domingo, 3 de abril de 2011

Espérenme Tantito.


Ya no es lo fuerte, sino lo tupido! Y pensándolo bien creo que en esta ocasión sí es tanto fuerte como tupido. Estas últimas semanas han estado muy siniestras..tanto, que ya me tiembla la mano cada vez que abro el Google Reader para leer las noticias de seguridad del día. Empezamos hace un par de semanas con el hackeo a RSA, luego siguió el hackeo a la autoridad certificadora Comodo y acabamos con la aparente intrusión a la IEEE. Y conste que me estoy saltando otras noticias y sólo enlisto las tres que más llaman mi atención.

El haceko de RSA ya lo comentamos. Hasta el 31 de marzo, RSA no dijo nada más sobre el ataque y desde mi punto de vista siguió una estrategia de “si no digo nada más, me dejarán en paz”. Mala estrategia para el negocio, creo yo. Conozco de primera mano un cliente que está probando dispositivos de autenticación de RSA y que ya tiene una mala espina sobre una posible futura adquisición. Le preocupa el hecho de que haya sido posible penetrar la seguridad de la red y sistemas de RSA..vaya, si pasó una vez, por qué no pasaría dos veces? Le dije que a partir de este hecho seguramente la empresa llevará a cabo acciones correctivas..aún así no le convencí del todo. Y saben.. no lo culpo. En fin, sólo espero no enterarme luego de que el hackeo fue debido a que se explotó una debilidad conocida en Windows o en Adobe Reader..siendo así no sería un ataque sofisticado (como ellos mismos dijeron) sino simplemente bien ejecutado y planeado.

Actualización: noticias de última hora, ya hubo otro comunicado (1-abr) de RSA explicando cómo pasó el hackeo. Y respecto a lo que me temía sí fue parcialmente cierto: se usó una debilidad de día cero en Adobe Flash dentro de un archivo Excel. Al menos no sucedió por medio de una debilidad conocida con parche. En fin.

Luego está el caso de Comodo, que es una autoridad certificadora de raíz. Lo anterior significa que emite certificados confiables (firmados) a clientes que así lo deseen (y que paguen). Hackearon a un par de sus “partners” y lograron emitir certificados de forma no autorizada. Por ejemplo, Microsoft ya sugirió revocar los certificados afectados a raíz de este hecho (checa que tu navegador los haya revocado). Recordemos que las autoridades certificadoras no se dedican al negocio de vender certificados (finalmente es un vil archivo digital); a lo que se dedican es a vender confianza. Confianza en que sus certificados son “seguros”.. es decir que tienen un esquema probado para administrar todo su ciclo de vida. Tons cuando alguien logra romper su esquema de seguridad pues digamos que uno se hace más de una pregunta. Luego está el tema del supuesto hacker iraní que está ansioso de conseguir atención y que ya mandó varios recaditos diciendo que fue él..sí, sí, ya sabemos que fuiste tú. Por cierto me pareció gracioso que dijera que tiene la experiencia de 1000 hackers..como que es un hacker chapado a la antigua que hizo la intrusión porque podía hacerlo y aparentemente no persigue ganancia$..pero fama sí (otras teorías dicen que lo patrocina un gobierno..imaginen cuál).

El último caso es el de la IEEE. Para variar hay ambigüedad pero hay indicios de que hubo un hackeo a sus sistemas y que estuvo en riesgo información de tarjetas de crédito y datos personales de varios (800) de sus miembros . A ver, lo de que se robaron información de tarjetas de crédito (para que el atacante se vaya de shopping a costa de las víctimas o venda esa información) es una noticia que sale casi cada semana. Está igual que las noticias del robo de laptops (ah sí, le acaban de robar una de esas a BP, check the data), que es una noticia tan repetitiva que ya hasta aburre. Robo de números de tarjeta y hurto de laptops corporativas es ya como toparse con marchas en el Centro..de lo más común. Pero aquí el hecho es que el incidente le tocó a la IEEE. Sí, a esa IEEE. Pero en fin, si ya le tocó a RSA, a HBGary y Comodo que son supuestamente picudas en el tema de seguridad, pues qué podemos decir.

Finalmente la intención no es andar de criticón como hasta ahora lo he hecho (qué bonito es criticar y no ser criticado). Lo que les quiero decir (por si no lo saben ya) es que mantener un ambiente seguro (o mejor dicho confiable) no es de “ponle más cebollita a esta barbacha pa que me sepa rica”..ya se me antojó una barbacoa con su consomé y unas sabrosas tortillas..uf! Ya me desvié para variar. Regresemos. A ver, de verdad. Mantener el equipo de casa con seguridad es algo relativamente sencillo (bueno, claro, si el usuario sabe lo que hace). Pero si estás en un ambiente corporativo con miles de máquinas, cientos de usuarios y decenas de administradores..pues la cosa ya no está taaan sencilla. No tienes un eslabón que cuidar, sino miles de eslabones. Sistemas operativos, ruteadores, antivirus, firewalls perimetrales..también Adobe Flash, Adobe Reader, JRE, usuarios!, días cero, etc. Denle una revisada por ejemplo a lo que abarca el 27001 y nos daremos una idea del tamaño de lo que hay que proteger. Buen reto, no?

Veamos lo que ha pasado en otras corporaciones y pongamos nuestro granito de arena protegiendo nuestra propia cancha. Ahí están los controles del SANS o el 27001 para empezar..o inicien con lo que les parezca más apropiado pero empiecen con algo. Las reputaciones corporativas y los dueños del balón nos lo agradecerán.