lunes, 1 de diciembre de 2014

No más seguridad, sino mejor seguridad

TechTarget me hizo el favor de publicar este artículo, espero lo disfruten.

lunes, 17 de noviembre de 2014

Apunta tu contraseña en un postit

Es común que vaya a conferencias de seguridad informática y que el presentador hable del mal hábito que tienen los usuarios de escribir sus contraseñas en papeles, en especial los llamados postit. Todo el público ríe y se complace de este viejo chiste entre los profesionales de seguridad como diciendo "oh sí, el eslabón más débil es el usuario". De tanto escucharlo, va perdiendo gracia con el tiempo y a pesar de que lo usan cada vez menos, es hasta cierto punto típico ver este ejemplo de las postit.


Sinceramente yo casi no he visto en últimos tiempos a usuarioescribiendo sus contraseñas y dejándolas al lado de su computadora. Y por otro lado, también he llegado a pensar que bajo ciertas circunstancias y condiciones, de hecho escribir una contraseña en un papel no es del todo mal. 

Por ejemplo, traer una contraseña en la cartera no supone demasiado riesgo. Uno la utiliza cuando es necesario y la vuelve a guardar; ante la pérdida el atacante no sabrá que esa contraseña es para un servicio en específico (GMail, cuenta de Facebook, cuenta corporativa). 

Obviamente sólo hay que apuntar la contraseña sin ninguna pista de para qué servicio es válida. Tampoco escribir el nombre de usuario (username). Y un truco adicional: memorizar una fácil cadena de caracteres y añadirla al final de la contraseña compleja escrita en el papel: por ejemplo si apunto "AwG32#m" y memorizo "Blindado2014", simplemente cuando me piden la contraseña, copio la del papel y añado la cadena que me fue fácil de memorizar: "AwG32#mBlindado2014"

Hasta puedo tener una lista de diferentes contraseñas complejas apuntadas a las que siempre les agregue la misma cadena de caracteres fáciles de memorizar. 

Otro ejemplo de bajo riesgo sería escribir una contraseña y dejarla en casa resguardada, para que en caso de que se nos olvide, podamos recuperarla.  
Lo cierto es que cuando empezó la era de la computación personal, eran un par de contraseñas las que un usuario debía de aprenderse. 

Hoy en día todo ha cambiado, y hay un PIN para cada tarjeta bancaria que usamos, redes sociales, cuentas corporativas y hasta para desbloquear el teléfono: no es difícil llegar a tener más de 50 contraseñas actualmente. No es de sorprendernos que los usuarios traten de hacer su vida más fácil y apunten contraseñas en papeles o bien, seleccionan una misma contraseña fácil para todo servicio que la pide y por cierto, nunca la cambian. 

Y si bien dije que hay  algunos casos específicos en donde es válido apuntar contraseñas en papales bajo ciertas circunstancias y condiciones, también hay claramente ejemplos donde es pésima idea hacer estoUn caso de ellos sería que tuviéramos una laptop corporativa

Pero el usuario de la laptop, por comodidad, escribe su contraseña en un papel y la deja dentro del maletín de la laptop o pegado a ella. Bueno, no nos debe de sorprender que cuando alguien que se haya robado la laptop encuentra el equipo y además ahí mismo está la contraseña para acceder a los datos, pues simplemente podrá teclearla y acceder a la información. Ante esta situación no hay nada qué hacer, el equipo protegido por contraseña la tiene ahí mismo para facilitare la vida al atacante

Otro caso similar sería dejar al lado de la computadora nuestra contraseña del equipo, o un papel que diga "Twitter JuanPerezpassword XXmiTwitter2014", no hay que ser un genio para saber qué tipo de contraseña es. 

Yo en lo personal soy usuario de LastPass. Es una aplicación excelente para guardar todas las contraseñas que tengo, y que me sería imposible memorizar (porque tengo una contraseña por servicio y la mayoría son complejas). 

Las puedo acceder en mi iPhone o vía web. Adicionalmente tengo apuntadas en un papel un par de contraseñas importantes, dicho papel lo tengo bien resguardado en casa y uso la técnica arriba mencionada, la que comenté de agregar una cadena memorizada al final. 

En conclusión, ante la problemática de tener una enorme cantidad de contraseñas hoy en día, podemos auxiliarnos de apuntar algunas contraseñas en papel, pero sólo bajo ciertas circunstancias y condiciones para evitar darle una ventaja al atacante. 

Y otra solución  mejor es usar alguna aplicación segura como la que recomendé de LastPass para resguardar contraseñas complejas y únicas por servicio.

martes, 11 de noviembre de 2014

Cursos de Pentest de Offensive Security

No me gustan los cursos de pentest del CEH. Y luego de conocer los de Offensive Security (OffSec), el CEH me gusta menos, al punto de ya no recomendarlo salvo que quieras una introducción light al tema.

Los cursos de OffSec son totalmente prácticos, y de que aprendes, aprendes. Para mí, está garantizado. De hecho los cursos tienen un roadmap: desde el más sencillo (que no lo es) hasta el más avanzado (que es de muy alto nivel).

No quiero decir que conozco todos los cursos nacionales y en el extranjero de pentest, de hecho no los conozco. Pero recomiendo ampliamente los de OffSec. De hecho si tomas el más “básico” llamado PWK (Penetration Testing with Kali Linux) te convencerás de lo que digo.

Y sí, los de OffSec son los creadores de BackTrack y Kali, por si era necesario mencionarlo.

Y por cierto, hay un curso de pentest de una “empresa” aquí en México del cual me han hablado pestes. No una sino varias personas. Yo en lo personal me iría con cursos de más renombre, como los que ofrece OffSec.

Dime cómo lo configuras y operas y te diré si es seguro

Apareció una noticia titulada “Home Depot blames security breach on Windows, senior executives given new MacBooks and iPhones”. El artículo cometa que el hackeo a HomeDepot EUA se concretó gracias a una debilidad en Windows. Que ya tenía parche, pero que no fue aplicado suficientemente rápido. Y que en relación a su desconfianza a Windows, a los ejecutivos les darán dispositivos Apple, en el entendido de que son más seguros.

No entiendo. En primer lugar, el hackeo fue a la infraestructura de HomeDepot, el hecho de que provean equipos Apple  a los ejecutivos en qué ayuda a prevenir otro hackeo similar? Pues bien por lo ejecutivos, pero la infraestructura no se beneficia en nada.

Tampoco entiendo el hecho implícito de que “Windows es más inseguro y los sistemas de Apple son seguros”. No es que me guste la seguridad de Microsoft que viene por default, pero honestamente, si configuras bien y operas adecuadamente un Windows, un OS X o un Linux, todos tendrán un nivel de seguridad razonable (y la cerza en el pastel es instalar dos que tres productos de seguridad básicos).
Así es que en lugar de andar cambiando de sistemas operativos, mejor configúrenlos bien (hardening) y den un par de charlas de concientización a esos ejecutivos. La medida de cambiar a Apple se me hace poco efectiva y entra más en los terrenos publicitarios/apariencias.

Y por último. Noten que el hackeo a la infraestructura de HomeDepot fue por un parche que ya había salido pero no había sido aplicado. Nada de días cero. Luego entonces, lo que sí sirve en verdad es echarle un ojo a los procedimientos de aplicación de parches. ¿No creen?

sábado, 9 de agosto de 2014

Seguridad al trabajar con Laptos fuera de la Empresa

Si bien las tabletas son cada vez más populares, las laptops siguen siendo una herramienta vital para empleados de todas las organizaciones. El hecho de que cuenten con teclados, una amplia pantalla y una batería de razonable duración, las hace ideal para trabajar en ellas. Y si un empleado cuenta con uno de estos dispositivos, probablemente significa que la usa fuera de la empresa. Ya sea en las oficinas de un cliente, mientras espera que despegue su vuelo o en el hotel al que se trasladó para realizar un trabajo. 


Es importante mencionar que el hecho de que una computadora salga de una empresa, presenta retos adicionales a la de un equipo de escritorio que permanece dentro de las instalaciones. 

La razón es simple y es el hecho de que la laptop está expuesta a nuevos riesgos cuando está en movimiento. El típico que se me viene a la mente es el extravío de la laptop, por ejemplo al momento de pasar por los filtros de seguridad de un aeropuerto o bien, fue olvidada al lado de la mesa de un restaurante o café. El otro que se me viene a la mente es el robo, ya sea que el equipo sea dejado en una valet parking y después nos encontremos con el típico “aquí no había nada de valor, joven”; o bien, que vayamos por la calle y suframos un asalto. 

Son algunos ejemplos de riesgos que no están presentes en la computadora de escritorio de nuestra oficina. Así es que surge la pregunta de qué hacer ante esta situación, por lo que a continuación presento algunas recomendaciones a seguir para proteger al equipo: 

Mantener el software actualizado: la laptop tiene un sistema operativo (por ejemplo Windows) y aplicaciones (Word o Adobe Reader) que deben de ser actualizadas al menos una vez al mes. 

Respaldar la información: los datos en la laptop pueden perderse si el equipo sufre algún desperfecto físico o si es robado, por lo que es importante respaldar la información en discos duros externos, DVD o servicios seguros en la nube. 

Cifrar la información: dentro de la laptop está toda una gama de archivos, correos y fotos que son parte del trabajo que una persona realiza para una empresa. Existen varias soluciones gratuitas y comerciales para proteger (cifrar) la información que está dentro de la laptop. 

Evitar Wifi: es común encontrarse con redes inalámbricas WiFi, muchas de ellas gratuitas. Estas redes tienen diferentes niveles de seguridad y las hay desde cero seguridad hasta aquellas con una seguridad de “default” que supuestamente es segura, pero que no lo es. Mejor evitarlas y conectarse a Internet por otros medios (a menos que sepamos la diferencia entre conectarse a una red WiFi sin seguridad, una WiFi WEP supuestamente "segura" y una WiFi WPA realmente segura). 

Instalar y actualizar un antivirus:  hoy en día sobra decir respecto a la necesidad de tener un antivirus en un equipo de cómputo y que diariamente se actualice automáticamente. Considerar la instalación de una suite de seguridad que tiene controles adicionales como detección de intrusos o firewall, por ejemplo. 

Atender mensajes de seguridadpor ejemplo, cuando usamos el equipo y navegamos por internet con él, nos llegaremos a topar con mensajes de seguridad que nos advierten respecto a un riesgo. Lejos de darle “aceptar” e ignorar el mensaje, es mejor atenderlo y seguir su recomendación. 
Evitar ser promiscuo: al navegar por internet nos encontraremos con ilimitadas tentaciones de aplicaciones que podemos instalar. Las hay para escuchar música, escribir notas, administrar nuestro correo o entrar a redes sociales. Es mejor seguir las políticas de tecnologías de información de la empresa o bien, preguntar al personal de Sistemas. No queremos instalar virus o aplicaciones fraudulentas, cierto? 

Rechazar a los USB: un medio de infección importante hoy en día es todos aquellos virus que se transmiten vía USB. Y si uno de estos bichos se enfrenta a nuestro antivirus apagado, desactualizado o deshabilitado, tendremos una infección. Es mejor evitarlos y sólo introducir nuestros propios USB y recibir archivos de otras personas por otra vía (por ejemplo, correo). 

Operar como usuario: cuando introducimos nuestro nombre de usuario y contraseña, abrimos una sesión en el equipo y es importante que sea con privilegios de "Usuario" y no de "Administrador". Es fácil saber cuál estamos usando: si podemos instalar cualquier programa en el equipo y hacer todo tipo de acciones sin restricciones, probablemente significa que  estamos como "Administradores". Para los virus y código malicioso es ideal encontrarse con una sesión con privilegios de "Administrador" porque podrá ejecutar todas sus acciones maliciosas sin limitaciones. 

En concusión, los riesgos de seguridad informática que tienen las laptops no son idénticas a las de un equipo de escritorio, por lo que es importante aplicar medidas adicionales de protección. Revise cuáles de las recomendaciones que le he dado son pertinentes para su entorno corporativo y asesórese del personal de TI de su empresa ante cualquier duda. 

miércoles, 18 de junio de 2014

¿Documentas o Haces?

TechTarget me hizo el favor de publicar un artículo. Trata sobre las exageradas tareas de documentación vs el menor tiempo que se le dedica a "hacer" las tareas asignadas. Disfruten.

sábado, 7 de junio de 2014

La Seguridad y Skype

Fui hace un par de semanas de visita a una empresa para tener una junta de trabajo. Todo marchaba bien y llegó el momento de hacer una llamada vía Skype con un proveedor que no está ubicado en México. Ahí empezó el problema porque en esa empresa me dijeron que por motivos de seguridad estaba prohibido usar Skype en las computadoras de los empleados. Un inconveniente, porque Skype es ideal para hacer llamadas telefónicas gratuitas por internet ya que es lo suficientemente popular como para que “todos” lo tengan en sus computadoras o smartphones y baste hacer unos clicks para estar llamando.


Finalmente tuvimos que hacer una llamada de larga distancia a los EUA y nuestra junta transcurrió sin más sobresaltos. Antes de irme y por curiosidad, quise ahondar más en el asunto de la prohibición de Skype. Me explicaron que no lo permitían por “eso del espionaje” de la NSA (Agencia Nacional de Seguridad) de los Estados Unidos. Microsoft compró hace un par de años a Skype y hay noticias referentes a que esa empresa ha colaborado con la NSA (busquen en Google “Microsoft cooperated with NSA giving access to Skype”).

Lo anterior significa que existe la probabilidad de que las llamadas efectuadas por Skype sean de algún modo monitoreadas por la NSA, ya sea en tiempo real o bajo demanda. Claro que si voy a hablar con la abuela de cómo hacer galletas sabor canela, no creo que me deba de preocupar por el espionaje (aunque las galletas de la abuela bien pueden contar como un secreto). Pero otra cosa es hablar de cuestiones laborales de relevancia vía Skype y de ahí nace el temor que se deriva en prohibición.

Pero me puse a pensar en que no nos dejaron usar Skype y a que raíz de eso, hicimos una llamada de larga distancia a los EUA. Y aquí mi segundo pensamiento: sabemos que hay sospecha de espionaje en las redes telefónicas tanto allá (busquen en Google “NSA collection of telephone records”) como acá:

The SOMALGET system is part of a larger telephone-tapping system developed by the NSA dubbed MYSTIC. The newly leaked documents show MYSTIC is active in others countries – including Mexico, Kenya, and the Philippines
Fuente: The Register http://tinyurl.com/SOMALGET

¿Así es que de qué sirve prohibir Skype si de todas maneras hay noticias que nos orientan a pensar que existe espionaje en las llamadas telefónicas? Cuando argumenté lo anterior, me dijeron que había otra razón de peso para bloquear Skype y era su funcionalidad de compartir archivos, ya que éstos pudieran traer virus y contaminar equipos de cómputo. Skype anuncia en su página web:

Envía fotografías, videos y archivos de cualquier tamaño”.

Significa que un usuario podría recibir archivos desde Internet, ejecutarlos y contaminar su computadora con virus. Pero seamos realistas. Un archivo infectado por lo general viajará por correo electrónico o será bajado de alguna página web. Si bien existe la probabilidad de que un archivo infectado sea compartido vía Skype, identifico que por esta vía el riesgo es menor. Además de que seguramente habrá un antivirus en los equipos de cómputo de los usuarios que servirá como uno de los controles corporativos de seguridad para detectar y detener la infección, en todo caso.

Así es que en conclusión, seguí sin poder entender la razón de la prohibición de Skype. Pero supongo que eso hacía felices a los administradores de sistemas de aquella empresa, tengan o no razón.