domingo, 30 de mayo de 2010

Hazte Notar o Nadie Sabrá de Ti


En este semana, cuántas veces hemos pensado en nuestra bolsa de aire que se encuentra cuidadosamente doblada dentro del volante del auto? ¿Nos ha cruzado por la mente “qué bueno que esta bolsa se encuentre ahí para protegerme”? La última semana es sinceramente un corto tiempo, ampliemos el periodo a un mes. Y la respuesta es, honestamente, que no, ni una vez. ¿A quién se le ocurre?

En mi caso, han pasado años desde que tuve presente la relación bolsa de aire-auto y fue precisamente cuando lo adquirí porque de hecho fue una cuestión importante en la decisión de compra. Después de ahí, sinceramente, no me importa mucho esa característica de seguridad del auto siempre y cuando sirva cuando la necesite (toco madera).

Y algo similar, pensaba yo el otro día, pasa con la seguridad informática: en la gran mayoría de las ocasiones, escuchamos de la seguridad únicamente cuando falla. Cuando todo marcha sobre ruedas ni quién se acuerde y mucho menos quién reconozca la labor (poca o mucha) que se hace en las organizaciones.

Cuando hay un hackeo (toco madera de nuevo), una infección importante, una intrusión interna o una falla del sistema antispam es cuando “la seguridad” se vuelve de pronto popular y se hace notar (de forma negativa, claro). Si las áreas de seguridad informática (y por ende, los sistemas de seguridad) están…¿cómo se dice?... ¡ah sí!: al tiro, entonces casi nadie las recuerda. Exactamente como la bolsa de aire, pasa desapercibida pero en el momento de necesitarla si es que falla, entonces sí, $%&# bolsa defectuosa!

Un problema es que la efectividad de la seguridad puede ser realmente difícil de medir y por ende de demostrar con tal de hacerse notar un poco (de manera positiva). Podemos sacar un par de métricas, por ejemplo “hoy se detuvieron 1,345 virus”; ok, y eso qué significa? En el ejemplo del antivirus, cómo poder demostrar la efectividad de la herramienta? ¿Cómo demostrar que la herramienta está haciendo su trabajo? “Número de infecciones” podría ser un métrica (que debe de tender a cero), “porcentaje de equipos con antivirus actualizado” podría ser otra candidata sin pasar de alto los falsos positivos y falsos negativos.

El punto anterior gira en torno a que demostrar que una herramienta es efectiva no es tarea fácil. En general, la seguridad, cuando “hace su trabajo”, es muchas veces invisible no sólo para los que son protegidos, sino para los que están a cargo de esa seguridad. Medir la efectividad de la seguridad no es tan sencillo: ¿estamos bien protegidos? ¿Nos hace falta seguridad o nos sobra? ¿Se está haciendo realmente un buen trabajo en cuestiones de seguridad?

No sólo cuando falla la seguridad se hace notar, sino que hay otra manera tampoco muy agraciada que digamos. Las tecnologías de información (TI) son habilitadoras, dan un beneficio “palpable” y hacen el trabajo de los empleados más fácil, están ahí haciéndose notar. Y mientras las TI dan un servicio, la seguridad se trata de lo contrario: intentan prevenir, restringir, acotar. Gritaremos cuando “por seguridad” no podamos entrar a un sitio, cuando se bloquee el autorun de nuestro USB, cuando no recibamos un correo porque fue catalogado como spam o cuando el antivirus ponga a nuestro equipo de rodillas (alentándolo).

Tarea ingrata la de seguridad informática. Si es efectiva, si no falla y hace su trabajo impecable vivirá sin pena ni gloria. Pero cuidado con que falle u obstaculice el trabajo; se hará notar pero una forma nada agraciada, no creen? Para el mal sabor de boca, les dejo una historia gráfica y resumida del “hacking”: http://bit.ly/c41kcm

Nota final: hablé del bloqueo autorun en los USB; no fue un ejemplo, de “veritas” hay que bloquearlo http://bit.ly/cXvFY7

lunes, 24 de mayo de 2010

Ironías de la Vida.


Australia, tierra mística donde habitan desde canguros hasta esos extraños Koalas (que siempre me han inspirado temor más que un grado sano de simpatía); fue ahí donde se desarrolló la conferencia de seguridad AusCERT 2010 auspiciada por el CERT de aquella región. Pláticas, stands y conferencistas de alto nivel rodearon al AusCERT. Pero no podía faltar ese trago amargo que finalmente se llevaría la noche y que sin embargo serviría como anecdotario.

Entre los conferencistas hubo un par de estrellas, ya que me platican que entre los asistentes (yo no pude ir; no por falta de dinero… –ajá-) estuvieron nada más y nada menos que Whitfield Diffie (para aquellos fans de la cripto) y Marcus Ranum (para los rebeldes de la seguridad) entre otras damas y caballeros que seguramente hablaron de temas interesantes alrededor de la seguridad.

Y aunque en esta ocasión no abordaremos el tema de algún ilustre conferencista (se me antoja en un futuro el tema de Ranum: “Scenes from the 2010 US/China cyberwar”), sí quisiera dar un tip para todos aquellos que participan en conferencias no como oyentes, sino más bien como patrocinadores, conferencistas o exhibicionistas (como preguntaría un buen amigo: ¿es esta la traducción para “Exhibitors”?).

Y sin más preámbulo, el tip es: jamás entreguen un USB infectado con malware a los asistentes. Y vaya, con más razón si es una conferencia de seguridad, extremen cuidados ya que todos mostrarán animadversión al recibir estos USB troyanizados. ¡Ah! Claro, y si son parte del equipo de una gran compañía como IBM –que por cierto también vende productos de seguridad-, por ningún motivo se atrevan a repartir estos dispositivos con beso del diablo.

Muy tarde. Durante la conferencia de seguridad del AusCERT (adivinaron), IBM hizo una travesura: repartir estos infames USB a los asistentes. Fue el chisme de la semana. Como dicen mis amigos del norte: “Shame on you” o si lo prefieren ahí está el “no te pases”, por decirlo de forma caballerosa.

A menos claro, que lo que quieran es precisamente que los asistentes se lleven un regalito, entonces con toda confianza pónganse en un lugar estratégico en una conferencia y alegremente repartan los USB (ya saben, de esos que se ven tan bonitos que dan ganas de presumirlos de inmediato) pero con malware de día cero para que los asistentes lo lleven a su lugar de trabajo, lo inserten y ¡zas!, troyano sembrado (si es que se carecen de protecciones suficientes). Y a espiarlos se ha dicho. Ahora bien, ya que tocamos el punto de los USB sin costo, siempre he sospechado de aquellas personas que se plantan a la salida de un corporativo dando estos amigables dispositivos de forma gratuita; una excelente forma de germinar malware dentro de un corporativo y usar a los empleados como si fueran troyanos de dos patas.

Al final, IBM tuvo que emitir un comunicado para de cierta forma disculparse y explicar cómo eliminar a este inusual huésped. Ahorrémonos el show y revisemos bien a bien esos USB antes de cederlos a nuestros invitados. Me lo agradecerán.

domingo, 16 de mayo de 2010

Choque de Dos Mundos.


Cuando la Economía se encuentra con la Seguridad de la Información surgen tres preguntas básicas: ¿Por qué gastar? ¿Cuánto gastar? ¿En qué gastar?

La respuesta a ¿Por qué gastar? podría resultar obvia pero en muchas ocasiones tal vez no lo es del todo clara, sobre todo para los dueños del “changarro”. Ellos están concentrados en generar ganancias y puede que no entiendan exactamente por qué deberían de dar “lana” para seguridad. La respuesta preferida sería “para estar protegidos”…quedó muy claro, verdad?

Aunque eso de “para estar protegidos” suene muy general y ambiguo, asumamos por un momento que convencemos juntando un par de argumentos (“otras empresas tienen X, Y, Z”, “Hoy en día un [insertar producto] es indispensable”) y una que otra estadística. Ahora viene otra pregunta que a mi parecer tampoco tiene una respuesta concisa o exacta: ¿Cuánto gastar?

Venga la siempre útil analogía con nuestra casa. Seguro tienes varias protecciones físicas. Para los que vivimos en el DF, gastar en una reja, barda alta y herrería es indispensable. ¿Cuánto es suficiente? Tal vez nos falte un perímetro electrificado, detección de intrusos en las puertas, malla ciclónica, alarma y CCTV. Suena caro, pero es por seguridad, por qué no comprarlo? ¿Cuánto es suficiente? ¿Por qué pensamos que lo que tenemos es el nivel adecuado de protección? ¿Por qué no añadir más? Por nuestra percepción del riesgo: la zona en que vivimos, los incidentes que han pasado en la colonia, la actividad laboral que desempeñamos (desgraciadamente hoy en día eso es un factor) e incluso cuestiones muy puntuales como el hecho de haber recibido (o no) alguna amenaza.

Igualmente una organización percibe el riesgo y actúa en consecuencia pero aunque haga un análisis de riesgos eso no se relaciona de manera directa y objetiva con ¿Cuánto gastar? Una opción puede ser gastar en base a incidentes: si te infectas, compras un antivirus porque hay un antecedente de que lo necesitas. Otra opción podría ser comprar algo de todo: un DLP, un antivirus, un detector de intrusos, un…, etc. Otro enfoque podría ser asignar un porcentaje del presupuesto de TI: 5% va para seguridad con el fin de que se atienda lo apremiante (podemos otorgar porcentajes similares a los que asigna el sector al que pertenece la empresa).

Existen otros enfoques como el ROI (Return of Investment), pero no involucra la posibilidad de que un producto incumpla las expectativas o los posibles beneficios de gastar el dinero en otro producto. Podríamos usar –por ejemplo- el NPV (Net Present Value) o EVA (Economic Value Added) y aunque son más completos, son más difíciles de calcular.

Ya que uno tuviera resueltas las respuestas para ¿Por qué gastar? y ¿Cuánto gastar?, vendría la pregunta de ¿En qué gastar? Tal vez aquí el resultado de un buen análisis de riesgos podría indicarnos cuáles son los riesgos altos y ahí es donde tendríamos que poner el dinero. La cuestión importante es encontrar productos/servicios que de manera efectiva satisfagan las necesidades.

El tema de economía-seguridad está en un estado de inmadurez; los de seguridad no entienden bien (y/o no les gusta) las entrañas económicas y viceversa. Aún así, existen estudios –por ejemplo- como los de Ross Anderson/Tyler More (The Economics of Information Security) y el trabajo de Lawrence Gordon (The Economics of Information Security Investment). A mi parecer, en muchas organizaciones se gasta en seguridad en base a un “feeling”, métodos no repetibles y subjetivos. Se vende la idea de “para estar protegidos” sin más explicación o evidencia clara y puntual; sin demostrar exactamente lo que se ganará-obtendrá o lo que se perderá si no se invierte en seguridad. Y no me malentiendan, lo anterior no es tarea fácil ni mucho menos sencilla.

Algunas reflexiones finales:

· Invertir en seguridad de la información podría evitar pérdidas económicas. Pero, cuánto exactamente se podría perder?

· Se dice que un incidente de seguridad que se hace público trae mala publicidad y pérdida de clientes. ¿En base a qué se hace esta afirmación? ¿En todos los casos sucede esto y en qué medida?

· Al contrario de un análisis de riesgos, gastar en seguridad basándonos en el “Worst Case Scenario” no es buena estrategia ya que se asume que lo peor pasará y en base a eso se invierte dinero.

Ojalá tuviéramos a la mano invisible de Adam Smith para que nos orientara hacia la verdad.

domingo, 9 de mayo de 2010

No Confíes en Nadie


¿Trust no one? Tal vez hayan escuchado ese principio que en seguridad informática se refiere al hecho de desconfiar básicamente de –casi- todo y hasta de todos. ¿Qué tanto nos puede ayudar ese principio para servirnos de guía?

Instalo un sistema operativo: cómo saber si un par de líneas de código no están escritas para enviar cada tecla que presiono a un centro de comando y control gubernamental o corporativo? Un fabricante de software bien podría tratar de espiarnos por ejemplo con esos mensajes aparentemente inofensivos de “¿Desea permitir enviar este error para mejorar el producto?” O mejor aún, sin siquiera preguntarnos nada lo manda cifrado a la nave nodriza y pasa desapercibido.

Cuando compramos un ruteador, cómo saber que el hardware hace sólo lo que se supone debe de hacer? ¿Podemos estar seguros de que no hay instrucciones obscuras inscritas en el hardware que cambian el comportamiento del dispositivo de tal manera que lleva a cabo acciones a nuestras espaldas?

Hasta ahora, podría parecer paranoia extrema y sin sentido digna de la serie X-Files. Sin embargo, tal vez no está tan descomunalmente descabellado; piensen en todo el software y hardware que poseen en sus instituciones: no saben lo que pasa realmente tras bambalinas. Y aquí la palabra clave es confianza. Confían en que su fabricante no está inyectando instrucciones indeseables, confían en que la comunidad informática ya se hubiera dado cuenta; otorgamos un grado de confiabilidad a esos fierros, estándares y software donde está montado nuestro negocio. Depositan una confianza porque se sienten seguros de que los fabricantes de software y/o hardware son serios, respetables y que su negocio se vería afectado si algo obscuro saliera a la luz.

Pero esos mismos fabricantes serios y respetables, están bajo el peso de la ley y de los gobiernos que tienen fines de seguridad nacional más allá de los fines tan mundanos como es la supervivencia de una empresa.

Dados los argumentos expuestos, nace de manera natural el principio de “trust no one”. Desconfía de todo lo que no puedas comprobar por ti mismo, de lo que no hayas creado tú. Porque de otra manera no puedes estar 100% seguro de que esa aplicación y que ese firewall hacen sólo lo que dicen sus manuales. Y claro, si no puedes confiar en tu sistema operativo, mucho menos en cuestiones más “sociales” como por ejemplo los servicios de Facebook (privacidad), Twitter (exposición) o LinkedIn (conectividad). Recuerden, trust no one puede aplicar a una amplia gama de cuestiones que van desde el ratón, un antivirus y hasta hacer click en una liga.

Ahora bien, aquí viene la primera incongruencia del “No Confíes en Nadie”, dado que uno mismo es alguien. Así es que en principio, en todo caso tendría que confiar en al menos una persona (que sería yo mismo).

Por otro lado, para realmente no confiar en nadie, tendría que empezar desde fabricar mis propios chips (a juntar silicón se ha dicho) hasta acabar escribiendo mi propio sistema operativo y sus aplicaciones. Obvio no voy a escribir backdoors en mi hardware o software pero aún así podrían atacar mi sistema; tal vez haya hecho tal cantidad de errores que permitirían a un atacante entrar a mi sistema porque parece queso gruyere.

Así es que no se trata de “No confíes en nadie”, sino “Confía en la menor cantidad posible” o un “No confíes ciegamente”. En seguridad hay que ceder para obtener (tradeoff). No debemos estar en los extremos de confiar plenamente o desconfiar de absolutamente todo.

Por ejemplo, confiar ciegamente me llevaría a hacer click en cuanta liga me llegue, a instalar toda aplicación que me parezca cool o a meter mis datos personales y/o financieros en todo tipo de sitios. Desconfiar de todo derivaría tal vez en nunca más usar un equipo de cómputo o Internet. Dícese de confianza: “que posee las cualidades recomendables para el fin a que se destina”.