sábado, 29 de diciembre de 2012

Propósitos para el Año Nuevo


Hablemos de propósitos de seguridad informática para este año nuevo. No te voy a recitar 10 propósitos que sé que no harás. Dejémoslo en 3 nada más, los más básicos que pueden aumentar significativamente tu seguridad.

1.- Respalda.

Laptops que se pierden, dispositivos USB extraviados, discos duros que se aterrizan o se atrofian, virus que secuestran tus archivos y un largo etcétera que puede hacer que dejes de tener tu información. Tal vez sean fotos familiares, tu tesis, tus presentaciones que das en reuniones, las facturas escaneadas o los reportes de colesterol que te sacan trimestralmente. Información que puedes perder. Para siempre.
Respaldar puede hacerse usando varios medios.

DVD. Tan simple como comprar varios DVD (o Blu-ray) y quemar aquellas carpetas que te interesan. Tendrás que acordarte de hacerlo al menos un par de veces al año.

Disco duro externo. Existen discos duros externos con capacidad suficiente para respaldar tus datos (ten en cuenta que respaldar lo que verdaderamente importa tal vez se cuente en Gigas, deja fuera los N videos que bajaste de YouTube). 
En las plazas de tecnología del Centro del DF se pueden encontrar, también en Liverpool, OfficeMax o en la Apple Store; ve a esas tiendas y pregunta por ellos.

Nube. Sube a la nube tus respaldos. Que sea una solución que implemente PIE (Pre Internet Enryption) que significa que antes de que se vaya a la nube, la información se cifra en tu equipo y la transfiere ya cifrada. 
Carbonite puede ser una solución o Arq (sólo Mac) así como CloudBerry. Varios de ellos hacen respaldos automáticos lo cual te ahorrará “la pena” de estarlo recordando.

Imagen. Hay soluciones que respaldan todo el disco duro que tienes, incluido el sistema operativo y sus configuraciones. 
La desventaja es que los respaldos ocupan más espacio; la ventaja es que cuando algo pasa, se te restaura todo tu sistema. 
Norton Ghost es una opción junto con varias más

En lo personal no me gustan las soluciones que crean una imagen de todo tu disco, prefiero re-instalar el sistema operativo (así aprovecho para limpiar mi sistema) y copiar sólo las carpetas que he respaldado.

2.- Antivirus.

Si me sigues en Twitter (@FaustoCepeda) te habrás dado cuenta que le echo tierra a los antivirus. ¿Entonces por qué los recomiendo? 
Ok, para ambientes empresariales, existen mejores soluciones que previenen infecciones como lo son las listas blancas (por ejemplo con Bit9) y ya los antivirus juegan un papel secundario. 

Ahora bien, para usuarios en casa, el antivirus sigue siendo la mejor opción. Hasta que encuentre un buen producto de listas blancas para la casa.

No debes de gastar cientos de pesos anualmente por un buen antivirus. Existen varios gratuitos que ofrecen una seguridad satisfactoria. 
Microsoft Security Essentials, Avast, Sophos (gratuito sólo para Mac), AVG o Avira. Selecciona uno, instálalo y de vez en cuando asegúrate de que se está actualizando.

3.- Actualiza.
Varios de tus programas te avisan que hay una nueva versión de ellos y que debes de actualizar. Hazlo. No le des “Después” o un “No me molestes más”. 

Date el tiempo para actualizar tu Adobe Reader, FireFox, el Flash Player o tu sistema operativo; todos ellos te avisan cuando hay nuevas versiones, depende de ti dar el “sí acepto”. 
Hacer esto te pondrá por encima del promedio de usuarios.

Ahora bien, hay otros programas que son suficientemente malos y no te dicen cuando hay nuevas versiones. 
Mal por ellos porque te dejan el trabajo a ti. El PSI de Secunia te puede ayudar a esta labor. 

O tendrá que ser manual revisando los programas que tienes instalados y googleando a ver si la versión que tienes es la última disponible. 
Acepto que está de flojera hacer eso, pero caray, hacerlo 3 ó 4 veces el año no es mucho que pedir, creo.

Conclusión: hazlo. Y feliz año nuevo.

miércoles, 19 de diciembre de 2012

Sugerencias de seguridad para implementar BYOD en las empresas

Les comparto el artículo que hice para ComputerWorld:

http://www.computerworldmexico.mx/Articulos/26710.htm

viernes, 23 de noviembre de 2012

¿Y luego del pentest qué?

Te comparto un artículo que ComputerWorld me hizo el favor de publicar:

http://www.computerworldmexico.mx/Articulos/26184.htm

martes, 16 de octubre de 2012

Tu infraestructura es insegura. Yo te digo por qué.

Te comparto el artículo que ComputerWorld me hizo el favor de publicar. 

Espero te guste: "Tu infraestructura es insegura. Yo te digo por qué."

http://www.computerworldmexico.mx/Articulos/25758.htm

miércoles, 19 de septiembre de 2012

Si te Puedes Acordar de tu Contraseña, es Insegura.


Me interesó un artículo de ArsTechnica respecto a la seguridad de las contraseñas y que lleva por título “Why passwords have never been weaker - and crackers have never been stronger”. Bien vale la pena leerlo completo, ya que tiene muy buena información.

Mi conclusión al final de leer ese artículo es que cualquier contraseña de la que te puedas acordar seguramente podrá ser crackeada en segundos, minutos, o en el mejor de los casos: días. Pero se quebrará tarde o temprano. 

Si es cercano a lo inquebrantable, significa que tienes una contraseña robusta y eso me lleva a pensar que tienes una muy buena memoria o que usas un administrador de contraseñas como yo para almacenar passwords complejos.

¿Por qué digo lo anterior? Leyendo el artículo, me queda claro que los trucos que usamos para armar contraseñas son ya sabidos por los crackers y por lo tanto incorporan este conocimiento en sus búsquedas. 

Es importante mencionar que este conocimiento para romper passwords se ha beneficiado de los robos de millones de contraseñas de los últimos años y meses (LinkedIn, Yahoo y un largo, largo etcétera) donde con passwords reales han visto de primera mano las técnicas utilizadas por las personas alrededor del mundo y en diferentes idiomas. 

Este conocimiento se ha vertido en las herramientas que automáticamente crackean contraseñas y lo anterior aunado al poder de cómputo actual, al uso de SHA-1/MD5 en lugar de BCrypt para hashear contraseñas, a no poner sal a los passwords, a los trucos como las rainbow tables y al mejoramiento en los algoritmos de búsqueda, ha dado como resultado un decremento importante en el tiempo que se logra descubrir una contraseña robada. 

Claro, partiendo del supuesto que los passwords robados tenían al menos una protección y no estaban en claro ya que de ser así ni siquiera hay que romperlos (que llega a suceder).

Una vez que se “obtiene” una base de datos típica de contraseñas, el cracker puede usar una sola computadora que puede llegar a intentar (conservadoramente y dependiendo del hardware) hasta 8,000,000,000 de posibles contraseñas por segundo en un ataque de fuerza bruta. Si se añaden más procesadores a ese mismo equipo o se usan más computadoras…simplemente hagamos las sumas.

Por ejemplo, en el robo de contraseñas de LinkedIn, extrajeron 6.4 millones de passwords. El 52% pudo ser crackeado en dos horas. Y no fue un gobierno con cientos de recursos con capacidades de cómputo extraordinarias, sino un dude llamado Jeremi Gosney.

Los siguientes trucos que amamos para armar contraseñas simplemente han sido rebasados. Y quienes recomendamos usar estos trucos estamos un pelín desactualizados. 

Vaya, hasta los password-meters llegan a meter la pata, sí, esos sitios en donde metes tu contraseña y te dice qué tan fuerte es. 

En fin, revisemos algunos de los trucos más socorridos por todos nosotros, estoy seguro que usas al menos una de estas técnicas geniales que sugiero empieces a cambiar:

Usar el nombre del sitio como password. El password para mi cuenta de LinkedIn: linkedin. La contraseña para Twitter: twitter. Y los atacantes ya se saben las variantes: LINkEDIN, linkEDIN o LiNkEdIn.

Poner numeritos adelante o atrás. Twitter123, 123Yahoo, Interjet135, Hotmail2000, 2012GMail, 1977gmail, Tumblr2007. Si se fijan los números casi siempre son años de nacimiento o cósmicos (2000); o bien el año de creación de la cuenta (2012) pero también pueden ser combinaciones de teclado: 123, 67890, 3456, etc. 
Todo esto ya lo saben los crackers. Y ni qué decir del popular 123abc, abc123.

Cambiar letras por números. Me encanta usar este truco: “Tw1tter”, “L1nked1n”, #3vern0t3”, “K0manch3”, V1vi4M3xic0K4br0n3$” o “L3on” como passwords. También M0n0, Lup1t4, $uper, m3g4m3nt3, n1nj4 o ch1d0. 
Los atacantes ya se saben los truquitos de sustitución y alimentan a sus herramientas en consecuencia. 
Recuerden, pueden probar alrededor de 8,000,000,000 de contraseñas por segundo; créanme, pueden poner y probar millones de variantes.

Poner nombres o palabras.  Bueno, realmente este no es un truco porque ni siquiera hay un esfuerzo por complicar el password pero igual lo puse porque habrá usuarios que piensan que sí es un truco. 
Nada más alejado de la realidad. Es lo peor que se puede hacer. Se puede crackear en segundos, literalmente. Ejemplos: Guadalupe, Juan, amor, tequiero, azul, Ana, Lupe, Mike, Pablo, perro, rata. Sobra decir que todos ellos son muy malos.

Poner caracteres especiales al principio o al final y hasta en medio. ##Perro, Batman%%, Me&&you, Pedro$$$, Ma%%lena, Net//flix. Poner caracteres especiales lo hace más difícil, cierto? Pues no, así tal cual están en los ejemplos no sirven de mucho.

Números. Nada “mejor” que poner numeritos, esos crackers nunca lo sabrán! Y mejor aún si van en el orden que marca el teclado: 123, 1234, 12345, 123456789. O mejor al revés: 0987, 09876. Tal vez 12340987, 111111. Ok, buen truco chicos listos, pero inútil actualmente.

Combinaciones del teclado. Paren un momento y vean su teclado qwerty para que les hagan sentido los ejemplos siguientes. Siempre pensé que era una buena idea poner zaq123, zaqxsw, zxcasdqwe, 123qweasd, poipoilkj. Vean su teclado, cuántas combinaciones pueden poner que sigan un patrón y que sean fáciles de recordar? 4rfv5tgb, 1029384756. 
Yo ya puse varias posibilidades. Buena suerte cuando la máquina intente 8,000,000,000 por segundo (sí, me gusta repetir esta cifra para que se nos quede grabado). 
En lo que me tomo el café tendré la contraseña.

Vámonos al revés. Este sí es un buen truco. Poner la palabra Twitter al revés Rettiwt y usarla para dicho servicio. Koobecaf para Facebook. Xobpord para DropBox. Nozama para Amazon. Bueno, pero realmente es un buen truco, no? Déjame lo pienso. Mmhh. No lo creo.
Y claro, no hay que olvidar que los anteriores trucos se pueden combinar.
¿Me creo muy listo? Pues no, yo mismo he usado y desgraciadamente sigo usando varias de estas técnicas, es que son muy buenas! Pero he decido cambiar.

Solución.
Los passwords no están rebasados, sino la manera en que los creamos es lo que está caduco.

Bueno, una vez que los truquitos arriba mencionados quedaron excomulgados, qué se debe de hacer?

Contraseñas aleatorias. No hay de otra. Y claro, para ello usar un administrador de contraseñas que abundan en el mercado. Yo uso LastPass. 

Ejemplos de buenos passwords y con longitud adecuada:

·        ]Yfaos31gQ#0N(:n
·        utf1Xhp$h-FSRRNk
·        M?yA1ouu^O@=BH#l,

Lo no tan ideal y segunda mejor cosa que puedes hacer, es seguir estos otros consejos que en su momento me parecieron bien, pero hoy en día ya no tanto.

¿Estoy exagerando? ¿Necesito tomar un whisky, re-pensarlo y relajarme? Escucha este audio y luego lee un par de artículos sobre password cracking (o si prefieres leer de un tema relacionado: PINes comunes de cuatro dígitos). Y ya luego hablamos.

El secreto para vivir en las nubes sin caerse

ComputerWorld me hizo el favor de publicar mi opinión sobre la seguridad en las nubes, espero les guste.

http://www.computerworldmexico.mx/Articulos/25271.htm

lunes, 27 de agosto de 2012

Seguridad en Equipos de Seguridad Física


En una organización se pueden tener diversos sistemas de seguridad física, ya sea de intrusión, CCTV o incendio. E invariablemente muchos de estos equipos tienen sistemas operativos Windows. 

¿Cómo se protegen estos equipos desde el punto de vista de seguridad informática? ¿Cada cuándo se le actualiza y a las aplicaciones que viven en él? En la mayoría de las ocasiones, se dejan así como están; tal vez hasta que se le dé mantenimiento mayor al equipo o debido a que dejó de funcionar y haya que sustituir todo el equipo.

Empecemos entendiendo para qué querer actualizar el software (Windows y aplicaciones) si éste opera de manera adecuada. Pues bien, ese el es gran problema del software: que puede operar a la perfección y al mismo tiempo tener múltiples fallas desde el punto de vista de seguridad informática.

Ahora bien, qué puede pasar con sistemas desactualizados o desprotegidos? La respuesta es simple: hackearlos. Apoderarse de ellos. Para evitar eso, los fabricantes publican parches que deben de ser aplicados periódicamente. Sin olvidar que uno debe de seguir ciertas medidas adicionales para dar seguridad informática a los equipos de seguridad física. 

Por ejemplo, uno podría pensar que es exagerado pensar en parchar el software. Basta usar Google para buscar “Hacking Windows Backtrack” o “SCADA Software Hack” para darse cuenta del problema con ejemplos reales. 
Para aclarar términos, BackTrack es una distribución de Linux desde donde se pueden montar ataques informáticos y SCADA es “Supervisory Control And Data Acquisition” que se refiere al software encargado de supervisar infraestructuras como la eléctrica, de agua o plantas nucleares.

Ciertamente hay que pensarlo de la siguiente forma. Los sistemas informáticos en donde se montan los programas de seguridad física (incendio, CCTV, etc.) son vulnerables. Irónico que el programa que sirve para detectar un intruso humano esté montado sobre un sistema de cómputo vulnerable que puede ser penetrado por un hacker (intruso) usando medios informáticos. 

A continuación unas recomendaciones.

Contar con Windows moderno. Es común ver sistemas de seguridad física que se instalaron con versiones muy antiguas de Windows para las cuales ya no hay parches porque el fabricante dejó de soportar esa versión. O mucho peor, tal vez el software de seguridad física requiera que se use una versión muy antigua de Windows. En cualquier caso, es necesario saber que las versiones recientes de Windows están soportadas y son más robustas desde el punto de vista de seguridad informática.

Desconectar el equipo de Internet. Un sistema contra incendio no tiene por qué navegar en Internet, lo mismo que un sistema contra intrusos. Deben de tener conectividad con los diversos sensores de seguridad física instalados de la organización y hay muy pocos escenarios en donde se requiere que tengan acceso a Internet. La conexión a Internet es una mala idea, sirve para navegar (mientras se está aburrido monitoreando una cámara CCTV) y contraer decenas de infecciones informáticas que se encuentran presentes en la red. Si se requiere conexión a Internet, hay que pedirle a la Oficina de Redes que permita la conexión sólo a los sitios de Internet que se necesitan y ni una más.

Tener antivirus. Es importante instalar un antivirus en las máquinas de seguridad física. Vaya, si hasta tenemos uno de ellos en la computadora de nuestra casa, por qué no tenerlo en un sistema de protección. Y no sólo es necesario tenerlo instalado, sino actualizado y bien configurado para que haga una buena labor de detección y eliminación.
Sin USB. Los dispositivos USB son muy útiles. Nos sirven para transmitir archivos de una computadora a otra. Es la labor que hacían los antiguos discos blandos o discos floppy. Todo mundo los usa. Hasta los que desarrollan virus. Por lo tanto los USB son ya un medio muy importante para diseminar infecciones . Es mejor deshabilitarlos del equipo de seguridad física o si no se puede, al menos deshabilitar la funcionalidad de “autorun” que provee Windows para los USB y así evitar infecciones ya que es una característica abusada por los desarrolladores de virus (el personal de sistemas sabrá  a qué me refiero y cómo hacerlo).

Actualizar software. Es muy importante mantener actualizado tanto el sistema operativo Windows como las aplicaciones que viven en él. Microsoft, quien fabrica Windows, publica parches para su sistema cada segundo martes de cada mes. Otros fabricantes de software tienen otros esquemas de actualización. Para varios de ellos (incluyendo Windows) existe la posibilidad de configurar una actualización automática.

Endurecer el sistema. En términos de seguridad física, endurecer un sistema equivale a tener un edificio común y corriente y volverlo seguro al levantar un muro alrededor de él, instalar cerraduras robustas, poner puertas de acero y con rejas en las ventanas. Lo mismo queremos con el sistema Windows: por default viene como un edificio “común y corriente” y deseamos hacerlo robusto. Pueden usar Google para buscar “NSA Windows hardening” para obtener y seguir una guía de endurecimiento.

En fin, aunque existen otras medidas, estas son algunas recomendaciones básicas para proteger a los sistemas de seguridad física desde el punto de vista de seguridad informática.