lunes, 27 de julio de 2009

Engaños nigerianos: ¿me deberían importar?

Hace un par de semanas descubrí unos videos patrocinados por la empresa McAfee. La producción me gustó y aunque hubiera preferido que abarcaran más situaciones de riesgo en línea, se enfocaron en uno en particular: el “scam” nigeriano. Aún así pienso que bien vale la pena darles un vistazo.

Los episodios que podrán encontrar en el sitio -www.stophcommerce.com- cuentan la historia de una señora en EUA que fue víctima de estos engaños que se les conocen comúnmente como “scam nigerianos”. La base de la trampa gira alrededor de correos enviados a los buzones de miles de personas argumentando que hay un familiar fallecido (en Nigeria u otro país) que ha dejado una fortuna y que es posible recuperarla.

La recuperación de la supuesta “fortuna” conlleva una serie de complejas artimañas diseñadas para darle largas al engaño y en casi cada paso pedir dinero para agilizar la recuperación del supuesto dinero. Todo se explica en los videos que por cierto son de poca duración.

Ahora bien, muchos de los lectores de este blog tienen un amplio entendimiento de las tecnologías de información y seguramente pensarán que “eso ya lo sabía, so what?”, pensamiento muy parecido al que yo tuve cuando hace tiempo leí la historia de esta señora que fue engañada.

La serie de videos tratan de mostrarnos que no hay como tal una persona “estúpida” atrás de esto, sino una señora sí inocente y tal vez demasiado confiada que perdió miles y miles de dólares producto de su ahorro y que hipotecó hasta su casa ya no para recuperar la supuesta fortuna sino al menos para tratar de recuperar lo “invertido”. Todo esto le trajo innumerables problemas con su esposo, ya que ambos viven ahora una crisis financiera familiar. Sí, los riesgos en línea tienen consecuencias en el mundo offline y seguramente a estos estafadores les tiene sin cuidado los problemas financieros/emocionales de las víctimas.

Le mostré los videos a varios familiares y colegas que no son ciertamente versados en estas cuestiones tecnológicas. No aceptaron que ellos caerían en la trampa, claro está… yo no estuve tan seguro.

¿Vale la pena mostrar estos videos en la empresa? ¿Vale la pena mostrarlos a un par de familiares? Como dicen, un video dice más que mil palabras de prevención y de decir una y otra vez que “estas cosas sí suceden”.

La producción está bien realizada, salen personajes famosos (Steve Wozniak) y hackers/crackers de la vida real, así como oficiales encargados de la seguridad en línea en EUA y otros tantos. Estoy seguro de que observarán los videos y al menos apreciarán la producción si es que no le ven otro valor agregado.

Finalmente, los engaños nigerianos están migrando (o se están diversificando) a otro modelo de negocio, ya que con el presente modelo se carece del factor de “confianza”; ciertamente cada vez menos gente cae en la trampa al recibir un correo de un extraño argumentando una fortuna perdida.

Pero, qué tal un amigo solicitando dinero por medio de FaceBook o Hi5 porque se quedó sin efectivo y no lo dejan salir del hotel? Ahí cambia la cosa porque es nuestro amigo que está en problemas, no es un desconocido y debemos de ayudarlo, ya luego nos devolverá el dinero. Sorpresa: alguien hackeó la cuenta del amigo y quien nos pide el dinero es el mismo estafador nigeriano…lobo con piel de oveja.

 

 

domingo, 19 de julio de 2009

Pareto aplicado a la seguridad.

Me encuentro leyendo el libro llamado "Desarrolle el Líder que Está en Usted" de John C. Maxwell y en cuyo capítulo dos habla de las prioridades y que para establecerlas una de las principales herramientas es el Principio de Pareto o el Principio del 20-80. Me pregunté cómo podríamos aplicar este principio al área de seguridad de la información y llegué a las siguientes conclusiones.

+ La aplicación del 20% de los parches de seguridad eliminarán el 80% de los ataques informáticos más peligrosos.

+ El 20% de las herramientas tecnológicas de seguridad proveerán/contribuirán al 80% de la protección de la infraestructura.

+ El 20% de las personas (empleados, externos) causará el 80% de los incidentes de seguridad más críticos.

+ El 20% del contenido de una campaña de seguridad ("security awareness") causará el 80% del impacto deseado.

+ El 20% de los incidentes causarán el 80% de las interrupciones a la continuidad del negocio.

+ El 20% del código malicioso causará el 80% de las infecciones más peligrosas en la infraestructura.

+ El 20% del tiempo totalmente dedicado por los desarrolladores a eliminar "bugs" de seguridad en su código, eliminará el 80% de las vulnerabilidades.

+ El 20% dedicado totalmente por la alta dirección al Gobierno de Seguridad de la Información derivará en que 80% de los procesos internos de la organización sean positivamente impactados por aspectos de seguridad.

+ El 20% de las excepciones de seguridad (paso libre de ejecutables, desactivación de antivirus) causarán el 80% de los incidentes de seguridad más graves.

+ El 20% de la política de seguridad estará íntimamente ligada a mantener el 80% de la seguridad -en niveles aceptables- dentro de la organización.

+ El 20% del tiempo del personal de seguridad de la información estará relacionado con el 80% del trabajo prioritario orientado a proteger la información organizacional. (Leer correos, llenar documentación inútil, arreglar problemas comunes de infraestructura o asistir a una junta "useless" no contribuyen a proteger la seguridad).

+ Escuchar al 20% de los proveedores que presentan productos de seguridad derivará en el 80% de las futuras compras decisivas.

Como yo lo entiendo y resumo, el principio de Pareto se basa en que un porcentaje reducido del 20% causará un 80% del impacto (positivo o negativo). Así pues y en general, podríamos decir que el 20% del personal en una organización contribuye al 80% del éxito de la misma o que el 20% de las personas hará el 80% de las decisiones relevantes (o que el 80% de nuestra felicidad proviene del 20% de nuestro tiempo).

Este principio nos conmina a prestar especial atención y recursos a ese 20% que tiene el potencial de causar el 80% del impacto positivo. En cuestiones de seguridad se puede seguir esta recomendación y dedicar más recursos a ese 20%. Menos es más cuando nos concentramos en las pequeñas cosas que son verdaderamente importantes. Y no, todo lo anterior no es una ley universal, pero en mi opinión hay mucho de cierto en este principio; ustedes tienen la última palabra.

 

lunes, 13 de julio de 2009

ForeFront: va o no va?

Desventajas que yo veo: la consola de ForeFront no está madura aún empresarialmente hablando (la probé) y el motor de firmas no está a la altura de motores de otros fabricantes "líderes" (esto último según el análisis de una consultora). ¿Ventajas? Para el caso muy específico donde no se necesita de una consola empresarial y que sea posible usar motores de firmas de terceros, entonces puede ser una opción viable. Ese es el resumen, quieren detalles?

 

Consola: tuve la oportunidad de probar la consola de ForeFront para administrar diversos clientes en una organización (Vista, XP). Comparándola con otras consolas que conozco, la veo todavía inmadura desde el punto de vista administrativo y operacional.

 

Para el caso donde no se requiere de una consola poderosa como por ejemplo para administrar un solo sistema como sería la situación de Exchange, entonces es una opción. Es decir, desde la consola se maneja sólo el Exchange, entonces no se requiere una cosnola avanzada dado que no estamos manejando “n” objetos en la consola.

 

Motores: uno de los pilares de un antivirus es (aún) el motor de firmas: qué tanto detecta, qué tan rápido obtiene firmas y en general qué tan eficiente es. Recientemente en una presentación nos mostraron el análisis de Gartner referente al cuadro mágico “Enpoint Protection” de este año. Se comenta que tiene capacidades básicas basadas en firmas y una detección de código maliciosa inconsistente.

 

Ahora bien, también en el mismo estudio se menciona que si combinamos el motor nativo de ForeFront con otros motores de antivirus entonces se vuelve una opción viable. Por ejemplo, la herramienta Exchange tiene esta facilidad y se puede combinar el poder de varios motores aunque si se usan todos los disponibles en un solo servidor, se afecta al desempeño del mismo.

 

Conclusión: puede ser que se ofrezcan esquemas económicamente atractivos para usar ForeFront. Tal vez no sólo debamos guiarnos por el factor “costo” y tomar en cuenta (como pienso debe de ser) si es apropiado desde el punto de vista de la seguridad o de la facilidad de uso (administración de la consola).

 

Por cierto. ¿Alguien lo tiene instalado ya? ¿Cómo les ha ido? ¿Sí da el ancho? ¿Qué fue lo que los convenció: pecio o seguridad?

 

lunes, 6 de julio de 2009

Dime a quién sigues y te diré quién eres.

¿Puede Twitter servirnos para algo útil? ¿Es una red social micro-blogging de pura ociosidad para "chavos"? ¿"Seguir" a alguien en Twitter es lo más absurdo, aburrido e inútil? La respuesta rápida es que depende de a quién sigamos y qué uso le damos a Twitter para que pase de algo ocioso a algo productivo e interesante.

En mi caso, no es un secreto que lo que me apasiona es todo lo relacionado a la seguridad de la información. Seguro ustedes tendrán intereses en tecnología, seguridad u otro tema como por ejemplo nutrición. El chiste es seguir a las entidades correctas en Twitter para sacarle provecho real.

Como lo que me interesa es la seguridad y la tecnología, mi ID en Twitter (@FaustoCepeda) sigue a quienes me pueden proveer información sobre estos temas y deseo listar a continuación algunos ejemplos.

@dangerroom: la revista de tecnología Wired habla de temas de seguridad nacional (enfocado a EUA).

@jeremiahg: Jeremiah Grossman es un experto en seguridad Web.

@mikkohypponen: Mikko es un directivo en la empresa de antivirus F-Secure.

@securitytwits: publica y re-publica noticias en general de seguridad de la información.

@McAfeeAvertLabs: este es el Twitt oficial de la empresa antivirus McAfee.

@alt1040: sitio de tecnología en general.

@drericcole: reconocido instructor de seguridad informática del instituto de seguridad SANS.

@CiscoSecurity: el Twitt de Cisco para temas relacionados con seguridad.

@stevewoz: el buen Steve, co-fundador de Apple.

@jmatuk: el buen Ingeniero Javier Matuk,   lo recordarán por su programa en radio sobre tecnología llamado Dommo que ahora se distribuye vía podcast.

@RicardoZamora: compañero del Ing. Matuk en el podcast Dommo.

@Netmedia_mx: no podía faltar estar enterado de las noticias de las tecnologías de información.

@ryanaraine: editor del blog de seguridad del sitio ZDNet.

@sans_isc: el reconocido instituto de seguridad informática publica frecuentemente información interesante.

@kevinmitnick: el buen Kevin, tal vez el exhacker más famoso de todos los tiempos. 

En fin, lo que les quería mostrar es que definitivamente pueden darle a Twitter un uso productivo si así lo deciden, y relacionado a lo que ustedes hagan o a lo que les interesa (que no tiene que ser forzosamente las tecnologías de información ya que pueden decidir seguir a @polo_polo o a @JavierSolorzano si así lo desean).

En Twitter también pueden seguir las noticias nacionales e internacionales de varios sitios noticiosos mexicanos y extranjeros de la red que tienen su cuenta Twitter. Como toda red social, depende del uso que le den y también podrán gastar enormes cantidades de tiempo ocioso. Yo veo a Twitter mas bien como una herramienta de micro-blogging no tanto para que me sigan a mí, sino para seguir a quien me interesa y que me ayuda en mi trabajo de seguridad informática y para estar al tanto de las tecnologías de información. Y ustedes, a quiénes siguen?