Archive for the ‘Geek’ Category

Earth HOUR: un asunto de seguridad nacional

Wednesday, March 18th, 2009

PROPUESTA A APAGAR LUCES DESDE LAS 8:30 PM – 9:30 PM DEL SÁBADO 28 MARZO

VOTE EARTH Existe una noticia antigua, y aún persistente propaganda acerca del cambio climático que afirma, que el Perú es el tercer país MÁS VULNERABLE del mundo al cambio climático (luego de Honduras y Bangladesh). Una afirmación similar y posterior, también, es hallada con facilidad en otros sitios de noticias.

Aunque no tuvimos suerte de localizar la fuente original del informe del Tyndall Centre, deberíamos asumir responsablemente el potencial riesgo de la amenaza del cambio climático por la incapacidad de recuperación que tendremos luego.

Por supuesto, visto desde un puro enfoque de gestión, un riesgo sin una vulnerabilidad fielmente documentada no debería incomodar mucho en la mente de un dueño de negocio, especialmente si posee más de una empresa y, además, sólo una de ellas es propensa a cierto riesgo (cuya vulnerabilidad no está bien documentada y cuya amenaza tiene aún sus controversias). Pero, la realidad es que no somos dueños de más de 1 planeta tierra, sólo contamos con uno. Desdee ese otro enfoque, la tolerancia al riesgo es una neglicencia y una mala práctica per se.

Para subir la temperatura de la emoción y conmoción, deberías sumarle provocadoras noticias. En una, se señala que la Economía peruana entre las más vulnerables por cambio climático, según científicos; y en la otra, que China, India y Perú serán las economías de más alto crecimiento en el 2009.

Por supuesto, esto no es un llamado para que nuestros colegas gestores de riesgo pugnen el liderazgo de este proyecto social al interior de sus organizaciones, de ninguna manera. Es tan sólo el fluir social de parte de la ética que profesamos.

Por ello, consideramos que el proyecto EARTH HOUR es un asunto de cultura de seguridad para las generaciones futuras, que empieza con nosotros en este siglo, en estos años.

Si quiere saber más de EARTH HOUR 2009, por favor visite el website.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

El software seguro como un indicador de la madurez empresarial en seguridad, un cambio con retos ocultos

Tuesday, January 13th, 2009

El costo de oportunidad prima
Las compañías más grandes de la industria del software ya inviertien notablemente en mejorar el diseño y desarrollo de sus productos para que sean más seguros. Ellos en el pasado no habrían invertido nada o casi nada por una sóla razón: el alto costo (remárquese: compañías más grande de software). Hoy se trata, mas bien, de cuánto me costará no haber invertido en eso de un inicio.

Expresando su madurez
Ese alto costo, es el mismo que todas las compañías promedio (que invierten en TI), han procurado evitar en los últimos años con respecto a varios aspectos de la seguridad informática y de la información. No obstante, las cosas ya no son tan fáciles de eludir, pues sus negocios dependen más y más de la versatilidad de los sistemas (software). Hoy, el grueso de problemas viene por ese lado. Las aplicaciones web son, en esta materia, un notable ejemplo, aunque no el único. Estas últimas, han recibido toda la atención de los fabricantes de productos de seguridad para este 2009, como la principal fuente de amenazas. En tal sentido, si una organización con una app. web pública ha decidido mejorar la seguridad de su código, está expresando su madurez, aunque ello puede significar otros retos todavía desconocidos.

El proceso hacia el código seguro
Para una compañía rehusar a asegurar su código en la web, es como tratar de tapar el sol con un dedo. Sin embargo, no son estas las que tendrán que mejorarlo, sino los ingenieros de desarrollo, que deberán estar al nivel de poder hacerlo. Es decir, si un proveedor de desarrollo no está a nivel de hacerlo, el proceso de eliminar la debilidad, tendrá que ser postergado “antipáticamente”. Sabemos que a ningún empresario dueño de una app web y con fondos ($) en mano, le agradará oír de su proveedor de desarrollo que, éste, es incapaz de reparar el error de seguridad hallado por un grupo de pentesters, o quizás por reportes de intrusiones web virales u hallazgos accidentales de clientes y amigos, porque simplemente no tiene personal para eso.

Contramedidas para ahorrar invertir, o para -la nada dulce- espera
Felizmente, no todo estará perdido, siempre habrá alguna manera de apalear la situación. Conviene estudiar alguna contramedida temporal para cualquier impase similar. Por supuesto, las contramedidas no tiene su equivalencia en la seguridad más adecuada, así que debe ser estudiada su conveniencia por un tiempo adecuado.

De cualquier manera, la sola presión de los clientes dueños de una app web hacia sus proveedores, será un signo claro de la madurez empresarial por la seguridad. Ajeno a esto será la crisis financiera o cualquier otro factor global. Se trata simplemente de algo que los líderes de negocios ya no quieren dejar para después, pues ya lo han dejado de lado muchos años en el pasado, y hoy por hoy, mucho de su negocio depende de eso. Un signo claro de esta madurez, ya lo dan los grandes proveedores de software, aunque no todos por supuesto. (Ej. Existe una compañía fabricante de equipos de telecomunicaciones que no posee siquiera un URL para distribución de parches / updates / fixes, o un URL /security para un centro de respuesta a incidentes)

Como primera conclusión, la próxima vez que contrate un desarrollo, consulte si el staff tiene el nivel para hacer un código más seguro, sea que puede o no pagarlo en ese instante. Por supuesto, lo mejor será invertir pensando en seguridad desde el inicio.

He aquí el reto
A pesar del significado de la madurez por mejorar el código, es lamentable que los resultados de estas inversiones no sean del todo bien recibido por los más afectados, los usuarios. Al respecto, usted bien sabe, que una de las funcionalidades más criticadas de Windows Vista (un sistema operativo del que decenas de artículos lo bautizaron con características de “más seguro”) es precisamente, lo que lo hace más sólido en cuanto a seguridad. Si esos mismos usuarios de Windows, hubieran sido usuarios de Linux, quizás hasta se hubieran alegrado de que algo como el UAC User Account Control exista en su Windows Vista. Por supuesto, Windows Vista, tiene otros problemas menos famosos, pero más legendarios en los Windows que lo hacen poco agradeble, pero eso no es tema de este post.

Hay quienes pensarían que Windows Vista, es el gran error de Microsoft. No obstante, todo gran error, trae consigo una lección que bien reciclada, beneficia considerablemente a esta de sus competidores en la industria del software, no necesariamente en la industria de los sistemas operativos. La aceptación inmediata del UAC optimizado de Windows 7 hablará de cuál bien capitalizó Microsoft las críticas al UAC de Windows Vista, si es que existiese -de verdad- una mejora con relación al usuario.

Un buen año para los coders con background en seguridad, pero aún mejor porvenir, para los códers con experiencia pos-servicio
En suma, es previsible que en el transcurso de este y el próximo año, veamos decenas de cientos de proyectos de rectificación de código para un código más seguro, tanto en aplicaciones internas (extranets basadas en app web) como en aplicaciones públicas. Sin embargo, no es tan previsible, que estas mejoras traerán consigo nuevos e inquietantes problemas que aún no hemos visto del todo, pero que definitivamente serán motivo de una estrategia de seguridad más completa aún. Una que no podríamos pretender ahora (2009), porque elevaría los costos a un nivel inaceptable. Por ello, es que hablamos que este situación de mejora expresa una etapa en la carrera hacia la madurez de la seguridad en los líderes y sus organizaciones.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

“Baby challenge” para Soporte TI

Monday, October 13th, 2008

He aquí un singular reto a la creatividad del personal de soporte TI:

Si tuviera que desechar “de manera segura y barata” un HDD, con una tarjeta lógica dañada, cuyos discos contienen data altamente secreta (i.e. audios de conversaciones telefónicas de alguna entidad gubernamental relevante), ¿que sugeriría?

Nota:

  • Mandarlos a una compañía de desecho seguro, puede no ser muy barato, si en principio esa compañía no es local.
  • El HDD está inaccesible, no es posible borrar la data, debido a la tarjeta lógica.
  • Baby challenge for firewall & IDS administrators

    Thursday, July 24th, 2008

    He aquí un reto para la audiencia con espíritu de administrador de firewalls:

    18:51:53.778949 IP 192.168.1.19.32968 > 201.230.87.59.53: 843+ A? sb.google.com. (31)
    18:51:53.782595 IP 192.168.1.1.53 > 192.168.1.19.32968: 843- 1/0/0 A 209.85.133.93 (47)
    18:51:53.782703 IP 192.168.1.19 > 192.168.1.1: ICMP 192.168.1.19 udp port 32968 unreachable, length 83

    El ver la vieja película del superhéroe más conocido del último siglo puede ayudar a descifrar qué es lo que dicen estas 3 líneas.

    Ayuda:
    192.168.1.19 es un servidor DNS y también a la vez un cliente DNS.

    Reto:
    ¿Qué está pasando aquí?

    Quiere más, le invitamos a inscribirse al próximo SEC 503.

    Staff
    JaCkSecurity

    Do you love Zone-H?

    Tuesday, March 18th, 2008

    We do.

    Durante todo el mes de marzo, Zone-H ha estado coleccionando estadística mediante la siguiente poll:

    Should Zone-H continue mirroring defacements?
    Hasta hoy, estos fueron los resultados:
    Yes, it’s useful
    628 66%
    No, it’s useless
    323 34%

    Hay 323 personas que opinan que es un trabajo inútil, yo creo todo lo contrario. Aunque este medio es una forma de alimentar el ego y vigor de la “comunidad” de defacers, su data es muy relevante. Por ejemplo, mediante esta se podría perfilar las probabilidades de una amenaza tipo defacement en una empresa, en cualquier lado del mundo. ¿A quién le importaría eso? Le importaría, y mucho, a una compañía (o a su consultor) que tiene imagen en la web, y que genera confianza o dinero mediante ella.

    Por otro lado, Zone-H, o su data, puede servir a los investigadores policiales, que buscan conocer cómo piensan o qué piensan alguna pandilla defacer que se pasó de la raya con actos más criminales (si acaso, claro, éste mismo, ya no fuera un crimen en dicha jurisdicción).

    Siguiendo la idea anterior, muchos defacers dejan las direcciones de los canales donde chatean, nada mal para comenzar una investigación.

    Por supuesto, y como en todo, existen otras ideas menos sanas (e incluso más útiles, aún desde la perspectiva de “defensa”) de qué hacer con esa data.

    Vote Ud.

    Javier Romero
    JaCkSecurity, CTO
    Conocimiento, Conciencia y Consultoría (more…)

    Chequea dos veces a quien envías el mail

    Monday, February 11th, 2008

    ¿Cuán a menudo hubieras querido verificar “dos veces” tu destinatario?

    For security people traveling to Washington, DC

    Thursday, January 31st, 2008


    Love security?

    If you are an information security guy/fellow, you are going to visit Washington, DC, and you are not from the middle east, we strongly recommend to go to the Spy Museum.

    The first journey in this place, is the museum itself. This is self-guided, and you should have enough neuronas, time and strong in your legs to invest at least 4 hours. If you are going in the afternoon, you will only case the joint. Take your time.

    There are places inside where you would like to employ more time, so do not waste it by gathering everything. The table dedicated to the enigma machine is a fabulous point into the journey. Until now, I have not find a better place where you can learn, test and crack about the Enigma machine. Museum could be wonderful both for children/teens and professionals into the security arena.

    Your second journey, which you can repeat with no cost every-day, after your first visit, is the spy-store. There are a bunch of different options to pick-up, obviously with cost. If you want save money, bring your laptop and catch a wifi network to browse and to compare with Amazon’s prices.

    The last one is the Operation Spy, which you have a trailer into the web-page.

    Finally, if you want to fill your geek heart, and you are in the right week, do not forget to visit the 2600 Friday’s meetings.

    Javier Romero
    JaCkSecurity, CTO
    conocimiento, conciencia y consultoría