Nos Choca de la Seguridad

2011-08-25T20:53:00.003-05:00

Me permito redactar una carta abierta a esos de “seguridad” que hacen la vida imposible a los buenos usuarios corporativos que sólo desean trabajar libremente y cumplir con sus objetivos. Empecemos:

Los usuarios estamos hartos de que el antivirus haga tan lento a los equipos. Queremos eliminar esta herramienta que “siempre” detiene el desempeño del sistema y cuya efectividad está en duda (nunca hemos visto que suceda una infección cuando el antivirus está operando). Aún y con los equipos modernos que nos pusieron el año pasado… y su bendito programa se encarga de chuparse todos los núcleos esos o como quiera que se llamen. Increíble.

A los usuarios realmente nos molesta no poder visitar cualquier página en Internet que queramos. Si en casa se puede visitar todo tipo de sitio, no entendemos por qué en la empresa bloquean taaantas páginas web. Pues ni que fueran malintencionadas e hicieran daño. ¡Uy sí…el lobo feroz nos va a comer! Por favor.

Chocante. ¿Por qué no se puede instalar cualquier programa que uno baje de Internet o que uno haya “conseguido”? Tantos programas que uno quisiera probar. Explíquenos qué tiene de malo…total, son nuestros (sí: nuestros) equipos y podemos hacer lo que se nos venga en gana, o no?

De verdad que es inexplicable que no podamos conectar cualquier gadget a las PC. iPod, iPad, discos duros externos, cámaras web, impresoras…tantas cosas bonitas que podríamos usar pero…no! Ahí está su molesta política de seguridad para impedirlo, verdad? Que por cierto nadie lee, ja!

Mac OSX. Algunos no se ubican con Windows. ¿Por qué no podemos traer nuestras Mac al trabajo y en ella laborar? Claaaro, ustedes tienen sus estándares y pobre de quien no los cumpla. Opinamos que cada quien es libre de trabajar en el sistema operativo que más le plazca. No más “Ese no lo soportamos”. ¿Pueden creerlo? Mediocres.

Eso sí. Los de seguridad y esos de sistemas son ¡administradores! de sus equipos. Y nosotros los usuarios somos…usuarios! No es justo. Privilegios para todos. Es sólo cuestión de ser parejos.

Pero ni hablar de lo fastidioso que es tener que aprenderse sus contraseñas complejas…sí!, de esas que ni apuntándolas. Queremos usar sólo minúsculas, sólo letras y palabras fáciles de recordar como el nombre de la mascota o “1234”; y que sean de sólo 4 caracteres. ¿Eso es mucho qué pedir? Hombre, y luego hasta se atreven a sugerir que debemos usar una contraseña diferente para cada servicio corporativo y hasta para cada uno de los servicios que usamos en Internet. ¿¿¿Es una broma??? (O por lo menos déjennos escribir sus kilométricos passwords en un papelito…ni que alguien fuera a buscarlo debajo de mi teclado…o sea, no?).

Cada semana salen anuncios en nuestra PC de que se va a instalar una nueva versión de esto o aquello. ¿No pueden dejar de poner parches? Por Dios. Parece que se la viven mandando actualizaciones de software. ¿Pues qué sus colegas desarrolladores no pueden hacer un programita bien hecho que no tenga vulnerabilidades? ¿Eh? ¿No pueden?

Videos y correitos de concientización de seguridad. Al menos háganlos divertidos o pónganles imágenes de algo. Se ve claramente que no son de Merca ni de Comunicación. Ingenieros tenían que ser.

Para todo sacan lo de las buenas prácticas de seguridad. Es algo fuera de este Mundo. Me cae que se lo sacan de la manga o de plano lo escupen cuando no saben la razón de por qué diablos están prohibiendo algo. ¿Quién establece las “buenas prácticas”? ¿Un $#%& Comité Intergaláctico? Se pasan. Todo lo justifican con las buenas prácticas. ¿Les parece CORRECTO?

Tenemos Androids y iPhones en donde deseamos recibir el correo corporativo, navegar el web de la empresa y trabajar en documentos. No queremos que nos limiten a usar solamente el móvil “estándar” de la Compañía y deseamos tener acceso a toda la información corporativa. ¿Creen que se pueda?

“No abran archivos adjuntos sospechosos”, “No visiten sitios que pudieran ser maliciosos”, “No hagan click en links de dudosa procedencia”. Ese es el nivel de las recomendaciones que recibimos. Créannos, ojalá supiéramos cuáles son los archivos “sospechosos”, los sitios “maliciosos” o links de “dudosa procedencia”. ¿Pues qué no están ustedes en principio para poner herramientas que impidan que nos llegue ese tipo de basura? Sólo es pregunta.

Ya por último dejen de ser paranoicos. Por todos lados ven amenazas y riesgos. Get a life. Osea, luego hasta nos da risa cuando sacan sus terminajos que sólo ustedes entienden: “Es que puede ser un APT”, “Es un clásico XSS”, “No queremos ser parte de la próxima operación Shady RAT”, “Sólo queremos limitar ese DoS”,”Lo único que deseamos es evitar aquí una operación Aurora” -> En fin, sólo ustedes se entienden.

Atentamente: Los Usuarios.

(PD: Advertencia del autor: “Texto con una fuerte dosis de sarcasmo…y varias verdades ocultas”).

Controlando a los Controles.

2011-08-16T08:55:00.003-05:00

Firewalls, antivirus, antispyware o anti-algo. ¿Cuál pongo? Los proveedores de las marcas te dirán que necesitas todos los productos de su portafolio. El 27001 Anexo A te escupirá tantos que te quedaste igual que como estabas. ¿No hay como que una listita básica, que vaya al grano y que proponga controles que sirvan de a de veras para las amenazas del 2011?

El Departamento de la Defensa de Australia publicó una interesante guía que consta de 35 controles básicos. Seguramente será una buena ayuda aunque ya tengamos un esquema de seguridad andando en nuestra empresa. Revisemos algunos de estos puntos.

Empecemos por los primeros 4. ¿Por qué? Porque el propio Departamento de la Defensa de Australia ha establecido que siguiendo esos cuatro puntos se podrían detener hasta un 85% de los ataques en línea. Suena tentador, no?

Estos 4 puntos son: a) Parchar aplicaciones de terceros; b) actualizar el sistema operativo; c) minimizar los usuarios que inician sesión en sus equipos como administrador y d) usar listas blancas. Es todo. Suena sencillo, no? (Y lo siento antivirus, no estás entre los 4 básicos).

Ahondemos. Las primeras dos cuestiones se refieren a mantener actualizadas las aplicaciones (Flash, Reader, Office, IE, Firefox, etc.) y el sistema operativo. Las debilidades de software están a la orden del día y mantenerlo actualizado nos quitará de encima muchos ataques informáticos. Una y otra vez se repite esto de mantener las apps al día en diferentes recomendaciones y publicaciones. Y sin embargo, es algo que muchos usuarios y corporaciones simplemente ignoran o que dejan de lado. De verdad ya hay herramientas corporativas en el mercado que hacen esta labor de parchado. Varias personas me expresan su temor por las debilidades de día cero, cuando en realidad la mayoría de los ataques van dirigidos a debilidades que ya tienen parche desde hace un buen rato. A veces pienso que les da flojera establecer un programa de parchado…en fin.

El tercer punto es sobre trabajar en el equipo con permisos de usuario y no de administrador. Es básico. Navegar y leer el correo junto con las demás actividades mundanas deben de ser llevadas a cabo desde una cuenta con bajos privilegios. Y sólo usar dichos privilegios de administrador cuando se instala algún software o parche, así como en otras contadas ocasiones donde realmente se requiere (por cierto en Windows y en Mac no es necesario salirse de la sesión de usuario para instalar un programa que requiere permisos de administrador). El código malicioso como troyanos y exploits se verán limitados cuando se es usuario y no administrador. Subrayo “limitados”, lo cual quiere decir que se le hace más difícil la vida al atacante forzándolo a ataques más complejos para lograr sus fines.

El cuarto punto es sobre listas blancas. Me falta hacer todo un blogpost sobre listas blancas. En resumen: los antivirus en los noventa y hasta hace unos años eran un control efectivo contra el código malicioso y los ataques de antaño. Ya no. Es 2011, y las listas blancas es el control de seguridad evolucionado. En un futuro mucho muy cercano será la nueva especie dominante tan popular como el mata-bichos. Las listas blancas se basan en permitir lo que es conocido; los antivirus se basan en prohibir lo conocido. Es una diferencia sutil pero que marca la diferencia. Por más cloud y demás monerías que le pongan a los antivirus, ya no es EL Control, sino UN control más. Si en su empresa todavía no tienen un producto de listas blancas, déjenme decirles que están viviendo en el pasado.

En fin. Recomiendo la cuidadosa lectura del documento y revisar las 31 propuestas restantes. Yo en lo personal hubiera puesto un quinto control entre los “básicos” (y no sólo 4) que se refiere al filtrado de contenido web para mitigar los riesgos basados en SQL (como el SQL injection).

Cabe mencionar que si leen el documento, se darán cuenta de que cada control tiene diferentes columnas asociadas como “Costo de Mantenimiento”, “Diseñado para Prevenir o Detectar una Intrusión”, “Ayuda a Mitigar una Intrusión en su Primera Fase (ejecución de exploits)” entre otras. Me pareció interesante este enfoque ya que te da una mejor idea para saber en qué te ayuda cada control así como sus limitaciones.

PD: el SANS también tiene una propuesta de 20 controles básicos.

Una Rata Shady

2011-08-05T20:44:00.002-05:00

Hace unos días McAfee publicó un estudio sobre un hackeo persistente contra varias empresas y organizaciones alrededor del mundo (se estiman más de 70). A esta operación de hackeo la bautizó como Shady RAT (Remote Access Tool).

Algunos han criticado la falta de detalles del estudio ya que no especifican todas las organizaciones que fueron afectadas, la cantidad de equipos comprometidos ni exactamente qué datos fueron los que se extrajeron. Asimismo no se señala al “culpable” pero sí se sugiere que bien podría ser un Estado.

Mientras tanto, Symantec se dio a la tarea de explicar el proceso de hackeo que se siguió y que resumo a continuación.

1.- Se envía un correo a personas previamente seleccionadas con un contenido atractivo para que el usuario abra los archivos adjuntos. Se seleccionaron documentos de Office y PDF maliciosos especialmente diseñados para explotar vulnerabilidades. Estos archivos contienen un troyano que se instala en el equipo con software vulnerable.

2.- El troyano contacta a un sitio en Internet cuyo contenido son imágenes (para que pase sin problemas por un firewall). Estas imágenes tienen instrucciones escondidas (usando estaganografía) que el troyano recibe y le dice cómo proceder. Las imágenes fueron de tipo JPG y GIF. Aunque no es inusual, me llama la atención el uso de la esteganografía en imágenes como uno de los pasos de ataque.

3.- El troyano abre una sesión vía red hacia el equipo del atacante con el fin de que se tome control de la máquina víctima y poder así instalar software adicional y bajar/subir archivos entre otras acciones.

El ataque arriba descrito no es algo inusual, ni tampoco el hecho de que existen (vaya que existen) ataques dirigidos específicamente a ciertas organizaciones cuyo fin va más allá del robo de dinero por el uso de banca en línea. Estos ataques se concentran en información valiosa desde el punto de vista del negocio como código fuente (operación Aurora) u otros datos de importancia estratégica. Las víctimas pueden ser empresas y entidades gubernamentales por igual.

Por lo tanto y desde mi punto de vista, pienso que los ataques de Shady RAT son simplemente una muestra más del tipo de ataques que hemos visto recientemente. A menos claro, que se nos presentara más evidencia sobre el impacto que tuvo la operación Shady.

Por cierto, mantener al día el software (sistema operativo y aplicaciones), tener un antivirus, contar con controles de listas blancas y hacer uso de aplicaciones que incorporen por default una sandbox (p ej Chrome) son algunos de los controles que pueden auxiliar si se desean contrarrestar ataques dirigidos o de tipo APT (Advanced Persistent Threat).

Sugerencias para que Empieces Tu Camino en el Área de Seguridad

2011-07-24T10:17:00.007-05:00

¿Cómo me inicio en “esto” de la seguridad? Ya van un par de veces que me lo preguntan así es que pensé que sería un buen tema de blog. Parto del supuesto que el interesado en este tema es universitario o que acaba de empezar a trabajar. En cualquier caso lean mis sugerencias y tomen las que les sean útiles. Y claro, al final agreguen sus tips.

Dividí este blog en 3 secciones: Conocimiento, Involucramiento y Trabajo.

I.- Conocimiento.

Tienes que empezar por obtener conocimiento del área de seguridad de la información e informática. Lo ideal sería especializarte en un tema de seguridad: análisis forense de datos, seguridad en redes inalámbricas, web-apps, etc. Para obtener ese conocimiento puedes:

+ Libros. Ya que hayas seleccionado un tema para especializarte (que supongo es el que te gusta), busca libros que hablen de él. Richard tiene un buen listado con temas de interés; o navega por ejemplo en Amazon y busca tu tema preferido; también puedes ir a tu librería local.. con suerte hay algo que llame tu atención. Ponte el objetivo de leer X libros en X tiempo y que sea un hábito. Devóralos. Si quieres puedes empezar por algo general: “Secrets & Lies” o “Beyond Fear” de Bruce Schneier.

+ Inglés. La seguridad informática y el idioma inglés van de la mano. Si no es tu fuerte, toma unos cursos.

+ Blogs. Aunque breves, son una buena fuente de información. Lee al menos 5 blogs de seguridad de tu interés al día. Busca algunos para empezar; googlea “naked security”, “the register security” o “threatpost the first stop for security news” y claro, este mismo blog.

+ Podcast. La autoridad para mí en cuestión de podcasts de seguridad por la profundidad con que se tocan los temas y por la constancia es el podcast de “security now” de Steve Gibson. Búscalo en iTunes o en www.grc.com. Escucha desde el primer podcast disponible o los podcasts que sean de tu interés.

+ Diplomados. Por ejemplo el Tec de Monterrey y la UNAM tienen Diplomados de Seguridad de la Información bastante decentes.

+ Universidad. Si estás en la Universidad, busca si hay talleres u otras opciones para obtener clases de seguridad. Tal vez haya asociaciones dentro de tu Campus relacionadas al tema. Asiste y luego ya con más confianza, participa ( ah!, y por cierto, algunas Universidades en México ofrecen Maestrías en Seguridad).

+ Certificaciones. Pon en tu radar para realizar al menos una certificación de seguridad. CISSP, CISA, CISM, CEH u Offensive Security. Tal vez alguna certificación del SANS. A estudiar y cumplir los requerimientos para certificarte. Para el CISSP recomiendo el libro “CISSP All-in-One” de Shon Harris y leer mi blogpost; para el CEH lee otro de mis blogposts. Para las certs de ISACA (CISA, CISM) hay que comprar los libros de referencia que se venden en su sitio con el fin de leerlos y estudiarlos.

+ Internet. De seguridad informática me consta que abunda información sobre el tema en la red de redes. SecurityTube, sitios de demos, papers, páginas con explicaciones de algún tema.. en fin, puedes especializarte en uno o varios temas de seguridad simplemente navegando/googleando y absorbiendo el conocimiento que está ahí esperándote. Y sin gastar un peso en libros. No esperes a que te lo enseñen, búscalo, entiéndelo y si te gusta lo que ves, domínalo.

II.- Involúcrate.

Si te interesa la seguridad de la información, involúcrate. No seas pasivo y no esperes a que la seguridad de la información venga a ti (porque no lo hará). Pregúntate qué puedes hacer para involucrarte; algunas ideas:

+ Papers. Ya cuando sientas que dominas un tema aviéntate a redactar un paper de seguridad. No es un blog y tampoco es un libro. Si deseas un ejemplo de un “paper”, googlea “Exploiting the otherwise non-exploitable Windows Kernel-mode GS Cookies subverted”. Ya que lo tengas, dalo a conocer al mundo publicándolo en Internet.

+ Blogs. No seas sólo lector de blogs de seguridad. Da el siguiente paso. Sé el autor de uno. Genera contenido.

+ Twitter. Este servicio puede ser tan pérdida de tiempo o tan útil como quieras. Si lo usas inteligentemente, sigues a las personas adecuadas y participas con buenos tweets sobre seguridad le habrás dado al clavo. Algunas cuentas: @ErrataRob, @danchodanchev, @johullrich, @dakami, @ SGgrc, @bSecuremagazine, @edskoudis, @0xcharlie, son sólo un ejemplo de las muchas cuentas que puedes intentar seguir a ver si te interesan. Interactúa, discute, opina y conoce (networking) a los tuiteros del área de seguridad que son de tu interés.

+ Conferencias. Ve a un par de conferencias de seguridad al año. Afuera está la de RSA Conference o la de BlackHat entre otras más. En México BSecure Conference o BugCon por ejemplo (en eventos tipo Campus Party se tratan también algunos temas de seguridad). Investiga y ve a la de tu elección. Y lleva a cabo networking conociendo a las personas que polulan por ahí. Lleva algunas tarjetas de presentación. ¿Y por qué no más adelante ser ponente en una conferencia de seguridad?

+ Cursos. ¿Eres muy bueno en algún tema de seguridad? Ofrece cursos o pláticas en tu Universidad o en tu comunidad. No cobres y date a conocer.

III.- Trabajo.

Si tanto te gusta la seguridad informática, supongo que querrás encontrar un trabajo donde hagas lo que te gusta hacer. A continuación algunos tips generales.

+ Servicio social. Puedes intentar buscar hacer tu servicio social en alguna empresa donde te pongan a hacer actividades de seguridad. Luego inclusive puedes ver si hay plazas libres ahí mismo o hacer que te recomienden.

+ Buscador. Bumeran o algún otro servicio de ofertas de trabajo online similar te puede ayudar a encontrar ese trabajo que andas buscando. También puedes usar la bolsa de trabajo de tu Universidad (y no olvides llenar y usar tu perfil de LinkedIN).

+ $. Tal vez al inicio no te ofrezcan tanto dinero por ese trabajo en seguridad informática. Puedes aceptarlo para ganar experiencia, conocer gente en el área de seguridad y mientras ir buscando mejores opciones. Obvio es tu decisión.

En fin. Algunos tips te sonarán buenos y otros no tanto. Toma los que te parezcan adecuados, piensa en otros más y a trabajar en ellos. Si quieres alguna recomendación particular de algún libro, podcast, blog o cuenta de twitter a quién seguir contáctame.

Te deseo lo mejor y espero que algo de lo que aquí dije te pueda servir. Piensa en lo que quieres llegar a ser y visualízalo. Trabaja en tus objetivos. Apasiónate. Diviértete. Las cosas caerán por su propio peso. Sé un hacker en el buen sentido de la palabra: domina a la tecnología. Sé el arquitecto de tu futuro “seguro”.

Sombreros Negros

2011-06-26T18:57:00.001-05:00

Rebeldes y justicieros. LulzSec y Anonymous. Tienen un no sé qué que nos atrae. ¿Es porque son malos? ¿O porque se salen con la suya? Tal vez porque se burlan de las autoridades como niños caprichosos y juguetones; sí, de esos que te sacan la lengua desde su auto impunemente.

Si no estás muy al tanto de quién es LulzSec y Anonymous aquí un ayuda.

En fin. He visto en diversos blogs y cuentas de Twitter tímidas expresiones de apoyo a estos grupos de crackers. Por ejemplo unos re-tuitean los ingeniosos tuits de LulzSec; otros más echan porras en sus blogs. Y claro, es que son cool. ¿Y lo son? ¿Cuáles son las posiciones que se están tomando en torno a las acciones de estos grupos?

Una Ayudadita Indirecta. Me he enterado que varios están empujando algunos proyectos de seguridad dentro de sus empresas “para que no nos vaya a pasar lo mismo”. Y varios están recibiendo atención. Los hackeos de LulzSec, Anonymous y compañía han salido de los círculos del conocimiento de los geeks y han tocado los medios masivos de comunicación. Estos proyectos de seguridad de alguna forma u otra se han visto beneficiados de los hackeos de los últimos meses (aquí un listado bastante completo). Sin embargo hay que dejarlo bien claro, los profesionales de seguridad entienden que ellos son parte de “los enemigos a vencer” y que simplemente han aprovechado la coyuntura para sacar adelante la agenda pendiente; bien pensado.

Relax. Me decían el otro día “Bueno, no están matando a nadie ni haciendo un daño severo”. Así es que.. a relajarse porque hay otros asuntos en la seguridad de la información más relevantes que hay que atender?

Sí pero no. Hay quienes saben que no es correcto lo que hacen estos grupos pero una vocecita dentro de ellos les dice que estos grupos como LulzSec/Anonymous son cool. Muy mal que hagan esos crackeos, pero qué chingones son. Son fans en secreto.

Están mal. Simplemente incorrecto lo que están haciendo estos anarquistas. No tienen justificación alguna para las acciones que están emprendiendo. Punto.

Apoyo. Más de uno apoya las acciones de estos grupos de crackers. Algunos hasta han llegado a participar activamente. Las razones de apoyo son algunas veces para demostrar lo que se sabe de tecnología, por presumir conocimientos o formar parte de un “movimiento global”. Cada quien encuentra sus razones.

¿Y la inseguridad apá? Otros más culpan a la inseguridad que prevalece en diversas infraestructuras informáticas; en algunas de ellas hablamos de huecos y otros son francamente huecotes. Los crackers simplemente evidencian el estado de inseguridad en varios rincones de Internet. Son del grupo del “te lo dije”.

Equis. Habrá otros que simplemente les dé equis. Puede que no entiendan las implicaciones que tienen estos cracks. O también que “aquí eso no pasa”.

¿Cuál es tu posición?

A mí no me han hechizado los Lulz ni los Anon. No apoyo ni soy fan de andar crackeando infraestructuras para por ejemplo publicar usernames y contraseñas de los Juan Pérez. Mucho menos me atrae la idea romántica de destruir el “estatus quo” ni jaladas de esas.

Los Lulz y Anon no tienen un ideal ni una filosofía (Por ejemplo LulzSec se deriva de LOL: laugh out loud; crackear por gusto). Y por cierto, tampoco son hackers, son crackers. Cien por ciento black hat. Es mi opinión, comparte la tuya.

PD1: en todo caso, las organizaciones deberían de ocuparse de la seguridad no sólo cuando LulzSec o Anonymous llegan a los titulares. Los crackeos suceden todos los días en algún rincón de Internet.

PD2: el sábado 25 de junio LulzSec anunció el fin de sus crackeos. Lo que sea que esto signifique.

Datos y Nubes..se llevan?

2011-06-14T08:26:00.001-05:00

Hace poco me preguntaron si en una empresa era conveniente que los empleados pudieran hacer uso libre de DropBox. Saqué la respuesta que todos odiamos “Pues depende” (pero qué útil es, no?). En fin, me obligaron a elaborar. Les comparto mis divagaciones.

DropBox es un servicio en la nube para almacenar información de todo tipo. Gratuitamente te dan 2 GB y si quieres más tienes que pagar. Puedes instalar DropBox en tus computadoras (y te crea una partición virtual donde copias tus directorios o archivos) y también puedes acceder a la información desde el web o dispositivos móviles como el iPhone. Y claro, así como DropBox, hay muchos otros servicios similares (o más completos como el de Carbonite que respalda automáticamente).

Hasta aquí todo bien, suena un servicio muy atractivo. ¿Pero es conveniente que se les permita a los empleados de una empresa hacer uso de estos servicios de almacenamiento en la nube?

+ No. Esta es una primera opción que les encanta a los de seguridad: “Porque van a estar mandando datos corporativos a la nube”. Pero decir que “no” a todo ya no es lo de hoy. Hay que ser un habilitador, no un obstáculo. Next option.

+ DropBox #Not. Nuestros amigos de la caja dropeadora tuvieron un “detallito” recientemente referente a que sus empleados pueden acceder a la información que almacenan los usuarios. No lo dijeron así desde el inicio y uno pensaba que “ni ellos” podían acceder a los datos. Resulta que por petición gubernamental escupen hasta lo que no. O por ejemplo un empleado de DropBox que quiere husmear en los archivos de Lady Gaga lo podría hacer cualquier día de la semana. Tuvieron que cambiar los términos de uso. En fin, larga historia. Por lo tanto esto nos lleva a pensar en sí usar almacenamiento en la nube pero no bajo este esquema (ver los siguientes dos puntos).

+ DropBox con cifrado. Como la información se almacena en claro dentro de esta nube, es mejor cifrarla primero y luego enviarla. Busquen en Google “securing data dropbox” para ver algunas propuestas.

+ JungleDisk. Qué mejor que la solución por default cifre la información en nuestro equipo y que ya se vayan los datos protegidos. Al menos así dice que funciona JungleDisk. Es decir, mandamos nuestros datos ya cifrados y la nube los recibe así. Esto quiere decir que cegamos a la cloud. Insisto, asumiendo que así trabaja y hasta ahora no me he enterado de que alguien haya desmentido este hecho. Y sí, ya sé que hay varios “Y si…”. ¿Y si la llave que usa JungleDisk pudiera ser débil? ¿Y si llegan a usar el frágil DES? ¿Y si incorporaron un backdoor? Y un largo etcétera.

+ Nube empresarial. He de felicitarme por tener esta idea (ja!). Imaginen a una empresa que crea su propia nube para que la usen algunos o todos los empelados. Con todo y app para iPhone o Android. Con las ventajas de la nube pública pero bajo control de la empresa. Bienvenida la nube privada. Por ahí dicen que seguridad es sinónimo de control y en este caso tenemos el control de los datos de la organización porque se almacenaría todo en nuestra empresa. ¿Qué tal? ¿No te parece una buena idea? Ya sé ya sé, otra vez hay varios “Y si…”. ¿Y si los desarrolladores -para variar- diseñan y/o codifican una solución vulnerable? ¿Y si el gasto es mucho mayor que pagar por una nube pública, entonces vale la pena?

¡Se trata de los datos!

A final de cuentas nos preocupa que los datos de una empresa (o del sector público) estén en manos de la nube con un segundo, tercer o cuarto dueño y que no tengamos control sobre ellos. El primer dueño eres tú, el segundo es la nube, el tercero es un gobierno que podría exigir los datos y hasta existiría un cuarto dueño: un hacker (que lograra extraer información de usuarios de la nube).

Otra posible preocupación es la fuga de información donde los empleados usan la nube para sacar datos. Sin embargo impedir que los empleados hagan uso de la nube para almacenar archivos no va a imposibilitar el siguiente WikiLeaks. Ahí están los USB, los CD, discos duros externos y iPhone, correo electrónico o para el caso, hasta impresoras; ciertamente lo anterior auxiliará a quien desee extraer datos de una organización.

Y por cierto, si la nube es extranjera, claro que estará sujeta a leyes ajenas.

¿Entonces qué hacemos? ¿Impedir la nube? ¿Cifrar antes de usar la nube? ¿Nube de la empresa? Y la respuesta es: “Pues depende”.

¿Por Qué No Actualizas?

2011-05-28T13:24:00.001-05:00

“La verdad por flojera o porque no me acuerdo”, dicen algunos. Mantener el software de un equipo al día es difícil o al menos así lo comprueban los cientos de miles de sistemas (muchos de ellos Windows) que viven en la red y cuyo sistema operativo y/o aplicaciones están en el olvido. ¿Es realmente taaan difícil mantener actualizado el software?

Si la pregunta inicial que un usuario se hace es “¿Y para qué rayos debo de actualizar?” entonces tenemos un primer problema. Una búsqueda en YouTube de “aurora metasploit” arrojará diversas demostraciones del famoso hackeo a Google donde la respuesta del por qué actualizar vendrá en multimedia..caray, hay videos que hasta vienen con música! Luego de ver este y otros videos demostrativos donde llegamos a obtener un shell (es decir, entrar a la computadora de la víctima), restará ir a sitios como el de US-CERT, Vupen o Secunia donde al ver la cantidad y variedad de debilidades que se publican por semana, la persona se convertirá por convencimiento a la religión del Update. Si no es suficiente, la lectura de diversos blogs de seguridad (como este) deberá de bastar –creo- al ver la cantidad de ataques e inseguridades a las que nos enfrentamos.

Una vez que se entiende la importancia de actualizar, entonces sí viene la pregunta de por qué no lo hacemos si sabemos que es importante; existen varias posibles respuestas, de entre las que destacan:

+ “No me acuerdo”: pasan meses y meses sin que nos acordemos de actualizar. Ni que fuera la fecha de pago de la tarjeta de crédito.

+ “Tarda mucho”: hoy en día la frecuencia con la que se nos pide actualizar (si es que al menos el software nos lo recuerda) y el tamaño de muchos de los benditos updates da como resultado que tarde horas en bajar el mentado parche o peor cuando toca un “major update”. La conexión se alenta y literalmente tarda horas. Por lo cual es mejor posponerlo indefinidamente hasta que tengamos el tiempo y la paciencia de actualizar.

+ “No me avisan”: algunas aplicaciones y sistemas operativos nos avisan que hay una nueva versión esperando en Iternet. Otros (la mayoría) simplemente no lo hacen y dejan esta labor al usuario para que cheque sus versiones y vaya al sitio del fabricante para ver si hay una nueva versión. Sobra decir que es una tarea por demás aburrida y tediosa, más cuando hablamos de varias docenas de apps.

+ “Es pirata y no jala”: los que usan software pirata se pueden enfrentar a que el programa no se actualiza porque detecta “algo raro”, o simplemente porque se pide una licencia válida o bien porque se actualiza pero pide que se pague por el producto. ¿Qué les puedo decir? Hay algo que se llama Linux y que ¡sorpresa! no cuesta (ni sus apps).

+ “¿Y si no vuelve a funcionar?”: más de uno se pregunta si al actualizar su aplicación o sistema operativo volverá a funcionar o simplemente se dañará irremediablemente dejándonos la penosa tarea de re-instalar. Como dicen por ahí “si no está roto, no lo compongas”.

+ “Flojera”: esos minutos desperdiciados en dar clicks para actualizar o revisar el estado del sistema simplemente es aburrido. Es verdad. Se nos va la vida en estas tareas de flojerísima pudiendo estar viendo nuestro muro de Facebook, el útimo video en Youtube del perro que se persigue su cola o nuestro timeline de Twitter. Hay prioridades.

+ “Uso Linux/Mac”: no necesito explicar más. Desde el punto de vista de estos usuarios, ellos están más allá del update.

+ “Está hardenizado”: usuarios avanzados y de una secta obscura se atreven a endurecer su sistema operativo. Es broma señores, endurecer es una práctica excelente. La justificación es que como el sistema está endurecido, pues simplemente no es necesario actualizar o se puede hacer 2 ó 3 veces en el año (y dependiendo del nivel de endurecimiento esto último bien puede ser cierto).

¿Tú por qué no actualizas? Cada quien tiene una historia propia como cuando te preguntan “¿y qué estabas haciendo cuando pasó el temblor?” En fin, viene la pregunta obligada: y yo qué hago al respecto? Muy salsa y cual que mi sistema está con telarañas, no?

Tengo 3 equipos. Uno es de “producción” (o sea mi sistema primario), otro es para dar clases y uno más es de pruebas (a estos dos últimos no les presto demasiada atención). Al que le pongo más dedicación obviamente es al primario. Le doy una revisada una vez al mes y un fin de semana lo dejo actualizándose mientras voy al cine o veo una película. Si me avisa una app entre semana que hay una nueva versión, antes de apagar la compu dejo que se actualice y mientras realizo otra actividad.

Creo que todo se resume a actualizar mientras uno sabe que no va a usar el equipo o la red de casa y claro, tener un poco de disciplina para cada mes acordarse de que hay que hacer esta actividad (se pueden auto-recompensar cada mes que se acuerden y que actualicen). Otra recomendación es quitar todo lo que no uses: sí, así es. Des-instalar todo eso que ni usan y que no sólo ocupa espacio en disco duro sino que también los expone (así tendrán menos apps que actualizar). Ah sí, para los que tienen Windows, el PSI de Secunia puede ser un auxilio gratuito para estos menesteres.

Y si eres de los que actualiza, sigues alguna estrategia kung-fu en particular? ¿Algún rito que quieras compartir? ¿Una app que uses? Por cierto, hay geeks que me dicen que hacerlo sólo una vez al mes es una barbaridad..no hay nada como hacerlo varias veces a la semana o en cuanto salga el update.

Mantener el sistema operativo y sus aplicaciones razonablemente actualizadas es una de las bases para reducir el riesgo de infección o hackeo. Y como dijo Galileo “Y sin embargo no actualizan…”

PD: en otro post exploraremos esta problemática en una empresa donde puede haber miles de sistemas con cientos y cientos de apps. Si pensabas que actualizar un sistema es latoso, imagina un escenario con el problema multiplicado.

Dime dónde estas ¡AHORITA!

2011-05-08T20:36:00.002-05:00

En un día de ocio visité Reino Animal para ver si estaba tan divertido como otros parques similares cerca del DF. Usé FourSquare para tuitear mi ubicación. Algunas horas después, un usuario de Twitter me cuestionó el hecho de anunciar el sitio exacto donde estaba. Pues bien, eso me dio la pauta para este blogpost.

No voy a explicar qué es FourSquare más allá de decir que es para juntar amigos y decirles dónde estás (con mapa y toda la cosa) y que opcionalmente puedes mandar dicha ubicación a Twitter o FaceBook. El servicio tiene otras características que podrás encontrar en su sitio.

Dicho esto, aquí van mis reglas de uso de FourSquare.

1. Sólo amigos en persona. En FourSquare sólo acepto amigos que he conocido en persona y que sé quiénes son en la vida real. Esto me ha llevado a tener sólo dos amigos dados de alta y que son de mi confianza. Por lo tanto, el servicio lo uso realmente para publicar esporádicamente ubicaciones a Twitter. Aquí en FourSquare me olvido de eso del “es casi imposible tener sólo a conocidos en nuestras redes sociales”.

2. No domicilio o lugar de trabajo. No hago check-in de mi lugar de trabajo ni de mi casa. Punto. De hecho extiendo esto a lugares que voy con frecuencia (parques, mi súper de preferencia, universidades donde doy clases, etc.). Pienso que este punto no requiere de mayor explicación, cierto?

3. No frecuente. No ando diariamente publicando dónde estoy. Si hago un check-in a la semana es mucho. No elimino, pero sí minimizo el riesgo que representa el hecho de ir haciendo una “ruta” diaria de ubicaciones para publicar mis hábitos de lunes a domingo.

4. Hacer check-in al salir. Por costumbre hago check-in de una ubicación al ir saliendo de un lugar y no al ir entrando o mientras estoy en él. En lo personal, deseo decir dónde estuve y no tengo el objetivo de encontrarme con alguien en algún lugar..y tampoco deseo que “alguien” vaya a mi encuentro porque está seguro de que ando ahí.

5. Publicar lo público. Cuando voy a dar una conferencia uso FourSquare para decir dónde estoy y que los interesados puedan ir. De todas maneras la dirección va a ser pública de una forma u otra. O cuando voy a un evento público como charlas de seguridad o similares, bueno, el sólo hecho de decir que estoy asistiendo a X evento es decir dónde estoy (bastará googlear el evento para obtener la dirección). Claro, si no deseas usar FourSquare para decir dónde estás, sé congruente y tampoco uses Twitter para decir que estás en Campus Party (no hay muchos lugares donde se lleve a cabo, cierto?).

6. Lugares con cientos de personas. El ejemplo sería un concierto en el Palacio de los Deportes. Aquí haría la excepción de publicar mi ubicación al salir (regla 4) y tal vez lo haría al entrar. Entre más personas es más difícil que me ubiquen y en mi caso tendrían que empezar por conocerme físicamente.

7. Lugares con teléfono. Estoy en un conocido restaurante esperando mi cena. Hago check-in casi al salir (sigo regla 4) y lo mando a Twitter. Alguien que me sigue lo ve, busca el teléfono del restaurante y pide hablar con Fausto Cepeda de parte de X o por el motivo W. A partir de ahí las posibilidades son varias, desde jugar alguna broma hasta algo más serio. Evito hacer check-in de este tipo de lugares o las veces que lo hago soy escéptico por ejemplo ante llamadas inesperadas.

Bueno, y cuáles son los riesgos de FourSquare?

El principal es de la privacidad (y no de seguridad informática; no estamos hablando de troyanos ni de exploits). Aunque varios de los que te dan esa respuesta no saben explicar exactamente por qué atenta a tu privacidad y se limitan a responder que porque “todos sabrían dónde estás”. Bueno sí, y? En serio, vuelvo a preguntar..bueno sí, y? Si no podemos listar algunas respuestas concretas, aquí van algunas.

1. Secuestro. Una persona (obvio no diré su nombre) me contestó claramente que por quien es y a lo que se dedica sería un error claro publicar su ubicación. En México el secuestro es algo serio y real. Aunque él mismo me confesó al final que independientemente de si usa o no FourSquare (o Facebook o Twitter), si alguien quisiera secuestrarlo lo iba a hacer (o al menos lo iba a intentar). Punto. Muchas veces la gente que se dedica a esta asquerosa actividad ilícita es cercana al secuestrado o tiene contactos que le informan de los pormenores de la víctima. Si FourSquare o Facebook pudiesen llegar a ser usados en tu contra es porque tú así lo permitiste (aquí no discutiré si ya ha sido usado porque no poseo datos duros); por si las moscas, echa mano de las características de privacidad de los servicios, sigue reglas e infórmate..ante la duda, no los uses.

2. Robo a casa. Que tal que al publicar mi ubicación en un concierto o en un lugar vacacional, unos hampones deciden robar mi casa ya que obviamente está vacía. No me he enterado de casos concretos y reales de que esto haya sucedido en México pero existen ciertos sitios que llaman nuestra atención a este hecho. Yo en lo particular me preocuparía más del poli de la entrada a un fraccionamiento o de ese vecino; ambos saben tus movimientos casi a la perfección (entre otros más). Además recordemos que el hecho de decir que estás en X lugar efectivamente sugiere que no estás en casa; pero volvemos a la regla 2 de no publicar la dirección de tu domicilio; entonces sólo las personas que sepan dónde vives y que te sigan en medios sociales podrían ir a robar tu casa mientras estás fuera (y recordemos que el hecho de que tú te encuentres fuera no quiere decir automáticamente que tu casa o depa está totalmente vacío sin alguien más en casa). Tal vez no venga al caso, pero un amigo me llegó a comentar “En el México de hoy, ya no es requerimiento que te encuentres fuera de casa para robártela y de hecho es preferible estar fuera de ella mientras la roban”.

Conclusiones.

Al final de cuentas, el que decide usar servicios como FourSquare eres tú. Como dicen por ahí, el problema no es el servicio sino cómo lo usamos. Yo te di algunas reglas que aplico..te pueden parecer muy buenas o francamente malas. Arma tus propias reglas para usar el servicio.

Y por supuesto, si estás dudando en usarlo..mejor no lo uses. De hecho, unos dicen que sólo le haces publicidad gratuita a X sito; otros más comentan que cuál es “el chiste” de andar diciendo dónde estás “porque a nadie le interesa”.

Por otro lado, un amigo usa FourSquare para estar en contacto con sus seres más cercanos (papás, esposa) quienes saben dónde está. No manda nada a Twitter o FaceBook.

En fin. ¿Qué te ha parecido este post? ¿Tienes algunas reglas para FourSquare que desees compartir? ¿Crees que usarlo tiene más riesgos que supuestos beneficios?

En fin, nos estamos tuiteando @FaustoCepeda.

Vacantes de SegInfo

2011-04-29T11:50:00.001-05:00

¿Qué busco en un candidato que desee llenar un puesto de seguridad de la información? Varias personas me han expresado su interés por saber qué busca un empleador en un candidato que desea llenar una vacante de seguridad, sobre todo cuando se es recién egresado con poca o nula experiencia laboral. Partiendo de este punto, aquí les va mi opinión.

Los primeros 5 incisos que expondré sería mejor saberlos por haber trabajado con el candidato. Probablemente el empleador pueda saberlo si el candidato trabajó de servicio social en la empresa, si fue alumno de un profesor que se conozca o si se colaboró con el candidato en una clínica u otro trabajo.

Si no hay algún contacto directo con el candidato (o al menos indirecto por medio de algún conocido cercano y confiable), el empleador echará mano de una entrevista (esto último no es óptimo ya que en tan sólo 60 minutos tendremos que obtener “la verdad” y podrías no obtenerla u obtenerla parcialmente).

A).- Interés por la seguridad. Básico, no? Quisiera a alguien que le interese (o mejor aún que le apasione) la seguridad. Es diferente a alguien que simplemente le interesan temas de sistemas y redes y no tiene un interés especial por la seguridad. Aguas, no estoy diciendo que tiene que saber de seguridad, sino que le guste e interese el tema. Por ejemplo, tiene un blog de seguridad? ¿Participó en una conferencia? ¿Colaboró en un paper? ¿Desarrolló una herramienta?

B).- Actitud. Nada que ver con seguridad pero la actitud que se tiene es importante para mí. ¿Pones caras cuando te dejan un proyecto? ¿Estás de jeta constantemente? ¿Ves el vaso medio vacío?

C).- Autodidacta. En esto de la seguridad prácticamente no necesitas a alguien que te enseñe para dominar temas de seguridad. Internet y libros sobran para aprender. La escuela nos malacostumbra al ponernos a un fulano enfrente para darnos todo digerido. En un ambiente laboral ya no hay un cuate frente a ti diciéndote la neta, ahora estás tú solamente..y hay trabajo que debes hacer.

D).- Proactivo. Esperas a que las cosas sucedan o haces que las cosas sucedan? Básico.

E).-Intereses por libros. Leer blogs de seguridad está bien. Mejor aún es que te guste leer libros. Y de preferencia libros de seguridad; pero sí que se tenga el hábito de la lectura.

Ahora bien, los siguientes puntos son importantes pero no determinantes para mí y bien pueden ser compensados con los primeros cinco que ya vimos.

+ Buen promedio. ¿Qué promedio tuviste en la Universidad? Para mí un ocho (en una escala de 1 al 10) es aceptable.

+ Examen interno. Varias empresas manejan exámenes internos de computación donde se preguntan cuestiones básicas de sistemas o de lógica. ¿Pasaste el examen?

+ Examen de seguridad. Adicionalmente se puede presentar un examen de seguridad al candidato. A mí me gusta que lo presenten. Como no espero que seas un experto, obvio las preguntas no serán específicas ni difíciles. Pero me agradaría saber que tienes algunos conocimientos básicos de seguridad; si no lo pasas, me basaría en el inciso A (interés por la seguridad) para tomar una decisión.

Conclusiones. Traté de poner lo más relevante que deseo saber de un candidato a llenar una vacante de seguridad. Tal vez se me escaparon algunos puntos importantes.

Si eres de los que quieren entrar a un área de seguridad en una compañía, qué te parecieron los puntos que expuse? ¿Quitarías algunos? ¿Agregarías otros más? Y más importante aún: cómo los demostrarías? Sobre todo si tienes 60 minutos de entrevista.

Si eres empleador, tú qué buscas en un candidato que desee llenar una vacante de seguridad? Algunos prefieren que entre un “diamante en bruto” y luego ya irlo perfilando con cursos y proyectos a esto de la seguridad. Otros se basan en el promedio de la Universidad y hasta de qué Universidad son egresados. ¿Tú cómo evalúas a un candidato?

Nos estamos tuiteando @FaustoCepeda.

Servidor Web + Base de Datos = ?

2011-04-24T21:49:00.002-05:00

Probablemente no hayamos escuchado de Barracuda Networks. Es un fabricante de productos de seguridad: anti-spam, web application firewall y VPN entre otras soluciones. Siguiendo la tendencia de las últimas semanas (me refiero a los hackeos de compañías relacionadas con seguridad como HBGary, RSA, Comodo, Ashampoo, etc.), el sitio web de esta empresa fue hackeado.

Una precisión: el hackeo no fue tal cual al sitio web de la empresa, sino a la base de datos conectada al sitio. Este tipo de penetraciones a las bases de datos las estamos viendo cada vez más seguido desgraciadamente. Lo que llama la atención es que Barracuda es una empresa de seguridad cuyo sitio web estaba protegido precisamente con uno de sus propios productos WAF (Barracuda Web Application Firewall). Los atacantes lograron extraer información de las bases de datos como nombres, correos de clientes, partners y empleados. Tal vez no fueron datos de altísima importancia, pero vaya que el asunto resultó vergonzoso para la compañía.

La historia resumida es que apagaron su producto de seguridad por cuestiones de mantenimiento por aproximadamente un día. Se podrán imaginar el resto. Quisiera atraer su atención a los siguientes puntos:

Scanners automáticos. Aunque no lo creamos, existen scanners de atacantes que automáticamente “revisan” los sitios web en Internet. Una de estas herramientas fue la que detectó que el sitio web estaba desnudo. Dejar nuestro web pelón aunque sea por unos minutos (y peor.. algunas horas) puede tener consecuencias. Y sorpresa: esto sucede automáticamente.

Guarura personal. Podemos poner nuestro sitio web con alguna protección (por ejemplo algún firewall a nivel aplicación). Podemos no protegerlo de esta manera, así que entonces tendremos que pensar en controles compensatorios (endurecimiento del servidor web, contenido estático, etc.). Poner hoy en día un sitio web “ahí no más” es ser muy temerario. Ejemplos sobran.

Con el guarura..basta? Los filtros web como los llamados WAF -web application firewall- van a dar la cara por el web y sus contenidos. ¿Quiere decir esto que puedo ignorar al SQL injection? ¿Podemos dejar que las aplicaciones web se codifiquen para que sean funcionales y no seguras? La respuesta se basa en qué tanto confiamos en nuestras protecciones perimetrales (web firewall) y sobre qué deseamos que descanse nuestra tranquilidad. Idealmente deberíamos perseguir una seguridad en ambos frentes y no depender del WAF solamente. Pero ya saben, una vez que contamos con esta herramienta, ahí tendremos a los desarrolladores diciendo que para qué se esfuerzan tanto “psss si ahí stá la protección esa”.

Protégete continuamente. Si tienes protección a la mano, úsala. No la apagues y si lo haces, realiza lo mismo con el bien que está protegiendo (apagas el firewall del web.. apagas el web) o lleva a cabo otra acción. Los señores de Barracuda apagaron su protección .. “nomas tantito”.

Compañías de seguridad seguras. Err, no realmente. Que vendas productos o servicios de seguridad no se traduce así no más en tener infraestructuras confiables. Pregunten a RSA, Ashampoo, Comodo o a Barracuda. Lo anterior nos lleva a pensar que todos compartimos problemáticas similares en cuestión de seguridad. Es un consuelo (¿en serio?) saber que no estamos solos.

Web + Base de datos= SQL injection? Las bases de datos conectadas al web son candidatas al SQL injection con lo cual por medio de comandos SLQ es posible extraer, borrar o modificar información guardada en ellas. Así de simple.

¿Qué estás haciendo contra los SQL injection? ¿Cómo proteges tu web?

No me lo pongas bonito.

2011-04-11T22:32:00.001-05:00

Pregúntenle a un administrador de TI si quiere que su infraestructura sea segura. No te va a decir directamente que “no” porque sería políticamente incorrecto. Pero todo administrador de TI en una empresa sabe que “seguridad” es sinónimo de “trabajo”…y saben? No quieren tener más trabajo del que ya tienen. Sucede en la mayoría de las organizaciones, aquí y en China.

Escucho por ahí que lo de hoy es integrar a la seguridad en los procesos y actividades de las áreas de TI…algo así como integrar calidad en los procesos productivos de una compañía (ante todo calidad vs todo con calidad). Igualmente, es deseable que la nueva TI ya salga con seguridad (esa nueva red inalámbrica, ese nuevo servidor, ese cambio en la infraestructura). Todo con seguridad.

¿Pero saben? La seguridad implica trabajo extra…pero shhh; no se lo digan a nadie. Operar herramientas o incorporar nuevas actividades a un procedimiento implica que como administrador de TI vas a tener chamba extra. Y quiero conocer a un cuate de TI que te diga que le sobra tiempo “para eso de la seguridad” y que con mucho gusto.

Si, ya sé. La alta dirección dirán. A cada rato nos dicen que para empujar la seguridad “hay que tener el apoyo de la alta dirección”. Traducción: que esa alta dirección los esté arreando frecuentemente por medio de la revisión de métricas mensuales o el avance de proyectos. Porque con una junta “ejecutiva” donde se otorgue apoyo a la seguridad tal vez no baste para que las áreas de TI jalen parejo en su día a día; seguramente ante la “alta dirección” te dirán que sí y se verán cabecitas asintiendo sutilmente. Pero una vez que salen de la junta, quiero ver que los pongas a trabajar en los temas de seguridad. ¿Pasa así en todas partes? Afortunadamente no, pero estoy describiendo un panorama bastante común.

Les podrás decir que los esfuerzos en pro de la seguridad son precisamente para proteger la información y la infraestructura. ¿Respuesta? “No me lo pongas bonito, porque seguridad para mí es más trabajo”. ¿Y saben? Tienen toda la razón. La seguridad no es gratuita…hasta cambiar una manera de operar (controles administrativos) implica un esfuerzo extra que antes no se tenía considerado.

Hay dos maneras efectivas de cambiar esa actitud de las áreas de TI. La más amable es con el seguimiento puntual y frecuente de la alta dirección que ya comentamos (y subrayo f-r-e-c-u-e-n-t-e). La menos amable es cuando sucede un incidente de seguridad que te rompe la…seguridad (Epsilon, Stuxnet, RSA, etc etc); entonces sí todo mundo en la empresa a ponerse las pilas con eso de la seguridad porque el mero mero ya se puso rudo y ya hasta despidió a un par. ¿Hay otras maneras menos dolorosas de cambiar actitudes en la práctica? Según yo…no. Tal vez realizando demos de seguridad de lo que “podría pasar”…o mejor aún un pentest; pero hay que saber a quién le presentan los resultados y que los alcances sean de esos que mueven actitudes.

¿Y saben? La seguridad en una empresa no es andar ahí no más con el Metasploit y andar jugando con el último hack, viendo cómo se puede hackear el sistema de un auto o enterarse de que unos pelados se fregaron a RSA para luego tuitear del asunto a gusto y tendido. En una empresa hay que estar metiendo el asunto de la seguridad en N variables: desde el administrador de TI, pasando por los usuarios y convenciendo a los ejecutivos de que eso de la seguridad sí importa; diciéndole y demostrándole al desarrollador que su código está chafa… y un largo etc. Es decir, estamos hablando de un asunto “humano” y no tecnológico.

La seguridad cuesta. Cuesta dinero. Cuesta tiempo y esfuerzo. Cuesta más trabajo del habitual. Y algo que cuesta y que no se ven sus beneficios tan inmediatos/tangibles es difícil de vender…y difícil de comprar. ¿Cuánto dinero hay que aventarles a esos de seguridad y sus herramientitas? ¿Cuántos fulanos de seguridad son necesarios? ¿Cuánto tiempo y esfuerzo deben las áreas de TI invertir en seguridad? ¿Cuánto es permitido molestar a los usuarios por aquello de que “ellos son parte de la seguridad”? Preguntas difíciles.

Mira, al final esto es un balance. Ninguna empresa se dedica a estar segura sino más bien a hacer negocio (y ganar dinero). Pero tampoco debemos dejar a la seguridad de lado porque resulta que siempre se tienen otras prioridades. Y lo peor es que en la práctica no encontraremos estos justos balances tan fácilmente.