domingo, 26 de septiembre de 2010

En Casa del Herrero: Azadón de Palo


¿Pensaba desgarrarme las vestiduras y poner el grito en el cielo? Nada constructivo; así es que mejor tratar de verlo con el cristal de “lecciones aprendidas”, no vaya a ser que un día hasta a mí me pase, cierto?

Tenemos al US-CERT, cuyo About us dice que: “is charged with providing response support and defense against cyber attacks for the Federal Civil Executive Branch”. Uno esperaría que este US-CERT fuera “punta de lanza” en cuestiones de seguridad que por cierto, forma parte del Department of Homeland Security.

Recientemente le hicieron una revisión a sus sistemas. Encontraron “202 huecos de seguridad críticos” debido a falta de parches (el 93% de estos huecos estaban en las aplicaciones y el restante fueron parches del sistema operativo). Ahora ya me entienden el título de “En Casa del Herrero…”: una agencia encargada de proteger pero ella misma está “desprotegida”.

Y pongo desprotegida entre comillas; no sabemos los controles compensatorios existentes o la criticidad de los sistemas involucrados. En fin, les ofrezco las lecciones aprendidas de este caso desde mi punto de vista:

+ Si eres de “los de seguridad”, protégete. El asesor financiero lleno de deudas, el bombero sin extinguidor en casa o la patrulla que se pasa el alto (en otros países, claro). La lección es que si eres de los “de seguridad”, pues debes de servir de ejemplo de lo que “debería de ser”. Aplica las medidas y controles que quieres que los demás apliquen y sigue las políticas de seguridad. Suena obvio pero no siempre es así.

+ Mantenerse actualizado es difícil. Tener la infraestructura al día en cuestión de últimos parches y últimas versiones es un infierno. Nuevas versiones de Adobe Reader y Flash, parches de Windows y Unix, service packs de SQL Server…y la lista se incrementa entre más aplicaciones y operativos se tenga. Inclusive algunas aplicaciones se dedican a parchar con el fin de automatizar esta actividad; ciertamente es una ayuda pero igual habrá ventanas de tiempo con des-actualizaciones y sistemas críticos en donde se deba de actualizar a mano y de manera pausada, entre otros “detallitos”.

+ Auto-hackéate. Pentest para jugar el papel del hacker y tratar de penetrar redes y/o sistemas. Lo anterior con el fin de evaluar el nivel de protección y tapar nosotros mismos los huecos de seguridad para evitar un “quemón” externo.

+ Fácil de atacar, difícil defender. Resultaría muy fácil criticar al US-CERT. “Pues qué brutos”, dirán algunos. Sin embargo, estar del otro lado viendo la manera de entrar en una red o sistema es “sencillo”: hay que encontrar un solo eslabón débil. Estar de este lado protegiendo resulta más complicado de lo que parece. En ciertas zonas de provincia donde abundan las hormigas, ¿han tratado de mantener un tarro de miel abierto y “sellar” la casa para evitar que entren hormigas e infesten la miel? Para entrar, una hormiga requiere de un descuido (una puerta abierta), un pequeño orificio no detectado o entrar colgada de la ropa de una persona. La hormiga es el hacker, la miel tu información. Sin hablar de esas “hormigas internas” que pensamos nunca se atreverían a tocar la miel. La lección es no bajar la guardia, dejar de pensar que somos invulnerables y sí tener una sana dosis de paranoia.

+ Bienvenidos los Controles Compensatorios. Existe un riesgo por tener aplicaciones des-actualizadas. Lo mejor sería mantenerlas actualizadas (lo cual no es fácil). Ok. Dadas las circunstancias, ponemos un control compensatorio, por ejemplo usando unos IPS personales o herramientas como SandboxIE. Este es sólo un ejemplo de cómo podemos mitigar riesgos con controles compensatorios que precisamente hacen eso: compensan la pata coja.

+ Administración del riesgo. “Oh! Mira cuántos parches faltan, es un desastre! ¡Cómo es posible! ¡No, no, no!”. Si nos ponemos a gritar “catástrofe” sin siquiera saber qué tipo de debilidades se encontraron, en dónde se encontraron y el impacto real entonces no estamos administrando riesgos y en cambio sí nos estamos orientado al “peor de los escenarios”. Sobre todo en cuestión de nuevas versiones en aplicaciones y parches faltantes en sistemas operativos, quiero ver quién tiene su infraestructura actualizada al 100% y que sostenga ese estado. Para administrar el riesgo de seguridad en las TI, hay que entenderlo, y para entenderlo, lo que se llama entenderlo, no sólo hay que saber cómo funcionan las TI sino (también) cómo un atacante puede ir más allá de las limitaciones impuestas por estas tecnologías.