domingo, 31 de enero de 2010

La seguridad está en Avatar.


¿Es una buena película Avatar? Después de escuchar hablar muy bien y muy mal de esta película, por fin decidí asistir a verla (y fue en 3D). La encontré divertida para pasar el rato y me fue inevitable ligar algunos pasajes de Avatar con la seguridad.

Espero que el lector haya visto la película para entender mejor el contexto; si no se ha visto, dejo a su mejor consideración si desea seguir leyendo ya que sería un spoiler.

Trabajo Interno.

Jake Sully, el protagonista de la película, inicia tomando partido por su coronel Quaritch al infiltrarse en la tribu de los Navi y extraer información. Si la tribu de los Navi hubieran seguido el estándar de seguridad 27001, seguramente le hubieran aplicado el control A.8.1.2 (Screening: background verification checks…) y les hubiera ayudado a evaluar mejor –y con mayor profundidad- su ingreso a la tribu. Al menos inicialmente fue un error aceptarlo porque una vez que Jake se volvió un “insider” confiable, fue capaz de extraer información valiosa para el enemigo (Quaritch) que se usó en su contra. Un trabajo interno es muy peligroso porque cuenta con información privilegiada; del lado de TI, imaginemos a un administrador de sistemas o a un encargado de seguridad que se pasa del bando contrario. Según algunos datos, en el ataque que sufrió Google hace unas semanas, pudo haber colaborado personal de esa empresa: bien “usados”, los empleados garantizan una intrusión en cualquier organización.

La Seguridad Gira en Torno a las Personas.

Debemos de confiar en ciertas personas para cualquier sistema de seguridad. Las TI son un habilitador, pero son las personas las que hacen que todos los engranes de un sistema giren y consigan el objetivo de la seguridad. Son las personas las que atacan sistemas y las que lo defienden. Las tropas –personas- de Quaritch son las que se apoyan en la tecnología para atisbar un ataque; y es la tribu de los Navi la que trabaja en conjunto –apoyada en la naturaleza- para defender lo suyo. Hasta ahora, la mente de las personas es el elemento más importante de la seguridad, tanto en la ofensiva como en la defensiva. Es la mente de las personas que actúa directamente al instalar un control de seguridad y configurarlo, y es otra persona que idea cómo burlarlo. Se ha dicho hasta el cansancio que las personas son el eslabón más débil en la cadena de seguridad; pero por otro lado también son las personas en su rol ofensivo o defensivo que juegan un papel central y desde el punto de vista defensivo, son las personas en este rol las que constituyen el eslabón más fuerte. El mensaje que deseo expresar es que la seguridad se trata de personas, no de TI ni de procesos. Es la inteligencia que pone en marcha esos controles de TI y esos procesos de un sistema de gestión; cada sistema necesita de personas confiables para que lo manejen y que evalúen riesgos. La seguridad eficiente usa las tecnologías, pero se centra en las personas. Jake Sully era parte de ese sistema de seguridad para mantener alejados a los Navi y –ofensivamente- para penetrar en su mundo y extraer información. Ese mismo elemento, junto con Chacón y otras personas confiables, se vuelven contra el sistema para atacarlo. Finalmente, la seguridad de la base de los humanos, de la selva de los Navi y la vida de todos los involucrados gira en torno a –y depende de – las personas, no de tecnología ni de procesos.

Subestimación.

El coronel Quaritch sufrió, desde mi punto de vista, de una falsa seguridad, de una percepción de seguridad total para su base. Sabía que morirían algunos de sus hombres, pero su base? Inexpugnable. En su análisis de riesgos interno, no existían riesgos que afectaran los procesos fundamentales del negocio. Esos procesos eran aquellos para mantener la base a salvo de la tribu de los Navi. Y como tal, pensó en riesgo cero o tan pequeño que era aceptable y hasta despreciable. La seguridad no debe recaer en tecnologías únicamente (armas, helicópteros, sistemas de comunicación y navegación), sino en riesgos, en su evaluación correcta y en las mejores maneras de manejarlo. Jake Sully encontró la debilidad de los atacantes y por otro lado ubicó sus propias fortalezas. Observó que los sistemas humanos no trabajaban bien en ciertas zonas de la selva, vio fortalezas en la cantidad de aborígenes que podía emplazar y también en convocar a la naturaleza local para defender sus posiciones. Acertó en unir fuerzas y defender lo importante (árbol de las almas) para mantener la moral. Si subestimamos al adversario, estamos cayendo en un error. Hablando de seguridad de la información, debemos de actuar pretendiendo que seremos embestidos: la pregunta es cuándo seremos atacados, no si lo seremos. En seguridad, una dosis sana de pesimismo y paranoia es casi una necesidad.

Conclusiones.

No quiero aburrirlos, así es que ya mejor los dejo con una frase de Genghis Khan: “La fortaleza de una muralla depende del coraje y valor de aquéllos que la defienden”. Evaluar y manejar riesgos, contar con personas confiables y no hacer falsas subestimaciones dan a la seguridad de la información mucha de su fortaleza. Twitter: @FaustoCepeda.

domingo, 24 de enero de 2010

Consejos Rechazados Racionalmente.


¿Por qué los usuarios no siguen los consejos de seguridad? La red está plagada de cientos de sitios dedicados a dar todo tipo de recomendaciones para que los usuarios estén protegidos y aún así persiste la inseguridad. ¿Son flojos? ¿No les interesa? Tal vez sólo estén rechazando los consejos que yo y otros profesionales de la seguridad emitimos, pero de una manera racional; tal vez tengan razón en ignorarnos.

“El Rechazo Racional de los Usuarios a los Consejos de Seguridad” es un ensayo donde su autor, Cormac Herley (Microsoft Research), argumenta que el rechazo a los consejos de seguridad que son “aventados” a los usuarios es perfectamente racional y que les genera mucho más esfuerzo seguirlos que simplemente ignorarlos. A continuación, algunos de los argumentos de Cormac:

Exceso de consejos: listas de distribución, tweets, sitios y manuales orientados a dar consejos de seguridad viven en la red. Los diversos CERT, compañías de antivirus, Microsoft, varias ONG y profesionales de la seguridad –incluyéndome- cuelgan de la red sus consejos, las 10 recomendaciones básicas y lo que ningún usuario debe de dejar de hacer. ¿Por dónde empezar? ¿Quién tiene realmente sugerencias útiles y eficientes?

Por ejemplo, el US-CERT en su página ofrece: Información General (3 ligas con información), Seguridad General (9 ligas), Ataques y Amenazas (10 ligas), Correo y Comunicación (8 ligas), Móviles (6 ligas), Privacidad (5 ligas), Navegación Segura (8 ligas), Software y Aplicaciones (6 ligas). En un solo sitio se ofrecen 51 consejos y horas de lectura que se pretende hagan los usuarios de la red. ¿¿51 consejos?? Y eso es sólo el US-CERT. Me mantengo en la espera de ver quién es el que levanta la mano para decir que esto no es un bombardeo de “consejos” ofrecidos por los cientos de sitios distribuidos por la red, sin mencionar que los hay en N idiomas.

Consejos anticuados respecto a las contraseñas: varios de los consejos que giran alrededor de los “passwords” son anticuados y carecen de validez ante las amenazas actuales, analicemos algunos de estos consejos:

a) Contraseñas robustas: la tendencia actualmente es que los atacantes instalen troyanos en los equipos para –entre otros objetivos- robar todo tipo de contraseñas de los usuarios (de sitios bancarios principalmente). ¿De qué sirve una contraseña robusta y de 30 caracteres si con un keylogger o troyano se puede robar fácilmente? Sólo tiene cierta utilidad contra los ataques de aficionados anticuados que roban contraseñas con un ataque de diccionario. Cormac argumenta que hay una escasez de datos sobre la frecuencia y severidad de los ataques por lo que la reducción del riesgo es especulativo.

b) No escribir las contraseñas en papel: de hecho lo que no se debe de hacer es escribirlas y dejarlas a la vista. ¿Qué pasa si la escribo y la pongo en mi billetera? Mejor: ¿Qué pasa si divido mi contraseña y una parte la memorizo y otra parte la escribo y la guardo en la billetera? Con la cantidad de contraseñas que hay que memorizar es ridículo impedir que se escriban los passwords, pero eso sí, de manera inteligente.

c) Cambiar seguido las contraseñas: tal vez el consejo más inútil relacionado a las contraseñas. Honestamente, de qué sirve cambiarlo cada mes o cada tres meses? Si un troyano lo captura, se usará en horas y exageradamente en un par de días. Si alguien ve cómo tecleo la contraseña, no creo que se espere un mes para usarlo. Si en un Café Internet capturan mi contraseña de GMail, de qué sirve que la cambie cada tres meses? De NADA sirve cambiar la contraseña cada semana o mes, porque una vez que el atacante la obtiene, la usará en las próximas horas.

d) No usar la misma contraseña para todos los sitios: Twitter, GMail, Yahoo, Hotmail, Digg, ISC2, ISACA, banca en línea, Amazon, Delicious, Evernote, Tarabu, WordPress y Zoho son algunas de las cuentas que un servidor –léase yo- tiene; en promedio un usuario actual tiene 25 cuentas de sitios. ¿Deberíamos tener 25 contraseñas diferentes para cada uno de ellos? ¿Y sin escribirlos? Existen programas que administran contraseñas, pero la movilidad impide que me lleve mi programita (o el add-on de Firefox) a todos lados donde navego. ¿Cuántas personas tienen una contraseña 100% distinta para cada sitio? A lo más, algunos las tenemos híbridas: una parte nunca cambia y otra parte es la que varía. Recomendar usar contraseñas distintas y memorizarlas atenta contra el buen juicio: es el rechazo racional del consejo de seguridad.

Certificados digitales: ningún sitio de phishing (o que contiene malware) se molesta en tramitar certificados, simplemente carecen de ellos: ningún sitio fraudulento tiene certificados digitales válidos o inválidos. Por otro lado, los atacantes no andan sniffeando/husmeando la red en busca de números de tarjetas de crédito porque van directo a las bases de datos de la tienda en línea que almacena cientos de tarjetas (cuestión de costo-beneficio). Todos los errores de certificados que nos encontramos al navegar son relacionados a la caducidad de los mismos. En base a lo anterior, es racional ignorar los mensajes de error de certificados y simplemente darle “continuar”. Honestamente, cuántos de los usuarios (tal vez no los lectores de este blog sino “el resto”) se fijan en la S de https? Cormac nos dice: “there is no evidence of a single user being saved from harm by a certicate error, anywhere, ever.

Reconocer sitios Phishing al leer los URL: los largos y a veces ilógicos URL que componen un sitio válido son ya de por sí complejos para un usuario; realmente esperamos que un usuario distinga un URL válido de uno tipo phishing? http://www.paypal.store.com; http://www.amazon.validationcheck.com/credit.asp o http://www.libreriaelsotano.com/elsotano/es/cont?ref=5&cat=1, son URL válidos? Sinceramente, a primera vista puede que sí. ¿O no? Los informáticos nos encargamos de poner todos estos “http”, “www”, “/es/ref=5&cat=1” y demás caracteres ilógicos en los URL para asegurarnos de que fuera algo misterioso reservado para “los que entendemos de esto”. Eso sí, exigimos que los usuarios de Internet “pongan atención” y “sigan las buenas prácticas” para reconocer sitios fraudulentos. ¡Un momento! Ahí está un buen consejo –¿al fin?- de no dar click sobre links que lleguen por correo; pues no, otra falla, porque por otra parte tenemos a cientos de sitios válidos que mandan ligas por correo para que el usuario les de click…argghhhh!!

Conclusiones.

“Si tan sólo entendieran los peligros”, “Es que siguen ignorando los consejos”, “Todo pasa por no seguir las buenas prácticas”. Son comentarios de los de seguridad informática. Los invito a leer el ensayo de Cormac. Creo que tiene buenas ideas, nunca nos detenemos a pensar desde el punto de vista de los usuarios; no los avanzados, sino de todos aquellos que lo que quieren es hacer algo útil con el equipo. No son informáticos ni de sistemas, son contadores, médicos, arquitectos, mamás, papás y adolescentes que quieren escribir un documento de tarea, hacer banca en línea para ahorrarse la fila, quieren bajar música o leer un buen blog de finanzas personales. ¿Las buenas prácticas? ¿Los 51 consejos del CERT? ¿Las decenas de productos de seguridad que se anuncian como “imprescindibles”? En fin. Cormac nos dice: “Se supone que nosotros entendemos los riesgos mejor que los usuarios. ¿Lo hacemos? ¿Tenemos la evidencia que demuestre que los usuarios que sí siguen los consejos lo hacen mejor que los que los ignoran? ¿Y que esa diferencia vale la pena por el esfuerzo extra de seguir los consejos? Dada la opción entre cerdos bailando y la seguridad, los usuarios siempre seleccionarán a los divertidos cerdos bailando”. Recuerden que este blog trata de abrir sus mentes a otras ideas, espero haberlos invitado a meditar. Y no se olviden de seguir las buenas prácticas: no sé cuáles sean ni quién las establezca y bajo qué criterio se definan, pero síganlas. Twitter: @FaustoCepeda.

domingo, 17 de enero de 2010

Operación Aurora. Objetivo: Google.


¿Alerta máxima todo mundo porque Asia viene con todo? Si así fuera, estaríamos reaccionando al compás de las noticias; significaría que si Google no hubiera hecho público su ataque, entonces todos felices y tranquilos?

El ataque informático que sufrió Google -junto con Adobe y otras compañías del Valle de Silicio- y que anunció la segunda semana de enero, pudo haberse originado en cualquier entidad externa o interna e inclusive de mayor magnitud. Tal vez ahora mismo una organización está siendo penetrada y nunca se darán cuenta o preferirán el silencio. El objetivo de los profesionales de seguridad es siempre estar alerta, asumir que pueden ser abordados digitalmente y pensar que lo peor puede suceder en cualquier momento; en efecto, en nuestra profesión no hay cabida para el optimismo.

Independientemente de lo que pasó con Google y compañía, es necesario estar a la defensiva; el hackeo del gigante de Internet es sólo un eco a la distancia que nos recuerda que la tragedia puede pasar, y de que hecho, pasa.

A continuación algunas reflexiones de lo que me llamó la atención del incidente China-Google.

Feliz Navidad: la embestida al parecer inició aproximadamente el 15 de diciembre y acabó –más o menos- el 4 de enero. ¿Coincidencia? En lo absoluto, son las fechas en donde personal toma vacaciones y en general hay menos staff de TI disponible; también hay que confesar que se baja un poco la guardia. Es el tiempo correcto e ideal para llevar a cabo la intrusión; Sun Tzu lo haría en Navidad.

Factor Sorpresa: para lograr la intrusión a Google y Adobe (entre otras), se usó una debilidad en el navegador de Microsoft, Internet Explorer (se cree que se usaron otras debilidades en diversos productos). Significa que los perpetradores de la intrusión no son novatos e inteligentemente usaron una debilidad desconocida para el resto de nosotros (aunque no hay parche, MS publicó ya una notificación de la debilidad); tal vez ellos mismos la descubrieron o la compraron en el mercado negro de vulnerabilidades. También significa que por más parchado que tengamos en la infraestructura, no es suficiente; cualquier día de la semana un ataque dirigido puede encontrar nuevas y desconocidas debilidades en sistemas operativos, aplicaciones o en el software que opera la red. Olvidémonos de los antivirus (sus firmas detectan patrones conocidos) y los firewalls personales ofrecen protección limitada (depende de la naturaleza del ataque y de la capacidad y configuración de los firewalls personales). Para contrarrestar ataques dirigidos se requiere de seguridad a profundidad: defense in depth.

Seguridad real y percepción: me extraña que una entidad gubernamental alemana haya sugerido “no usar IE hasta que haya un parche que solucione la debilidad”. Absurdo, como si no hubiera debilidades en otros navegadores o en el propio IE, y eso suponiendo que se tiene todo parchado al día. Todos los sistemas operativos y aplicaciones tienen debilidades en estos momentos que pueden ser descubiertas para usarlas en un ataque. Y si el atacante no tiene la pericia para descubrirla, podrá usar una ya conocida y esperar que la víctima no haya parchado; difícilmente se puede tener el 100% de la infraestructura al 100% de parchado en un momento dado. La sugerencia alemana da la percepción de seguridad “qué bueno que alguien hace algo al respecto”; pero la sugerencia no da seguridad real.

Información con valor: todavía a algunos les parece hueca y sin fundamento la frase “la información tiene valor, es un activo de las corporaciones”. “¿Y eso qué rayos significa en el mundo real?”, comentan algunos en voz baja para no ser escuchados. Preguntemos a Google si le gustó que accedieran a la información de usuarios que él maneja o a su código fuente; están tan furiosos que están evaluando dejar el negocio en China. Y todo por unos bits intangibles, fríos y…sin valor (?).

Adversario colosal: si Google tiene razón cuando afirma que el gobierno Chino está detrás de los ataques digitales entonces significa, queridos amigos míos, que se enfrentan a un poderoso adversario. De entre la clasificación de atacantes, los gobiernos son los Tyrannosaurus Rex. Vastos recursos monetarios, humanos y tecnológicos. Un rival formidable, hasta para Google. David, en esta situación sólo resta sostener firmemente la honda; veo a Goliat tocando los puertos del ruteador.

Detalles, detalles, detalles: estoy esperando los detalles de la operación Aurora –como ya se le conoce- y tal vez sea una espera interminable. Los detalles no sólo satisfacen la curiosidad, sino que nos hacen voltear hacia nuestra infraestructura. ¿Es cierto que usaron links para dirigir a los usuarios hacia sitios maliciosos? ¿Cómo inyectaron el troyano? ¿El código malicioso se colgó de un thread del IE? ¿Es cierto que el malware - Trojan.Hydraq -usó el puerto del navegador y el propio IExplorer para pasar inadvertido? ¿Qué protecciones/controles tuvo Google al momento del ataque y con qué configuración? ¿Cómo lo detectaron finalmente? Ahh, tan pocas respuestas y yo tan sediento.

¿Qué estamos haciendo para no ser la próxima víctima? ¿O pensamos que eso sólo le pasa a Google? Nosotros también somos un blanco, la diferencia sólo puede ser que nuestra tragedia no llegue a los titulares. Twitter @FaustoCepeda.

domingo, 10 de enero de 2010

Las No-Predicciones de 2010.


Es inevitable que al final de cada año –y las primeras semanas del nuevo-, aparecen bajo cada piedra las famosas predicciones de los siguientes 12 meses. Y aún no logro acostumbrarme a las dichosas predicciones, ya que personalmente me parece que carece de sentido jugar a la pitonisa con un tiempo tan estrecho; más sentido tiene ver a cinco años en adelante.

Y la seguridad de la información no se salva de las predicciones para este año 2010. En estas semanas recolecté varias de éstas y me puse a pensar en que la mayoría no aportaban nada realmente nuevo y eran de cierta forma obvias; confirmé mi disgusto por estos intentos de ver el futuro en un lapso tan corto de meses (con algunas pocas excepciones). Veamos algunas:


Aumentan las amenazas en redes sociales: varias de estas redes son muy populares y ya se dirigen ataques a ellas; no es sorpresa que los atacantes no sólo mantendrán, sino que aumentarán su interés en las redes sociales para sacar algún provecho económico.

Windows 7: nuevo SO en el vecindario significa que se ha convertido en un blanco; no tan popular como XP (quien es el rey del vecindario y el mayor adversario a vencer por Windows 7 en ventas), pero sin bola de cristal se puede saber que a medida que cambie la preferencia de XP a W7 en los usuarios, así también lo harán los “malosos”.

MacOS: esta plataforma ya está cada vez más en el radar de los atacantes y aumentará a la par de las ventas del SO.

El código malicioso se vuelve móvil: vemos teléfonos inteligentes por doquier con acceso a Internet, ahí está un gran pastel que hay que aprovechar. Aunque en esta predicción hay un detalle y es que a diferencia del mundo de las PC, aquí no tenemos un SO tan dominante, así es que habrá que escribir malware para cada plataforma; pobres(?), qué tedioso.

Autenticación de doble factor: leí por ahí que en 2010 el “Two-factor Authentication” será más la regla y no la excepción. En lo personal, no puedo ver que esto suceda en 2010; es muy fuerte decir que será la regla. Si esto sucede, sí que sería una predicción que no vi venir.

Adopción de “Web Application Firewalls”: pienso que seguirá la tendencia en corporativos por conseguir estas herramientas, pero no veo un boom, sino una tendencia que se mantiene con un crecimiento consistente con años pasados.

Surgimiento del “Scareware”: las ventas engañosas de software que parecen válidos vía el miedo ya vive y se reproduce entre nosotros; ni va a surgir en 2010 ni hará un boom, simplemente seguirá su tendencia alcista en congruencia con el 2009. La peor de las dizque “predicciones” porque el scareware es ya un hecho y llegó para quedarse y simplemente seguirá su maduración.

Nueva legislación en EUA: a raíz de la crisis económica mundial el Congreso de los EUA elaborará (o modificará) nueva legislación –tipo SOX- que le va a pegar de refilón a la seguridad de la información en las empresas. ¡Uf! Esta de hecho podría ser una buena predicción 2010, si se hacen los cambios, bien podrían ser en este año.

Mundial 2010: es obvio que con este evento mundial habrá spam y malware relacionado directamente con el acontecimiento futbolero; no hay nada visionario en esto.

En conclusión, todo lo que vimos en 2009 en cuestión de ataques seguirá su maduración en este 2010. Los crackers intentarán seguir un paso adelante en cuestión de sofisticación y seguirán cayendo víctimas como hasta ahora utilizando para ello juegos en línea, redes sociales, viejos y nuevos SO; la web es el límite y lo que se conecte a ella. Es un año lleno de trabajo para los que nos dedicamos a la seguridad de la información. Y mi predicción es que seguiremos teniendo trabajo por muchos años más. Nos “tuiteamos” en línea @FaustoCepeda.