viernes, 29 de abril de 2011

Vacantes de SegInfo


¿Qué busco en un candidato que desee llenar un puesto de seguridad de la información? Varias personas me han expresado su interés por saber qué busca un empleador en un candidato que desea llenar una vacante de seguridad, sobre todo cuando se es recién egresado con poca o nula experiencia laboral. Partiendo de este punto, aquí les va mi opinión.

Los primeros 5 incisos que expondré sería mejor saberlos por haber trabajado con el candidato. Probablemente el empleador pueda saberlo si el candidato trabajó de servicio social en la empresa, si fue alumno de un profesor que se conozca o si se colaboró con el candidato en una clínica u otro trabajo.

Si no hay algún contacto directo con el candidato (o al menos indirecto por medio de algún conocido cercano y confiable), el empleador echará mano de una entrevista (esto último no es óptimo ya que en tan sólo 60 minutos tendremos que obtener “la verdad” y podrías no obtenerla u obtenerla parcialmente).

A).- Interés por la seguridad. Básico, no? Quisiera a alguien que le interese (o mejor aún que le apasione) la seguridad. Es diferente a alguien que simplemente le interesan temas de sistemas y redes y no tiene un interés especial por la seguridad. Aguas, no estoy diciendo que tiene que saber de seguridad, sino que le guste e interese el tema. Por ejemplo, tiene un blog de seguridad? ¿Participó en una conferencia? ¿Colaboró en un paper? ¿Desarrolló una herramienta?

B).- Actitud. Nada que ver con seguridad pero la actitud que se tiene es importante para mí. ¿Pones caras cuando te dejan un proyecto? ¿Estás de jeta constantemente? ¿Ves el vaso medio vacío?

C).- Autodidacta. En esto de la seguridad prácticamente no necesitas a alguien que te enseñe para dominar temas de seguridad. Internet y libros sobran para aprender. La escuela nos malacostumbra al ponernos a un fulano enfrente para darnos todo digerido. En un ambiente laboral ya no hay un cuate frente a ti diciéndote la neta, ahora estás tú solamente..y hay trabajo que debes hacer.

D).- Proactivo. Esperas a que las cosas sucedan o haces que las cosas sucedan? Básico.

E).-Intereses por libros. Leer blogs de seguridad está bien. Mejor aún es que te guste leer libros. Y de preferencia libros de seguridad; pero sí que se tenga el hábito de la lectura.

Ahora bien, los siguientes puntos son importantes pero no determinantes para mí y bien pueden ser compensados con los primeros cinco que ya vimos.

+ Buen promedio. ¿Qué promedio tuviste en la Universidad? Para mí un ocho (en una escala de 1 al 10) es aceptable.

+ Examen interno. Varias empresas manejan exámenes internos de computación donde se preguntan cuestiones básicas de sistemas o de lógica. ¿Pasaste el examen?

+ Examen de seguridad. Adicionalmente se puede presentar un examen de seguridad al candidato. A mí me gusta que lo presenten. Como no espero que seas un experto, obvio las preguntas no serán específicas ni difíciles. Pero me agradaría saber que tienes algunos conocimientos básicos de seguridad; si no lo pasas, me basaría en el inciso A (interés por la seguridad) para tomar una decisión.

Conclusiones. Traté de poner lo más relevante que deseo saber de un candidato a llenar una vacante de seguridad. Tal vez se me escaparon algunos puntos importantes.

Si eres de los que quieren entrar a un área de seguridad en una compañía, qué te parecieron los puntos que expuse? ¿Quitarías algunos? ¿Agregarías otros más? Y más importante aún: cómo los demostrarías? Sobre todo si tienes 60 minutos de entrevista.

Si eres empleador, tú qué buscas en un candidato que desee llenar una vacante de seguridad? Algunos prefieren que entre un “diamante en bruto” y luego ya irlo perfilando con cursos y proyectos a esto de la seguridad. Otros se basan en el promedio de la Universidad y hasta de qué Universidad son egresados. ¿Tú cómo evalúas a un candidato?

Nos estamos tuiteando @FaustoCepeda.

domingo, 24 de abril de 2011

Servidor Web + Base de Datos = ?


Probablemente no hayamos escuchado de Barracuda Networks. Es un fabricante de productos de seguridad: anti-spam, web application firewall y VPN entre otras soluciones. Siguiendo la tendencia de las últimas semanas (me refiero a los hackeos de compañías relacionadas con seguridad como HBGary, RSA, Comodo, Ashampoo, etc.), el sitio web de esta empresa fue hackeado.

Una precisión: el hackeo no fue tal cual al sitio web de la empresa, sino a la base de datos conectada al sitio. Este tipo de penetraciones a las bases de datos las estamos viendo cada vez más seguido desgraciadamente. Lo que llama la atención es que Barracuda es una empresa de seguridad cuyo sitio web estaba protegido precisamente con uno de sus propios productos WAF (Barracuda Web Application Firewall). Los atacantes lograron extraer información de las bases de datos como nombres, correos de clientes, partners y empleados. Tal vez no fueron datos de altísima importancia, pero vaya que el asunto resultó vergonzoso para la compañía.

La historia resumida es que apagaron su producto de seguridad por cuestiones de mantenimiento por aproximadamente un día. Se podrán imaginar el resto. Quisiera atraer su atención a los siguientes puntos:

Scanners automáticos. Aunque no lo creamos, existen scanners de atacantes que automáticamente “revisan” los sitios web en Internet. Una de estas herramientas fue la que detectó que el sitio web estaba desnudo. Dejar nuestro web pelón aunque sea por unos minutos (y peor.. algunas horas) puede tener consecuencias. Y sorpresa: esto sucede automáticamente.

Guarura personal. Podemos poner nuestro sitio web con alguna protección (por ejemplo algún firewall a nivel aplicación). Podemos no protegerlo de esta manera, así que entonces tendremos que pensar en controles compensatorios (endurecimiento del servidor web, contenido estático, etc.). Poner hoy en día un sitio web “ahí no más” es ser muy temerario. Ejemplos sobran.

Con el guarura..basta? Los filtros web como los llamados WAF -web application firewall- van a dar la cara por el web y sus contenidos. ¿Quiere decir esto que puedo ignorar al SQL injection? ¿Podemos dejar que las aplicaciones web se codifiquen para que sean funcionales y no seguras? La respuesta se basa en qué tanto confiamos en nuestras protecciones perimetrales (web firewall) y sobre qué deseamos que descanse nuestra tranquilidad. Idealmente deberíamos perseguir una seguridad en ambos frentes y no depender del WAF solamente. Pero ya saben, una vez que contamos con esta herramienta, ahí tendremos a los desarrolladores diciendo que para qué se esfuerzan tanto “psss si ahí stá la protección esa”.

Protégete continuamente. Si tienes protección a la mano, úsala. No la apagues y si lo haces, realiza lo mismo con el bien que está protegiendo (apagas el firewall del web.. apagas el web) o lleva a cabo otra acción. Los señores de Barracuda apagaron su protección .. “nomas tantito”.

Compañías de seguridad seguras. Err, no realmente. Que vendas productos o servicios de seguridad no se traduce así no más en tener infraestructuras confiables. Pregunten a RSA, Ashampoo, Comodo o a Barracuda. Lo anterior nos lleva a pensar que todos compartimos problemáticas similares en cuestión de seguridad. Es un consuelo (¿en serio?) saber que no estamos solos.

Web + Base de datos= SQL injection? Las bases de datos conectadas al web son candidatas al SQL injection con lo cual por medio de comandos SLQ es posible extraer, borrar o modificar información guardada en ellas. Así de simple.

¿Qué estás haciendo contra los SQL injection? ¿Cómo proteges tu web?

lunes, 11 de abril de 2011

No me lo pongas bonito.


Pregúntenle a un administrador de TI si quiere que su infraestructura sea segura. No te va a decir directamente que “no” porque sería políticamente incorrecto. Pero todo administrador de TI en una empresa sabe que “seguridad” es sinónimo de “trabajo”…y saben? No quieren tener más trabajo del que ya tienen. Sucede en la mayoría de las organizaciones, aquí y en China.

Escucho por ahí que lo de hoy es integrar a la seguridad en los procesos y actividades de las áreas de TI…algo así como integrar calidad en los procesos productivos de una compañía (ante todo calidad vs todo con calidad). Igualmente, es deseable que la nueva TI ya salga con seguridad (esa nueva red inalámbrica, ese nuevo servidor, ese cambio en la infraestructura). Todo con seguridad.

¿Pero saben? La seguridad implica trabajo extra…pero shhh; no se lo digan a nadie. Operar herramientas o incorporar nuevas actividades a un procedimiento implica que como administrador de TI vas a tener chamba extra. Y quiero conocer a un cuate de TI que te diga que le sobra tiempo “para eso de la seguridad” y que con mucho gusto.

Si, ya sé. La alta dirección dirán. A cada rato nos dicen que para empujar la seguridad “hay que tener el apoyo de la alta dirección”. Traducción: que esa alta dirección los esté arreando frecuentemente por medio de la revisión de métricas mensuales o el avance de proyectos. Porque con una junta “ejecutiva” donde se otorgue apoyo a la seguridad tal vez no baste para que las áreas de TI jalen parejo en su día a día; seguramente ante la “alta dirección” te dirán que sí y se verán cabecitas asintiendo sutilmente. Pero una vez que salen de la junta, quiero ver que los pongas a trabajar en los temas de seguridad. ¿Pasa así en todas partes? Afortunadamente no, pero estoy describiendo un panorama bastante común.

Les podrás decir que los esfuerzos en pro de la seguridad son precisamente para proteger la información y la infraestructura. ¿Respuesta? “No me lo pongas bonito, porque seguridad para mí es más trabajo”. ¿Y saben? Tienen toda la razón. La seguridad no es gratuita…hasta cambiar una manera de operar (controles administrativos) implica un esfuerzo extra que antes no se tenía considerado.

Hay dos maneras efectivas de cambiar esa actitud de las áreas de TI. La más amable es con el seguimiento puntual y frecuente de la alta dirección que ya comentamos (y subrayo f-r-e-c-u-e-n-t-e). La menos amable es cuando sucede un incidente de seguridad que te rompe la…seguridad (Epsilon, Stuxnet, RSA, etc etc); entonces sí todo mundo en la empresa a ponerse las pilas con eso de la seguridad porque el mero mero ya se puso rudo y ya hasta despidió a un par. ¿Hay otras maneras menos dolorosas de cambiar actitudes en la práctica? Según yo…no. Tal vez realizando demos de seguridad de lo que “podría pasar”…o mejor aún un pentest; pero hay que saber a quién le presentan los resultados y que los alcances sean de esos que mueven actitudes.

¿Y saben? La seguridad en una empresa no es andar ahí no más con el Metasploit y andar jugando con el último hack, viendo cómo se puede hackear el sistema de un auto o enterarse de que unos pelados se fregaron a RSA para luego tuitear del asunto a gusto y tendido. En una empresa hay que estar metiendo el asunto de la seguridad en N variables: desde el administrador de TI, pasando por los usuarios y convenciendo a los ejecutivos de que eso de la seguridad sí importa; diciéndole y demostrándole al desarrollador que su código está chafa… y un largo etc. Es decir, estamos hablando de un asunto “humano” y no tecnológico.

La seguridad cuesta. Cuesta dinero. Cuesta tiempo y esfuerzo. Cuesta más trabajo del habitual. Y algo que cuesta y que no se ven sus beneficios tan inmediatos/tangibles es difícil de vender…y difícil de comprar. ¿Cuánto dinero hay que aventarles a esos de seguridad y sus herramientitas? ¿Cuántos fulanos de seguridad son necesarios? ¿Cuánto tiempo y esfuerzo deben las áreas de TI invertir en seguridad? ¿Cuánto es permitido molestar a los usuarios por aquello de que “ellos son parte de la seguridad”? Preguntas difíciles.

Mira, al final esto es un balance. Ninguna empresa se dedica a estar segura sino más bien a hacer negocio (y ganar dinero). Pero tampoco debemos dejar a la seguridad de lado porque resulta que siempre se tienen otras prioridades. Y lo peor es que en la práctica no encontraremos estos justos balances tan fácilmente.

domingo, 3 de abril de 2011

Espérenme Tantito.


Ya no es lo fuerte, sino lo tupido! Y pensándolo bien creo que en esta ocasión sí es tanto fuerte como tupido. Estas últimas semanas han estado muy siniestras..tanto, que ya me tiembla la mano cada vez que abro el Google Reader para leer las noticias de seguridad del día. Empezamos hace un par de semanas con el hackeo a RSA, luego siguió el hackeo a la autoridad certificadora Comodo y acabamos con la aparente intrusión a la IEEE. Y conste que me estoy saltando otras noticias y sólo enlisto las tres que más llaman mi atención.

El haceko de RSA ya lo comentamos. Hasta el 31 de marzo, RSA no dijo nada más sobre el ataque y desde mi punto de vista siguió una estrategia de “si no digo nada más, me dejarán en paz”. Mala estrategia para el negocio, creo yo. Conozco de primera mano un cliente que está probando dispositivos de autenticación de RSA y que ya tiene una mala espina sobre una posible futura adquisición. Le preocupa el hecho de que haya sido posible penetrar la seguridad de la red y sistemas de RSA..vaya, si pasó una vez, por qué no pasaría dos veces? Le dije que a partir de este hecho seguramente la empresa llevará a cabo acciones correctivas..aún así no le convencí del todo. Y saben.. no lo culpo. En fin, sólo espero no enterarme luego de que el hackeo fue debido a que se explotó una debilidad conocida en Windows o en Adobe Reader..siendo así no sería un ataque sofisticado (como ellos mismos dijeron) sino simplemente bien ejecutado y planeado.

Actualización: noticias de última hora, ya hubo otro comunicado (1-abr) de RSA explicando cómo pasó el hackeo. Y respecto a lo que me temía sí fue parcialmente cierto: se usó una debilidad de día cero en Adobe Flash dentro de un archivo Excel. Al menos no sucedió por medio de una debilidad conocida con parche. En fin.

Luego está el caso de Comodo, que es una autoridad certificadora de raíz. Lo anterior significa que emite certificados confiables (firmados) a clientes que así lo deseen (y que paguen). Hackearon a un par de sus “partners” y lograron emitir certificados de forma no autorizada. Por ejemplo, Microsoft ya sugirió revocar los certificados afectados a raíz de este hecho (checa que tu navegador los haya revocado). Recordemos que las autoridades certificadoras no se dedican al negocio de vender certificados (finalmente es un vil archivo digital); a lo que se dedican es a vender confianza. Confianza en que sus certificados son “seguros”.. es decir que tienen un esquema probado para administrar todo su ciclo de vida. Tons cuando alguien logra romper su esquema de seguridad pues digamos que uno se hace más de una pregunta. Luego está el tema del supuesto hacker iraní que está ansioso de conseguir atención y que ya mandó varios recaditos diciendo que fue él..sí, sí, ya sabemos que fuiste tú. Por cierto me pareció gracioso que dijera que tiene la experiencia de 1000 hackers..como que es un hacker chapado a la antigua que hizo la intrusión porque podía hacerlo y aparentemente no persigue ganancia$..pero fama sí (otras teorías dicen que lo patrocina un gobierno..imaginen cuál).

El último caso es el de la IEEE. Para variar hay ambigüedad pero hay indicios de que hubo un hackeo a sus sistemas y que estuvo en riesgo información de tarjetas de crédito y datos personales de varios (800) de sus miembros . A ver, lo de que se robaron información de tarjetas de crédito (para que el atacante se vaya de shopping a costa de las víctimas o venda esa información) es una noticia que sale casi cada semana. Está igual que las noticias del robo de laptops (ah sí, le acaban de robar una de esas a BP, check the data), que es una noticia tan repetitiva que ya hasta aburre. Robo de números de tarjeta y hurto de laptops corporativas es ya como toparse con marchas en el Centro..de lo más común. Pero aquí el hecho es que el incidente le tocó a la IEEE. Sí, a esa IEEE. Pero en fin, si ya le tocó a RSA, a HBGary y Comodo que son supuestamente picudas en el tema de seguridad, pues qué podemos decir.

Finalmente la intención no es andar de criticón como hasta ahora lo he hecho (qué bonito es criticar y no ser criticado). Lo que les quiero decir (por si no lo saben ya) es que mantener un ambiente seguro (o mejor dicho confiable) no es de “ponle más cebollita a esta barbacha pa que me sepa rica”..ya se me antojó una barbacoa con su consomé y unas sabrosas tortillas..uf! Ya me desvié para variar. Regresemos. A ver, de verdad. Mantener el equipo de casa con seguridad es algo relativamente sencillo (bueno, claro, si el usuario sabe lo que hace). Pero si estás en un ambiente corporativo con miles de máquinas, cientos de usuarios y decenas de administradores..pues la cosa ya no está taaan sencilla. No tienes un eslabón que cuidar, sino miles de eslabones. Sistemas operativos, ruteadores, antivirus, firewalls perimetrales..también Adobe Flash, Adobe Reader, JRE, usuarios!, días cero, etc. Denle una revisada por ejemplo a lo que abarca el 27001 y nos daremos una idea del tamaño de lo que hay que proteger. Buen reto, no?

Veamos lo que ha pasado en otras corporaciones y pongamos nuestro granito de arena protegiendo nuestra propia cancha. Ahí están los controles del SANS o el 27001 para empezar..o inicien con lo que les parezca más apropiado pero empiecen con algo. Las reputaciones corporativas y los dueños del balón nos lo agradecerán.