lunes, 17 de noviembre de 2014

Apunta tu contraseña en un postit

Es común que vaya a conferencias de seguridad informática y que el presentador hable del mal hábito que tienen los usuarios de escribir sus contraseñas en papeles, en especial los llamados postit. Todo el público ríe y se complace de este viejo chiste entre los profesionales de seguridad como diciendo "oh sí, el eslabón más débil es el usuario". De tanto escucharlo, va perdiendo gracia con el tiempo y a pesar de que lo usan cada vez menos, es hasta cierto punto típico ver este ejemplo de las postit.


Sinceramente yo casi no he visto en últimos tiempos a usuarioescribiendo sus contraseñas y dejándolas al lado de su computadora. Y por otro lado, también he llegado a pensar que bajo ciertas circunstancias y condiciones, de hecho escribir una contraseña en un papel no es del todo mal. 

Por ejemplo, traer una contraseña en la cartera no supone demasiado riesgo. Uno la utiliza cuando es necesario y la vuelve a guardar; ante la pérdida el atacante no sabrá que esa contraseña es para un servicio en específico (GMail, cuenta de Facebook, cuenta corporativa). 

Obviamente sólo hay que apuntar la contraseña sin ninguna pista de para qué servicio es válida. Tampoco escribir el nombre de usuario (username). Y un truco adicional: memorizar una fácil cadena de caracteres y añadirla al final de la contraseña compleja escrita en el papel: por ejemplo si apunto "AwG32#m" y memorizo "Blindado2014", simplemente cuando me piden la contraseña, copio la del papel y añado la cadena que me fue fácil de memorizar: "AwG32#mBlindado2014"

Hasta puedo tener una lista de diferentes contraseñas complejas apuntadas a las que siempre les agregue la misma cadena de caracteres fáciles de memorizar. 

Otro ejemplo de bajo riesgo sería escribir una contraseña y dejarla en casa resguardada, para que en caso de que se nos olvide, podamos recuperarla.  
Lo cierto es que cuando empezó la era de la computación personal, eran un par de contraseñas las que un usuario debía de aprenderse. 

Hoy en día todo ha cambiado, y hay un PIN para cada tarjeta bancaria que usamos, redes sociales, cuentas corporativas y hasta para desbloquear el teléfono: no es difícil llegar a tener más de 50 contraseñas actualmente. No es de sorprendernos que los usuarios traten de hacer su vida más fácil y apunten contraseñas en papeles o bien, seleccionan una misma contraseña fácil para todo servicio que la pide y por cierto, nunca la cambian. 

Y si bien dije que hay  algunos casos específicos en donde es válido apuntar contraseñas en papales bajo ciertas circunstancias y condiciones, también hay claramente ejemplos donde es pésima idea hacer estoUn caso de ellos sería que tuviéramos una laptop corporativa

Pero el usuario de la laptop, por comodidad, escribe su contraseña en un papel y la deja dentro del maletín de la laptop o pegado a ella. Bueno, no nos debe de sorprender que cuando alguien que se haya robado la laptop encuentra el equipo y además ahí mismo está la contraseña para acceder a los datos, pues simplemente podrá teclearla y acceder a la información. Ante esta situación no hay nada qué hacer, el equipo protegido por contraseña la tiene ahí mismo para facilitare la vida al atacante

Otro caso similar sería dejar al lado de la computadora nuestra contraseña del equipo, o un papel que diga "Twitter JuanPerezpassword XXmiTwitter2014", no hay que ser un genio para saber qué tipo de contraseña es. 

Yo en lo personal soy usuario de LastPass. Es una aplicación excelente para guardar todas las contraseñas que tengo, y que me sería imposible memorizar (porque tengo una contraseña por servicio y la mayoría son complejas). 

Las puedo acceder en mi iPhone o vía web. Adicionalmente tengo apuntadas en un papel un par de contraseñas importantes, dicho papel lo tengo bien resguardado en casa y uso la técnica arriba mencionada, la que comenté de agregar una cadena memorizada al final. 

En conclusión, ante la problemática de tener una enorme cantidad de contraseñas hoy en día, podemos auxiliarnos de apuntar algunas contraseñas en papel, pero sólo bajo ciertas circunstancias y condiciones para evitar darle una ventaja al atacante. 

Y otra solución  mejor es usar alguna aplicación segura como la que recomendé de LastPass para resguardar contraseñas complejas y únicas por servicio.

martes, 11 de noviembre de 2014

Cursos de Pentest de Offensive Security

No me gustan los cursos de pentest del CEH. Y luego de conocer los de Offensive Security (OffSec), el CEH me gusta menos, al punto de ya no recomendarlo salvo que quieras una introducción light al tema.

Los cursos de OffSec son totalmente prácticos, y de que aprendes, aprendes. Para mí, está garantizado. De hecho los cursos tienen un roadmap: desde el más sencillo (que no lo es) hasta el más avanzado (que es de muy alto nivel).

No quiero decir que conozco todos los cursos nacionales y en el extranjero de pentest, de hecho no los conozco. Pero recomiendo ampliamente los de OffSec. De hecho si tomas el más “básico” llamado PWK (Penetration Testing with Kali Linux) te convencerás de lo que digo.

Y sí, los de OffSec son los creadores de BackTrack y Kali, por si era necesario mencionarlo.

Y por cierto, hay un curso de pentest de una “empresa” aquí en México del cual me han hablado pestes. No una sino varias personas. Yo en lo personal me iría con cursos de más renombre, como los que ofrece OffSec.

Dime cómo lo configuras y operas y te diré si es seguro

Apareció una noticia titulada “Home Depot blames security breach on Windows, senior executives given new MacBooks and iPhones”. El artículo cometa que el hackeo a HomeDepot EUA se concretó gracias a una debilidad en Windows. Que ya tenía parche, pero que no fue aplicado suficientemente rápido. Y que en relación a su desconfianza a Windows, a los ejecutivos les darán dispositivos Apple, en el entendido de que son más seguros.

No entiendo. En primer lugar, el hackeo fue a la infraestructura de HomeDepot, el hecho de que provean equipos Apple  a los ejecutivos en qué ayuda a prevenir otro hackeo similar? Pues bien por lo ejecutivos, pero la infraestructura no se beneficia en nada.

Tampoco entiendo el hecho implícito de que “Windows es más inseguro y los sistemas de Apple son seguros”. No es que me guste la seguridad de Microsoft que viene por default, pero honestamente, si configuras bien y operas adecuadamente un Windows, un OS X o un Linux, todos tendrán un nivel de seguridad razonable (y la cerza en el pastel es instalar dos que tres productos de seguridad básicos).
Así es que en lugar de andar cambiando de sistemas operativos, mejor configúrenlos bien (hardening) y den un par de charlas de concientización a esos ejecutivos. La medida de cambiar a Apple se me hace poco efectiva y entra más en los terrenos publicitarios/apariencias.

Y por último. Noten que el hackeo a la infraestructura de HomeDepot fue por un parche que ya había salido pero no había sido aplicado. Nada de días cero. Luego entonces, lo que sí sirve en verdad es echarle un ojo a los procedimientos de aplicación de parches. ¿No creen?