Archive for December, 2008

Servicios críticos ¿de fin de año?

Monday, December 29th, 2008

Hace no pocos días atrás, los lectores del ISC, ratificaron la caída de los servicios de la red inalámbrica de AT&T. AT&T es una de la Big 4 en los Estados Unidos, y por ende, una caída en uno de sus servicios cuestiona al resto de clientes de los otros servicios complementarios o suplementarios, pero de paso, también alerta a la misma compañía y al resto de compañías, aún las no Big 4, a asegurar las contingencias para responder ante una caída de servicios esenciales o críticos durante el fin de año.

En el Perú, según el diario Gestión (lunes 29/12/09) sólo en Lima, se estarían realizando unos 50 eventos de fin de año, en lo que a música cumbia refiere. Se menciona allí que un evento de los más baratos, sólo recaudaría unos S/. 300,000 (bruto).

Un pequeño corte de energía sólo en Lima, sin contar los clubes alejados, significaría (multiplicación previa) una pérdida de S/. 15,000,000. Recuerde que sin luz, no hay baile, y sin baile, casi nadie consumirá los productos añadidos, durante esas celebraciones masivas.

Desde luego, no es sólo prioridad de las empresas abastecedoras de energía, sino de las propias compañías detrás de la industria del entrenenimiento más esperada de fin de año.

Algún otro servicio crítico de fin de año ¿la telefonía, el transporte? Posiblemente sí, pero no como en otras fechas no tan disipadas. Por supuesto, este post, no es para los costeños que agradan de pasar la noche del 31 en las playas, a la luz de una fogata, o quizás sólo a la luz de la luna, excepto si trabaja en el área de seguridad de operaciones/TI de una compañía de infraestructura crítica energética.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Alerts, Knowledge | No Comments »

“Phish fighters” dicen adios

Sunday, December 28th, 2008

CastleCops, una entidad muy activa para investigar, condensar y publicar hallazgos de rootkits, malware y phishing en general, ha dejado su último adios al Internet.

Si ponemos a CastleCops en la balanza de la utilidad end-user y el esfuerzo sin lucro, quizás hasta podría dejar atrás a otras más organizadas y políticas, que sin dejar su mérito (reportes y resúmenes, además de conferencias exclusivas), siguen adelante, aunque con muy altos costos de membresía, como el AntiPhishingGroup.

Mientras, tanto, no olvide que en la lucha de la identificación del malware, VirusTotal no es la única medicina gratuita, también (desde hace meses) está presente el ofrecimiento (sin costo) del Team Cymru, con su Malware Hash Registry (free), menos sofistificado que VirusTotal, pero quizás más confiable.

También sugerimos revisar los post esmerados de nuestro de http://www.perusec.org/.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Posted in Malware, Privacidad | No Comments »

Los peces chicos de la seguridad

Saturday, December 27th, 2008

En un artículo de perúeconómico (XXXI, Nro. 12, Dic 08), Augusto Álvarez Rodrich, el ex editor del diario Peru21, señala algo que aunque no va dirigido a los administradores de TI, bien deberían tomarlo como suyo (en sus mentes) y con letras bien grandes:

“Para que la corrupción realmente baje tendrían que caer los ‘peces gordos’. Ese sería un cambio ejemplificador, pero ocurre que siempre caen los ‘peces chiquitos’”.

Ud., estimado lector administrador de TIC se convierte en un pez chiquito cada vez que, en su afán de actuar de incident responder o de ayudar a los interéses de su empleador, hace uso de sus más altos poderes administrativos sobre la tecnologías de las telecomunicaciones, para espíar, urgar, revisar sistemas de escritorios (entre otros) de ciertos colegas de quienes se guardan sospechas por ser insiders en esquemas de “fuga de información y similares”.

A menos que su función laboral así lo espitule, es decir, a menos que posea la autoridad escrita “en el contrato laboral” de ser el ente fiscalizador de las comunicaciones y datos e información generada y cursada por su compañía, y a menos que su compañía guarde un acuerdo escrito con todos los empleados, especialmente el insider, para proceder a un proceso de fiscalización que respete los derechos civiles del empleado, Ud. estaría convirtiéndose en un potencial pez chico.

Dicho de otra forma: Pez chico = un candidato a ser responsabilizado ante las autoridades del orden, por violar el derecho a la privacidad de un ciudadano, por supuesto, en caso que el insider detectase la fiscalización y contare con las agallas suficientes para denunciar el delito.

No se engañe, no todos los ejecutivos de las empresas en este lado del continente son tan honorables de reconocer la mea culpa, como sí en ciertos lugares de Asia. Se debe tener la suficiente postura y profesionalismo para decir “NO”, cuando nuestros superiores nos tientan a jugar a los expertos forenses del CSI de nuestras oficinas.

Hemos oído de varios actos de este tipo. Tenga cuidado, le aconsejo tomar la siguiente mentoría en Incident Handling, si le interesa iniciarse en el trabajo forense, y si antes ya domina las artes de la detección de intrusos.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »

Algo para meditar

Monday, December 15th, 2008

Recientemente una web bastante concurrida, fue desfigurada. No hemos investigado el origen de los defacers, pero por el detalle de la imagen adjunta, podríamos especular que fueron peruanos, o gente con sangre peruana. [Después de todo, son los peruanos los que en su mayoría ven este tipo de programas, pues los invitados no son de Hollywood]

No muy felizmente, esto tipo de desfiguraciones, aún no se han convertido en elementos de relleno en las noticias locales, todavía siguen siendo útiles para darle sentido de actualidad y frescura a la prensa, y por supuesto, algo de buena fama para los defacers.

No obstante este perjuicio mediático dejado por la persistencia de defacers locales contra sitios muy populares, está el perjuicio en la siquis empresarial contra la fortaleza de la oferta tecnológica local (webdevelopers, hosting providers, datacenters, etc), especialmente si desean seguir creciendo en su dependencia de más infraestructura local. Aquí una historia, de dónde meditar al respecto:

Varios años atrás, un atacante de supuesta procedencia asiática inició un DDoS contra un sitio de comercio electrónico globalmente importante instalado en redes peruanas. Luego de sufrir la presión de ser atacado por varios días (sin saber por qué), los dueños del sitio de e-commerce fueron amenazados con una extorsión (seguir siendo atacados si no realizaban un pago especial). Abreviando otros sucesos, el desenlace de la historia fue poco alagador para el Perú, que para entonces era (por decirlo de alguna forma) sede tecnológica para ese sitio de e-commerce. La decisión gerencial fue “sabia” para su portal, aunque no muy provechosa para el aún débil desarrollo local (en términos de infraestructura). Como desenlace, el sitio fue migrado al país donde la tecnología es altamente valorada (fácil de adivinar), y donde podía hallar soluciones adecuadas para ese ataque DDoS.

Luego de leer esta historia y la noticia que le acompaña, si fueron peruanos los defacers, pregúntese ¿quién pierde y quién gana?

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Detección, Knowledge | No Comments »

Enero 2009 – Curso – SANS Institute

Friday, December 5th, 2008

Continuando con nuestra promoción de los mentorías de SANS, hemos programado para enero el primer curso del año 2009. SANS SEC 503 Intrusion Detection In-Depth, uno de los cursos más completos en técnicas de detección y lectura entre líneas que va a poder hallar por donde lo busque.

SANS Local Mentor Program (Enero 2009) - Lima

La cantidad de ejercicios hands-on y la oportunidad de aprender de la experiencia de todos hace de esta mentoría una muy peculiar oportunidad para insertar nuevos conceptos con utilidad práctica.

Muchos participantes inscritos fueron ejecutivos no técnicos, que se deleitaron aprendiendo a través de labs y retos semanales. Uno de ellos, logró su certificación GCIA, y obtuvo bastante respeto dentro de su élite laboral de seguridad en su transnacional.

La ventaja del curso y su certificación, como poseedor de una, es que el conocimiento no es estático, crece conforme pasan los años, y se vuelve cada vez más y más robusto, a la vez que da una visión gerencial única, a partir de dominar lo extremadamente técnico.

Wow, qué curso.

SANS Local Mentor
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge | No Comments »

Seguridad != Rapidez

Friday, December 5th, 2008

Un nuevo invento para reducir el fraude on-line ha merecido un post en el blog de Bruce Schneier. En el post, Bruce cuestiona el costo beneficio, además si la tecnología de one-time password empleada es basada en el tiempo o en secuencia.

Sin duda un dispositivo atractivo y simpático que elevará la confianza del tarjeta habiente para realizar compras on-line. No obstante, me pregunto si acaso este mismo invento, no interrumpirá -también- la velocidad de compra de ciertas transacciones. De seguro, tendrán que producir otros mecanismos intermedios para peremnizar compras o aperturar pre-créditos a un usuario que compra a gran velocidad o con cobros automáticos. Finalmente, el mercado dirá qué prevalece, o cómo prevalece, la vieja lucha entre:

Seguridad != Rapidez

Estos dos, no son lo mismo. No se deje sorprender por los que aducen que amabas cosas son posibles, especialmente si ambas convivirán en extremo, y no en equilibrio.

Depure ese falso concepto

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Posted in Knowledge, SANS-SEC503 | No Comments »