domingo, 25 de abril de 2010

A la manera de la Manzana.


¿Libertad para instalar lo que quiera y hacer con mi equipo personal lo que desee? Sí, para eso compro una computadora: el control lo tengo yo. Sin embargo, con esa libertad viene una responsabilidad y un conocimiento para no caer en las redes del crimen en línea.

El otro extremo es el de un esquema controlado que bien podría ofrecer un ambiente seguro. Transfiero el control a alguien más que vela por mí.

A donde voy es al esquema cerrado, restringido y arbitrario de los iPhones y los iPods que funcionan con la tienda en línea iTunes: hay algo que podamos rescatar de este enfoque?

¿Qué pasaría si nuestro equipo de cómputo (de cualquier marca) estuviera igualmente restringido por medio de algo así como un Big Brother? Y digo “algo así” porque aunque no nos espiaría, sí controlaría nuestro entorno computacional. Pues bien, esto es lo que sucedería. No podríamos instalar cualquier aplicación sino la que apruebe Big Brother (buena suerte si alguien desea que le aprueben un malware, troyano o spyware). En este entorno controlado, alguna aplicación que cause problemas generalizados (inestabilidad) sería retirado a la brevedad, lo mismo con un código malicioso que se hubiera podido colar; recuerden, Big Brother lo controla todo.

Las actualizaciones de software no serían opcionales. Vulnerabilidades parchadas a la fuerza. ¿Navegar en cualquier sitio? Sólo en los que estén aprobados (los que sean sitios inseguros serán prohibidos y desgraciadamente también podrían serlo aquellos sitios benignos pero que Big Brother no quiera que visitemos).

En pocas palabras, estaríamos viviendo en un ambiente de TI dictatorial, cerrado y limitado pero satisfactoriamente seguro (si ese es también el enfoque que se le da y no sólo controlar velando por un bien corporativo). No es que el software de la Manzana sea perfecto ni seguro (está lejos de serlo al igual que otros sistemas operativos), pero su esquema controlado le permite hacer una mejor labor para mantener a ese software rebelde fuera de casa.

¿Este esquema sería para todos? No, los usuarios avanzados serán los primeros en rechazar estas limitaciones y tal vez otros tipos de usuarios. Pero para aquellos usuarios que preferirían tener un ambiente controlado a cambio de dejar “todo eso de la seguridad” a alguien más, pienso que podría funcionar. Pensemos en mi tío a quien le he tenido que instalar diversos productos de seguridad y dar varios consejos y que aún así ha tenido sus “resbalones”. ¿Sería adecuado para él un esquema cerrado?

Quítale el control al usuario y lo que tendrás es un ambiente seguro y con menos fallas en su operación. Varias áreas de sistemas de corporaciones hacen precisamente eso: los usuarios tienen nivel de lo que son, de “usuarios”, y no se les permite instalar lo que quieran. Igualmente navegar está restringido y hasta lo que se puede conectar a la computadora vía USB (entre otras prohibiciones).

Quítale el control al usuario. Sirve en las corporaciones. Sirve en los iPhones (sin jail-break) y iPods conectados a iTunes. ¿Serviría en la computadora de un usuario casero? Tal vez habría menos problemas de soporte técnico y una seguridad controlada; eso sí, habría que pagar un precio y de hecho muchos ya lo pagan hoy en día al ser dueños por ejemplo de un iPhone.

Ahora bien, hablando de ambientes corporativos: si el lector es integrante de un área de sistemas y los usuarios reinan sobre los equipos, dele una meditada y piense cuántos casos de soporte se puede ahorrar y cuánto puede incrementarse el nivel de seguridad en la empresa si da fin al reinado del usuario y lo otorga al área de informática. ¿Gusta la idea?


domingo, 18 de abril de 2010

La respuesta es NO.


“¿Podemos arrancar el proyecto de redes inalámbricas?” “¿Podemos conectarnos vía red con nuestro socio comercial?” “¿Podemos dar a nuestros clientes la opción de consulta en línea?”

Las tecnologías de información han pasado de ser un área tecnológica a una de negocio ya que funge como habilitadora de los objetivos que tiene una compañía. Esto ha afectado también al área de seguridad de la información que históricamente se ha centrado en la parte de seguridad informática y ya de manera más reciente se ha centrado en la protección de la “información” como tal. Varias áreas de seguridad continúan con el viejo paradigma de responder “No” a todo proyecto nuevo porque es ; se han negado a ser un habilitador y un factor que haga mitigar el riesgo en lugar de simplemente evadirlo.

Siempre se pueden encontrar “buenas” razones para detener un nuevo proyecto porque es ; podremos encontrarnos con profesionales de seguridad de la información que preferirían apagar redes y equipos porque sólo así tienen un nivel de seguridad aceptable. Tienen que venir indicaciones de “allá arriba” para acallar las voces de y seguir adelante con el proyecto.

Controles compensatorios, mitigación del riesgo y habilitador del negocio deben de ser conceptos conocidos y dominados ampliamente por las áreas de seguridad de la información. Responder debe de dejar de ser la respuesta más usada y utilizarla cuando realmente sea necesaria.

Las áreas de seguridad deben de dejar de ser vistas como un impedimento o como obstáculo. Deben de caminar hacia respuestas como “Vamos a ver la manera de que se lleve a cabo”, “Existen controles compensatorios que de implementarse permitirían la puesta en marcha de esa red inalámbrica”, “Analicemos juntos el proyecto, creo que sin gastar dinero podemos fortalecer la seguridad”, “Integrémonos a tu grupo de trabajo para que el proyecto nazca ya con los controles necesarios”, “No te daremos más trabajo, de hecho nosotros haremos las actividades de mitigación del riesgo”.

La seguridad de la información es el medio para alcanzar una meta, no un fin en sí mismo. Tal vez ya muchas áreas de seguridad y su personal ya han entendido eso (y lo han hecho por años), bien por ellos. De no ser así, nunca es tarde para verse como habilitadores y dejar de dedicar el tiempo a crear interminables reglas, usar la política de seguridad para agregar obstáculos y responder “No” a cuanta solicitud llegue.

Hoy en día, pienso que no basta con ser experto o profesional de seguridad de la información y entender de desbordamientos de memoria, inyecciones de SQL, malware, cross-site scripting, web application fuzz testing o cross-site request forgery. También hay que entender bien el negocio y a lo que se dedica, cómo obtiene ganancias (ejemplo: necesidades del cliente) y cuáles son sus prioridades.

domingo, 11 de abril de 2010

Contratando en el Underground.


“Programador en Java, experiencia mínima de 3 años”, “Desarrollador Web para laborar dentro del departamento de RH”, son sólo unos ejemplos de las posiciones solicitadas para algunas corporaciones. Igualmente el crimen organizado en línea requiere de llenar “posiciones” dentro de sus “empresas”, cuáles podrían ser?

Steven Chabinsky, que trabaja para el FBI, se dio a la tarea de describir –en base a su experiencia- los puestos que se están requiriendo para “laborar” como “profesional” del mundo del crimen en línea. A continuación algunos ejemplos de dichos puestos:

Administradores: al igual que una PyME, se requieren administrar servidores, mantener bases de datos y una red para la organización del crimen en línea.

Vendedores: una vez que se roban los datos de las víctimas, es probable que éstos se quieran vender en el mercado negro (claro, el propio “negocio” también los puede usar). Los vendedores deben de ser hábiles al encontrar compradores “confiables” en el mercado negro, saber negociar precios (los costos dependen de qué tipo de información se está vendiendo: no es lo mismo hablar de números de tarjetas de crédito que de débito o nombres de usuario -y contraseñas- de cuentas de correo), saber vender sin llamar demasiado la atención de las autoridades y llevar registros detallados para entregar cuentas al “negocio”.

Crackers: definitivamente el puesto más requerido son los que encuentran, prueban y automatizan la explotación de vulnerabilidades de software. También parte de sus “responsabilidades” puede ser el de Investigador, si es que se desea encontrar y usar debilidades no conocidas aún para cierta aplicación o sistema operativo (de día cero).

Programadores: es el codificador, dado que los exploits, troyanos y demás códigos maliciosos deben de ser programados (no salen de repente). Un programador tiene también buenas bases para entender cómo saber encontrar debilidades (a fin de cuentas, las debilidades fueron a su vez “creadas” por otros programadores). En mi opinión, este rol lo cubre perfectamente el cracker, tal vez aplique en el caso de que éste requiera ayuda.

Defraudadores: aunque tal vez este rol lo absorba otro puesto, se requiere alguien que piense en la manera de defraudar, de engañar a la víctima para que caiga en una trampa y de llevar a cabo el engaño que programó el cracker. Algunas veces se requerirá escribir un correo convincente para que la víctima le dé click sobre una liga que lo lleve finalmente al sitio malicioso, otras veces se requerirá por ejemplo idear un “gancho” en 140 caracteres para que un usuario de Twitter dé click en una liga maliciosa.

Contadores: controlan las “cosas” de dinero de la “firma”: gastos, egresos, sueldos, pago por uso de instalaciones y/o infraestructura, ganancias y todo lo relativo a la cuestión económica de la “corporación”.

Money Mule: no supe cómo traducir este término de manera que se entendiera plenamente a qué me estaba refiriendo, así que lo dejé en inglés. Un “money mule” se refiere a una víctima que sin saberlo es engañada para transferir dinero robado hacia una cuenta de un criminal. Muchas mulas son engañadas con avisos de “Empléate desde tu casa”. Para gran parte del crimen online, las mulas son un elemento básico de su “negocio” ya que proveen flujo de efectivo y capitalizan el robo. Más información sobre estas “mulas” aquí.

Alta dirección: los dueños del negocio, que muchas veces son los mismos crackers que “emprendieron el negocio”.

Ya por último, una aclaración. Todos los roles anteriormente descritos pueden ser ejecutados sin problema por una persona (el cracker) y así ha sido históricamente. Independientemente de si estamos o no de acuerdo con el tipo de roles que pudieran existir en crimen en línea, lo importante es saber que actualmente varios “negocios” obscuros online han crecido de tal manera que ya no es conveniente que uno solo haga el trabajo, de ahí que al igual que una PyME, se irá consiguiendo personal adicional que ayude en las tareas diversas del “negocio”. Restaría que hubiera un sitio como Monster, OCC o Bumeran donde se “posteen” las vacantes para trabajar con el crimen electrónico (tal vez ya exista; sé que actualmente se usan foros underground o la recomendación de “boca en boca” para buscar candidatos, entre otros métodos).