Weblog de JaCkSecurity

Lo prometido es deuda, aquí el post que le sigue al de la semana anterior.

La teoría dice que el valor de confidencialidad de la información debe reducirse con el pasar el tiempo. Ello implicaría pasar un documento o data de super secreta -a- pública o sin valor sensible, en cosa de años. Sin embargo, un caso curioso nos haría pensar lo contrario. [Luego de leer el enlace señalado, continué abajo.]

A pesar de que el sentido común nos dice que los custodios de esa información tuvieron parte de responsabilidad en no proteger los datos divulgados (notas estudiantiles), un análisis más calmado nos podría dejar una lección aún más valiosa.

Si observamos con mayor paciencia el citado caso, notará que la información filtrada no habría tomado la misma cognotación de destape mediático de no haber sido por la misma regla que la forzaría a protegerse, vale decir, la promoción de una valla profesional (ley tercio superior) por parte de alguien con una valla reprensible en su pasado estudiantil.

Esto significaría que información con décadas de devaluación puede reactivarse a un valor más alto de sensibilidad por causa del mismo dueño de la información. La causa de ello, sin embargo no es una previsible falla en la gestión o clasificación de datos (del owner), sino mas bien una más intrínseca a los seres humanos, la codicia. Una codicia generada por mantener una reputación intachable (no del divulgante, sino del mismo dueño de la información).

En suma, la codicia de un information-owner genera codicia, y expone a la información a un riesgo innecesario o mayor. Este es el consejo que le damos:

Si tienes un control de seguridad, haz lo que escribes (procedimientos), y escribe lo que haces (en la práctica). Si hay algo que no haces, no lo pongas, esa codicia te estropeará la reputación, quizás, la moneda más importante del mercado laboral y empresarial.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

Si googlea un poco hallará la respuesta del acertijo señalado en el título de este post. [Luego de ello, continúe leyendo.]

Si la verdad envuelta en el acertijo está en lo correcto, piense de esta forma: mientras más complejo y enmarañado se pueda convertir a un sistema, más díficil será que alguien lo pueda comprender, y así los secretos (buenos o malos) estarán mejor guardados.

A partir de aquí nos preguntamos ¿existirán sistemas así?

Probablemente sí, se dice que a la SEC le hubiera tomado unos 10 años en detectar el fraude de Enron (a través de las auditorías convencionales), y no precisamente porque la segunda no le proporcionara suficiente información, sino, más bien, por que el volumen de ese tipo información ha sido tan extensa, que se ha convertido en lo suficiente enmarañada para procesarla en tiempo real.

Entonces, es posible que la seguridad de cierta información confidencial no sólo se pueda proteger ocultándola, sino también, exacervándola. Por el contrario, el levantar muchas vallas de protección alrededor de la información podría incrementar la codicia por revelarla (ver próximo post).

Como lo señalamos en nuestra exposición “Seguridad en Tiempos de Crisis”, en el II Simposio Internacional de Redes y Comunicaciones de Datos”, la tendencia mundial de la transparencia está creciendo. Si tiene proyectos de cifrado en curso, estos podrían terminar siendo un absurdo y hasta una peligrosa maniobra para su reputación como gestor, si no comprende del todo los beneficios de mostrar vs. ocultar.

Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría

¿Deseas ser un “GIAC Certified Incident Handler”?

Te enseñamos cómo.

Recientemente, supimos de personas interesadas en que se reabra la mentoría SANS SEC 504, la que tiene el ticket de viaje a la certificación GCIH. Si Ud. es uno de los interesados, escriba una correspondencia a info[@]jacksecurity, con el subject “GCIH”. Estaremos gustosos de promover una vez más la mentoría SANS SEC 504, por segundo año consecutivo.

¿Por qué querría ser un “GIAC Certified Incident Handler”?

Primero que todo, por que los tiempos están demostrando que es la mejor interfase entre los problemas que casi nunca suceden, con los que de todas maneras suceden.

Segundo, porque las referencias de “word-of-mouth” así lo dicen (sin truco publicitario de por medio). Aquí, copiamos una sección del diario peruano América Sistemas, para que nos pueda entender mejor.

América Sistemas, Noticiera Digital Nro. 480
Los galones de TI

La semana pasada, lanzamos una inquietud de un lector a punto de egresar como ingeniero de sistemas de una reconocida universidad.
La pregunta era que además del título, de qué otro bagaje académico debería tener para entrar a competir exitosamente en el terreno laboral.
Bien… Nos escribe un lector desde tierras norteamericanas y nos dice lo sgte: “Una de las maneras es a través de las especializaciones que se van adquiriendo con el correr de los años. Para especializarse entonces hay un método muy práctico: Las Certificaciones, los benditos galones que todos queremos tener y que luego nos abren las puertas de las oportunidades” pregunta, “Cuáles son aquellas especializaciones que tienen mayor demanda?, bien, Network World publicó un artículo en el que se habla de seguir entrenándose en una economía tan difícil como la que vive USA, yo he rescatado una parte de ello que tiene que ver con las Certificaciones mas solicitadas según un ranking publicado por Foote Partners. A continuación las detallo:
GIAC Certified Incident Handler
EMC Proven Professional Technology Architect – Expert
Citrix Certified Integration Architect
HP Master Accredited Systems Engineer
Cisco Certified Secutiry Professional
Check Point Certified Master Architect
GIAC Certified Forensic Analyst
GIAC Certified Intusion Analyst
EMC Proven Professional Implementation Engineer – Expert
GIAC Certified Incident Manager
visitar: http://www.footepartners.com/htscpi_latest.htm

JaCkSecurity
Conocimiento, Conciencia y Consultoría

En nuestra videoteca, contamos con una copia original del film polaco “Sekret Enigmy“, casi una rareza, que se puede conseguir, por ejemplo, en el Spy Museum (Washington, DC). A diferencia de otro film al parecer menos verídico “Enigma” (pero más ubicable), el primero describe los hechos que acontecieron en la invasión alemana a Polonia, y la participación decisiva de los matemáticos polácos para descifrar de manera temprana los mensajes de sus invasores.

No es un superfilm, pero lo justo y necesario para conocer -como especialistas de seguridad- algo de historia detrás del cracking de la Enigma Machine y para defender la reputación de quienes denunciaron recientemente la falsificación de la historia, durante el conmemorativo de los 70 años del comienzo de la II Guerra Mundial.

Dato importante de un website Polaco: “Poles were able to crack the initial code and the later more complicated versions, they even built the machines which allowed to search for all possible combinations in a couple of hours.”

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Según Twitter, su sistema no está funcionando correctamente porque se hallarían bajo un ataque DOS.

Las dudas saltan por todos lados. Incluso ISC ha dejado un post, indicando que no está seguro de haber visto dicho DOS, imaginamos que lo dicen por su capacidad de monitoreo y sus contactos en la red. Eso crea suspicacias. Suspicacias, como que Twitter no está diciendo la verdad. [En el pasado un ISP mintió estar bajo ataque y por eso cerró operaciones, cuando en realidad era que había cerrado operaciones porque estaba en crisis organizacional interna]

Ante esta suspicacia, no debemos olvidar que un DOS no necesariamente debería ser visto por todos con visibilidad (es decir, quienes monitorean el comportamiento de sus backbones, blackholes, listas de routing, etc). La razón es porque un DOS puede venir de un sólo lugar (y lograr su cometido al explotar una vulnerabilidad que sature ciertos o todos los procesos del servicio), y no ser percibido como tal, porque luce como una comunicación normal. A diferencia de un DDOS que sí es notorio, porque viene de múltiples lugares en tiempos muy delatantes.

Sólo sabremos si Twitter dice la verdad, si al final de este problema liberan información del ataque, algo que debería de hacer dado que muchos -hoy- dependen de sus sistema.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

En la antigüedad, la cultura judía tenía una tradición religiosa bastante severa. Consistía en castigar con el apedreamiento a los hijos contumaces y reveldes, seguramente con el fin de desarrollar el respeto a la autoridad, con el fin de no sembrar el mal ejemplo, o quizás con ambas.

Esta semana que transcurrió, una noticia acerca de un estudio en USA/Reino Unido citaba así “Los administradores de TI no respetan la información privilegiada de la empresa”. ¿Un problema serio no es así? Aunque difícil de creer, en el título de esa noticia se halla la respuesta al problema planteado en ella. Si le anhela ser un buen líder de seguridad, medite unos minutos, lo citado a continuación:

Si un general se muestra demasiado indulgente frente a sus hombres, pero es incapaz de utilizarlos; si los quiere, pero no puede conseguir que sus órdenes sean cumplidas; si las tropas están desordenadas y no puede hacerse con ellas; pueden compararse a los niños mimados y son inúteles… Si solamente se manifiesta la benevolencia, las tropas se hacen como niños arrogantes y son inutilizables por esta razón.
Capítulo X, El arte de la guerra (Sun Tzu)

Para los filósofos, el respeto es una actitud que nace con el reconocimiento del valor de una persona. En ese sentido, la raíz de un administrador de TI que no respeta la información de su empleador es “la inexistencia del reconocimiento del valor de su empleador”, más precisamente de su superior. Ese reconocimiento no se produce sólo, debe ser sembrado. En consecuencia, la solución del problema está en provocar el respeto desde el inicio. Un general y un gerente saben que el respeto no emana por sí solo. Así, una compañía con un pobre liderazgo gerencial hacia el área de TI, sufrirá desastrosos desenlaces con su seguridad.

Por esa razón, en la actualidad la seguridad de la información ya no puede ser vista más como un simple problema de con cuánta tecnología de seguridad cuento (eso lo saben todos los que leen este blog, precisamente por eso lo leen).

Al leer lo que se escribió en un antiguo libro de guerra, citado arriba, puede ver que la seguridad es mas bien un problema de cuán bien nuestros gerentes guían el negocio, En consecuencia, el líder de negocios que continúa delegando ciegamente la seguridad a los responsables de seguridad es un INCONSECUENTE, vale decir, no le importa la compañía (ni tampoco su carrera al ascenso). El delegarla no manifiesta per se la siembra del respeto la patrimonio de la compañía, incluso hasta puede significar el consentimiento directo del egoísta desarrollo personal.

Un buen gerente debe entender que la seguridad llegará a ser un nuevo activo de creciente e inmesurable valor en su compañía, del que vivirá y confiará por el resto de años, para proteger la Confidencialidad (de la información estratégica, de la privacidad de sus clientes), la Integridad (de la información entregada, procesada y recibida), y la Disponibilidad (de la información oportuna y ubicúa).

Por ello, la solución al problema de la seguridad debe desarrollarse y revisarse desde la mesa del comité de directorio de los viernes, con rapidez y precisión, es decir ahora. Aunque en principio esto representa una tremenda (y sin duda desgastante) oportunidad para los administradores y jefes de seguridad TI o de la información con vocación gerencial, no es necesario esperar a tanto para reducir esa brecha. Una posible forma es utilizar las buenas (del gobierno de la seguridad de la información) propuestas de instituciones como ISACA e ITGI, para generar honestos parámetros de medición de la seguridad la información de la compañía que los líderes empresariales puedan manejar, y así convertir la seguridad en su nueva agenda laboral, profesional y personal.

Más información: Si desea conocer el estudio, que al respecto ha desarrollado JACKSECURITY, asista a la próxima charla de seguridad de ISACA, Lima – Chapter (24 junio 2009)

JaCkSecurity CTO
Conocimiento, Conciencia y Consultoría

En los últimos meses, el Perú ha sido testigo de un desfile increible de artístas en variados conciertos ... Mientras el promedio se pregunta, qué estrellas de rock faltaban pisar el escenario peruano, el nombre Bruce Schneier es la nueva expectativa, esta vez para deleite de la selecta comunidad de la seguridad de la información.

Así lo dice la revista en inglés The Register: Bruce Schneier “The closest the security industry has to a rock star”.

Para evitar ser neófito del enfoque especial que tiene Schneier, sígalo desde ahora antes de su próxima venida, en el II Simposio Internacional de Redes y Comunicaciones de Datos..

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Imagenemos dos agentes de amenaza, por un lado, un empleado deshonesto (o a punto de ser despedido), y el por el otro, el dueño de una botnet. ¿Qué pueden hacer ambos si se unen?

El primero tiene el “poder habilitador” (porque abrirá el firewall), y el segundo el “poder colonizador” (porque tomará en asalto las computadoras de la red). El primero hasta podría recibir beneficios económicos directos del dueño de la botnet, además de ganarse otros beneficios indirectos, cómo la generación forzada de problemas, qué el mismo podrá resolver en colusión con el segundo.

Un escenario imaginario, que ojalá, nunca se vuelva real. Aunque debemos reconocer, que el tal, es factible.

Al reflexionar sobre una de las salas de la exposición Yuyanapaq (Para recordar), es difícil de entender como dos agentes de amenaza con dos agendas diferentes y hasta contrarios se unieron en alianza estratégica. Ella refiere al matrimonio temporal entre el narcotráfico y sendero luminoso en el Alto Huallaga, por los años de conflicto interno que vivió el Perú.

Por ello, pensar en empleados con voluntad de unirse al enemigo común (no el narcotráfico, sino a los intrusos informáticos, o dueños de botnets) no tendría por que ser tan descabellado. Una noticia reciente indica que en España, los empleados estarían amenazando a sus empleadores con denunciarles por usar software pirata si decidían despedirles. A ello no olvide, que desde hace unos años CERT/CC viene analizando el tema de la amenaza interna.

Por supuesto, aún hay más que analizar al respecto. Eso último lo dejamos para su propia reflexión y crítica.

Sólo recuerde, que la IGNORANCIA fue la principal causa de tener hoy que recordar, hechos que aún pesan su deuda.

JaCkSecurity
Conocimiento, Conciencia y Consultoría

Hemos finalizado la documentación (abreviada) de cómo creamos la simulación de la red (y demás dispositivos, como el firewall) del reto realizado en el citado Workshop de seguridad en ISACA – Parte 1.

Puede descargarlo desde aquí, bajo el nombre de Behind the scenes.

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría

“Iozzo says that it can only be detected using software that watches for intrusions on a network”

Featuring “tcp[13]“ (vea nuestro nuevo servicio JaCkHaCk-Alert!)

Fueron las palabras del investigador italiano, Vincenzo Iozzo, un estudiante del Politecnico di Milano, que demostró a la audiencia de BlackHat DC, cómo es posible atacar una Mac OS sin dejar rastro.

Su investigación se basa en la predictibilidad de asignación de memoria de las aplicaciones ejecutadas sobre Mac OS, en un archivo llamado Mach-O. La idea consiste en inyectar comandos maliciosos sobre esa misma posición de memoria, al conocer por anticipado dónde se ejecutará determinada aplicación. Esos comandos maliciosos serán leídos por Mac OS, en vez de leer la aplicación que ejecutó.

Se suponía que era una característica de Mac OS evitar este tipo de ataques de inyección de código sobre la memoria, pero Iozzo demostró lo contrario, al hallar piezas de información estática que permitía predecir esas locaciones en memoria. El estima que esta debilidad en Mac OS X será superada en la siguiente versión de Mac OS, antes que lo arregle algún parche temporal, mientras tanto el señaló lo que leyó al inicio.

“Iozzo says that it can only be detected using software that watches for intrusions on a network”

La red sigue siendo útil para detectar instrusos, le invitamos a probar tcp[13], parte del servicio JaCkHaCk-Alert!, para más información escríbanos a info@jacksecurity.com (Información comercial disponible en Brochure 2009).

Gerencia
JaCkSecurity
Conocimiento, Conciencia y Consultoría

Para quienes aún no lo sepan, Hackin9 (una de las pocas revistas de seguridad hallada en puestos de revistas en Perú) está ofreciendo la edición 6/2008, si se subscribe a su newsletter.

http://hakin9.org/prt/view/pdf-articles.html

Staff
JaCkSecurity
Conocimiento, Conciencia y Consultoría