Weblog de JaCkSecurity

Un mensaje no solicitado llegó a nuestros buzones para indicarnos de una modalidad de fraude, que se viene dando en el Perú, y probablemente en otros lados. Sin embargo, el mismo no provenía de ninguna lista oficial (opt-in), ni siquiera de la División de Investigación de Delitos de Alta Tecnología de la Policía Nacional del Perú (DIVINDAT).

Ajeno a cualquier legislación local, en el lenguaje de Internet, esto es una claro mensaje de SPAM, que sin importar la aparente buena intención (además de la indirecta publicitaria) sólo puede confundir a los más neófitos usuarios de la red al respecto de quién es la autoridad para comunicar estos avisos (que deberían ser opt-in).

Si hubiera un CSIRT con suficiente autoridad y reconocimiento del gobierno peruano, podría aclarar esta situación e incluso ponerle orden para evitar nuevos demanes, que sólo ponen en más riesgo a la ciudadanía, pues podría empezar a aparecer más y más mensajes de estos.

Importante: Este es el segundo mensaje con intención de salvaguarda -no oficial y en modalidad de SPAM- que hemos observado en Perú, el primero en ser visto fue con una clara intención criminal, éste segundo encambio con una intención más publicitaria. Ambos no guardan aparente relación.

Hace falta un CSIRT peruano con autoridad y reconocimiento del gobierno, las instituciones educativas, militares o policiales.

En la editorial del JaCkNews Nro. 39, se escribió:

A la hora de una emergencia de seguridad, no importa mucho cuán ajena sea el alcance de la función de seguridad que usted cubre como empleado o como outsourcing, usted sólo tiene dos opciones: apoyar o ser indolente. Si opta por lo segundo, piense cómo se sentiría si ante un asalto, usted recurre a una delegación policial y le dicen que no es su jurisdicción. Los hechos detrás de los juegos ICE en Las Vegas dejan entender claramente que el compromiso tácito podrá saltar por encima de cualquier preconcepción o definición de funciones, por ejemplo, cuando se sufren ataques condicionados por aplicaciones defectuosas que usted no diseñó. Analice bien, cuál es el vocación y compromiso tácito de la empresa o persona que piensa contratar para su seguridad.

Al escuchar el audio de Paul Asadoorian, note cuál es la actitud del miembro del team azul que sale a entregar sus reportes de actividad, ante los ataques recibidos, y contrástelo con los ataques realizados por el team rojo. Aunque fue sólo un juego, note que los miembros del team azul jamás se quejaron de monitorear la seguridad de una compañía que ellos no diseñaron.

Antes de finalizar una instalación en FreeBSD, el programa de instalación te hace una invitación muy importante:

Adding at least one account for yourself at this stage is suggested since working as the “root” user is dangerous (it is easy to do things which adversely affect the entire system)

Ahora, ya lo sabe. Aún para un sistema basado Unix, la seguridad más elemental depende del usuario, y en este caso del mismo administrador. Una razón más para seguir este consejo.