domingo, 25 de julio de 2010

Ya pues, Llévatelo.


Me imagino la conversación.

- Si nuestro dinero te quieres llevar, tu código fuente nos debes de dar.

- Pero, así nada más? Es que…saben? Nuestro código fuente es nuestro negocio, seguro no lo van a usar para fines comerciales, cierto? ¿O peor, para “otros” fines?

- Tú tranquilo y nosotros preocupados. Somos el gobierno ruso…acaso no confías en nosotros?

- Ya pues, llévatelo.

Recientemente, Microsoft (MSFT) anunció que daría acceso al código fuente de varios de sus productos al gobierno de Rusia a través del Servicio de Seguridad Federal ruso.

Tendrán al Windows Server 2008, Office 2010 y SQL Server. Por un lado, los rusos quieren ver el código fuente para verificar que no tenga backdoors (funciones no deseadas o no esperadas) y para ponerle criptografía –de alguna manera según ellos- a algunas partes de los productos de MSFT.

Analicemos el hecho de darle el código fuente a un gobierno extranjero.

a).- Encontrar bugs se facilita. Es mentira que si no tienes el código fuente no puedes encontrar vulnerabilidades en el software (cada segundo martes, MSFT nos lo recuerda con la publicación de sus benditos parches).

Pero si tienes el código fuente, el hecho de encontrar estos bugs se facilita y tienes un mucho mejor entendimiento del funcionamiento interno de un programa directamente viendo el código fuente (y sin usar des-ensambladores).

Ya sé qué están pensando. “Pero cualquiera puede tener acceso al código fuente de Linux también, cuál es el problema en tener el de MSFT”? Ajá. Aquí va: mientras que todos tenemos acceso al código fuente de Linux, en el caso de MSFT, sólo unos cuantos tienen acceso completo a él. ¿Ven la diferencia? Eso es jugar en desventaja porque sólo algunos pueden analizar el preciado código fuente.

b).- Ejecutables (binarios) vs código fuente. Tú sospechas de mi programa; me pides el código fuente para “analizarlo”. Te lo entrego. Lo revisas. Estás tranquilo sabiendo que no esconde nada raro. Yo me río: el código fuente que te di a revisar no es el mismo que está “viviendo” y ejecutándose en tu sistema. Get it?

c).- Windows en sistemas críticos. Si yo fuera del gobierno de EUA, le ordenaría a MSFT no entregarle el código fuente a un gobierno extranjero o en todo caso, ver cuáles son los términos de entrega dentro del marco del programa Government Security Program y hacer los ajustes necesarios (espero hayan hecho esto último).

El problema de entregar esto a un estado foráneo es que muchos de los sistemas de misión crítica (infraestructura, seguridad nacional, milicia) tienen Windows (al menos en EUA). Cosa que en primera instancia está…mal. Desde hace mucho debieron ordenar poner en esos sistemas de misión crítica un sistema operativo con seguridad en mente.

OpenBSD, FreeBSD…tal vez AIX, NetBSD o hasta un Windows endurecido (hardening). Pero instalar un Windows con sus default con el típico next, next, next, finish y dar por sentado que ya podemos empezar a manejar esos sistemas que administran una presa o una planta eléctrica, pues sí que deja mucho que desear. Aclaremos, usar Windows no es el problema, sino las decisiones que hiciste al instalarlo y el endurecimiento posterior que no hiciste.

En fin, y todo por las ganancias. Entiendo que MSFT dio este código fuente para ver si el gobierno ruso se animaba a comprarles más licencias. Si los rusos de verdad obtienen el código fuente que se ejecutan en los sistemas (¿en serio le dieron el “bueno”?), entonces podrán analizarlo calmadamente, ver sus debilidades informáticas y usarlas aquí y allá en sistemas de EUA y por qué no, de otros países.

Se me olvidaba preguntar. Microsoft es una compañía de EUA. ¿Es razonable pensar que el gobierno de ese país tiene acceso a las entrañas de los productos de esa empresa desde hace años? Ups.

Quisiera seguir con el blog. No hay tiempo, debo revisar unas comunicaciones extrañas de mi Vista hacia una dirección IP en Rusia. No creo que…no, claro que no.

Nota: esto de la entrega de código fuente no es la primera vez que sucede. Ha sucedido en el pasado y sospecho que sucederá en el futuro.

domingo, 18 de julio de 2010

Lo dan por Muerto…pero Vive.


Recuerdo bien ese día. El jueves 8 de julio por la mañana me encontraba tomando un buen café y empecé a revisar las noticias del día (las de seguridad, porque las nacionales me deprimen por el resto de la jornada). Y ahí estaba, la pre-notificación de los parches de julio de 2010 de Microsoft.

Al final de la pre-notificación, se encontraban dos líneas informando que este mes sería el último que se soportaba XP SP2; no habrá más parches. Así no más, como un anuncio rutinario, se anunciaba –tal vez- por última vez que no habría más parches para XP SP2. Habrá que irse al XP SP3, a Vista, W7 o los más radicales, a otro sistema operativo si es que se desea seguir recibiendo actualizaciones.

No necesito apoyarme en estadísticas para afirmar que un porcentaje importante de los usuarios caseros y hasta corporativos de Windows al día de hoy tienen aún XP SP2. Se ha llegado a decir que estos usuarios se ponen en riesgo dado que estarán con un operativo ya sin parches de seguridad.

El ejemplo más claro de la muerte de XP SP2 (atención, escépticos) es que el fabricante abordó el tema de una debilidad de día cero (sí otra) el pasado viernes 16 de julio y a pesar de que XP SP2 es vulnerable, simplemente lo ignoraron y lo dejaron de lado; y junto con él a los usuarios que lo ejecutan día a día.

Se dice que ahora los hackers brincarán de alegría, ya que saben que no se emitirán más parches para el XP SP2 y que podrán explotar nuevas debilidades sin que haya una respuesta del fabricante…un verdadero caldo de cultivo de exploits. ¿Será?

¿Saben qué pienso? Que los que no actualizaron: a).-No les interesa. b).- Ignoran el riesgo al que se enfrentan. c).- No pueden actualizar.

A quienes no les interesa puede ser porque piensan que “eso de la seguridad” es pura mercadotecnia para vender productos de seguridad y por lo tanto les da “X” tener o no tener parches de seguridad. O simplemente tienen interés en otros temas “prioritarios” de TI.

Quienes ignoran el riesgo de no parchar, probablemente nunca lo han hecho consistentemente o lo han hecho sin saberlo (automáticamente gracias a Windows).

Algunos no podrán actualizar porque su copia de Windows es pirata o porque tiene un error y no se actualiza. Probablemente su sistema es ya un zombi.

Al punto que quiero llegar es que los que actualmente migraron a XP SP3 u otro operativo soportado es porque les interesa, están al tanto, son responsables o saben el riesgo de quedarse en SP2.

¿Qué hacer con los que tienen SP2? Según el fabricante, creo que lo que quiere decir es que se pueden ir al diablo (o al hacker, que es peor). Cada quien tendrá su historia de por qué aún tiene SP2, otros ni historia tendrán ya que su primera pregunta será “¿Qué rayos es Service Pack 2”?

Desde la perspectiva del fabricante de software, sería muy costoso soportar cada una de las versiones que han salido al mercado y de ahí que establecen un tiempo de vida del producto para darle soporte (¿alguien tiene Windows 95?). Por otro lado, si un usuario pagó por su Windows NT, por qué diablos lo obligan a comprar otro sistema operativo? Al menos en otros casos se encuentran refacciones aquí y allá…un amigo tiene un Datsun 79 y sigue circulando después de todo.

En fin, Microsoft le puso fin al SP2 de XP, pero basta asomarse en el vecindario llamado Internet y lo verán dándole vida a miles de computadoras alrededor del mundo…faltan varios años para ver el día en que podamos decir “No hay más XP SP2 en los sistemas”.

Por cierto, tú tienes todavía XP SP2 en tu máquina?

domingo, 11 de julio de 2010

Lee Esto y Pasa el CISSP.


Seamos sinceros, no porque leas esta entrada vas a pasar el examen de certificación CISSP. Así es que dejando de lado el hecho de que el título de este post haya sido un vil gancho para que leas el resto del texto, te puedo decir que sí vamos a abordar algunos tips que pueden ayudar a pasar el ¿temido? examen para alcanzar el CISSP.

CISSP significa Certified Information Systems Security Professional y la responsable de esta certificación es la ISC2 (International Information Systems Security Certification Consortium). Pienso que a nivel mundial es de las más reconocidas en el tema de seguridad de la información.

CISSP nos debe de interesar ya sea porque la deseamos obtener o porque como empleadores la podemos exigir, así es que no está de más conocerla y saber que la podemos presumir al pedir un trabajo (relacionado con seguridad) o bien, pedir como empleadores (si buscamos a alguien que llene una vacante de SegInfo).

CISSP maneja el llamado CBK (Common Body of Knowledge) que consta de 10 dominios como por ejemplo Control de Acceso, Criptografía o Seguridad Física.

El examen consta de 250 preguntas, cada una con cuatro posibles respuestas (opción múltiple). Uno tiene 6 horas para contestar y acabar el examen (más o menos hay que completar 41 respuestas por hora).

Al pasar el examen de certificación, el poseedor del CISSP demuestra que tiene conocimientos y experiencia en el ramo de seguridad de la información. Y sí, el examen intenta salirse del esquema “apréndetelo-de-memoria”, ya que por ejemplo, es común que nos provea de dos respuestas correctas, pero una de ellas es “más correcta” y hay que saber seleccionarla (todavía tengo pesadillas con eso del “choose the best answer”).

Existen opciones donde uno puede ir a un curso presencial o hasta en línea con duración de semanas o meses (depende del esquema); la idea es que preparen al estudiante en los temas que se estarán viendo en el examen. No voy a hablar de estas opciones porque yo no tomé ningún curso (desconozco qué tan efectivos son). Llámenle flojera, pero prefiero estudiar bajo mis condiciones de tiempo y espacio, así como resolver yo mismo mis dudas. Cada quien debe de ver qué camino le conviene más.

Ahora bien, para estudiar uno mismo, es necesario –creo- comprar un libro. En Amazon hay varias opciones (busquen “CISSP”), aunque el que yo recomiendo es el de Shon Harris: All In One CISSP Certification. Está choncho, pero tiene la letra grande y para mi gusto está muy bien explicado (a diferencia del texto del autor Krutz). No sobra decir que en mi opinión, leyendo cualquier libro o resolviendo mil preguntas-tipo no es suficiente para pasar el examen. Tienen trucos para dejar fuera a los virtuosos de la memoria, y esos trucos tratan de evaluar si el estudiante ha tenido contacto con “el mundo” de seguridad de la información.

Cuando agarras tu libro y te pones a estudiar, obviamente tienes que apartar tiempo. ¿Cuánto? Yo le dediqué unas tres horas semanales por un periodo de aproximadamente 6 meses donde leí varios libros y resolví no pocas preguntas que encontré en dichos libros y algunas en línea. Tomen en cuenta que soy de lento aprendizaje; estoy seguro que hay gente que le dedica menos tiempo y es exitosa en el CISSP.

Las preguntas “tipo” que encontré en línea, la verdad no fueron parecidas a las del examen. Me ayudaron a cronometrarme y ejercitar el ambiente para cuando llegara el momento de la verdad. Desconozco si actualmente existen preguntas más parecidas en línea (yo hice el examen hace ya 5 años, sin embargo actualmente hay libros que prometen).

Aunque algunas personas me han dicho que es un hábito irrespetuoso y hasta cobarde (¿WTF?), yo acostumbro subrayar las partes que me parecen más interesantes de un libro o que creo que debo de repasar en un futuro. Es lo que hice con el libro All In One de Harris, sin mencionar que realicé apuntes para explicarme conceptos que no tenía claros (y que busqué en otros libros o en línea).

Asimismo, hice resúmenes de cada dominio y eran portables (los podía sacar en pequeños tiempos muertos como la fila del súper, transporte público, antes de dormir, etc.). Lo anterior significa que si bien le dedicaba 3 horas dedicadas semanales al CISSP, realmente estaba repasando varias veces al día los conceptos más apremiantes.

Aunque al final –en mi caso- las preguntas tipo no serían muy parecidas a las del examen, resolví preguntas del libro de Harris, del de Krutz y del Official ISC2 Guide To The CISSP Exam. Es importante para entrar en el ritmo de preguntas-respuestas y ver que efectivamente podamos resolver 250 preguntas en 6 horas.

La misma autora Shon Harris publicó un curso por medio de un video, y aunque no lo he visto, si estuviera por hacer el examen definitivamente me lo compraría (como ven, me encantó su libro).

Ya por último y un poco fuera de tema, hablemos de algunas críticas hacia la certificación CISSP. Unos dicen que una certificación no demuestra que realmente sabes; y para ese caso, lo mismo podemos decir de un título universitario y perdón, pero los empleadores se fijan definitivamente en estos papelitos (nos guste o no).

Otra crítica es que el CISSP es teórico y que puedes pasarlo sin saber configurar un firewall o limpiar manualmente un gusano de una computadora. En eso estoy de acuerdo, aunque precisamente ese es el enfoque de la certificación. Yo aquí sugeriría complementarlo con otras certificaciones –mucho- más “prácticas” como por ejemplo las que ofrece el SANS con sus GIAC o el EC Council con su Certified Ethical Hacker.

He escuchado quejas relacionadas al hecho de que hay que pagar un mantenimiento para conservar el CISSP. Es un pago anual de 85 dólares. ¿Qué puedo decir? Así está la cosa, si no quieres pagarlo y lo consideras injusto, simplemente, no lo hagas y ya, no?

Conclusión: yo no tengo “la verdad” para obtener el CISSP (¿quién sí?). Otros que lo hayan conseguido les podrán decir otras sugerencias tal vez mejores que las que yo expuse aquí. Les podrán hablar probablemente de los cursos de preparación que hay en México y otras opiniones y recursos de información de valor. Contacten a estos CISSP si los conocen en persona o busquen por ejemplo a los CISSP que tienen Twitter/LinkedIn y pregunten por recomendaciones. Por cierto, échenme un tweet si los puedo ayudar en algo: @FaustoCepeda.