¿Usar o no usar software con debilidades de Día Cero?

Cuando sale una debilidad de día cero en una aplicación, expertos te recomiendan dejar de usarla. En una empresa, resulta ser una sugerencia francamente irreal. ¿no han trabajado nunca en una empresa?

De eso se trata el artículo que redacté para ComputerWorld México, espero sea de tu interés.

http://www.computerworldmexico.mx/Articulos/27082.htm

Ataques tipo “Watering hole”

Un “watering hole” es un bebedero. Los hemos visto en programas de Animal Planet donde existe una depresión en el suelo que se llena con agua. Los animales vienen a buscar el agua y ¡bam!, sin saberlo, son atacados por unas leonas.

Resalto que las leonas no tuvieron que ir a buscar a su presa ya que ésta vino a ellas. Las felinas saben que su comida irá a buscar agua.

En un ataque de phishing, lo que se hace típicamente es mandar un correo con una liga. Esa liga dirige a la víctima a un sitio malicioso que manda un exploit (u otro ataque) al navegador y empezar así el ataque. 

Ciertamente, el atacante debe de ir a “pescar” a la víctima.

En un ataque “watering hole” pasa lo siguiente: el atacante selecciona su víctima. Piensa qué tipos de sitios es obvio que pueda visitar su víctima. 

Si deseamos ir tras una empresa que fabrica pan, hay varios sitios probables que esos empleados pueden visitar: páginas donde listen precios de la harina, proveedores de huevo, índices de la bolsa de valores, el sitio del competidor más cercano o el fabricante de hornos industriales de pan (no debe de haber muchos).

Bueno, me entiendes el punto. Ubicamos a sitios que tienen alta probabilidad de ser visitados por la víctima y es ahí donde dejamos caer nuestra infección, en estas páginas de terceros. Lo siguiente es esperar. 

Si escogimos bien, la víctima solita y sin mandarle nada, no tardará mucho en ir al sitio y ¡bam!, se infectará con la sorpresa.

Valor de la Certificación CISSP

La certificación CISSP de la ISC2 pretende evaluar diversos conocimientos de una persona en materia de seguridad informática. Es reconocida a nivel mundial (incluye México, por si te queda la duda) y hay una buena cantidad de personas que han logrado pasarla y mantenerla.

A lo largo de los años también he leído críticas a esta certificación. Un ejemplo lo da Robert David Graham en su blog ErrataSecurity y otro ejemplo representativo lo da Bejtlich. Valdría la pena que leyeras antes sus comentarios para ver lo que opinan y te haga más sentido lo que voy a decir.

¿Da valor la certificación CISSP? Desde mi punto de vista, sí lo da. Empecemos por decir que yo tengo esta certificación desde hace unos años y hasta escribí un post de cómo pasarla exitosamente.

¿Por qué tiene valor? Pues bien, porque con ella puedes demostrar que tienes cierto nivel en conocimientos de seguridad informática y que dominas cuestiones básicas e intermedias de este campo. 

Podría ser equivalente a hacer el Diplomado de Seguridad Informática donde aprendes el contenido del temario y te hacen un examen y pasas. Para un empleador o hasta para tus colegas, decir que tienes el CISSP demuestra que tienes ciertos conocimientos en la materia. Así de sencillo.

Los detractores de esta certificación argumentan que “no es hands on”, es decir, que es pura teoría y nada de práctica. El examen ciertamente es de opción múltiple, y es ahí donde unos levantan la voz diciendo que es suficiente tener buena memoria y haber hecho dos que tres cosas de seguridad para pasar el CISSP. 

Que nunca has configurado un firewall o un PIX, jamás te has metido a un Linux o dominado el Snort. Y que aun así, puedes pasar el CISSP. ¿Es cierto?

Es cierto. El CISSP es teoría. No te piden que configures nada. Ni que codifiques una vulnerabilidad informática. Lees de un libro y/o atiendes a una clase y con un par de años de experiencia en el campo, creo que tienes una buena oportunidad de pasarlo.

Dicho esto, hay que entender que la CISSP no tiene ese enfoque práctico. Punto. Tiene una orientación teórica. Y el valor que da es que dominas ciertos temas de seguridad que “todo profesional debería de conocer”.

Comparan mucho al CISSP con las certificaciones del SANS, el CEH o las de  Offensive Security. Considero que esto es injusto, ya que estas últimas sí tienen un enfoque práctico y efectivamente son muy valoradas por las personas que le “entran a los fierros”. 

Sin embargo insisto, cada una de ellas tiene un enfoque diferente y cada una tiene valor dentro de su campo de acción.

Como empleador o colega del área de seguridad, tienes que entender la orientación de las diferentes certificaciones y que cada una de ellas tiene un valor diferente. Claro está, si te enfrentas a alguien que no tiene ni idea del área de seguridad, seguramente le sonará igual Chana que Juana. 

Probablemente sepa del CISSP porque es muy popular y la ha escuchado “por ahí” pero la verdad es que no sabe bien qué orientación tiene ni lo que demuestra el profesional que la posee.

Y ya entrado en gastos, también podemos hablar de las certificaciones de CISA y CISM de ISACA. También son teóricas, se lee un libro y/o se asiste a un curso y el examen es de opción múltiple. 

De nueva cuenta, hay que saber qué conocimientos evalúan, y las ventajas (y limitaciones) que quien las ostenta puede traer a un ambiente de seguridad informática corporativo.

Por ejemplo, digamos que quieres contratar a un pentester. Si te muestra el CISSP, la verdad no es algo que agregue demasiado valor y querrás que te demuestre más credenciales y/o experiencia. 

Aguas, no digo que un pentester no debe de tenerla o que no le sirve, pero no es la principal ni única certificación que debe de mostrar.

Si por ejemplo quieres contratar a un CISO, un CIO o alguien que se encargue de un área de seguridad informática, ahí es donde aumentará el valor del CISSP y dirás “hombre, qué bien!”.

El punto es que una certificación  CISSP no va a sobrar (hagas lo que hagas dentro de la seguridad informática).

Es una credencial que es mejor tener que no tener, aunque seas de los que se meten a los fierros. 

Para bien o para mal, en este mundo, los papelitos cuentan, y aunque venga alguien sin credenciales de ningún tipo a decirme que domina la seguridad, que tiene amplia experiencia en tal campo o aquel otro, pues la verdad me rascaré la cabeza porque no tendré elementos para evaluar lo que esta persona dice que sabe.

Escucho voces por ahí que estarán diciendo en este momento “pues un papel tampoco es garantía de nada”. Miren, si sabes de este negocio, no te dolerá tener el CISSP. Punto. Qué bueno que alguien sepa mucho, sea autodidacta, un verdadero hacker… y vuelvo a insistir, no te dolerá tener un CISSP y sí te puede traer varios beneficios.

¿Beneficios? En el mundo empresarial. Ahí contará tu experiencia, tus credenciales y certificaciones en seguridad que puedas mostrar.

Pienso que si deseas ser un profesional de la seguridad 360º, también debes de perseguir certificaciones “hands on” como las excelentes y destacadas de Offenisve Security o las de nivel intermedio como las que ofrece el SANS. 

El CEH (Ethical Hakcer) es de nivel muy básico y tengo varias opiniones al respecto. En resumen, el CEH no te hace ni ético ni hacker; digamos que te introduce en el mundo de las herramientas y eso es todo.

En seguridad, hay que “hacer”, configurar, curiosear en el software o el hardware. No sólo leer blogs o libros y entender términos de seguridad en la Wikipedia. En fin, teoría y práctica, las dos se complementan.

Así es que adelante. Ve los requerimientos que hay que tener, prepárate para pagar ochenta y tantos dólares anuales para mantenerla y juntar las famosas horas CPE (que demuestran horas dedicadas a la seguridad). Algunos piensan que es un gasto inútil ese dinero anual o bien, que es una lata dedicar (y demostrar) X horas al año a la seguridad.

Si hasta ahora no te he convencido ya sea porque piensas que da poco valor, que es muy costosa y que no te funcionará, pues ya no hay más que pueda decir para hacerte cambiar de opinión. A mí me ha servido y a mí me da valor.

Interesante característica de Java 7 Update 10

La última versión de Java (7 Update 10) permite deshabilitar el plugin del navegador y al mismo tiempo se pueden seguir ejecutando applets de Java localmente.

Es importante esta nueva característica desde el punto de vista de seguridad ya que muchas veces (sobre todo en ambientes corporativos) se tienen desarrollos en Java y hay necesidad de instalarlo. 

Pero existe el riesgo de contaminación por applets maliciosos provenientes de Internet.

Aunque la solución podría ser no navegar desde esos equipos, eso pocas veces resulta práctico.

Con esta característica, se puede tener Java y ejecutar desarrollos en el sistema, pero se bloquean los programas-Java de Internet.

Lo anterior es especialmente útil en servidores que requieren la ejecución de applets pero donde sería muy riesgoso que se ejecutaran applets en el navegador. 

Denle un ojo a las notas de esa versión.

Propósitos para el Año Nuevo

Hablemos de propósitos de seguridad informática para este año nuevo. No te voy a recitar 10 propósitos que sé que no harás. Dejémoslo en 3 nada más, los más básicos que pueden aumentar significativamente tu seguridad.

1.- Respalda.

Laptops que se pierden, dispositivos USB extraviados, discos duros que se aterrizan o se atrofian, virus que secuestran tus archivos y un largo etcétera que puede hacer que dejes de tener tu información. Tal vez sean fotos familiares, tu tesis, tus presentaciones que das en reuniones, las facturas escaneadas o los reportes de colesterol que te sacan trimestralmente. Información que puedes perder. Para siempre.

Respaldar puede hacerse usando varios medios.

DVD. Tan simple como comprar varios DVD (o Blu-ray) y quemar aquellas carpetas que te interesan. Tendrás que acordarte de hacerlo al menos un par de veces al año.

Disco duro externo. Existen discos duros externos con capacidad suficiente para respaldar tus datos (ten en cuenta que respaldar lo que verdaderamente importa tal vez se cuente en Gigas, deja fuera los N videos que bajaste de YouTube). 

En las plazas de tecnología del Centro del DF se pueden encontrar, también en Liverpool, OfficeMax o en la Apple Store; ve a esas tiendas y pregunta por ellos.

Nube. Sube a la nube tus respaldos. Que sea una solución que implemente PIE (Pre Internet Enryption) que significa que antes de que se vaya a la nube, la información se cifra en tu equipo y la transfiere ya cifrada. 

Carbonite puede ser una solución o Arq (sólo Mac) así como CloudBerry. Varios de ellos hacen respaldos automáticos lo cual te ahorrará “la pena” de estarlo recordando.

Imagen. Hay soluciones que respaldan todo el disco duro que tienes, incluido el sistema operativo y sus configuraciones. 

La desventaja es que los respaldos ocupan más espacio; la ventaja es que cuando algo pasa, se te restaura todo tu sistema. 

Norton Ghost es una opción junto con varias más. 

En lo personal no me gustan las soluciones que crean una imagen de todo tu disco, prefiero re-instalar el sistema operativo (así aprovecho para limpiar mi sistema) y copiar sólo las carpetas que he respaldado.

2.- Antivirus.

Si me sigues en Twitter (@FaustoCepeda) te habrás dado cuenta que le echo tierra a los antivirus. ¿Entonces por qué los recomiendo? 

Ok, para ambientes empresariales, existen mejores soluciones que previenen infecciones como lo son las listas blancas (por ejemplo con Bit9) y ya los antivirus juegan un papel secundario. 

Ahora bien, para usuarios en casa, el antivirus sigue siendo la mejor opción. Hasta que encuentre un buen producto de listas blancas para la casa.

No debes de gastar cientos de pesos anualmente por un buen antivirus. Existen varios gratuitos que ofrecen una seguridad satisfactoria. 

Microsoft Security Essentials, Avast, Sophos (gratuito sólo para Mac), AVG o Avira. Selecciona uno, instálalo y de vez en cuando asegúrate de que se está actualizando.

3.- Actualiza.

Varios de tus programas te avisan que hay una nueva versión de ellos y que debes de actualizar. Hazlo. No le des “Después” o un “No me molestes más”. 

Date el tiempo para actualizar tu Adobe Reader, FireFox, el Flash Player o tu sistema operativo; todos ellos te avisan cuando hay nuevas versiones, depende de ti dar el “sí acepto”. 

Hacer esto te pondrá por encima del promedio de usuarios.

Ahora bien, hay otros programas que son suficientemente malos y no te dicen cuando hay nuevas versiones. 

Mal por ellos porque te dejan el trabajo a ti. El PSI de Secunia te puede ayudar a esta labor. 

O tendrá que ser manual revisando los programas que tienes instalados y googleando a ver si la versión que tienes es la última disponible. 

Acepto que está de flojera hacer eso, pero caray, hacerlo 3 ó 4 veces el año no es mucho que pedir, creo.

Conclusión: hazlo. Y feliz año nuevo.

Sugerencias de seguridad para implementar BYOD en las empresas

Les comparto el artículo que hice para ComputerWorld:

http://www.computerworldmexico.mx/Articulos/26710.htm

¿Y luego del pentest qué?

Te comparto un artículo que ComputerWorld me hizo el favor de publicar:

http://www.computerworldmexico.mx/Articulos/26184.htm