Weblog de JaCkSecurity

A quien no le pasó alguna vez que, al navegar en internet, se equívoco al escribir la dirección de la web de la empresa, banco, mail o portal al que quería visitar y el ‘browser’ cargo una pagina simple con links de publicidad; aquella página a la que accedimos era un ‘domain parking’ (dominio utilizado por los domainers para publicitar otros dominios mientras espera ser comprado). Lo interesante de esta situación es el nombre de dominio erroneo que escribimos, conocido como ‘TYPO’ (error tipografico al digitar el nombre de un dominio en la barra de direcciones); el negocio del ‘typosquatting’ (registrar variantes muy parecidas de los nombres de dominio de empresas) es muy lucrativo, ya que utiliza la imagen creada de una empresa para generar dinero y a la vez afectar la imagen de la empresa perjudicada, existen casos en que un cliente que ingreso a la pagina web equivocada se lleve una decepción y no vuelva a ingresar nunca más a nuestro portal, y como este usuario, muchos otros.

Recientemente la compañía Verizon gano un juicio contra la compañía registradora de dominios OnlineNIC, debido a que está ultima tenía inscrito un alto número de ‘typos’ de la empresa aludida incialmente. OnlineNIC deberá pagar a Verizon una indemnización del orden de los 30 millones de dólares por abuso de marca registrada. La noticia citada nos trae una reflexión respecto a los dominios como un activo de la empresa, cuyo valor es dificil de calcular (inicialmente).

Piense que el nombre de dominio es un elemento importante del marketing empresarial, aunque muchas veces “subestimado” por el costo que este significa para la compañía ($35/año, en el caso del Perú). Su principal importancia podría radicar en que este es el vehículo, por el cual su organización es conocida en internet. Detrás de su nombre de dominio podrían haber varios años de arduo trabajo e inversión para hacerse con el reconocimiento de los clientes.

Por ovbias razones es necesario proteger la singularidad del nombre de dominio que posea nuestra compañia. Una opción podría consistir en (1) registrar el nombre de dominio en la WIPO (World Intellectual Property Organization) y (2) monitorear internet en busca de typos para compralos y redireccionarlos a nuestra web. Una muestra de lo segundo, lo ofrece este sitio: ‘www.domaintools.com’.

Evalúe el riesgo y monitoree sus activos (lo anterior fue sólo un ejemplo), de lo contrario la próxima vez que el jefe de marketing mande una memo contra su departamento de TI, por todos los problemas explicados arriba, no se sorprenda. Si no nos cree, pruebe con el nombre de dominio del banco más conocido de su país en ‘www.domaintools.com/domain-typo’ (en el caso del Perú, uno de los bancos más conocidos tiene en promedio 25 ‘typos’).

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

En un artículo de perúeconómico (XXXI, Nro. 12, Dic 08), Augusto Álvarez Rodrich, el ex editor del diario Peru21, señala algo que aunque no va dirigido a los administradores de TI, bien deberían tomarlo como suyo (en sus mentes) y con letras bien grandes:

“Para que la corrupción realmente baje tendrían que caer los ‘peces gordos’. Ese sería un cambio ejemplificador, pero ocurre que siempre caen los ‘peces chiquitos’”.

Ud., estimado lector administrador de TIC se convierte en un pez chiquito cada vez que, en su afán de actuar de incident responder o de ayudar a los interéses de su empleador, hace uso de sus más altos poderes administrativos sobre la tecnologías de las telecomunicaciones, para espíar, urgar, revisar sistemas de escritorios (entre otros) de ciertos colegas de quienes se guardan sospechas por ser insiders en esquemas de “fuga de información y similares”.

A menos que su función laboral así lo espitule, es decir, a menos que posea la autoridad escrita “en el contrato laboral” de ser el ente fiscalizador de las comunicaciones y datos e información generada y cursada por su compañía, y a menos que su compañía guarde un acuerdo escrito con todos los empleados, especialmente el insider, para proceder a un proceso de fiscalización que respete los derechos civiles del empleado, Ud. estaría convirtiéndose en un potencial pez chico.

Dicho de otra forma: Pez chico = un candidato a ser responsabilizado ante las autoridades del orden, por violar el derecho a la privacidad de un ciudadano, por supuesto, en caso que el insider detectase la fiscalización y contare con las agallas suficientes para denunciar el delito.

No se engañe, no todos los ejecutivos de las empresas en este lado del continente son tan honorables de reconocer la mea culpa, como sí en ciertos lugares de Asia. Se debe tener la suficiente postura y profesionalismo para decir “NO”, cuando nuestros superiores nos tientan a jugar a los expertos forenses del CSI de nuestras oficinas.

Hemos oído de varios actos de este tipo. Tenga cuidado, le aconsejo tomar la siguiente mentoría en Incident Handling, si le interesa iniciarse en el trabajo forense, y si antes ya domina las artes de la detección de intrusos.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Continuando con nuestra promoción de los mentorías de SANS, hemos programado para enero el primer curso del año 2009. SANS SEC 503 Intrusion Detection In-Depth, uno de los cursos más completos en técnicas de detección y lectura entre líneas que va a poder hallar por donde lo busque.

La cantidad de ejercicios hands-on y la oportunidad de aprender de la experiencia de todos hace de esta mentoría una muy peculiar oportunidad para insertar nuevos conceptos con utilidad práctica.

Muchos participantes inscritos fueron ejecutivos no técnicos, que se deleitaron aprendiendo a través de labs y retos semanales. Uno de ellos, logró su certificación GCIA, y obtuvo bastante respeto dentro de su élite laboral de seguridad en su transnacional.

La ventaja del curso y su certificación, como poseedor de una, es que el conocimiento no es estático, crece conforme pasan los años, y se vuelve cada vez más y más robusto, a la vez que da una visión gerencial única, a partir de dominar lo extremadamente técnico.

Wow, qué curso.

SANS Local Mentor
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Empleado para simple labores administrativas de programación celular (asignación de número celular), hace ya una década conocí de un aparatito (de unos $50mil, por entonces) útil para identificar -entre otras cosas- el número de serie de un dispositivo celular (algo así como olfatear la red LAN, para conocer la dirección MAC de una PC).

Sin embargo, hace no mucho un taxista me contó una historia fascinante de cómo un pasajero (especializado en telecomunicaciones) le extrajo una serie de datos (#móvil, serie, etc) de un celular que había olvidado otro pasajero, sin siquiera pedirle encender el celular, el realizar una llamada, y estando el auto en movimiento por casi una distancia de 6 km.

Ojalá que el Bluetooth haya tenido que ver en esto, de otro modo, sería preocupante que alguien pueda haber usado una celda real de telefonía para realizar esa operación, no importa si siendo o no empleado de esa compañía.

Realmente, suena más saludable que organizaciones como el FBI hagan uso de su propia tecnología para rastrear la ubicación de un teléfono móvil, que de la tecnología pública. Estoy seguro que desearía que esto último no sea verdad, más aún si vive en alguno de los paises con estos índices bajos.

Nota: Bienvenidos los comentarios de especialistas en telefonía celular que puedan despejar estas dudas.

JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Esta semana The Register ha regalado un manual bien detallado y extenso para evitar ser víctima de la continua pérdida a la privacidad, con los correos electrónicos. El mensaje es bastante sencillo, empiece a usar un software criptográfico para sus correos, a través de una herramienta comercial (PGP) o de su versión libre GnuPG.

Si usted es un profesional de TI de cualquier organización, el siguiente, sería un argumento lo suficiente provocador para que su superior le preste atención a esto del PGP o GnuPG:

TIP

Estimado(a) jefe, si usted fuera Luciana [...], y en realidad sí hubiera enviado esos correos a su padre [...], de haber usado correo cifrado, su privacidad inserta en esos mensajes no podrían haber sido abiertos sin la presencia de su destinatario, pues él y sólo él tendría la contraseña para visualizarlo de manera legible (descifrarlo).

Sin duda, este tip[door] es sencillo, poderoso, provocativo, convincente y todavía algo mediático, como para que su superior no capte la idea. Úselo sabiamente, ciertas leyes pueden ir en contra de su uso. Recuerde: no todo es tecnología, las leyes pesan más.

BACKDOOR

Sólo algo más, [por el bien de su país, si su interlocutor es un político] no le mencione la parte aquella en que el uso de la criptografía en los correos, también se convierte en una herramienta sutilmente poderosa para las autoridades con poder fiscalizador para autenticar mensajes de forma indubitable.

Recuerde esto: la seguridad informática, felizmente, no parece apelar a la injusta, a pesar de que proteger la privacidad de gente (posiblemente) no justa parece algo totalmente “injusto”. Pero si aún así, la seguridad apelara a la injusticia, sepa bien que la criptografía convencional son solo problemas matemáticos, y los problemas -usted sabe- pueden ser resueltos.¿lo duda?.

Nota: El uso de GnuPG tiene su costo, no en dinero, sino en factores técnicos que su personal de TI debe aprender a dominar primero.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Los inversionistas, economistas, financistas y empresarios nos sorprenden con sus habilidades para interpretar qué y cómo la vive un negocio cuando le pegan un ojo a sus estados financieros.

Ello se da gracias a que estos reportes poseen una estructura convencional, indicadores. Cualquiera que entiende las variables de los reportes, puede leerlo y saber, así, qué pasa tras bambalinas.

Sin embargo, es muy probable que a usted como especialista de seguridad le cause cierta frustración el tratar de entender qué exactamente está pasando en este resumen:

“Reducción de todo riesgo”

Extraido de América Sistemas en su edición 442

Con el fin de obtener alguna interpretación usted podría proponer sin duda más de una teoría, obviamente sin inmiscuir lo ya advertido por América Sistemas (el tema de sobrecosto), pero eso sería, otra vez, como no saber leer lo que pasa con la seguridad.

A causa de esto, Ud. concordará con nosotros que es conveniente que las organizaciones, especialmente las públicas, que tienen o desean hacer públicos sus logros o avances respecto a la seguridad de la información, TI o manejo del riesgo, deberían tener también un reporte convencional, que permita a un especialista en el tema emitir un juicio menos impreciso, y a la vez útil.

Quizás llegue el día en que aún los especialistas citados arriba, también deseen ver estos reportes, y así obtener mejor comprensión de la suma del negocio de la organización, sin importar qué tipo de organización es (financiera o no financiera).

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Nota: Admitimos que se trata de un plan y no de un modelo, a pesar de que muchas de las agendas pertenecen a Basilea (Basilea no es un modelo para todo tipo de industria). Por otro lado, incluso, los planes deberían seguir ciertos criterios o modelos, el plan de continuidad de negocios sigue uno, aunque no se precisa su madurez.

Hace unos 6 años atrás, conocí a un docente auditoría de sistemas y comercio electrónico de una universidad de renombre local (Perú), quien nos dijo (a mí y a otro especialista) que jamás sería posible enseñar seguridad informática en un aula universitaria, como carrera. Hasta ahora, no recuerdo con claridad sus argumentos, pero lo que sí recuerdo es lo que ví este domingo en la Av. 28 de Julio en Lima: una universidad parece haber lanzado su carrera de ingeniería en esta actividad laboral.

Al parecer, UTP sería la primera universidad en lanzarse con tan ambiciosa iniciativa.

Aunque es posible que la currícula sea readaptada con el tiempo, no quería dejar de marcar mi curiosidad por uno de cursos, llamado así “Redes Autoprotegidas”, ¿le suena a Ud. familiar ese nombre?.

De cualquier manera, si esta casa universitaria es la primera en ofrecer una carrera de este tipo (al menos en Perú), estarían -sin duda- robándole ventaja al sueño de muchas otras instituciones educativas que andan en la búsqueda de algo muy similar. Si el docente que conocí tenía o no razón, lo mejor sería tener sus argumentos, si algún docente universitario cree tener esos argumentos, sería interesante que los comparta.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

El día que fui a un iStore, uno de los comentarios marketeros del vendedor fue: “este sistema es libre de virus”. Por misericordia, no le refuté ni un gramo. Pero, él notó mi lenguaje corporal, y readaptó su idea “no, por lo menos, hasta ahora”. Añadió: “En realidad, todavía no se han escrito virus para Mac, como a diferencia de otro sistema (ni lo menciona)”.

No dudo que este sea el típico comentario de ventas que use un vendedor de Mac. Pero, eso no me preocupa, pues finalmente NO ES por el marketing de ventanilla que uno se deja llevar, sino mas bien por la propia comunidad (Mac tiene una muy grande).

Estoy convencido que esas comunidades no hablan lo mismo que me dijo aquel vendedor, menos ahora que tantos hoyos de seguridad se han regado por la red acerca del software de Apple, muchos de ellos muy serios.

Sin embargo, es difícil de entender cómo un criminal puede haber llegado a la conclusión que una oferta de AV Free para Mac le sería favorable para cazar víctimas. ¿es la comunidad de usuarios de Mac sicológicamente vulnerable a estas patrañas como lo son los usuarios de PC, al menos parte de ella?

Si es así, el marketing de las casas de AV han logrado traspasar la fronteras de los usuarios de Mac. ¿quizás los usuarios nuevos de Mac, ex-usuarios de PCs hayan quemado más de un nodo de su cerebro con el concepto de los AV?

Me pregunto si lo mismo puede pasar con todo lo demás, que puede ser mejor o diferente (en mucha o poca manera). Esto sería como haber creado un trapdoor o bug perpetuo en la menta del consumidor sin importar cuán vulnerable de verdad sean.

La ley de la oferta y la demanda por malware disfrazado de AV para Mac, lo dirá.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría

No sabemos cuántos medios hayan cubierto este torneo, ¿quizás alguno del país origen del torneo? no lo sabemos, pero lo que sí sabemos es que un peruano lo ganó. Por supuesto, hubiera sido mejor que haya sido un argentino (sección aclarada abajo por un miembro de ekoparty), ya que el evento ekoparty fue 100% esfuerzo argentino, pero aprovechemos la conyuntura y reconozcámoslo “PERÚ ESTÁ DE MODA”, y tal parece hay argumentos para ello.

JACKSECURITY extiende su reconocimiento al ahora dueño de la GANZÚA, el mayor premio del torneo de hacking ekoparty.

(sección corregida por un miembro de ekoparty abajo) En el evento de más de 300 invitados, como latinos, además de los argentinos, sólo hubieron dos peruanos, un chileno, y dos colombianos que radicaban en Panamá. Cuatro fueron los premiados, el primero fue un compatriota. Nos enorgullece señalar también, que Andrés fue el primer lugar en el CTF que realizamos para SANS hace unos meses atrás.

Aprovechamos también para extender nuestras felicitaciones a los organizadores de este evento, hemos recibido referencias muy gratas de su esfuerzo y dedicación al promover su ya famosa ekoparty.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

La generación Y es la expresión del nuevo tipo de reto que los gestores de seguridad afrontarán en breve. Su naturaleza trasciende el potencial gerencial y técnico. Quizás por ello, no he visto aún a nadie estudiar este nuevo problema. Sin duda escapa nuestra actual comprensión de la seguridad informática.

Centrándonos en el tema, lejos están los días en que un empleado u operario (ahora llamado colaborador) era revestido de todo el material y herramientas necesarias para su labor. En el transcurso de los últimos años, hemos visto cómo los colaboradores empezaban a hacer uso de sus propias herramientas (software) para la labor. Ud. ha sido testigos y quizás -hasta- protagonista- de instalaciones de software no legal sopretexto de ser necesario para la labor y hasta para seguir operando el negocio (y para ahorrarle unos millones).

Aunque lo anterior sólo parecía afectar a terceros (la BSA y amigos), lo cierto es que el problema ahora sí que toca las puertas de los negocios. En el presente, muchos empleados disponen de dispositivos de almacenamiento portátil (de su propio pecunio) -felizmente todavía visibles-, en los que no sólo viajan datos personales del empleado, sino que -hasta- información confidencial o secreta de su empleador. ¿cuál es su argumento? Singularmente, muy parecido: es necesario para la labor (con mayor flexibilidad y rapidez).

Sin embargo, al respecto de lo señalado en el párrafo anterior, ha quedado claro que desconectar la bahía USB de las PCs/Macs es el peor exceso que un oficial de seguridad puede cometer contra la flexibilidad de los negocios de su compañía, por el sólo hecho que exihibe riesgos tan terribles como el antes señalado. Así que, discutir al respecto es sólo una pérdida de tiempo y quizás hasta dinero (con esas soluciones endpoint, que últimamente afloran).

Mejor que eso, piense más profundamente al respecto del problema: imagine cuántos dispositivos computacionales con capacidad de almacenamiento y transmisión inalámbrica podrá introducir en la oficina -en unos cuantos años en el futuro- un colaborador sin usted siquiera poder notarlo y menos fiscalizarle. No olvide añadir también esta variable: ergonomía, recuerde que la ergonomía y la calidad del ambiente de trabajo, muy defendido hoy, nos invita a permitir a nuestro colaborador a traer dispositivos diversos que en buena cuenta le permitan hacer uso de ese derecho o atributo tácito (¿escuchar música, las noticias, ver TV?). ¿acaso usted mismo (el oficial de seguridad) no escucha música mientras trabaja? ¿cómo llegó esa música a su PC? ¿se la obsequió RRHH?

No desaproveche el ejercicio mental anterior, “vaya carburando su mente de GenX”, porque en breve tendrá en su oficina a la siguiente generación, la mini avalancha de esta nueva forma de trabajar. Ellos por su inherente facilidad hacia el uso de la tecnología (tech-savvy) serán portadores de tecnología de punta con capacidades más y más altas cada vez (y con tamaños menos pretenciosos, visibles y detectables).

¿Será la solución “una de tipo tangencial” como señala nuestro título? ¿tangencial sobre qué o sobre quienes?

Con este artículo, esperamos haberle ayudado un poco, antes de añadir más hw/sw de seguridad para el 2009. Si necesita algo más de ayuda, cuente con nosotros.

CTO
JaCkSecurity
Conocimiento, Conciencia y Consultoría