jueves, 25 de agosto de 2011

Lo Que Nos Choca de la Seguridad


Me permito redactar una carta abierta a esos de “seguridad” que hacen la vida imposible a los buenos usuarios corporativos que sólo desean trabajar libremente y cumplir con sus objetivos. Empecemos:

Los usuarios estamos hartos de que el antivirus haga tan lento a los equipos. Queremos eliminar esta herramienta que “siempre” detiene el desempeño del sistema y cuya efectividad está en duda (nunca hemos visto que suceda una infección cuando el antivirus está operando). Aún y con los equipos modernos que nos pusieron el año pasado… y su bendito programa se encarga de chuparse todos los núcleos esos o como quiera que se llamen. Increíble.

A los usuarios realmente nos molesta no poder visitar cualquier página en Internet que queramos. Si en casa se puede visitar todo tipo de sitio, no entendemos por qué en la empresa bloquean taaantas páginas web. Pues ni que fueran malintencionadas e hicieran daño. ¡Uy sí…el lobo feroz nos va a comer! Por favor.

Chocante. ¿Por qué no se puede instalar cualquier programa que uno baje de Internet o que uno haya “conseguido”? Tantos programas que uno quisiera probar. Explíquenos qué tiene de malo…total, son nuestros (sí: nuestros) equipos y podemos hacer lo que se nos venga en gana, o no?

De verdad que es inexplicable que no podamos conectar cualquier gadget a las PC. iPod, iPad, discos duros externos, cámaras web, impresoras…tantas cosas bonitas que podríamos usar pero…no! Ahí está su molesta política de seguridad para impedirlo, verdad? Que por cierto nadie lee, ja!

Mac OSX. Algunos no se ubican con Windows. ¿Por qué no podemos traer nuestras Mac al trabajo y en ella laborar? Claaaro, ustedes tienen sus estándares y pobre de quien no los cumpla. Opinamos que cada quien es libre de trabajar en el sistema operativo que más le plazca. No más “Ese no lo soportamos”. ¿Pueden creerlo? Mediocres.

Eso sí. Los de seguridad y esos de sistemas son ¡administradores! de sus equipos. Y nosotros los usuarios somos…usuarios! No es justo. Privilegios para todos. Es sólo cuestión de ser parejos.

Pero ni hablar de lo fastidioso que es tener que aprenderse sus contraseñas complejas…sí!, de esas que ni apuntándolas. Queremos usar sólo minúsculas, sólo letras y palabras fáciles de recordar como el nombre de la mascota o “1234”; y que sean de sólo 4 caracteres. ¿Eso es mucho qué pedir? Hombre, y luego hasta se atreven a sugerir que debemos usar una contraseña diferente para cada servicio corporativo y hasta para cada uno de los servicios que usamos en Internet. ¿¿¿Es una broma??? (O por lo menos déjennos escribir sus kilométricos passwords en un papelito…ni que alguien fuera a buscarlo debajo de mi teclado…o sea, no?).

Cada semana salen anuncios en nuestra PC de que se va a instalar una nueva versión de esto o aquello. ¿No pueden dejar de poner parches? Por Dios. Parece que se la viven mandando actualizaciones de software. ¿Pues qué sus colegas desarrolladores no pueden hacer un programita bien hecho que no tenga vulnerabilidades? ¿Eh? ¿No pueden?

Videos y correitos de concientización de seguridad. Al menos háganlos divertidos o pónganles imágenes de algo. Se ve claramente que no son de Merca ni de Comunicación. Ingenieros tenían que ser.

Para todo sacan lo de las buenas prácticas de seguridad. Es algo fuera de este Mundo. Me cae que se lo sacan de la manga o de plano lo escupen cuando no saben la razón de por qué diablos están prohibiendo algo. ¿Quién establece las “buenas prácticas”? ¿Un $#%& Comité Intergaláctico? Se pasan. Todo lo justifican con las buenas prácticas. ¿Les parece CORRECTO?

Tenemos Androids y iPhones en donde deseamos recibir el correo corporativo, navegar el web de la empresa y trabajar en documentos. No queremos que nos limiten a usar solamente el móvil “estándar” de la Compañía y deseamos tener acceso a toda la información corporativa. ¿Creen que se pueda?

“No abran archivos adjuntos sospechosos”, “No visiten sitios que pudieran ser maliciosos”, “No hagan click en links de dudosa procedencia”. Ese es el nivel de las recomendaciones que recibimos. Créannos, ojalá supiéramos cuáles son los archivos “sospechosos”, los sitios “maliciosos” o links de “dudosa procedencia”. ¿Pues qué no están ustedes en principio para poner herramientas que impidan que nos llegue ese tipo de basura? Sólo es pregunta.

Ya por último dejen de ser paranoicos. Por todos lados ven amenazas y riesgos. Get a life. Osea, luego hasta nos da risa cuando sacan sus terminajos que sólo ustedes entienden: “Es que puede ser un APT”, “Es un clásico XSS”, “No queremos ser parte de la próxima operación Shady RAT”, “Sólo queremos limitar ese DoS”,”Lo único que deseamos es evitar aquí una operación Aurora” -> En fin, sólo ustedes se entienden.

Atentamente: Los Usuarios.

(PD: Advertencia del autor: “Texto con una fuerte dosis de sarcasmo…y varias verdades ocultas”).

martes, 16 de agosto de 2011

Controlando a los Controles.


Firewalls, antivirus, antispyware o anti-algo. ¿Cuál pongo? Los proveedores de las marcas te dirán que necesitas todos los productos de su portafolio. El 27001 Anexo A te escupirá tantos que te quedaste igual que como estabas. ¿No hay como que una listita básica, que vaya al grano y que proponga controles que sirvan de a de veras para las amenazas del 2011?

El Departamento de la Defensa de Australia publicó una interesante guía que consta de 35 controles básicos. Seguramente será una buena ayuda aunque ya tengamos un esquema de seguridad andando en nuestra empresa. Revisemos algunos de estos puntos.

Empecemos por los primeros 4. ¿Por qué? Porque el propio Departamento de la Defensa de Australia ha establecido que siguiendo esos cuatro puntos se podrían detener hasta un 85% de los ataques en línea. Suena tentador, no?

Estos 4 puntos son: a) Parchar aplicaciones de terceros; b) actualizar el sistema operativo; c) minimizar los usuarios que inician sesión en sus equipos como administrador y d) usar listas blancas. Es todo. Suena sencillo, no? (Y lo siento antivirus, no estás entre los 4 básicos).

Ahondemos. Las primeras dos cuestiones se refieren a mantener actualizadas las aplicaciones (Flash, Reader, Office, IE, Firefox, etc.) y el sistema operativo. Las debilidades de software están a la orden del día y mantenerlo actualizado nos quitará de encima muchos ataques informáticos. Una y otra vez se repite esto de mantener las apps al día en diferentes recomendaciones y publicaciones. Y sin embargo, es algo que muchos usuarios y corporaciones simplemente ignoran o que dejan de lado. De verdad ya hay herramientas corporativas en el mercado que hacen esta labor de parchado. Varias personas me expresan su temor por las debilidades de día cero, cuando en realidad la mayoría de los ataques van dirigidos a debilidades que ya tienen parche desde hace un buen rato. A veces pienso que les da flojera establecer un programa de parchado…en fin.

El tercer punto es sobre trabajar en el equipo con permisos de usuario y no de administrador. Es básico. Navegar y leer el correo junto con las demás actividades mundanas deben de ser llevadas a cabo desde una cuenta con bajos privilegios. Y sólo usar dichos privilegios de administrador cuando se instala algún software o parche, así como en otras contadas ocasiones donde realmente se requiere (por cierto en Windows y en Mac no es necesario salirse de la sesión de usuario para instalar un programa que requiere permisos de administrador). El código malicioso como troyanos y exploits se verán limitados cuando se es usuario y no administrador. Subrayo “limitados”, lo cual quiere decir que se le hace más difícil la vida al atacante forzándolo a ataques más complejos para lograr sus fines.

El cuarto punto es sobre listas blancas. Me falta hacer todo un blogpost sobre listas blancas. En resumen: los antivirus en los noventa y hasta hace unos años eran un control efectivo contra el código malicioso y los ataques de antaño. Ya no. Es 2011, y las listas blancas es el control de seguridad evolucionado. En un futuro mucho muy cercano será la nueva especie dominante tan popular como el mata-bichos. Las listas blancas se basan en permitir lo que es conocido; los antivirus se basan en prohibir lo conocido. Es una diferencia sutil pero que marca la diferencia. Por más cloud y demás monerías que le pongan a los antivirus, ya no es EL Control, sino UN control más. Si en su empresa todavía no tienen un producto de listas blancas, déjenme decirles que están viviendo en el pasado.

En fin. Recomiendo la cuidadosa lectura del documento y revisar las 31 propuestas restantes. Yo en lo personal hubiera puesto un quinto control entre los “básicos” (y no sólo 4) que se refiere al filtrado de contenido web para mitigar los riesgos basados en SQL (como el SQL injection).

Cabe mencionar que si leen el documento, se darán cuenta de que cada control tiene diferentes columnas asociadas como “Costo de Mantenimiento”, “Diseñado para Prevenir o Detectar una Intrusión”, “Ayuda a Mitigar una Intrusión en su Primera Fase (ejecución de exploits)” entre otras. Me pareció interesante este enfoque ya que te da una mejor idea para saber en qué te ayuda cada control así como sus limitaciones.

PD: el SANS también tiene una propuesta de 20 controles básicos.

viernes, 5 de agosto de 2011

Una Rata Shady


Hace unos días McAfee publicó un estudio sobre un hackeo persistente contra varias empresas y organizaciones alrededor del mundo (se estiman más de 70). A esta operación de hackeo la bautizó como Shady RAT (Remote Access Tool).

Algunos han criticado la falta de detalles del estudio ya que no especifican todas las organizaciones que fueron afectadas, la cantidad de equipos comprometidos ni exactamente qué datos fueron los que se extrajeron. Asimismo no se señala al “culpable” pero sí se sugiere que bien podría ser un Estado.

Mientras tanto, Symantec se dio a la tarea de explicar el proceso de hackeo que se siguió y que resumo a continuación.

1.- Se envía un correo a personas previamente seleccionadas con un contenido atractivo para que el usuario abra los archivos adjuntos. Se seleccionaron documentos de Office y PDF maliciosos especialmente diseñados para explotar vulnerabilidades. Estos archivos contienen un troyano que se instala en el equipo con software vulnerable.

2.- El troyano contacta a un sitio en Internet cuyo contenido son imágenes (para que pase sin problemas por un firewall). Estas imágenes tienen instrucciones escondidas (usando estaganografía) que el troyano recibe y le dice cómo proceder. Las imágenes fueron de tipo JPG y GIF. Aunque no es inusual, me llama la atención el uso de la esteganografía en imágenes como uno de los pasos de ataque.

3.- El troyano abre una sesión vía red hacia el equipo del atacante con el fin de que se tome control de la máquina víctima y poder así instalar software adicional y bajar/subir archivos entre otras acciones.

El ataque arriba descrito no es algo inusual, ni tampoco el hecho de que existen (vaya que existen) ataques dirigidos específicamente a ciertas organizaciones cuyo fin va más allá del robo de dinero por el uso de banca en línea. Estos ataques se concentran en información valiosa desde el punto de vista del negocio como código fuente (operación Aurora) u otros datos de importancia estratégica. Las víctimas pueden ser empresas y entidades gubernamentales por igual.

Por lo tanto y desde mi punto de vista, pienso que los ataques de Shady RAT son simplemente una muestra más del tipo de ataques que hemos visto recientemente. A menos claro, que se nos presentara más evidencia sobre el impacto que tuvo la operación Shady.

Por cierto, mantener al día el software (sistema operativo y aplicaciones), tener un antivirus, contar con controles de listas blancas y hacer uso de aplicaciones que incorporen por default una sandbox (p ej Chrome) son algunos de los controles que pueden auxiliar si se desean contrarrestar ataques dirigidos o de tipo APT (Advanced Persistent Threat).