"[INFOGRAPHIC] APT Myths and Challenges":Connecting the APT Dots

Me encontré esta gráfica de TrendMicro respecto a las APT.


Tal vez sólo le faltó especificar mejor a qué se refiere un APT, para no pensar que un simple phishing o un exploit ya se puede considerar APT...pero bueno, eso ya deberíamos saberlo, cierto?

http://blog.trendmicro.com/connecting-the-apt-dots-infographic

No a NoScript

NoScript es un complemento (add-on) para Firefox que impide la ejecución de scripts en las páginas web de Internet (hace otras monerías pero su función principal es la que dije). En diversos foros de seguridad se sugiere usarlo, ya que provee un mayor nivel de protección al navegar por Internet.

Y es cierto.

Desde el punto de vista de seguridad es una mala idea que las páginas web puedan ejecutar código (como se hace con JavaScript). Deberían de simplemente mostrar texto e imágenes como en los viejos tiempos para una navegación más confiable, pero esos días llegaron a su fin.

Soy usuario activo de NoScript desde hace tiempo. Yo mismo he llegado a recomendar su uso tanto en este blog como en mi Twitter.

¿Pero saben qué? Ya me cansé del addon. Me rindo. A la mayoría de páginas de Internet que visito les debo de permitir el uso de scripts ya que de otra forma no se puede interactuar con ellas: formas web, registro a webinars, ingreso de  mis datos para obtener un artículo, seleccionar una opción para que presente otra página web a donde deseo ingresar o foros de Internet. Hasta hay un sitio que te dice si tienes activado el inseguro JavaScript …pero la página necesita JavaScript habilitado para poder decírtelo!

Es ridículo. Acabo indicándole a NoScript demasiado seguido la opción de “Permitir temporalmente toda esta página” y en menor medida la de “Admitir toda esta página”.

Internet, hoy en día, habla script. Punto.

Lo interesante de esto es que ustedes mismos pueden probar lo que digo al usar este addon en FireFox (diversos programadores han creado equivalentes para otros navegadores). Tal vez ustedes lo dejen habilitado en todo momento y sigan la recomendación que yo mismo no quiero seguir.

Si bien es cierto que hay que tener seguridad, también es cierto que debe de haber un balance entre seguridad y funcionalidad. Y este es un ejemplo perfecto de cuando la seguridad impide una funcionalidad satisfactoria (la cual ciertamente permite disfrutar el Internet de hoy día).

Yo me rindo y no me voy a sentir culpable de permitir scripts más seguido de lo que me gustaría. No voy a desinstalarlo; algunas veces debo de ingresar a sitios donde hay sospecha de que son maliciosos y ahí lo tendré bien activado.

Y claro, aquí cae como anillo al dedo el concepto de controles compensatorios. La idea es compensar con otras medidas la carencia o debilidad de un control. ¿Qué se puede hacer si ando de promiscuo permitiendo scripts por doquier?

1. Usar navegadores con sandbox ya integrada como Safari o Chrome. 

2. Si se quiere usar otros navegadores, ponerles sandbox (como con el caso de SandboxIE).

3. Usar una suite de seguridad que provea de análisis de sitios maliciosos.

4. Usar servicios en línea que gratuitamente me indiquen si la liga es segura (es engorroso y lo hago ocasionalmente, no en mi navegación del día a día). Ahí está por ejemplo http://global.sitesafety.trendmicro.com/ o http://browsingprotection.f-secure.com/.

5. Siempre que deseemos navegar, hacerlo con un LiveCD de Linux lo cual evita usar el sistema operativo de base y esto impide su infección… pero creo que puede resultar mucho más fastidioso que usar NoScript, no creen?

En fin. Quería atreverme a desafiar a NoScript. Es liberador. Como dicen por ahí “Alguien tenía que decirlo”.

Nota: como dije al inicio del artículo, NoScript hace otras monerías. Por las cuales podría valer la pena dejar operando NoScript aunque se elimine su funcionalidad de bloquear Scripts. @ma1 me lo hizo notar y compartió esta liga que habla de esto en su último párrafo: http://hackademix.net/2010/08/01/al_9x-was-right-my-router-is-safe/

Guarda esa Información Cifrada.

No resulta extraño que existan entidades (ya saben cuáles) que guarden comunicaciones/información cifrada por unos 10, 15 ó 20 años. 

Son datos que en la actualidad no pueden ser descifrados dado el débil poder de cómputo para hacerle fuerza bruta a un cifrado con una llave robusta (256 bits simétrico, por ejemplo).

En unos años más, el poder de cómputo y mejores técnicas serán suficientes como para romper esa comunicación segura. ¿Sirve de algo llegar a saber un dato de hace 15 años? 

Probablemente la mayoría vaya a ser considerada basura o sea inútil porque ya se sabe. Sin embargo estoy seguro que un pequeño porcentaje seguirá siendo interesante o revelador y servirá para la toma de decisiones de hoy día.

De ahí que existen ciertas organizaciones que en la actualidad se dedican a guardar información cifrada. Es una inversión a largo plazo.

(Seguramente si tuvieran datos cifrados con 56 bits de DES de los años noventa, la podrían descifrar con pocos problemas hoy en día).

70% de Redes Empresariales Están Infectadas por Malware

Me encuentro con un artículo en ElFinanciero. Un par de comentarios:

1. Se habla de “Amenazas Avanzadas Permanentes”, cuando en realidad son Persistentes y no Permanentes. Bonita cosa sería que no se pudieran remover. Viene del inglés Advanced Persistent Threat (APT).

2. Luego nos habla de que “70% de las redes empresariales en el mundo está infectada por un malware” como haciendo una relación entre APT y el malware común y corriente. 

Sabemos que las APT son ataques especializados y dirigidos, por lo tanto este tipo de amenaza NO se encuentra en la mayoría de las redes de TI. Desconozco si el 70% de las redes tienen malware, pero sí sé que un ataque que sea del tipo APT estará presente en unos cuantos sistemas en todo el mundo. 

Es decir, hay una diferencia entre un APT (dirigido, especializado) y un malware común (masivo, general).

3. Se menciona a un “experimento” de TrendMicro que especifica que “87% de las organizaciones ingresó a una dirección de Internet maliciosa”. Yo pensaría que es más, pero en fin. 

El punto es que las herramientas tradicionales de protección nos protegerán contra esas páginas maliciosas genéricas tipo “a ver quién llega y cae”. Supongo que a ese tipo de páginas se refiere la cifra de 87%. 

Ciertamente me preocupan más esos accesos que hacen un par de empleados a un sitio malicioso especialmente diseñado para ellos. Eso es un APT.

4. No encontré la referencia al reporte o artículo original de TrendMicro. Siempre me gusta ir al origen de la noticia. Algunas veces interpretan mal la información original.

5. Los últimos tres párrafos expresan información veraz. 

El artículo al que hago mención:

http://www.elfinanciero.com.mx/index.php?option=com_k2&view=item&id=19645&Itemid=26

Ningún sistema debería ser una isla... ¿o sí?

Les dejo mi colaboración para ComputerWorld:


http://www.computerworldmexico.mx/Articulos/23050.htm

¿Por Qué no Voy a Conferencias de Seguridad?

Estoy a punto de sonar soberbio, pero me arriesgaré: la razón principal por la cual no voy a la mayoría  de las conferencias de seguridad es porque ya me sé el ~85% de lo que ahí van a decir. Algunas conferencias llegan al 99%. 

Desde mi punto de vista, lo que a continuación enlisto son temas recurrentes en varias de las conferencias de seguridad. Lo dicen una y otra vez. Ya me lo sé.

Sueño con la Confidencialidad, Integridad y Disponibilidad (C-I-D) de la Información. Ya sé la relación de la C, I y D con los datos. Y por qué son conceptos importantes. Ah! También me sé la definición de la C, I y D. Pero nunca falta al menos un slide recordándome todo esto. Gracias.

La Información es  Valiosa. El expositor en sus primeros slides dirá que la información es uno de los principales activos de las organizaciones. Que hay que protegerla porque bla, bla, bla. Rayos. ¡Sí, ya sé que es valiosa, next! 

Ciberguerra. Se paran a hablar de la ciberguerra, de cómo un país puede invadir a otra nación usando TCP/IP. De cómo ya las nuevas armas vienen en paquetes vía red. Que los nuevos soldados están detrás de una computadora. Patrañas. 

El día que ataquemos a otro país usando comanditos detrás de un monitor con consecuencias graves, es muy probable que nos vayan a venir a romper la trompa con armas “tradicionales”…sí, de esas que disparan y que sacan sangre, junto con aviones de combate y navíos tipo destructor. 

Actualmente lo que estamos viendo es ciber-espionaje y otras ciber-operaciones, pero no “ciberguerra” (cyberwar). Me dan ganas de preguntarle al expositor que qué pasaría si una nación usa la ciberguerra para volar en mil pedazos a una planta nuclear de los EUA. 

Luego entonces y en todo caso, la llamada ciberguerra sería solamente OTRO mecanismo para ser usada en una guerra convencional. Tal cual lo harías envenenado el agua potable como otro medio para ganar una guerra. 

Siento ganas de vomitar cuando se paran a alertar de la “nueva” guerra, lo caduco de los soldados “convencionales” y de cómo se van a lidiar las nuevas guerras en el futuro.

Ah! Y ya sé lo que hace StuxNet y supe del ataque DDoS a Estonia hace unos años; les encanta ponerlos de ejemplo del terrible “cyberwar”, y no lo son.

Concientización de usuarios. Que no hay suficiente security awareness en las empresas. Que esto representa una amenaza constante porque a los empleados se les puede hacer phishing. 

Que los empleados le dan click a cuenta liga se les presenta y que constituyen el “eslabón más débil”. Ya lo sé. 

Y también sé la solución: hacer campañas de concientización que verdaderamente hagan llegar el mensaje al empelado, así como políticas y bla, bla, bla.

Presión de Usuarios. Que los empleados presionan por traer sus dispositivos (smartphones, Pads, etc.) a la empresa y conectarlos. Que presionan para entrar a todo tipo de sitios. Que los usuarios desean tener libertad de  instalar X aplicaciones. Y que todo esto es un problema para el área de TI. Ya me lo sé. 

Y ya saben, se ofrecen soluciones vagas a este problema: hay que tener un balance entre los deseos de los usuarios y la seguridad (bla, bla, bla) y claro, cada corporativo tendrá diferentes maneras de atacar este problema con sus usuarios. 

Y aquí entra mi frase favorita: “bueeeeno, es que DEPENDE de la situación en cada empresa y….”. 

Ya saben…”depende”. Todo es relativo. Tan útil es la palabrita “depende” que yo mismo la he llegado a usar.

Evolución del malware. Ya sé que antes el malware estaba hecho por diversión o sin fines de lucro. Y ahora el malware se hace en su mayoría para que pase desapercibido y tiene el fin de obtener una ganancia económica. 

Esa tendencia tiene varios años. Entendemos que existe malware bancario que roba credenciales de banca en línea y que existen otros trucos más cuyo fin es robar dinero o sacar un provecho económico a diferencia del malware de “antes”. ¿Algo nuevo sobre este tema?

Gobierno de Seguridad de la Información. Importante tema dentro de las corporaciones, pero neta qué tema tan aburrido para escuchar en una conferencia. Punto. Me duermo. Wake me up when you’re done!

Cómprame mis productos. No pueden faltar los que se paran a hablar y que son representantes de un producto o servicio de seguridad. Aunque oficialmente no mencionan a su producto pero tooooda la plática está orientada a que le preguntes al final que cómo se puede evitar todo lo malo de lo que está hablando. 

Y claro, la respuesta será “There’s a product for that. And you’re lucky, I sell it”.

Encuestas. Casi para cada encuesta que muestren y que indique X tendencia, existirá otra que la contradice o que arroja diferentes números. Me viene a la mente la encuesta de la mayor amenaza por cantidad de incidentes generados: empleados internos vs atacantes externos. 

He visto numerosas encuestas que confirman que las intrusiones vienen en su gran mayoría de los propios empleados y hay otras más que aseguran que los crackers que vienen de Internet representan el mayor peligro. Este tema lo toca de manera mucho más amplia el documento llamado “Sex, Lies and Cybercrime Surveys”, googléenlo.

Más ataques. Que en los años recientes se han incrementado el número de ataques informáticos. Y que la tendencia es que sigan creciendo. El conferencista en este momento muestra una gráfica con reportes de amenazas que van a la alza. 

Yo digo: es correcto, los ataques son más que antes y van a seguir creciendo. Ya lo sé. ¿Hay algo nuevo sobre este tema?

Anonymous, LulzSec y Asociados. Esto tiene liga con el punto anterior. Que los Anonymous representan un peligro que hay que considerar, que si el hacktivismo, que si la serie de hackeos sucedidos en los últimos meses, que la cantidad de datos robados, que veamos el gran número de víctimas afectadas y un largo etcétera. 

Noticias: sé quiénes son estos grupos, la serie de hackeos que han perpetrado y las técnicas usadas. Something you wanna add?

Mejores Prácticas. Nuca faltarán las palabras “mejores prácticas” en los slides del conferencista. Estándares con muchos numeritos, los del NIST, el 27001 o COBIT. 

Que hay que seguir las mejores prácticas. Porque son muy buenas. Todo mundo las sigue. Yo también debería de hacerlo, ya lo sé. Porque me darán un beneficio. Y porque son mejores y que por eso hay que seguirlas, get it? 

Ya lo estoy escuchando: “Las mejores prácticas dicen…[favor de insertar en este espacio cualquier cosa ya que como son mejores prácticas nadie las cuestionará]”. 

Tanto se repite lo de las mejores prácticas en seguridad que ya hasta a mí se me pegó y lo uso y digo. Ok, ya sé mi propósito a cumplir para el siguiente año.

La Nube. Claro, la bendita nube. Cómo olvidarla. Que la nube representa un costo menor pero que hay que tener cuidado con su seguridad. Porque la información ya no estará bajo nuestro control, pero que es una solución muy barata. 

Que hay que tener cuidado con la redacción del contrato. Que “dependerá de nosotros” irnos o no a la nube. Y que hay que considerar la (falta de) disponibilidad de los datos cuando se mandan a la nube. Ok. Todo lo anterior ya me lo sé. ¿Dirán algo nuevo esta vez?

BYOD y movilidad. Que los usuarios quieren traer su propio Smartphone contratando ellos un plan de voz y datos. Que quieren leer su correo corporativo y tener acceso a información de la empresa. Pero que hay un problema con la seguridad, porque “¡es la información de la empresa!” la que está en riesgo al estar polulando por ahí en el dispositivo personal del empleado. ¿Y qué creen? Ahí está el BYOD. 

Y el conferencista empieza a describir lo que es BYOD y cómo puede ayudar a mantener la información protegida…ya me lo sé!! De primera mano conozco proyectos de este tipo. 

Pero claro, supongo que tendré que aguantar oootra descripción de qué es el BYOD, cómo surge, qué resuelve y el papel que juega en las empresas. Bien por mí, otra siestecita.

Gestión. Hay que hacer una gestión de la seguridad de la información que obvio incluye una administración de riesgos. Y para esto hay que seguir las mejores prácticas. Porque si no lo hago soy un chico malo y demostraría mi nivel de inmadurez…bueno, la inmadurez de la seguridad en mi corporativo. 

Señores, hay que gestionar la información porque es importante y hay que hacer análisis y tratamiento de riesgos. Listo. Les acabo de ahorrar una hora de su vida que de otra manera hubieran invertido escuchando esto.

Redes sociales. Y para no dejar de lado las redes sociales, en la conferencia tocarán el tema de las redes sociales. Que los empleados pueden fugar información a propósito o accidentalmente. 

Que las ligas (sobre todo las acortadas tipo bit.ly) pueden guiar a los usuarios a sitios maliciosos. Que hay que tener una política para el uso de las redes sociales. Si hay algo diferente que quieran tratar respecto a la seguridad y redes sociales, bienvenido el tema!

Conclusión. Para mí, hay dos tipos de Conferencias de Seguridad.

a) Las que son genéricas y, b) las que son especializadas para gente que tiene ya una base y que quiere incrementar su conocimiento al recibir nuevos temas concretos y de vanguardia en seguridad de la información. 

Lo malo es que varias conferencias del primer tipo se ostentan como del segundo.

En lo personal, me aburre ir a escuchar cosas que ya sé y que se repiten incansablemente en pláticas de seguridad. Tal vez podría ir a hacer networking y aprovechar la visita, pero eso es ya otro boleto.

Nota 1: sé de primera mano que a los expositores en más de una ocasión se les “propone” el tema del cual deben hablar y no les dejan mucha libertad para elegir. Lo entiendo y tal vez yo mismo caiga en esto en el futuro. Pero mientras juegue el papel de asistente, antes de asistir no dejaré de ver el título y el “abstract” de las charlas para ver cuántas veces digo “ya me lo sé”.

Nota 2: pensándolo bien, creo que debí haber titulado este post  de otra manera: “Ya me lo sé”.

Final reminder to update your legacy Blogger account

Me llega correo supuestamente de Google con el asunto: "Final reminder to update your legacy Blogger account".

La verdad, el mensaje parece phishing. Así es que le di click pero no ingresé mi username/password. Al final visité la página donde en resumen dice que si ingresaste a Blogger después del 2007, no debes de hacer nada.


Querido Google, en lugar de confundir a la gente con tus mensajitos llenos de links estilo phishing, puedes mandar estos correos sólo a quienes deben de hacer cambios en su cuenta? ¿Y en lugar de links, pedir que nos metamos a la cuenta y desde ahí nos vayamos a X sección dentro de la cuenta para hacer la migración? 


¿Es mucho pedir?


Aquí parte del cuerpo del mensaje que recibí:


Hello,

You are receiving this message because your email address is associated with an unmigrated legacy Blogger account. As we announced in April of last year, legacy accounts will no longer be accessible after May 30th, 2012 unless they are updated to the Google Account system. Any blog content associated with this account will also be unmodifiable after that date.

To transfer your blog to the Google Account system you need to visit the Legacy Migration page at http://www.google.com/appserve/mkt/HELfVyR4qg8FNc right now to make sure that your account and associated blogs are claimed. If you’ve forgotten the Blogger password that is associated with this email address, you can use our Account Recovery page at  http://www.google.com/appserve/mkt/KEAoeP9fvl1lGe to request password information to be sent via email.