domingo, 26 de junio de 2011

Sombreros Negros


Rebeldes y justicieros. LulzSec y Anonymous. Tienen un no sé qué que nos atrae. ¿Es porque son malos? ¿O porque se salen con la suya? Tal vez porque se burlan de las autoridades como niños caprichosos y juguetones; sí, de esos que te sacan la lengua desde su auto impunemente.

Si no estás muy al tanto de quién es LulzSec y Anonymous aquí un ayuda.

En fin. He visto en diversos blogs y cuentas de Twitter tímidas expresiones de apoyo a estos grupos de crackers. Por ejemplo unos re-tuitean los ingeniosos tuits de LulzSec; otros más echan porras en sus blogs. Y claro, es que son cool. ¿Y lo son? ¿Cuáles son las posiciones que se están tomando en torno a las acciones de estos grupos?

Una Ayudadita Indirecta. Me he enterado que varios están empujando algunos proyectos de seguridad dentro de sus empresas “para que no nos vaya a pasar lo mismo”. Y varios están recibiendo atención. Los hackeos de LulzSec, Anonymous y compañía han salido de los círculos del conocimiento de los geeks y han tocado los medios masivos de comunicación. Estos proyectos de seguridad de alguna forma u otra se han visto beneficiados de los hackeos de los últimos meses (aquí un listado bastante completo). Sin embargo hay que dejarlo bien claro, los profesionales de seguridad entienden que ellos son parte de “los enemigos a vencer” y que simplemente han aprovechado la coyuntura para sacar adelante la agenda pendiente; bien pensado.

Relax. Me decían el otro día “Bueno, no están matando a nadie ni haciendo un daño severo”. Así es que.. a relajarse porque hay otros asuntos en la seguridad de la información más relevantes que hay que atender?

Sí pero no. Hay quienes saben que no es correcto lo que hacen estos grupos pero una vocecita dentro de ellos les dice que estos grupos como LulzSec/Anonymous son cool. Muy mal que hagan esos crackeos, pero qué chingones son. Son fans en secreto.

Están mal. Simplemente incorrecto lo que están haciendo estos anarquistas. No tienen justificación alguna para las acciones que están emprendiendo. Punto.

Apoyo. Más de uno apoya las acciones de estos grupos de crackers. Algunos hasta han llegado a participar activamente. Las razones de apoyo son algunas veces para demostrar lo que se sabe de tecnología, por presumir conocimientos o formar parte de un “movimiento global”. Cada quien encuentra sus razones.

¿Y la inseguridad apá? Otros más culpan a la inseguridad que prevalece en diversas infraestructuras informáticas; en algunas de ellas hablamos de huecos y otros son francamente huecotes. Los crackers simplemente evidencian el estado de inseguridad en varios rincones de Internet. Son del grupo del “te lo dije”.

Equis. Habrá otros que simplemente les dé equis. Puede que no entiendan las implicaciones que tienen estos cracks. O también que “aquí eso no pasa”.

¿Cuál es tu posición?

A mí no me han hechizado los Lulz ni los Anon. No apoyo ni soy fan de andar crackeando infraestructuras para por ejemplo publicar usernames y contraseñas de los Juan Pérez. Mucho menos me atrae la idea romántica de destruir el “estatus quo” ni jaladas de esas.

Los Lulz y Anon no tienen un ideal ni una filosofía (Por ejemplo LulzSec se deriva de LOL: laugh out loud; crackear por gusto). Y por cierto, tampoco son hackers, son crackers. Cien por ciento black hat. Es mi opinión, comparte la tuya.

PD1: en todo caso, las organizaciones deberían de ocuparse de la seguridad no sólo cuando LulzSec o Anonymous llegan a los titulares. Los crackeos suceden todos los días en algún rincón de Internet.

PD2: el sábado 25 de junio LulzSec anunció el fin de sus crackeos. Lo que sea que esto signifique.

martes, 14 de junio de 2011

Datos y Nubes..se llevan?


Hace poco me preguntaron si en una empresa era conveniente que los empleados pudieran hacer uso libre de DropBox. Saqué la respuesta que todos odiamos “Pues depende” (pero qué útil es, no?). En fin, me obligaron a elaborar. Les comparto mis divagaciones.

DropBox es un servicio en la nube para almacenar información de todo tipo. Gratuitamente te dan 2 GB y si quieres más tienes que pagar. Puedes instalar DropBox en tus computadoras (y te crea una partición virtual donde copias tus directorios o archivos) y también puedes acceder a la información desde el web o dispositivos móviles como el iPhone. Y claro, así como DropBox, hay muchos otros servicios similares (o más completos como el de Carbonite que respalda automáticamente).

Hasta aquí todo bien, suena un servicio muy atractivo. ¿Pero es conveniente que se les permita a los empleados de una empresa hacer uso de estos servicios de almacenamiento en la nube?

+ No. Esta es una primera opción que les encanta a los de seguridad: “Porque van a estar mandando datos corporativos a la nube”. Pero decir que “no” a todo ya no es lo de hoy. Hay que ser un habilitador, no un obstáculo. Next option.

+ DropBox #Not. Nuestros amigos de la caja dropeadora tuvieron un “detallitorecientemente referente a que sus empleados pueden acceder a la información que almacenan los usuarios. No lo dijeron así desde el inicio y uno pensaba que “ni ellos” podían acceder a los datos. Resulta que por petición gubernamental escupen hasta lo que no. O por ejemplo un empleado de DropBox que quiere husmear en los archivos de Lady Gaga lo podría hacer cualquier día de la semana. Tuvieron que cambiar los términos de uso. En fin, larga historia. Por lo tanto esto nos lleva a pensar en sí usar almacenamiento en la nube pero no bajo este esquema (ver los siguientes dos puntos).

+ DropBox con cifrado. Como la información se almacena en claro dentro de esta nube, es mejor cifrarla primero y luego enviarla. Busquen en Google “securing data dropbox” para ver algunas propuestas.

+ JungleDisk. Qué mejor que la solución por default cifre la información en nuestro equipo y que ya se vayan los datos protegidos. Al menos así dice que funciona JungleDisk. Es decir, mandamos nuestros datos ya cifrados y la nube los recibe así. Esto quiere decir que cegamos a la cloud. Insisto, asumiendo que así trabaja y hasta ahora no me he enterado de que alguien haya desmentido este hecho. Y sí, ya sé que hay varios “Y si…”. ¿Y si la llave que usa JungleDisk pudiera ser débil? ¿Y si llegan a usar el frágil DES? ¿Y si incorporaron un backdoor? Y un largo etcétera.

+ Nube empresarial. He de felicitarme por tener esta idea (ja!). Imaginen a una empresa que crea su propia nube para que la usen algunos o todos los empelados. Con todo y app para iPhone o Android. Con las ventajas de la nube pública pero bajo control de la empresa. Bienvenida la nube privada. Por ahí dicen que seguridad es sinónimo de control y en este caso tenemos el control de los datos de la organización porque se almacenaría todo en nuestra empresa. ¿Qué tal? ¿No te parece una buena idea? Ya sé ya sé, otra vez hay varios “Y si…”. ¿Y si los desarrolladores -para variar- diseñan y/o codifican una solución vulnerable? ¿Y si el gasto es mucho mayor que pagar por una nube pública, entonces vale la pena?

¡Se trata de los datos!

A final de cuentas nos preocupa que los datos de una empresa (o del sector público) estén en manos de la nube con un segundo, tercer o cuarto dueño y que no tengamos control sobre ellos. El primer dueño eres tú, el segundo es la nube, el tercero es un gobierno que podría exigir los datos y hasta existiría un cuarto dueño: un hacker (que lograra extraer información de usuarios de la nube).

Otra posible preocupación es la fuga de información donde los empleados usan la nube para sacar datos. Sin embargo impedir que los empleados hagan uso de la nube para almacenar archivos no va a imposibilitar el siguiente WikiLeaks. Ahí están los USB, los CD, discos duros externos y iPhone, correo electrónico o para el caso, hasta impresoras; ciertamente lo anterior auxiliará a quien desee extraer datos de una organización.

Y por cierto, si la nube es extranjera, claro que estará sujeta a leyes ajenas.

¿Entonces qué hacemos? ¿Impedir la nube? ¿Cifrar antes de usar la nube? ¿Nube de la empresa? Y la respuesta es: “Pues depende”.