jueves, 30 de mayo de 2013

viernes, 10 de mayo de 2013

"Mis Datos No son Importantes"

En más de una ocasión he escuchado la siguiente afirmación: “En mi computadora no guardo nada de valor”. La anterior aseveración me la comentó una conocida después de haberle explicado los riesgos de contar con hábitos de navegación en Internet poco seguros o bien el hecho de tener poca o nula protección para los datos que residen en su equipo de cómputo.

Esta persona me afirmó que en su computadora realmente no consideraba que guardara información relevante que pudiera ser de utilidad a un hacker. Por lo tanto no ve la necesidad de proteger de ninguna forma esos datos porque no tienen valor, y asume que no tienen importancia para un atacante.

Inmediatamente después de que supuestamente me había desarmado con su respuesta desinteresada respecto a no tener nada de valor en su sistema, le pregunto que si entonces me podía prestar un par de horas su computadora para que pudiera husmear en ella y sacar información que me interesara. También le digo que si resulta ser algo curioso, chistoso o precoz, me deje publicarlo en Internet.

La respuesta inmediatamente es que no me dejaría husmear en su equipo y menos aún me daría permiso de subir algún archivo a la red. Pongo cara de curiosidad junto con asombro, y le pregunto que por qué me niega el acceso a su equipo.

Primero empieza por decirme que tiene fotos familiares (y en mis adentros pienso que podría tener hasta de otro “tipo”) y que eso no es de mi incumbencia. Luego sigue pensando y recuerda que tiene un archivo en claro (sin cifrar) donde enlista sus contraseñas que usa en línea, incluyendo Facebook, su correo y demás servicios que hoy en día utilizamos.

De pronto sale rubor de sus mejillas. Me dice que tiene un correo guardado que no quisiera que nadie leyera. Mi imaginación vuela, intuyo que podría ser de su amante o amigo “muy cercano” que tiene contenido sólo para adultos, o peor aún, que la puede meter en un buen lío con su pareja. Eso definitivamente es algo que no debe de caer en ojos ajenos y es impensable que se suba a un sitio de Internet.

Volviendo al archivo de contraseñas, rápidamente también se acuerda que ahí guarda las de su banca en línea donde hace transferencias de dinero entre sus propias cuentas y también envía dinero a otras personas. Por cierto, también tiene las contraseñas de la banca en línea de su empresa ya que a veces debe de hacer transferencias en fin de semana. Desconozco si su banco utiliza un segundo factor de autenticación (token).

Luego recuerda que ha guardado en su equipo personal uno que otro archivo del trabajo. De hecho tal vez no sean dos ni tres y estemos hablando de un par de docenas. Ya saben, para trabajar en casa. Al menos uno de ellos contiene alguna información sensible que preferiría no saliera de su sistema y menos que un tipo lo pusiera en Internet para que fuera del dominio público. Hasta ahora sólo se ha acentuado cada vez más la necesidad de negarme el acceso a su información.

Luego recuerda que a veces se pone lenta la red de su casa. Y se ha dado cuenta de que esto sucede minutos después de cuando ve pasar a su vecinito adolescente que entra al domicilio de enfrente. Le digo que podría ser que este chico entra a su red y navega con el Internet “prestado”. Y quién sabe a qué sitios podría estar entrenado o que otras cosas podría estar haciendo (ante un delito en Internet, las autoridades llegarían a tocar a la casa de mi conocida). La dejo pensando. Me asegura que probablemente sea su imaginación porque su vecinito es muy decente.

Finalmente, la observo por un par de segundos. Le digo que hay criminales en línea que infectan con virus a equipos de cómputo de usuarios en Internet. Puede ser para que desde ahí se manden mensajes no solicitados (spam). O bien para participar en ataques contra servidores web en Internet. También hay criminales que amasan una gran cantidad de equipos hakeados bajo su control y que posteriormente rentan a otros grupos de dudosa reputación para diversos fines. Estos malhechores lo último que desean es que el usuario se dé cuenta de que su equipo ya no le pertenece y por esta razón el virus infecta silenciosamente.

Ha terminado mi labor. Le digo que tiene razón. Que no vale la pena mover un dedo para proteger su equipo de cómputo. Me ganó. Me demostró que sería una pérdida de tiempo. Me despido amablemente y sigo mi camino esperando a la siguiente persona que me diga “En mi computadora no guardo nada de valor”.

miércoles, 8 de mayo de 2013

Cómo Evitar que Comprometan tu Cuenta Corporativa de Twitter


Cada vez es más común leer de hackeos a cuentas corporativas de Twitter. Lo anterior, aunque no pudiera representar un riesgo a la infraestructura interna de una empresa, sí significa un episodio vergonzoso para la compañía ya que normalmente el atacante escribe tweets embarazosos, publica fotos indecentes o ligas que llevan a sitios maliciosos.

Es importante mencionar que el objetivo de una cuenta corporativa de Twitter es aprovechar esta red social para estar en contacto con los clientes de la empresa, enviar ofertas o información relevante que se desee comunicar, así como notificar de nuevos productos y servicios o bien, contestar inquietudes o quejas de los clientes.

Por lo tanto, lo último que se desea es que un hacker comprometa la cuenta de esta red social y envíe mensajes totalmente fuera del interés de la organización.

A continuación ofrezco una serie de medidas que pueden reducir el riesgo de que se comprometa una cuenta corporativa de Twitter:

Sistema seguro: el equipo de cómputo desde donde se utilizará Twitter debe estar bien protegido.

a).- No debe faltar un antivirus actualizado, un sistema operativo constantemente parchado para evitar vulnerabilidades y lo mismo con sus aplicaciones (Internet Explorer, FireFox, Office, etc.). Tal vez no esté de más un endurecimiento del sistema (hay guías en línea). 

b).- Por último, impedir el ingreso de dispositivos tipo USB (para evitar virus) a estas computadoras y sólo instalar software corporativo autorizado.

c).- Con el fin de resguardar la integridad de estos sistemas, se debe de evitar leer correo desde ellos (de preferencia desinstalar clientes de email como Outlook). El correo es cada vez más un vector de ataque por los adjuntos maliciosos que se envían a través de él o las ligas a sitios con malware que se incluyen en los mensajes.

d).- Por otro lado, es prudente no instalar aplicaciones que históricamente han sido un dolor de cabeza por su inseguridad (constantemente se descubren vulnerabilidades –incluyendo de día cero- que hay que estar parchando frecuentemente) y que son: Java, Adobe Reader y Adobe Flash. De hecho es una buena medida no instalar programas que no se vayan a requerir para el envío de tweets.

e).- La navegación por sitios de Internet es otra fuente de infecciones que pueden tomar el control del sistema, instalar un par de keyloggers y robar la contraseña de nuestro Twitter. Aunque es preferible impedir toda la navegación a sitios de Internet, puede haber algunas razones válidas por las cuales se debe entrar a páginas de la red, entonces se puede hacer una de dos cosas (por ejemplo):

        I.            Instalar un navegador diferente al Internet Explorer (por ejemplo Chrome o FireFox) con un add-on instalado tipo No-Script (evita la ejecución de Java y JavaScrit entre otras varias funcionalidades de seguridad).

      II.            Con VMWare Player o VirtualBox instalar una máquina virtual de Linux y desde ahí navegar. Mantener la máquina virtual actualizada es básico y mantenerla aislada del sistema maestro.

f).- Podemos proteger un sistema al limitar en extremo su conectividad al exterior (Internet), pero los atacantes se las han ingeniado para hacer ataques indirectos. Comprometen a un sistema cualquiera dentro de la empresa y posteriormente desde ahí atacan el equipo al que realmente quieren llegar. Por lo tanto si decidiéramos que nuestro equipo no tendrá ni Outlook, ni podrá navegar a donde quiera y tampoco se le podrán meter USB, entonces el atacante podría utilizar el método indirecto aquí descrito.

Lo que hará es comprometer a un sistema cualquiera dentro de la empresa y de ahí atacar a nuestro equipo desde donde se envían tweets; lo anterior es posible dada la relación de confianza que hay entre todas las PC y servidores de una empresa. Para incrementar la seguridad del equipo usado para enviar tweets, habrá que usar su firewall de Windows o las listas de control de acceso de dispositivos de red para reducir esa confianza a ciertos servidores y equipos cliente con los que verdaderamente se justifique una comunicación vía red (la restricción puede ser por dirección IP y/o puertos). La segmentación en las redes también puede ayudar, entre otras medidas.

Políticas para enviar tweets: de preferencia debe de haber una política que establezca algunos parámetros y criterios para poder mandar mensajes de manera segura. Se puede incluir:

·        Equipo autorizado para enviar tweets. Establecer cuál va a ser la o las computadoras desde donde está permitido enviar mensajes a Twitter. Lo anterior con el fin de evitar usar otros equipos con medidas de seguridad poco robustas.

·        No ingresar a páginas web que envíen nuestros seguidores. Es común que un follower de la cuenta corporativa nos mande una liga para revisar su contenido. Se debe de evitar visitar dichos sitios utilizando el mismo equipo desde donde se mandan tweets. De preferencia visitarlos desde otra computadora diferente (o desde una máquina virtual aislada).

·        Envío de tweets. Especificar desde dónde se pueden enviar mensajes, por ejemplo desde la página de Twitter o desde clientes como TweetDeck, HootSuite, etc. Sería importante establecer cuáles clientes se consideran seguros, enlistarlos y sólo desde ahí mandar información.

Contraseña robusta: para abrir una cuenta de Twitter, se pide una contraseña. Es de suma importancia seleccionar un password robusto. Por ejemplo de al menos 15 caracteres, que incluya mayúsculas y minúsculas, números y claro, caracteres especiales. Adivinar las contraseñas de cuentas de Twitter es muy común dada la pobre selección de passwords que hacen los usuarios, por lo tanto es muy importante que no sea “adivinable”. En algún momento, Twitter debe de ofrecer un segundo factor de autenticación, el cual incrementará la seguridad de la autenticación. Y si bien nos va, tal vez arregle otros problemas que depende de la compañía solucionar (aquí un ejemplo).

Ya que estamos hablando de contraseñas, es importante mencionar que nunca se debe de proporcionar cuando haya peticiones “extrañas”. Típico que te llega un correo que aparenta ser de Twitter pidiéndote que ingreses a un sitio (que no es de Twitter pero que parecer serlo www.accountupdate.twitter.ru).

Contraseña única: el password de Twitter no debe de ser el mismo usado en otra cuenta. Es común que un atacante llegue a hackear la contraseña por ejemplo de GMail, y posteriormente pruebe a ver si esa misma contraseña sirve en otros lados (como Twitter). Es frecuente que por la dificultad de recordar numerosos passwords, los usuarios seleccionen la misma contraseña para diferentes cuentas (se puede usar LastPass que es gratuito y se utiliza para administrar contraseñas de manera segura; y hasta app para teléfonos tiene).

Redes inalámbricas: las redes WiFi comúnmente halladas en hoteles, cafés o restaurantes suelen ser totalmente inseguras por lo que un atacante puede interceptar la comunicación y comprometer la cuenta de Twitter. Se recomienda usar la red 3G de los teléfonos o bien usar WiFi pero junto con una aplicación que cifre el contenido enviado (implementando una Virtual Private Network con productos como openVPN o ProXPN por ejemplo); y es importante mencionar que en todos los casos (sobre todo cuando se esté fuera de la Empresa), usar una VPN es siempre una buena idea. Para una seguridad extrema, es preferible no usar redes inalámbricas para enviar mensajes de Twitter.

Apps de terceros: es común permitir a otras aplicaciones hacer uso de la cuenta de Twitter para que ellas envíen mensajes sin necesidad de que dicha aplicación se autentique constantemente. Por ejemplo aplicaciones como FourSquare, SoundHound o varias apps de periódicos tienen la capacidad de enviar mensajes a Twitter en nuestro nombre una vez que nosotros les hemos otorgado el permiso correspondiente. Resulta ser que si la aplicación del tercero es comprometida o se le da permiso a una aplicación maliciosa, entonces la cuenta de Twitter se podría ver también comprometida al abusar del privilegio previamente otorgado. Lo recomendable es no permitir que ninguna aplicación de un tercero se conecte y envíe tweets a nuestro nombre (lo anterior se puede verificar ingresando a Twitter en Configuración-> Cuenta-> Aplicaciones).

Página válida de Twitter: es importante que nosotros seamos los que tecleemos la página www.twitter.com desde el navegador y verificar que inicia con “https”. Lo primero evitará ir a sitios apócrifos, lo segundo establecerá un canal seguro desde nuestro equipo al servidor de Twitter. Nunca ir a la página de Twitter por medio de una liga que nos haya sido enviada por correo o que se haya enlistado en un sitio web no confiable.

Cuenta de correo registrada: para abrir una cuenta, Twitter nos pide una cuenta de correo. Lo ideal es que esa dirección de correo electrónico no pertenezca a una persona (así evitamos que el hackeo de esa cuenta de correo derive en el compromiso de la cuenta de Twitter). Es preferible usar un correo electrónico corporativo creado específicamente para este propósito (tweet@corporativo.com) y que dicha cuenta de correo sea sólo para administrar la cuenta de Twitter y no para estar leyendo y enviando correos por doquier. Así protegeremos la cuenta de Twitter.

Conlcusión.

Puedes adoptar todas las medidas anteriormente descritas o sólo algunas. Depende del nivel de riesgo que estés dispuesto a aceptar. Y si todo lo anterior falla, será necesario pedir ayuda a Twitter ante una cuenta comprometida con el fin de que puedas recuperar el control de la misma. Felices tweets te desea @FaustoCepeda.