lunes, 21 de marzo de 2011

Hack RSA


La empresa de seguridad RSA fue hackeada. Lo supimos por un aviso de esta empresa donde nos informan que se vieron afectados los dispositivos de doble autenticación llamados SecureID, que son usados en una variedad de servicios desde banca en línea hasta acceso a redes corporativas. Si tienes uno de estos cacahuates o sabes de alguien que lo tiene, tal vez esto te interese.

El aviso de RSA ya mencionado es bastante ambiguo, dice que fueron atacados por un “extremely sophisticated cyber attack in progress being mounted against RSA” y según la empresa el ataque tiene la categoría de APT (Advanced Persistent Threat).

Dicen por ahí que hasta las empresas de seguridad pueden ser hackeadas, como argumentando que “a cualquiera la puede pasar”. Ok sí, pero son empresas de s-e-g-u-r-i-d-a-d, por lo tanto se espera que entiendan los riesgos a los que están expuestos y que hagan algo al respecto (me recuerda al hackeo a la ahora infame HBGary).

Sobre todo RSA que se dedica al negocio de la autenticación, uno esperaría que cuidara los aspectos que le dan seguridad a la autenticación de los dispositivos que vende. Y por cierto, más importante que los dispositivos que vende es la confianza que vende..los clientes confían en RSA.

A la fecha yo no confiaría en los SecureID de RSA, entre que son peras o manzanas, avisos ambiguos e información escasa..debemos asumir que un aspecto de la seguridad de estas chunches fue comprometido. Punto. A menos que nos den más información esta sería mi postura, cuál es la tuya?

No hay manera de “actualizarlos” así es que una política correcta sería sustituirlos..pero claro, está el problema de la lana. Ya veremos qué acciones sigue la empresa.

Los dispositivos de doble autenticación SecureID de RSA sirven para autenticar a un usuario quien tiene un token (primer factor) el cual provee una contraseña dinámica (segundo factor de autenticación). Los atacantes al parecer se metieron con el mecanismo de la creación del segundo factor (la contraseña dinámica) por lo que (en este caso) el primer factor es irrelevante y un hacker podría interferir en el “hand-shake” de la autenticación y violá..el atacante de pronto es tú.

Me incomoda el solo hecho de que alguien haya sido capaz de entrar a lo sistemas de RSA. En cualquier caso, este tipo de empresas (como las autoridades certificadoras) venden confianza..esos dispositivos de autenticación no tienen gran ciencia. Resta ver qué tanto siguen confiando sus clientes en la seguridad de estos productos.

Nota de SecurityWeek:

Kenneth Weiss, the original inventor of the SecurID technology [said] for comment: "The SecurID technology I designed and patented has never been breached in 25 years of use. This unfortunate breach of security at RSA speaks to the quality of their internal security not the security of the SecurID token. The possession of 40,000,000 random SecurID seeds is meaningless unless a subset can be associated with a particular one of 30,000 worldwide clients and then intern directly associated with a particular client user. Even if such identification were possible, an attacker would also have to know the particular user's PIN. This information is not stored on RSA computers."

lunes, 14 de marzo de 2011

DSE: Legislación Mexicana de Seguridad

El día de hoy 14 de marzo inicié el programa de Dirección en Seguridad en Empresas. Es un curso donde se tratan temas de seguridad física. Les comparto algunos apuntes de temas tratados en esta sesión que ignoraba, que no conocía suficiente o que simplemente me parecieron interesantes. Varios puntos formaron parte de mi tarea.

Primera advertencia: los temas no están relacionados con seguridad de la información o en todo caso tienen poca relación.

Segunda advertencia: normalmente trato de redactar mis posts con cierta coherencia y orden. No será el caso para esta serie de posts express.

Dicho lo anterior, comencemos.

+ Coche bomba es diferente de coche con bomba. En el primer caso hay interconexión de la bomba con el auto. En el segundo caso se deja la bomba dentro del auto sin interacción entre ambos.

+ Liga de la Ley de Seguridad Nacional. Artículos que mínimo hay que leer: del 1 al 5.

+ Liga del Código Penal para el Distrito Federal.

+ Si uno se guarda algo en el bolsillo dentro de un súper, se considera robo? Se podría pensar que no y que es robo hasta que uno se sale de la tienda. Al parecer existe el concepto de “sustracción de la esfera de vigilancia del legítimo tenedor” con el cual se podría considerar robo al acto descrito. No encontré mucha información sobre este concepto en la red.

+ LEY GENERAL DE ACCESO DE LAS MUJERES A UNA VIDA LIBRE DE VIOLENCIA. Qué te parece esta Ley? Sólo por poner un ejemplo:

ARTICULO 6. Los tipos de violencia contra las mujeres son:

I. La violencia psicológica. Es cualquier acto u omisión que dañe la estabilidad psicológica, que puede consistir en: negligencia, abandono, descuido reiterado, celotipia, insultos, humillaciones, devaluación, marginación, indiferencia, infidelidad, comparaciones destructivas, rechazo, restricción a la autodeterminación y amenazas, las cuales conllevan a la víctima a la depresión, al aislamiento, a la devaluación de su autoestima e incluso al suicidio;

+ Inhumar: Enterrar un cadáver. Exhumar: Desenterrar un cadáver o restos humanos.

+ Clasificación de las Instalaciones estratégicas:

Siendo su clasificación como "AAA" aquellas cuya afectación o interrupción del proceso normal de operación, implique un riesgo desestabilizador directo y/o inmediato para la Seguridad de Nación. (Nivel Nacional) "AA" aquellas cuya interrupción del proceso normal de operación –no obstante afecte a extensas e importantes zonas geográficas de la Nación- no represente un riesgo directo y/o inmediato de desestabilización para el País. (Nivel Regional) "A" aquellas cuya afectación o interrupción del proceso normal de operación, repercuta solo en perímetros geográficos y poblacionales reducidos, sin que ello atente contra la estabilidad de la Nación de manera directa, y/o, inmediata..

+ Hay una “Ley Federal de Seguridad Privada”. Lo desconocía.

+ Blindaje: barrera que se interpone entre un factor de riego y un sujeto. Las barreras pueden ser naturales, informáticas, etc.

domingo, 6 de marzo de 2011

Lo Único Que Quiero es Que te Vayas


En pocas palabras eso es lo que le dijo Microsoft a su hijo Internet Explorer 6. Y hasta abrió un sitio web (www.ie6countdown.com) donde registra el % de uso de su hijo. En palabras de @microsoftnews: “los amigos no dejan que los amigos usen IE6”. ¿Pues qué hizo tan malo como para que le anden pateando su azul trasero?

Probablemente tú sí mantengas tu software actualizado o al menos tus ventanas de tiempo de actualización son lo más cortas posibles. Sin embargo un porcentaje importante de empresas y usuarios alrededor del mundo simplemente dejan que su software se quede en el olvido. Les importa un cacahuate mantener su software al día… o les da flojera hacerlo; tal vez usan software pirata y están a gusto así. Muchos no saben para qué sirve eso de “actualizar” si sus apps “jalan a la perfección”.

Internet Explorer 6 salió hace 10 años…y la gente lo sigue usando!! Yo que me preocupo cuando veo casos en los que pasan meses sin actualizar, pero el problema del software olvidado se cuenta en a-ñ-o-s.

Y por cierto, para qué rayos sirve actualizar el software?? Ahhh, pues a diferencia del Jetta de mi papá de 1995 que aún sirve porque lo mantiene al día, el software debe de actualizarse -la gran mayoría de las veces- porque así dan solución a problemas en su seguridad.

Por ejemplo, recientemente se publicó un estudio de los laboratorios M86, donde se establece que el top-15 de los ataques en Internet se podrían evitar porque ya tienen parches, es decir, cuentan con soluciones por parte del fabricante. Ponen el ejemplo del ataque No 2 de la lista que explota una debilidad en “Office Web Components Active Script Execution”… el parche está disponible desde 2002. Otras debilidades tienen parches desde el 2006.

Sinceramente no necesité este estudio ni el sitio de Microsoft que registra la muerte lenta de IE6 para saber el tamaño del conflicto.

Entonces, el problema está del lado de los inútiles usuarios..o de los inútiles fabricantes de software que no incorporan mecanismos de actualización efectivos a sus productos?

Yo le voy a los fabricantes de software que nos han dado software chafa. Y los números hablan por sí solos: desde el IE6 de Microsoft, hasta los productos de Adobe o el Java JRE que se quedan como muertos vivientes a lo largo del tiempo entre otros ejemplos. Y bueeeeno .. nosotros compartimos un poco de culpa por aceptar software deficiente (desde el punto de vista de seguridad).

¿Qué hacer? Empezar con lo que está bajo nuestro control. En la Mac o PC de casa, al menos una vez el mes darle su alineación y balanceo. Si trabajas en (o estás a cargo de) un área de TI..pues creo que no tienes excusa válida si tu infraestructura está como muerto viviente.

Los amigos no dejan que los amigos se queden con aplicaciones antiguas e inseguras.