martes, 13 de diciembre de 2011

Un Mundo Nos Vigila


Pero no hablo de ese mundo, sino de uno más cercano. Andaba netflixeando y me topé con la película “Enemy of the State” con Will Smith y Gene Hackman. Para los que estamos en seguridad de la información sería una buena idea verla o volverla a ver para analizarla desde otra perspectiva y no sólo la de pasarnos un buen rato. Pienso que tiene más de una lección. Por ejemplo aquí enlisto unas:

Comunicaciones Seguras. El ambientalista encuentra el video de un asesinato de un importante político. Lo primero que hace es llamarle a un amigo para contarle el “chisme”. Vaya, un poco de malicia y haberse sentado 5 minutos a pensar sobre lo que tenía entre sus manos le hubiera ayudado. Para cuando habla por teléfono…bam! Línea intervenida. Y de ahí se desencadenan una serie de eventos que acaban con la vida del personaje. Si algún día te encuentras en una situación así o similar, asume el peor escenario, revisa el siguiente punto y actúa en consecuencia.  

Un Estado como Adversario Formidable. Como ciudadanos o como responsables de la seguridad de una infraestructura, debemos siempre pensar en un Estado como un titán. Sí, hay grupos de hackers, hay Anonymous, aficionados que se meten a tu cuenta de Twitter y criminales organizados así como espías industriales. Pero de todos los que se me ocurren, el T-Rex es un Estado que cuente con recursos (dinero, gente, entrenamiento etc.) casi limitados, control sobre las infraestructuras, poder legal e ilegal así como una estructura organizada. Aunque también tiene sus debilidades, para nada debemos de menospreciarlo.

Nunca uses un USB que te haya dado un Desconocido. No hay una escena particular pero me acordé que una forma sencilla de “targetear” (ataque dirigido) a alguien sería dándole un USB gratuito de alguna forma para que lo insertara en su equipo de cómputo (hubiera sido una excelente forma de enganchar aún más al personaje de Smith). Por ejemplo, lo primero que hace la gente al encontrar un USB “por ahí tirado” es explorarlo “a ver qué tiene”. Y más si tiene una etiqueta de “fotitoxxx” o “personal”. Y claro, el USB tiene troyano/malware incluido. Pero honestamente, quién plantaría un bicho así en un USB, cierto? Esperen un momento... dijeron StuxNet?

Sana Paranoia. El papel que interpreta Gene Hackman es el de un verdadero paranoico. Si ven la película, coincidirán conmigo en que “no manches, no hay que ser taaan paranoico”. Ok, concedido, pero tampoco hay que ser taaaaan wey (iba a decir “inocente”, pero “wey” es más apropiado). Para los que estamos en seguridad de la información, siempre es sana una dieta de paranoia balanceada con administración de riesgos. Sin embargo recuerden que para una empresa el planear bajo el “peor de los escenarios” es algo cercano a lo incosteable y/o inalcanzable, por eso se habla de administración de riesgos y por eso es algo tan difícil de hacer bien (alejarse del extremo del peor de los escenarios y del otro extremo del “aquí eso no nos pasará”).

Compartir el Conocimiento. Hackman comparte su conocimiento con el inexperto Will. Hay que compartir el poco o mucho conocimiento que tengamos en cuestión de seguridad informática con otras personas. Yo trato de hacerlo usando este blog como herramienta.

Ya para concluir, me gustó lo que el personaje de Hackman dice ya casi al final de la cinta (no es textual): “Debemos usar sus debilidades. Pelea sólo las batallas que sabes que ganarás. Usa sus armas a tu favor. Ellos se debilitan y tú te fortaleces”.

viernes, 2 de diciembre de 2011

Diciembre 2011: ¿Qué Libros Estoy Leyendo?


Aunque no dispongo de mucho tiempo, (en tiempos recientes) me gusta leer. No sólo de seguridad vive el hombre, por eso trato de variar mis lecturas. ¿Qué libros ando leyendo? La respuesta a continuación.

Linchpin: Are You Indispensable? Hace unos meses noté que invertía más tiempo en el auto que de costumbre gracias a unas obras cerca de casa (¡Marcelo!); mis podcasts (Security Now, El Explicador, Harvard Business) ya no cubrían las 10 horas de tránsito semanales. Recordé el servicio de Audible y lo contraté hace poco para que me leyeran un libro vía audio; me encantó el concepto de que te lean un libro y aprovechar el otrora tiempo perdido. En mi carrito de Amazon tenía el texto de Linchpin y decidí que sería mi primera compra en Audible.

El libro trata básicamente de que seas un artista en el sentido de que crees valor en tu trabajo. Que no deba haber alguien que exactamente te diga qué hacer y que huyas de empleos con actividades repetitivas porque así eres fácilmente sustituible. Te hace la pregunta de si en tu trabajo eres algo cercano a lo indispensable (o al menos que se notará tu ausencia) o puedes ser sustituido cualquier día de la semana.

Me gustó porque te presenta ese reto de ser alguien que genere VALOR, que dé opiniones, que sea asertivo y que proponga ideas. Que dé de sí más allá de lo que se le pide; que haga que las cosas sucedan sin que se le exija; que sea un artista porque lo suyo no es un trabajo que cualquier fulano podría realizar. Nos plantea que hagamos nuestro trabajo con pasión, rompiendo esquemas, “creando” en lugar de “haciendo”, que no seamos del promedio y del montón. Que hagamos las cosas de manera diferente al agregar valor.

Me pareció interesante la propuesta del texto y sí me hizo pensar en más de una ocasión en mi propio trabajo en seguridad informática y en cómo podría aplicar en concreto lo que en el libro se exponía. No me arrepentí de haberlo adquirido. Le pongo cuatro estrellas.

Einstein: His Life and Universe. No recuerdo cómo llegué a este libro, pero lo tenía en mi carrito de Amazon y cuando vi su índice me llamó la atención. He de confesar que estoy iniciando el libro (y lo puse en pausa porque estoy con el de Steve Jobs). Hasta donde voy se ve que está interesante la biografía. 

Honestamente en mi juventud no era muy fan de leer biografías ya que se me hacían aburridas y de flojera el tener que leer un libro entero de la vida de alguien; pero eso ya lo estoy cambiando ya que he visto que al leer las vivencias de personas que admiro de hecho me motiva, me da ideas y me inyecta ganas de superarme en aspectos profesionales y personales. Creo que el truco fue encontrar biografías de personas que admiro y evitar las de personas que aunque muy respetables e importantes, no me hacen “click”.

Steve Jobs. Los que me han estado siguiendo tal vez ya estén hartos de mí hablando de Jobs. Ok, aquí va una vez más. Empezaré diciendo que el libro es objetivo; al menos no trata de esconder “detallitos” ni ser un texto lleno de alabanzas y piropos. Como dije, he descubierto que al leer biografías de personas que admiro me llena de alegría, motivación y me da dos que tres lecciones. Por ejemplo a raíz de este libro he empezado a hacer algunos cambios:

Tirar una cosa al día. En mi lugar de trabajo cada día tiro a la basura algo que no me sirve. Jobs estaba orientado a la simplicidad y a “lo mínimo necesario”. ¿Cómo aplicarlo en mí? Haciendo lo que acabo de decir. También lo estoy haciendo en casa tirando varias cosas un día a la semana. Ya hasta pregunté en mi biblioteca pública más cercana si pueden recibirme donaciones de libros y así lo estaré haciendo en las siguientes semanas.

Piensa diferente. A la persona que más quiero y dada su corta edad, he empezado a inculcarle ideas para que piense fuera de los esquemas pre-establecidos poniéndole ejemplos de algunos pasajes de la vida de Steve. Cuando crezca más quisiera que leyéramos este libro juntos (me parece de más valor que leer el Antiguo Testamento, con el perdón de su mercé). A mí me enseñaron que no hay que tomar riesgos, que hay que ir a la segura, seguir el status quo y que las calificaciones de la escuela son lo más importante. 

Ahora veo que las posiciones más interesantes no son de gente que se va a la segura buscando un empleador estable; y que las notas de la escuela aunque importantes, no aseguran un futuro brillante lleno de dinero y satisfacción personal. 

Es decir, pienso que hay habilidades que no enseñan en la escuela y ya que estás en el mundo laboral ves que de lo más importante es la habilidad de comunicar/vender ideas, de tener carisma, de tomar riesgos, de tener habilidades de negocio, de ser responsable, de generar ideas innovadoras, de entregar en tiempo resultados; no necesariamente la gente que haga velozmente integrales y derivadas o saque rápidamente un Reverse TCP por medio de un exploit será la que tenga las mejores posiciones sólo con esas habilidades. 

No me malentiendan, creo que la educación escolar de los niños hay que complementarla con otras enseñanzas muy útiles allá afuera.

Otro cambio que me interesa ahora aplicar -gracias al libro- es el estilo minimalista. Empezaré por mi cuarto. Aunque entiendo que el minimalismo no sólo es cómo está diseñada una habitación. Por ejemplo mis presentaciones de PowerPoint en el trabajo ya no tienen adornitos ni rayitas; es una presentación en blanco con un bonito Font…es todo. 

Steve es un ejemplo extremo, claro está. Un cuate centrado y apasionado por su trabajo y ganas de aterrizar una visión. Con una intensa búsqueda por la excelencia pero teniendo claro que “hay que entregar resultados” y finalizar productos. Una persona “loca” por el diseño y por cómo se interactúa con los productos. En este libro uno se puede asomar a su mundo y tratar de entender su filosofía de vida.

En mi caso, sí he visto que la lectura del libro va más allá que la simple asimilación de letras, palabras y frases; estoy todavía en el proceso de asimilar ideas y aterrizándolas en acciones concretas. Le pongo cinco estrellas y lo recomiendo aunque no sean fan de Steve Jobs (un must si eres emprendedor).

Thinkertoys. Generar ideas como las de crear computadoras en un garaje de una casa o desarrollar un buscador de páginas en Internet. ¿Cómo poder “forzarte” a tener ideas? Este libro trata de proveernos de algunas técnicas para pensar en cosas que no habrías pensado antes. 

El libro te invita a cambiar hábitos (para empezar a entrenar la mente a que se salga de lo habitual); nos dice que hay que tener un objetivo de cierta cantidad de nuevas ideas al día o a la semana. En la página 48 se describe por ejemplo una interesante técnica que consiste en listar lo que uno asume de X lugar o situación (“los restaurantes tienen un menú escrito donde la gente ve las opciones para comer”) y luego redactarlo de forma contraria (“no hay menús donde la gente…”) y tratar de ver cómo es que eso podría ser e intentar sacarle un sentido.

El libro me ha ayudado a tener algunas ideas. Por ejemplo para el trabajo que hace mi papá  le he propuesto nuevas formas de vender sus servicios; o una idea respecto a QR Codes que le mandé a uno de mis jefes. También la de una app para móviles que puede ser utilizada en las agencias de autos. Ok, no son grandes ideas todavía, pero por algo estoy empezando.

No me considero una persona muy creativa e innovadora que digamos y por eso busco libros como éste (tengo en la mira el de The Innovator's Dilemma: The Revolutionary Book That Will Change the Way You Do Business). Me interesan libros que me ayuden a salirme del molde y que me saquen de mi pequeño status quo. 
Este libro que acabo de terminar de leer tiene varias técnicas y si bien no las he aplicado de manera frecuente, ya me han ayudado en algo y espero implementarlas de manera más consistente. Tiene cuatro estrellas.

Web Application Hacker's Handbook. Este libro empieza con un overview de la inseguridad en aplicaciones web para después describir los principales mecanismos de defensa que tiene un WebAdmin. Si no estás muy al tanto de las tecnologías web de hoy en día, también te da un “repasón” (yo aprendí más de una cosa en ese capítulo). Posteriormente ya empieza a describir cómo se “mapea” una aplicación web o cómo se pueden evadir controles tipo “client side”. Voy en el capítulo 6 (todo el libro tiene 20) que se trata de Ataques a la Autenticación.

El libro me está dejando un buen sabor de boca y está muy completo ya que abarca una gama amplia de temas respecto al web hacking y va de lo básico a lo realmente avanzado, es decir, te lleva de la mano. 
No está complicado y aburrido como otros libros técnicos que tratan el mismo tema y esto sin mencionar que te da ejemplos para que los lleves a cabo. A pesar de que tiene casi 700 páginas, honestamente no se me está haciendo pesado; he aprendido mucho de este tema y de alguna forma leer este libro es divertido (y no, no me refiero a que hagan chistes). 

Le pongo cuatro y media estrellas y lo recomiendo si alguien desea enterarse (más) del tema de hackeo a aplicaciones web.

Metasploit: The Penetration Tester's Guide. Este libro es de reciente publicación y como su título lo dice, habla de Metasploit y de cómo lograr hacer actividades de pentest principalmente con el uso de esta herramienta. Voy empezando con el libro; como ven no soy de los que acaba un libro para empezar otro sino que llevo varios en paralelo, that’s the way I like it

Tiene un no sé qué que me está gustando más que otros libros que he leído del tema, como el Hacking Exposed que a veces lo encuentro confuso y centrado en herramientitas cuyo uso te describen rápidamente. En el libro de Metasploit se centran en una sola herramienta (apoyado de otras cuantas) pero de forma completa, de manera divertida, al grano y a profundidad. 

De los libros de pentesting es de los que más me ha gustado; y nada que ver con la enciclopedia extensa, aburrida, de poca utilidad y del año de la Abuela (versión 6) que es el material de la certificación CEH (también lo voy a donar porque me estorba más de lo que me sirve). 

Tiene cuatro estrellas y media y hasta si lo quieres para tu primer libro de pentesting seguro que te servirá.

Conclusión.
Sólo me resta preguntarte respecto a las lecturas que estás haciendo actualmente y si no eres de los que lee mucho, invitarte a que lo hagas (aquí algunos tips). Si alguien como yo que poco se interesaba en la lectura puede lograr leer un par de libros de vez en cuando, sé que también encontrarás un tema que sea tan de tu agrado como para dedicarle unos minutos a la semana.

jueves, 1 de diciembre de 2011

QuickPost: Cursos de Seguridad Online


Stanford ha puesto cursos gratuitos de Seguridad Informática en línea. Uno es de Seguridad en Cómputo (inicia en febrero de 2012) y otro es de Criptografía (inicia en enero de 2012). 

Pienso que es una buena oportunidad para quien le interese el tema. Las ligas ahí están, ahora sólo falta que te inscribas y nos digas cómo te fue y si te agradaron los cursos.