¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”. No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad? 

¿La que te cobre más? ¿Una gran consultora con presencia internacional? ¿La que tenga una bonita página web? ¿La que tenga a su personal certificado CEH? ¿La que tenga consultores de traje y corbata o bien de jeans y con playera del BlackHat? ¿La que diga que tiene una “amplia experiencia en este tipo de servicios”? A continuación me di a la tarea de enlistar algunos parámetros que te pueden ser de utilidad al momento de contratar estos servicios. Varios de ellos pueden aplicar también para buscar servicios de consultoría de seguridad (risk assessment, threat modeling, etc.).

1) Prueba en Vivo

Un examen, pa’ pronto. Arma un ambiente de pruebas, crea algunos pequeños retos de hacking (o unos de miedo) y que vengan a demostrar sus habilidades “en sitio”. Quédate y ve cómo se desenvuelven, la manera en que resuelven los retos, las herramientas usadas y qué platican entre ellos. Antes de la prueba platícales sólo las generalidades de lo que se va a evaluar. Tal vez te dé pena pedir este examen sobre todo si la empresa tiene candidatos con N credenciales o dicen tener una amplia experiencia, pero si eres el cliente creo que tienes del derecho de llevarlo a cabo porque es una forma de evaluar sus competencias. La prueba en vivo te permitirá tener el “feeling” de los pentesters y no sólo de los vendedores  que vinieron a ofrecerte el servicio en PowerPoint. Yo en las pruebas me he llevado un par de sorpresas con “grandes consultoras”. Y claro, se espera que pasen la prueba.

2) Empresa Dedicada a Pentesting 

¿Es una empresa “milusos” o está dedicada 100% (o mayormente) al pentest? Yo prefiero una empresa lo más dedicada al pentest que sea posible (y no “integradores” o vendedores de productos que claro que lo harán si les pagas). c)

3) Libros Publicados por los Pentesters

Oiga señor, y qué tan involucrado está usted en seguridad informática y pentest? Si el personal de la empresa ha publicado un libro de algún tema de seguridad, pues ya de entrada habla bien de ellos y de la empresa, no?

4) Años de Experiencia

Pídele que te diga cuántos años lleva dedicado a esto del pentest. No te puedo decir cuántos años son suficientes, eso lo decidirás tú. Para mí serían adecuados un mínimo de 3 años.

5) Blogs, Artículos, Papers

Hablaría bien de los pentesters si escriben seguido en su blog de seguridad, o mejor aún si han publicado artículos tipo paper. Digamos que esta sería otra manera de demostrar su interés  e involucramiento en temas de hackeo ético y demás temas de la SegInfo.

6) Participación en Conferencias

Si me dices que tus pentesters han dado dos que tres pláticas en BlackHat o DefCon ya de entrada me tienes comiendo de tu mano. Es correcto decir que no son las únicasconferencias de seguridad y hackeo; hay varias más a nivel mundial y también nacionales. Revisa en cuáles han dado sus charlas y evalúalo.

7) Certificaciones Relevantes de Seguridad

Ok, una certificación no lo es todo y conozco muy buenos pentesters que NO tienen NINGUNA certificación de seguridad o de hackeo. Sin embargo y por otro lado, si son buenos pentesters no tendrán problema en pasar exitosamente una que otra certificación, cierto? Además si pasa exitosamente la “Prueba en Vivo” ya mencionada, esto de las certificaciones puederesultar secundario. Como nota personal, si me enseñan una CEH lo pondría como un logro realmente menor; tomé el curso y pasé el examen por lo que puedo decir que eso de la opción múltiple y el hecho de evaluar habilidades de hackeo no se llevan muy bien…sin mencionar lo desactualizado de varios de los temas (versión 6) entre otros “peros” del curso y su temario. Ahora bien, ciérrame la boca y oblígame a hacerte una reverencia si me muestras tu OSCE (Offensive Security Certified Expert) o  tu OSEE (Offensive Security Exploitation Expert) o alguna otra certificación de nivel (como varias del SANS).

8) Reporte Muestra

Pide tanto el técnico como el ejecutivo de un pentest realizado. En el técnico te darás cuenta de qué tipo de debilidades reportan, screenshots y herramientas usadas; así como las evidencias presentadas. En el ejecutivo te darás cuenta de su capacidad de reportar tecnicismos a la alta dirección y te percatarás de su criterio para priorizar acciones de solución. Asimismo, el reporte y presentaciones muestra te podrán ayudar a tener una idea de qué tipo de documentación te estarán entregando a ti. Es probable que te den estos documentos “editados” sin el nombre del cliente o las direcciones IP por ejemplo; y esto es normal y hasta deseable (no querrás que en el futuro den el reporte de TU empresa a cada fulano que lo pida). Tal vez te digan que tienen acuerdos de confidencialidad con sus clientes y que no pueden entregar nada…ok, al menos lo intentaste.

9) Objetivos

Diles el objetivo del pentest a ver si se sienten cómodos con las metas a cumplir y que te platiquen un poco de cómo lo harían o cuál sería su enfoque; y hazles preguntas (ya pre-hechas) para que durante la junta evalúes sus respuestas. Obvio tienes que saber un poco de SegInfo y hacking, si no todas las respuestas de las diferentes empresas te parecerán igual.

10) Ingeniería social

Algunos pentesters hacen ingeniería social. Tal vez tú no desees incluir este tipo de enfoque y lo debes de especificar. Pero si requieres de ingeniería social sugiero que te asegures de que no sólo pueden explotar debilidades de TI sino que van a poder aplicar esta técnica con los empleados y te será de utilidad preguntar qué y cómo lo han hecho en anteriores ocasiones junto con los resultados obtenidos.

11) Especialización

Tal vez desees pentesting del web, de tus smartphones, de los tablets, red inalámbrica, red interna o servidores Linux. La compañía de pentest debe de tener en su portafolio a personal capacitado para lograr los objetivos del pentest. Tal vez los pentesters se enfocan en aplicaciones web y tienen poca idea/experiencia de cómo penetrar una BlackBerry.

12) Referencias de Clientes Pasados

Sería buena idea poder llamarles a algunos clientes que hayan recibido los servicios de esta empresa y preguntarles sobre su experiencia con ellos.

13) Investigación Relacionada con Vulnerabilidades

Han descubierto alguna vulnerabilidad de software? Eso para mí da un plus punkt. Sería otra forma de demostrar sus habilidades e involucramiento en el pentest y mundo del hacking.

14) Sin Registros Criminales

Una buena idea sería revisar que el personal que hará el pentest no tenga antecedentes penales; o al menos como dicen en los contratos “bajo protesta de decir verdad”. Digo, si lo vas a dejar entrar hasta la cocina y que te pegue, pues al menos tener una certeza razonable respecto a que está limpio desde el punto de vista legal. Claro, no es ninguna garantía, pero es una palomita más en tu checklist…o un tache que para mí significaría que se quedó sin contrato.

15) Tercerización

El personal del pentest es de la empresa o van a “tercerizar” (outsourcing)? Sería ideal que fueran de la propia empresa y que no subcontraten estos servicios (yo así lo buscaría). De otra forma estaríamos tratando con “integradores” que recolectan por ahí a quienes realmente harán el trabajo. En fin, tal vez tú tengas otra opinión.

16) Servicios similares en el sector de tu empresa

Si laboras en una central nuclear pues qué mejor que los pentesters hayan hecho trabajos en otras centrales. Este punto lo pongo todavía más con la bandera de “opcional”; si nunca antes hicieron un pentest en una empresa de comercio electrónico no se traduce automáticamente en incapacidad para llevarlo a cabo. Es simplemente otra “palomita” que puede inclinar la balanza ante un empate, por ejemplo.

Conclusión

Te presenté una serie de puntos que puedes buscar en una empresa de pentest; difícilmente todas las empresas cumplirían todos los criterios mencionados. Tu labor será seleccionar aquéllos que te parezcan razonables y ver qué empresa cumple con la mayoría de ellos. Al final tú tienes la mejor decisión para tu empresa y no existe un checklist válido para todo mundo y en el que todos estemos de acuerdo. Estas son sólo unas ideas. Inclusive las puedes examinar si eres pentester y ver qué podría llegar a pedir un cliente (como yo). Les dejo otros tips interesantes sobre este tema. Nos vemos en Twitter @FaustoCepeda

Pero no hablo de “ese” mundo, sino de uno más cercano. Andaba netflixeando y me topé con la película “Enemy of the State” con Will Smith y Gene Hackman. Para los que estamos en seguridad de la información sería una buena idea verla o volverla a ver para analizarla desde otra perspectiva y no sólo la de pasarnos un buen rato.

Pienso que tiene más de una lección. Por ejemplo aquí enlisto unas:

Comunicaciones Seguras

El ambientalista encuentra el video de un asesinato de un importante político. Lo primero que hace es llamarle a un amigo para contarle el “chisme”. Vaya, un poco de malicia y haberse sentado 5 minutos a pensar sobre lo que tenía entre sus manos le hubiera ayudado. Para cuando habla por teléfono…bam! Línea intervenida. Y de ahí se desencadenan una serie de eventos que acaban con la vida del personaje. Si algún día te encuentras en una situación así o similar, asume el peor escenario, revisa el siguiente punto y actúa en consecuencia.

Un Estado como Adversario Formidable

Como ciudadanos o como responsables de la seguridad de una infraestructura, debemos siempre pensar en un Estado como un titán. Sí, hay grupos de hackers, hay Anonymous, aficionados que se meten a tu cuenta de Twitter y criminales organizados así como espías industriales. Pero de todos los que se me ocurren, el T-Rex es un Estado que cuente con recursos (dinero, gente, entrenamiento etc.) casi limitados, control sobre las infraestructuras, poder legal e ilegal así como una estructura organizada. Aunque también tiene sus debilidades, para nada debemos de menospreciarlo.

Nunca uses un USB que te haya dado un Desconocido

No hay una escena particular pero me acordé que una forma sencilla de “targetear” (ataque dirigido) a alguien sería dándole un USB gratuito de alguna forma para que lo insertara en su equipo de cómputo (hubiera sido una excelente forma de enganchar aún más al personaje de Smith). Por ejemplo, lo primero que hace la gente al encontrar un USB “por ahí tirado” es explorarlo “a ver qué tiene”. Y más si tiene una etiqueta de “fotitoxxx” o “personal”. Y claro, el USB tiene troyano/malware incluido. Pero honestamente, quién plantaría un bicho así en un USB, cierto? Esperen un momento… dijeron StuxNet?

Sana Paranoia

El papel que interpreta Gene Hackman es el de un verdadero paranoico. Si ven la película, coincidirán conmigo en que “no manches, no hay que ser taaan paranoico”. Ok, concedido, pero tampoco hay que ser taaaaan wey (iba a decir “inocente”, pero “wey” es más apropiado). Para los que estamos en seguridad de la información, siempre es sana una dieta de paranoia balanceada con administración de riesgos. Sin embargo recuerden que para una empresa el planear bajo el “peor de los escenarios” es algo cercano a lo incosteable y/o inalcanzable, por eso se habla de administración de riesgos y por eso es algo tan difícil de hacer bien (alejarse del extremo del peor de los escenarios y del otro extremo del “aquí eso no nos pasará”).

Compartir el Conocimiento

Hackman comparte su conocimiento con el inexperto Will. Hay que compartir el poco o mucho conocimiento que tengamos en cuestión de seguridad informática con otras personas. Yo trato de hacerlo usando este blog como herramienta.

Ya para concluir, me gustó lo que el personaje de Hackman dice ya casi al final de la cinta (no es textual): “Debemos usar sus debilidades. Pelea sólo las batallas que sabes que ganarás. Usa sus armas a tu favor. Ellos se debilitan y tú te fortaleces”.

Nos estamos tuiteando en @FaustoCepeda.

Aunque no dispongo de mucho tiempo, (en tiempos recientes) me gusta leer. No sólo de seguridad vive el hombre, por eso trato de variar mis lecturas. ¿Qué libros ando leyendo? La respuesta a continuación.

Linchpin: Are You Indispensable? Hace unos meses noté que invertía más tiempo en el auto que de costumbre gracias a unas obras cerca de casa (¡Marcelo!); mis podcasts (Security Now, El Explicador, Harvard Business) ya no cubrían las 10 horas de tránsito semanales. Recordé el servicio de Audible y lo contraté hace poco para que me leyeran un libro vía audio; me encantó el concepto de que te lean un libro y aprovechar el otrora tiempo perdido. En mi carrito de Amazon tenía el texto de Linchpin y decidí que sería mi primera compra en Audible.

El libro trata básicamente de que seas un artista en el sentido de que crees valor en tu trabajo. Que no deba haber alguien que exactamente te diga qué hacer y que huyas de empleos con actividades repetitivas porque así eres fácilmente sustituible. Te hace la pregunta de si en tu trabajo eres algo cercano a lo indispensable (o al menos que se notará tu ausencia) o puedes ser sustituido cualquier día de la semana.

Me gustó porque te presenta ese reto de ser alguien que genere VALOR, que dé opiniones, que sea asertivo y que proponga ideas. Que dé de sí más allá de lo que se le pide; que haga que las cosas sucedan sin que se le exija; que sea un artista porque lo suyo no es un trabajo que cualquier fulano podría realizar. Nos plantea que hagamos nuestro trabajo con pasión, rompiendo esquemas, “creando” en lugar de “haciendo”, que no seamos del promedio y del montón. Que hagamos las cosas de manera diferente al agregar valor.

Me pareció interesante la propuesta del texto y sí me hizo pensar en más de una ocasión en mi propio trabajo en seguridad informática y en cómo podría aplicar en concreto lo que en el libro se exponía. No me arrepentí de haberlo adquirido. Le pongo cuatro estrellas.

Einstein: His Life and Universe

No recuerdo cómo llegué a este libro, pero lo tenía en mi carrito de Amazon y cuando vi su índice me llamó la atención. He de confesar que estoy iniciando el libro (y lo puse en pausa porque estoy con el de Steve Jobs). Hasta donde voy se ve que está interesante la biografía. Honestamente en mi juventud no era muy fan de leer biografías ya que se me hacían aburridas y de flojera el tener que leer un libro entero de la vida de alguien; pero eso ya lo estoy cambiando ya que he visto que al leer las vivencias de personas que admiro de hecho me motiva, me da ideas y me inyecta ganas de superarme en aspectos profesionales y personales. Creo que el truco fue encontrar biografías de personas que admiro y evitar las de personas que aunque muy respetables e importantes, no me hacen “click”.

Steve Jobs - (Steve Jobs Spanish)

Los que me han estado siguiendo tal vez ya estén hartos de mí hablando de Jobs. Ok, aquí va una vez más. Empezaré diciendo que el libro es objetivo; al menos no trata de esconder “detallitos” ni ser un texto lleno de alabanzas y piropos. Como dije, he descubierto que al leer biografías de personas que admiro me llena de alegría, motivación y me da dos que tres lecciones. Por ejemplo a raíz de este libro he empezado a hacer algunos cambios:

Tirar una cosa al día. En mi lugar de trabajo cada día tiro a la basura algo que no me sirve. Jobs estaba orientado a la simplicidad y a “lo mínimo necesario”. ¿Cómo aplicarlo en mí? Haciendo lo que acabo de decir. También lo estoy haciendo en casa tirando varias cosas un día a la semana. Ya hasta pregunté en mi biblioteca pública más cercana si pueden recibirme donaciones de libros y así lo estaré haciendo en las siguientes semanas.

Piensa diferente. A la persona que más quiero y dada su corta edad, he empezado a inculcarle ideas para que piense fuera de los esquemas pre-establecidos poniéndole ejemplos de algunos pasajes de la vida de Steve. Cuando crezca más quisiera que leyéramos este libro juntos (me parece de más valor que leer el Antiguo Testamento, con el perdón de su mercé). A mí me enseñaron que no hay que tomar riesgos, que hay que ir a la segura, seguir el status quo y que las calificaciones de la escuela son lo más importante.

Ahora veo que las posiciones más interesantes no son de gente que se va a la segura buscando un empleador estable; y que las notas de la escuela aunque importantes, no aseguran un futuro brillante lleno de dinero y satisfacción personal. Es decir, pienso que hay habilidades que no enseñan en la escuela y ya que estás en el mundo laboral ves que de lo más importante es la habilidad de comunicar/vender ideas, de tener carisma, de tomar riesgos, de tener habilidades de negocio, de ser responsable, de generar ideas innovadoras, de entregar en tiempo resultados; no necesariamente la gente que haga velozmente integrales y derivadas o saque rápidamente un Reverse TCP por medio de un exploit será la que tenga las mejores posiciones sólo con esas habilidades.

No me malentiendan, creo que la educación escolar de los niños hay que complementarla con otras enseñanzas muy útiles allá afuera.

Otro cambio que me interesa ahora aplicar -gracias al libro- es el estilo minimalista. Empezaré por mi cuarto. Aunque entiendo que el minimalismo no sólo es cómo está diseñada una habitación. Por ejemplo mis presentaciones de PowerPoint en el trabajo ya no tienen adornitos ni rayitas; es una presentación en blanco con un bonito Font…es todo.

Steve es un ejemplo extremo, claro está. Un cuate centrado y apasionado por su trabajo y ganas de aterrizar una visión. Con una intensa búsqueda por la excelencia pero teniendo claro que “hay que entregar resultados” y finalizar productos. Una persona “loca” por el diseño y por cómo se interactúa con los productos. En este libro uno se puede asomar a su mundo y tratar de entender su filosofía de vida.

En mi caso, sí he visto que la lectura del libro va más allá que la simple asimilación de letras, palabras y frases; estoy todavía en el proceso de asimilar ideas y aterrizándolas en acciones concretas. Le pongo cinco estrellas y lo recomiendo aunque no sean fan de Steve Jobs (un must si eres emprendedor).

Thinkertoys

Generar ideas como las de crear computadoras en un garaje de una casa o desarrollar un buscador de páginas en Internet. ¿Cómo poder “forzarte” a tener ideas? Este libro trata de proveernos de algunas técnicas para pensar en cosas que no habrías pensado antes. El libro te invita a cambiar hábitos (para empezar a entrenar la mente a que se salga de lo habitual); nos dice que hay que tener un objetivo de cierta cantidad de nuevas ideas al día o a la semana.

En la página 48 se describe por ejemplo una interesante técnica que consiste en listar lo que uno asume de X lugar o situación (“los restaurantes tienen un menú escrito donde la gente ve las opciones para comer”) y luego redactarlo de forma contraria (“no hay menús donde la gente…”) y tratar de ver cómo es que eso podría ser e intentar sacarle un sentido.

El libro me ha ayudado a tener algunas ideas. Por ejemplo para el trabajo que hace mi papá  le he propuesto nuevas formas de vender sus servicios; o una idea respecto a QR Codes que le mandé a uno de mis jefes. También la de una app para móviles que puede ser utilizada en las agencias de autos. Ok, no son grandes ideas todavía, pero por algo estoy empezando.

No me considero una persona muy creativa e innovadora que digamos y por eso busco libros como éste (tengo en la mira el de The Innovator’s Dilemma: The Revolutionary Book That Will Change the Way You Do Business). Me interesan libros que me ayuden a salirme del molde y que me saquen de mi pequeño status quo. Este libro que acabo de terminar de leer tiene varias técnicas y si bien no las he aplicado de manera frecuente, ya me han ayudado en algo y espero implementarlas de manera más consistente. Tiene cuatro estrellas.

Web Application Hacker’s Handbook

Este libro empieza con un overview de la inseguridad en aplicaciones web para después describir los principales mecanismos de defensa que tiene un WebAdmin. Si no estás muy al tanto de las tecnologías web de hoy en día, también te da un “repasón” (yo aprendí más de una cosa en ese capítulo). Posteriormente ya empieza a describir cómo se “mapea” una aplicación web o cómo se pueden evadir controles tipo “client side”. Voy en el capítulo 6 (todo el libro tiene 20) que se trata de Ataques a la Autenticación.

El libro me está dejando un buen sabor de boca y está muy completo ya que abarca una gama amplia de temas respecto al web hacking y va de lo básico a lo realmente avanzado, es decir, te lleva de la mano. No está complicado y aburrido como otros libros técnicos que tratan el mismo tema y esto sin mencionar que te da ejemplos para que los lleves a cabo. A pesar de que tiene casi 700 páginas, honestamente no se me está haciendo pesado; he aprendido mucho de este tema y de alguna forma leer este libro es divertido (y no, no me refiero a que hagan chistes).

Le pongo cuatro y media estrellas y lo recomiendo si alguien desea enterarse (más) del tema de hackeo a aplicaciones web.

Metasploit: The Penetration Tester’s Guide

Este libro es de reciente publicación y como su título lo dice, habla de Metasploit y de cómo lograr hacer actividades de pentest principalmente con el uso de esta herramienta. Voy empezando con el libro; como ven no soy de los que acaba un libro para empezar otro sino que llevo varios en paralelo, that’s the way I like it.

Tiene un no sé qué que me está gustando más que otros libros que he leído del tema, como el Hacking Exposed que a veces lo encuentro confuso y centrado en herramientitas cuyo uso te describen rápidamente. En el libro de Metasploit se centran en una sola herramienta (apoyado de otras cuantas) pero de forma completa, de manera divertida, al grano y a profundidad. De los libros de pentesting es de los que más me ha gustado; y nada que ver con la enciclopedia extensa, aburrida, de poca utilidad y del año de la Abuela (versión 6) que es el material de la certificación CEH (también lo voy a donar porque me estorba más de lo que me sirve).

Tiene cuatro estrellas y media y hasta si lo quieres para tu primer libro de pentesting seguro que te servirá.

Conclusión

Sólo me resta preguntarte respecto a las lecturas que estás haciendo actualmente y si no eres de los que lee mucho, invitarte a que lo hagas (aquí algunos tips). Si alguien como yo que poco se interesaba en la lectura puede lograr leer un par de libros de vez en cuando, sé que también encontrarás un tema que sea tan de tu agrado como para dedicarle unos minutos a la semana. Nos estamos tuiteando en @FaustoCepeda.

Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).

Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.

¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.

Básica 1: Actualizar sistema operativo y sus aplicaciones

Cualquier sistema operativo va a requerir actualizarse y tiene mecanismos automáticos para llevar a cabo esta tarea. Asegúrate de activarlos; no cuesta dinero porque esta funcionalidad ya viene integrada (búscala en tu Panel de Control).

Por otro lado, las aplicaciones que instalas también van a requerir su manita de gato y varias de ellas no proveen actualizaciones automáticas. Adobe Reader, Flash Player, Office o Java JRE son algunos ejemplos de  lo que tendrías que estar actualizando casi cada mes. El PSI de Secunia te puede ayudar a detectar las aplicaciones que necesitan un update.

Básica 2: Suite de seguridad

Contar con un antivirus, firewall personal y un detector de intrusos es fundamental. Puedes pagar por una suite de seguridad que integre estas herramientas (cuesta alrededor de 700 pesos). O puedes buscar algunas gratuitas. Antivirus como Avast o Microsoft Security Essentials te pueden servir.  Comodo tiene su firewall personal gratuito.

Básica 3: Sesión de Usuario

Cerciórate de que estás iniciando sesión como usuario y no como administrador del sistema. Trabaja el día a día en tu compu como usuario y sólo cuando lo requieras sé administrador.

Básica 4: Usa tu criterio e Investiga

¿Eres de los que entra a cuanta página se le antoja porque recibiste el link vía correo/twitter/facebook? ¿Visitas sitios XXX tal vez? ¿Instalas cuanta cosa te late al ir navegando? Bien. ¿Y desde esa misma computadora ingresas a la banca en línea y tecleas los passwords de tus sitios favoritos? Tendremos un problema.

No voy a decirte que no abras adjuntos sospechosos, porque yo soy el primero en criticar estas recomendaciones vagas y absurdas (¿cómo sabría un usuario que algo es sospechoso??).

La sugerencia sería que te mantuvieras atento (por ejemplo leyendo este tipo de blogs o googleando/preguntando algo que no sepas). Usar el sentido común (¿de verdad el hijo del rey de Nigeria te dará dinero si lo ayudas a sacar un dinero de su país?) y sé escéptico (¿en serio tu Banco te dice que si no haces click en esa liga te cancelarán la cuenta? Investiga con tu Banco la veracidad de ese correo).

No hay dinero regalado ni offline ni en Internet. Los atacantes tratarán de que hagas click o visites esa página a como dé lugar.

Y si nuestro sentido común falla (después de todo no somos expertos en seguridad ni debemos de serlo), pues aquí están estas recomendaciones de este post que te podrán ayudar a protegerte (y enfatizo “ayudar”; ningún control tecnológico evitará que pongas por propia voluntad el password de tu Banco en una página maliciosa).

Básica 5: Respalda

El post original contenía sólo las cuatro recomendaciones básicas arriba enlistadas y este de “Respaldo” iba a estar como no-básica. Pero caramba, finalmente los archivos (fotos, música, documentos relevantes) son los que dan vida a un sistema, no crees? Así es que entra como básica: respalda.

Yo sugiero el respaldo tipo 1-2-3.  Una copia del respaldo offiste. Usando dos diferentes medios (ej: disco duro y DVD). Tres copias de esos respaldos.

Puedes hacer respaldos mensuales en CD o DVD; tal vez en discos duros externos. Puedes usar la nube ahora que está de moda (Carbonite ofrece respaldos automáticos para varias plataformas y usa nube).

Usa el esquema y servicio que más te agrade PERO respalda. Respalda, respalda, respalda. Y que sea frecuente.

El Resto de las Recomendaciones son:

SandBox: la tendencia es que las aplicaciones incorporen una sandbox por default. Las últimas versiones de Chrome lo hacen; Adobe Reader también. Es mejor preferir este tipo de aplicaciones o ahí están productos como SandBoxIE que hacen el trabajo en la aplicación que desees. Una sandbox dificultará un ataque; cuando te manden un exploit le habrás dado una pastilla azul al malware y no dañará tu sistema principal.

WPA2: pensé en poner esta medida como básica, pero ya eran muchas básicas, no crees? En fin, en casa hay que activar el protocolo WPA o mejor el WPA2. Un amigo me comentó que su vecina estaba ofreciendo acceso a Internet a mitad de precio. ¿De dónde crees que “toma” la señal para venderla? Nota: el protocolo WEP “seguro” no es seguro y pueden entrar en tu red inalámbrica en menos de 5 minutos.

Si no sabes bien cómo habilitar WPA2 en tu ruteador inalámbrico en casa, llama a  soporte técnico de tu proveedor para recibir ayuda. Por ejemplo, el Wii, tu iPhone y iPad soportan este protocolo.

Navegación Inteligente: los ataques se centran en Internet Explorer. Luego entonces, usa mejor el Chrome que de hecho tiene una sandbox. O FireFox.

Recomiendo usar el NoScript (o equivalentes). Es un add-on que impide la ejecución de scripts en el navegador; te salvará de más de un problema. Grabémonos esto: los scripts son nuestros enemigos.

Y hablando de add-ons, está el Certificate Patrol que estará al pendiente de tus certificados y alertará de cambios sospechosos. Útil en esta época en que las autoridades certificadoras se tambalean y donde algunas de ellas perdieron nuestra confianza (y precisamente lo que venden es confianza).

Sí, la navegación por Internet se ha vuelto un verdadero paseo por la jungla. Una sugerencia engorrosa pero que te dará un nivel adicional de seguridad es navegar con una máquina virtual. Existen productos gratuitos como VirtualBox, Virtual PC o VMWare Player que te darán la capacidad de montar un sistema operativo “independiente” en tu sistema. Ya que lo instales, puedes arrancar un Linux por ejemplo (Ubuntu, FreeBSD o Linux Mint son buenas opciones). Y ahora sí, desde tu máquina virtual entrar a esa liga que te mandó “el amigo del amigo” o visitar ese tipo de sitios que sabes que te pueden instalar mugre y media sin que te des cuenta. Prueba este esquema de navegación.

También podrías considerar tener un UTM casero (Unified Threat Management) como el que ofrece Astaro (hasta ahora gratuito). O equivalentes. Te dará más protección al navegar, en tu correo y en tu red de casa. Los UTM tratan de darte una seguridad más “integral”.

Por último. ¿Quieres anonimato al navegar? Usa TOR, o como yo le digo: el Ruteador Cebolla. En lo personal ligo mucho esto de la navegación anónima con actividades poco honorables; asegúrate que usas anonimato para algo que valga la pena y no para andar haciendo porquerías. Gracias.

Cifrado de Datos: he escuchado a varias personas decir “pero si en mi compu no tengo nada realmente importante que alguien más quisiera”. Mi respuesta es: “ok, me permites hacer una copia de tu disco duro para llevármela y quedármela?” La respuesta es: “claro que no, tengo fotos personales y ahora que lo recuerdo, a ti qué te importa??”

En fin. Puedes usar TrueCrypt para cifrar tu disco duro entero o parte de él. También lo puedes usar para cifrar tus USB. Hablando de USB, existe un buen software de cifrado llamado Rohos Mini Drive especializado en cifrar dispositivos USB.

Ahora bien, si lo que te interesa es intercambiar correos cifrados, puedes usar opciones gratuitas como OpenPGP o GnuPG. Y una opción más simple y sin costo: HushMail que ofrece proteger tus correos al mismo tiempo que mantiene una interfaz web tipo GMail/HotMail fácil de usar.

Nota: si eres de los que consideran que “no hay nada importante en mi compu” te recuerdo que aun así existe el riesgo de que la conviertan en zombie.

Passwords: hace poco escribí un post de cómo crear contraseñas robustas pero fáciles de recordar. En resumen: personas pueden adivinar tu contraseña. Y si no, ahí están las computadoras para probar N posibles contraseñas hasta que lo logren. Sugerencia: usa contraseñas diferentes para cada sitio/servicio y que sean difíciles de hackear (pero fáciles de recordar).

Puedes usar apps gratuitas para administrar tus passwords. LastPass es una de mis favoritas, úsala y seguro te quedarás con ella.

Hablando de passwords, los servicios online tienen una opción de recuperar tu password en caso de olvido; asegúrate de que las preguntas/respuestas que hiciste sean algo que sólo tu podrías contestar. En medio de una pelea épica, tu compañer@ sentimental podría tratar de hacerse pasar por ti e intentar recuperar tu contraseña; ya le pasó a Palin, por ejemplo (aquí la motivación fue política).

Banca en Línea: prefiere que tu Banco te dé un token para entrar a su sitio (un token es un aparato que te provee de una nueva contraseña –dinámica- cada vez que entras al portal). Existe malware muy especializado cuya finalidad es robar tus credenciales de acceso (username + password estático) y quitarte tu dinero. Ejemplos abundan y constantemente salen nuevas versiones más complejas y difíciles de detectar/erradicar.

El token no es el fin de la historia. Debes fijarte en tener un sistema limpio para poder tranquilamente entrar en tu sesión de banca en línea. Una de las mejores maneras que he encontrado es usar un LiveCD de Linux (por ejemplo Ubuntu) y bootear tu sistema desde ese CD, arrancar FireFox y adelante con tu banca en línea. “Pero qué flojera hacer todo eso para una inche sesión con tu Banco”…ok, no hay problema. Es tu dinero, tú decides. Esta sugerencia te da un sistema limpio cada vez que booteas (sin que instales nada), y si agregas que la gran gran mayoría del malware está enfocado en Windows…ahí lo tienes!

Almacenamiento en la Nube. DropBox y el iCloud son servicios de almacenamiento de documentos en la nube. No son muy seguros pero entiendo que si pones ahí las fotos de tu perro o un trabajo de la escuela pues no tienes de qué preocuparte. Pero si vas a poner ahí la foto del IFE escaneada o documentos corporativos relevantes, es mejor que uses opciones más seguras. Wuala o JungleDisk aplican el PIE (Pre Intnernet Encryption) lo que significa  que automáticamente tus datos se cifran en tu sistema y salen así a la nube. Tú mantienes el control, no la nube.

Sistemas Operativos. Sé que dije que me enfocaría en Windows pero me fue irresistible hablar de este punto y además es a manera de conclusión de este largo y aburrido post.

Finalizaré diciendo que todos los sistemas operativos son inseguros instalados como vienen de fábrica (la gran mayoría de los fabricantes quieren que tengas un sistema funcional lleno de maravillosas monerías y no realmente un operativo seguro y restringido).

Sin embargo a todos ellos se les puede endurecer (hardening) para fortalecerlos. Bien configurados, bien administrados y bien usados no hay operativos mejores ni peores. Sin embargo considero que un buen operativo seguro “de fábrica” es FreeBSD. He de confesar que no lo uso del diario…para eso tengo el poderoso y limpio OSX.

Eso es todo. Y claro, te invito a compartir lo que tú haces para mantenerte fuera de problemas.

Gestionar la seguridad de la información en una organización no es una tarea que se limite a generar políticas, cambiar configuraciones en los firewall y analizar que las firmas de antivirus estén al día. Ante los cada vez más especializados ataques (APT – Advance Persistent Threat) que atentan contra la seguridad de la información es necesario establecer infraestructuras más robustas, arquitecturas de comunicaciones mayor protegidas y procedimientos que no sólo sean de calidad sino también seguros.

Esto lleva a las organizaciones a un estado donde es necesario invertir constántemente en IT y seguridad, pero mucho se queda en sólo inversión, sin embargo, temas como el manejo, correcta configuración, monitoreo, seguimiento y análisis del éxito de los controles y tecnologías implementadas a través de dichas inversiones no se realiza correctamente o no se realiza, es aquí cuando aparece el concepto de SOC, Security Operations Center.

Para entender de la mejor forma la idea de un SOC es necesario comprender que no se trata sólo de un servicio o proceso de monitoreo que todo esté bien o que los antivirus estén actualizados, va más allá y como lo plantean varios autores, la idea central de un SOC es gestionar el riesgo que pueda afectar la seguridad de la información y por ende la seguridad informática. Para que esto sea posible es necesario definir que lineamientos regirán al SOC, como se estructurará, que jerarquías se deben manejar y por supuesto, los alcances de las actividades a realizar.

Es de vital importancia que si se desea monitorear, vigilar o regular el uso de recursos, información o acceso exista una o varias políticas que estipulen ese requerimiento ejecutivo para poder así justificar la implementación o contratación de servicios que se encarguen de hacer cumplir las políticas. Un ejemplo de ello puede ser la política que se desarrolla en la organización para evitar la fuga de información y por consiguiente la implementación de un sistema de Data Loss Prevention. Así bien, con la existencia de las políticas, ya está expuesta la necesidad de establecer los controles y vigilar su cumplimiento, es aquí donde el SOC aparece como centro de operaciones de seguridad donde estas tareas se llevarán a cabo.

¿Qué se debe gestionar, monitorear o hacer seguimiento?

El abanico de posibilidades es amplio y varía de acuerdo al tipo de negocio y sus actividades. Entre las opciones se pueden encontrar:

• Monitoreo de disponibilidad de plataformas y servicios

• Monitoreo de integridad de información en plataformas y servicios

• Protección perimetral ante atacantes e intrusiones

• Gestión de sistemas de protección de datos (DLP – Antivirus – entre otros)

• Gestión de vulnerabilidades de plataformas (Pruebas periódicas)

• Gestión de eventos e incidentes de seguridad (A modo de un CSIRT)

• Gestión de dispositivos y plataformas de seguridad y comunicaciones (En conjunto con el NOC – Network Operations Center)

• Entre otros…

Observando estas posibilidades también es necesario recalcar la importancia de los tiempos de respuesta, cadena y canales de comunicación. Un ejemplo para proyectar esta idea consiste en el caso de encontrarse en proceso un ataque de denegación de servicio contra la infraestructura de la organización. El SOC debe informar a los dueños de la información o de los recursos para que estos realicen acciones correctivas, si no se informa a tiempo puede llegar a afectar la organización y esto a su vez verse reflejado en materialización de amenazas que generan riesgo reputacional o de la imagen, riesgos económicos, por nombrar algunos.

A nivel técnico, al hablar de componentes de un SOC ya entra en detalle a revisar soluciones tales como SIEM (Correlacionadores de eventos), sistemas de monitoreo de servicios y plataformas, consolas centralizadas de análisis de tráfico, sistemas de IDS, IPS, HIDS, sistemas para gestión de incidentes. Todo esto coordinado por recurso humano capacitado con amplios conocimientos de temas de seguridad informática, gestión de eventos, incidentes, hacking, entre otros.

Finalmente, así como se indicó anteriormente, la idea del monitoreo es evidenciar el cumplimiento de las políticas, es por ello que la generación de los informes y reportes son la forma de recopilar toda aquella información obtenida a través de los procesos realizados por el SOC y determinar que tanto se está logrando con los controles implementados, permitir a la alta gerencia conocer el cumplimiento de las políticas y establecer acciones de mejora o inversión para lograr las metas esperadas.

Como recomendaciones acerca de como estructurar, identificar necesidades y servicios adicionalmente de consejos de implementación y para contratación recomiendo los siguientes documentos complementarios:

• Security Operation Center Concepts & Implementation – Renaud Bidou

• Building a Security Operations Center for little or no money – Josh Pyorre (Defcon 18)

• Implementing a Security Operations Center – Park Foreman

Todos nos enteramos del fallecimiento de Steve Jobs. He de confesar que lo admiro y deseo expresar mi pesar por haberlo perdido. No podía dejar desapercibida la desaparición de mi “héroe digital”.

¿Cómo abordar el tema? ¿Lo que había significado para mí? ¿Resumir sus logros? Creo que hubiera sido más de lo mismo que hemos estado leyendo. Apliqué lo del “Think different” y me pregunté cómo algunas de las lecciones aprendidas podrían relacionarse a la seguridad de la información.

Antes de empezar, una advertencia. Varias de mis interpretaciones/comentarios no son exclusivas para la seguridad, ahórrense el comentario de “pero eso aplica para otras áreas/disciplinas también”, gracias.

Ok. ¿Cómo armé este post? De entre las lecciones aprendidas que fui encontrando, seleccioné aquellas que podía citar para luego comentar mi manera de aplicar dicha lección al área de seguridad. Ya me dirán cómo me salió.

Guy Kawasaki trabajó un tiempo para Apple y nos dice lo que desde su punto de vista aprendió de Steve Jobs.

Guy dice: Los Expertos No Tienen Idea

Yo digo: Hay de expertos a expertos en seguridad informática. Los hay quienes te dicen qué debes de hacer, pero no cómo debes de hacerlo y probablemente nunca lo han llevado a cabo o sólo han escuchado que alguien lo hizo en “alguna ocasión”.

Te pueden decir que lleves un inventario de las aplicaciones autorizadas para ejecutarse en cada uno de los sistemas o que otorgues permisos de acceso a la información en base a la necesidad de saber (neek-to-know); también te pueden sugerir que bloquees el acceso a Internet a todos excepto a quienes realmente lo necesiten. Pero no te van a decir cómo hacerlo, ni quién más lo ha llevado a cabo exitosamente (y que lo sepan de primera mano).

Lección: algunas veces los que nos dedicamos a la seguridad de la información expresamos alguna buena idea que suena bien en teoría o que supuestamente es una “buena práctica”, pero que al intentar aterrizarlo “al mundo real” informático *corporativo* resulta que es una pesadilla administrativa o que de plano no es factible implementarlo y hay que dar marcha atrás. El “qué” es importante pero sin el “cómo” se vuelve impráctico.

Guy dice: Los Clientes no te Pueden Decir lo que Necesitan

Yo digo: las áreas de TI (y no TI) no te van a decir lo que la empresa necesita en cuestión de seguridad. Tu labor es ver la problemática, idear las posibles soluciones y vender (sí, vender) tus ideas para que sean compradas.

Quien debe saber lo que la empresa necesita en cuestión de seguridad deben de ser los profesionales de seguridad. Debemos de estar atentos a los nuevas maneras de atacar y lecciones aprendidas. RSA, StuxNet, DuQu, APT, mobile malware o DigiNotar son cuestiones que hay que saber y entender para proponer lo que la empresa necesita para los ataques de hoy, no para los ataques de los 90. Si cuando llegaste ya estaba el antivirus, tu labor será darle continuidad o ver si hay algo mejor allá afuera? ¿Cuáles controles eficientes de seguridad sabes que necesita la empresa?

Guy dice: Salta a la Siguiente Curva

Yo digo: mientras las empresas se pelean por tener su antivirus, la siguiente “curva” son las listas blancas (whitelist). ¿Cuáles son las tendencias en ataques y obvio en soluciones? ¿Cuáles son los controles más novedosos que pudieran servirnos en la empresa?

Gartner publica tendencias en seguridad de la información; el SANS te puede dar buenos tips; a finales de cada año se publican a lo largo y ancho de Internet diferentes artículos referentes a las predicciones en cuestiones de seguridad de la información. ¿Estás al pendiente de las tendencias y “saltas a la curva”?

Guy dice: No Puedes Equivocarte con Gráficas y Grandes Fonts

Yo digo: obvio, no sólo aplica al área de seguridad. Cuando expongas presentaciones gerenciales para explicar una problemática, nuevos controles u otras cuestiones que impulsen a la seguridad dentro de la empresa, ten cuidado en cómo presentas. Puedes seguir una regla del mismo Guy: 10-20-30. Diez slides de 20 minutos usando un font de tamaño 30.

También puedes ver en YouTube alguna de las Keynote de Apple que haya dado Steve Jobs (un maestro en el arte de presentar). Hay que presentar con estilo para que se entienda lo que deseamos impulsar y el por qué estaremos más seguros con X propuesta o control.

Como dije ya, la seguridad muchas veces hay que venderla porque para la alta dirección y el resto de las áreas de TI no es algo que sientan que necesitan, por lo tanto hay que venderla y saber exponer la necesidad.

Guy dice: Valor es diferente del Precio

Yo digo: la seguridad cuesta dinero a las corporaciones, pero qué difícil es demostrar su valor para la empresa. En no pocas ocasiones se ve a la bolsa de seguridad como un gasto, y no como una inversión. Un mal necesario que cuesta y tiene un precio, pero que no queda claro “allá arriba” dónde está el valor. Retorno de inversión, pues. ¿Cómo se puede demostrar el valor de los controles/herramientas y del personal de seguridad?

Y claro, no porque la bolsa ($$$) de seguridad esté llena significa que se está agregando valor. Y viceversa.

Guy dice: Los CEO de a de Veras Hacen Demostraciones

Yo digo: qué importante es hacer demostraciones. Steve Jobs, siendo todo un CEO, salía al escenario (ver sus keynotes) y no sólo platicaba del producto, sino que también lo demostraba en vivo. Si un CEO millonario se da el lujo de hacer demos (pocos CEO lo hacen), no nos falta hacer lo mismo en seguridad para la parte de los riesgos? Muchas veces mostramos los supuestos riesgos en PowerPoint. No será mejor usar más BackTrack/Metasploit y mucho menos PowerPoint?

De preferencia, los riesgos hay que “vivirlos” antes de creer en ellos “porque lo digo yo”. Por eso, qué mejor que te haga un hack lanzándote un exploit y tomar control de tu computadora…en lugar de ponerte un PPT y decirte que ¡aguas! porque podría hackearte cualquier día de la semana si así lo quisiera.

Neil Patel

Basta de Guy. Vayamos con Neil Patel y sus lecciones:

Neil Patel dice: Mantenlo Simple. (KIS – Keep It Simple)

Yo digo: Políticas de seguridad complicadas para entenderlas y claro, extensas como manuales de un transbordador espacial. Campañas de concientización de seguridad enfocadas en la ingeniería de la seguridad en lugar de estar centradas en las personas; posters de la campaña con mucho texto (font de 10) pero pocas imágenes (¡urge minimalismo!).

Los usuarios no son ingenieros en sistemas ni en electrónica y hay que hablar su idioma, hacer que se sientan cómodos. ¿Puedes ser capaz de redactar una política de seguridad en dos páginas? ¿Reportes de indicadores en gráficas y en una sola página (dashboard)? ¿Reportes de tu análisis de riesgos o tu pentest que pesen menos de 1 kilo? Explicar un riesgo o un ataque puede ser complicado de entender “para el resto”, así es que mantenlo simple.

Neil Patel dice: Piensa en Grande

Yo digo: recuerdo una historia que se me ha quedado grabada hasta hoy. Dice algo así. Le preguntaron a tres caballeros que estaban trabajando en una construcción sobre qué es lo que estaban haciendo. Uno dijo: “Pegando ladrillos”. Otro contestó: “Una pared bien alta”. El tercer hombre afirmó: “Me siento orgulloso porque formo parte de esta magnífica catedral que perdurará por siglos”.

Como responsable de la seguridad de la información de una Institución, tú qué piensas que estás haciendo? ¿Instalando un detector de intrusos o siendo parte de la protección de la información y de la estrategia de seguridad de [nombre de tu empresa]?

Neil Patel dice: “Siempre hay Lugar para la Innovación”

Yo digo: ¿Cómo innovar en el área de seguridad? No estoy desarrollando productos de seguridad, en qué sentido podría innovar? Ok. Una vez hace años fui a una expo de publicidad. En lugar de pasar por ahí viendo y pensando en por qué la gallina cruzó el camino, me pregunté cómo podía aplicar eso que estaba viendo a la seguridad.

Tuve la iniciativa de proponer una campaña de seguridad que no se había hecho antes con algunas ideas de la expo. Lo propuse y tiempo después arrancó la campaña.

Ok, y luego? Tal vez pienses en una manera diferente de presentar una métrica o una mejor manera de convencerlo respecto a que se requiere seguridad en la empresa. Piensa diferente. Salte del molde “porque así siempre se ha hecho”. El punto es que no te empantanes en las cajas aburridas de siempre, “ve por la Macintosh”, por así decirlo. Steve alguna vez dijo: “Innovation distinguishes between a leader and a follower”.

Conclusión

Hasta ahí le dejamos. Este post está ya demasiado largo. Sin embargo, There is One More Thing: pongo a tu disposición algunas ligas que a mí me han parecido interesantes sobre Steve Jobs, tal vez las disfrutes tanto como yo!

Plática con al autor de la biografía de Steve. Yo ya he pedido el libro llamado “Steve Jobs” de Walter Isaacson.

Entrevista con el exCEO de Apple John Sculley. Te transporta a la mente de Steve.

Video “Todos somos Steve”, me encantó la letra y el ritmo.

Video del famoso discurso de Steve Jobs en Stanford. Inspirador.

Libro “The Second Coming of Steve Jobs” de Alan Deutschman. Ya lo leí y lo recomiendo. Trata del periodo entre su salida de Apple y El Regreso.

Libro “iCon Steve Jobs: The Greatest Second Act in the History of Business” de Jeffrey S. Young. No lo he leído pero me lo han recomendado.

Documental de Discovery: “iGenius”. Lo llegué a ver completo en YouTube pero ya lo quitaron. Supongo que eventualmente pasará en México en el canal ya mencionado.

Dicen que a Steve le interesó este libro:  “The Innovator‘s Dilemma: The Revolutionary Book That Will Change the Way You Do Business” de Clayton M. Christensen. Lo tengo en mi lista de libros a leer.

El deporte favorito de algunos expertos en seguridad es levantar la voz en contra de esos infames usuarios. “Son el eslabón más débil de cualquier organización”. “Es que no tienen ni idea de que ponen en riesgo a la información” (favor de agregar tono de voz desesperada).

Desde hace tiempo abundan ejemplos de este deporte por despreciar la poca cultura en seguridad informática de los empleados corporativos: “Es que ni con campañas de security awareness entienden”.

Ahora bien, lo curioso es que cuando volteas a ver las infraestructuras informáticas de estos Señores de la Seguridad te das cuenta de que tienen más hoyos que un queso gruyere.

Sistemas operativos sin tener sus parches al día o aplicaciones desactualizadas y vulnerables. Eso sí, con antivirus (y tal vez no todos actualizados) pero sin listas blancas/firewall personal. Uso de protocolos inseguros “porque todavía no se pueden quitar”. Páginas web que dan la bienvenida a los SQL injection.

Me extraña que se quejen de lo descuidados que son los usuarios cuando ellos mismos no tienen las TI robustas y al día. “Es que mis usuarios le dan click a cuanta cosa les llega y *claro*… ya les cayó el exploit”. Ok dude, pero ese ataque en principio fue posible porque TÚ dejaste al Adobe Reader sin parchar, cierto?

Si bien puedes engañar al usuario para que te dé su contraseña por teléfono y ahí sí no es un problema informático, lo cierto es que muchos otros ataques son posibles en principio porque la infraestructura de TI tiene huecos…y ese no es el trabajo de los usuarios sino de los Señores de la Seguridad de la Información.

“Comprometieron el equipo de este wey y de ahí se metieron al servidor corporativo para sacar los números de tarjetas de crédito de nuestros clientes”. Cuando le preguntamos: “Oye, y el equipo del usuario necesitaba tener conectividad con el servidor corporativo??”. “Errr, bueeeeno. Pues no. Pero es que ÉL ejecutó el attachment cuando claramente debería de saber que es un riesgo…si hasta está en nuestra política de seguridad en la página 876”.“Ah! Mira. Pues qué te parece si hacemos un proyecto para restringir el acceso a los servidores para que no desde cualquier equipo se pueda acceder a ellos. Se puede hacer un filtrado por dirección IP y puerto”. “Aschhh, es que es muuucho trabajo.

Mejor educar a los usuarios. Son la base de la seguridad ya que bla, bla, bla”.

No me malentiendan. Los usuarios son parte importante de la estrategia de seguridad dentro de las empresas y ciertamente muchas veces participan activamente para que un ataque se concrete (como por ejemplo en casos de APT). Mi punto es que no debes criticarlos cuando uno mismo no hace lo suficiente por su infraestructura.

En fin. Si conocen a un Señor de la Seguridad que se queje amargamente de lo incivilizados que son sus usuarios en cuestiones de seguridad, por favor acérquenle este pequeño artículo. Seguro me dirá que estoy mal…y saben? Me encanta estar mal.

Twitter.

QAZwsx no es una buena contraseña. Tampoco lo es 123456. Los passwords fáciles de adivinar tienen una gran desventaja: que son fáciles de adivinar. Y aunque me preocuparía obviamente que un fulano llevara a cabo esta adivinación, es un hecho que existen herramientas con bastos diccionarios y listas que se encargan automáticamente de intentar las miles de contraseñas que probablemente un usuario (o administrador) pueda llegar a usar.

Así pues, 5noopY, 19761976, 4dmin, F4ust02000, AlejanDRO, Facebook1, tequiero o ammerica no son buenas elecciones aunque a primera vista puedan parecerlo. Los atacantes ya se saben los truquitos de cambiar algunas letras por números, poner sólo algunas letras en mayúsculas o la costumbre de usar nombres de artistas o equipos de futbol como contraseñas (sin olvidar poner 2000 al inicio o al final, es clásico). Y a partir de ahí, se hacen variantes (AlejandRO, AlejanDRO, AlejaNDRO, etc.) y se construye una lista con la cual se efectuarán los cientos de miles de intentos (online u offline).

Y a veces no es necesario hacer listas interminables de posibles contraseñas, basta ver el ejemplo del gusano Morto.

 Las contraseñas hoy en día se usan para acceder a redes inalámbricas, para entrar a un sistema de cómputo, un servicio online (Facebook), entrar a la banca en línea o proteger un disco duro cifrado entre muchos otros usos cuyo objetivo es la de autenticar a alguien.

Muchos usuarios ante la cantidad considerable de contraseñas que deben de recordar, optan por usar el mismo password (o máximo un par de ellos) para los N servicios que usan. Y claro, seleccionan contraseñas fáciles de aprenderse y por lo tanto de adivinar. Los entiendo. No es fácil recordar 37 diferentes contraseñas complejas: {bL2BgB*~cwS@E:^PR’R”NPF/U&.

Basta de choro. ¿Qué podemos hacer? A continuación 3 opciones que yo les recomendaría.

Técnica HayStack.

Algunos expertos te dirán que uses contraseñas mega-complejas, con alta entropía ya que de otra manera no sirven. Sólo están contentos si seleccionas ##&ñQQ22!(/!4034Fq$RETyu/%GGc. “¡Maravilloso!”, te dirán. Sí claro, quiero ver quién se lo aprende..me cae que ni el experto usa esta clase de contraseñas. Ok, qué hacer? Técnica Haystack.

El inventor de este método es Steve Gibson, un verdadero experto en seguridad. En su página viene mucho mejor explicado. Aquí un resumen. Romper contraseñas por fuerza bruta se basa en el hecho de probar “n” combinaciones posibles de contraseñas, empezando por las más comunes y posteriormente “armar” posibles contraseñas plausibles; todo lo anterior utilizando herramientas de software que automatizan la labor.

Es posible generar contraseñas robustas pero fáciles de recordar si se tiene en cuenta el tamaño del “search space” o espacio de búsqueda según nos lo explica Steve.

Es posible por lo tanto generar una contraseña fácil de recordar y volverla robusta al completarla con caracteres (“padding”); de esta manera hacemos que el espacio de búsqueda o “search space” se amplíe considerablemente haciendo un hackeo por fuerza bruta excesivamente tardado. Asimismo se puede complementar esta técnica al introducir mayúsculas y números de tal forma que por ejemplo “teclado” queda compuesto como: “T3clado……….”

Vemos la “T” mayúscula, un “3” en lugar de “e” con diez puntos ”.” y según la calculadora del sitio ya mencionado, esta contraseña tardaría varios millones de años en descubrirse por un método de fuerza bruta/exhaustivo (asumiendo a un equipo haciendo mil intentos por segundo en tiempo real).

Otros ejemplos: “Fau5to%%%%%%%%%%%%”, “Rut3ador!!!!!!!!!!!!”, “G4to************”.

La ventaja del método de Haystack es que se pueden usar palabras comunes y muy fáciles de recordar pero muy difíciles de hackear por métodos de fuerza bruta. Entre más “padding” se agregue, más robusta será la contraseña pero mantiene su simplicidad. El tamaño sí importa..no tanto la alta entropía.

Técnica basada en Frases.

Existen varias maneras de crear una “passphrase” en lugar de un “password”. Si buscas en Google “create passphrase” encontrarás varias sugerencias. Por ejemplo una la propone Microsoft:

Iniciamos con una frase que te sea fácil de recordar: “Me encanta la pizza”. Le quitamos los espacios en blanco “Meencantalapizza”. Sustituimos algunas letras por números (se recomienda siempre sustituir los mismos números por las mismas letras para no hacerse bolas), por ejemplo “4” en lugar de “a”: “Meenc4nt4l4pizz4”. Vamos bien pero lo podemos hacer más robusto agregando dos caracteres especiales al final “Meenc4nt4l4pizz4%%”. Y violà. El enunciado clave fácil de recordar es “me encanta la pizza”.

Técnica basada en Papel.

Un experto en seguridad te va a decir que nunca, nunca pongas un password en un papel. Como yo no soy ningún experto, te digo que sí lo pongas. Claro, siguiendo ciertas reglas. Googleando “paper password” encontrarás varias técnicas. Una que me llamó la atención es la de Amit Agarwal en el sitio de Labnol.

Esta técnica se basa en el hecho de crear contraseñas que se construyen a partir de algo que se tiene (un papel de matriz de contraseñas) y algo que se sabe y que es una cadena pequeña de caracteres que el usuario memoriza para añadirla a lo que será la contraseña final.

Usando un papel (que recortaremos y traeremos con nosotros) construiremos una matriz:

 Empecemos con una palabra sencilla de recordar: “gato”. La primera letra “g” se convierte en “Deo” siguiendo la matriz. Y continuando con el resto de las letras, nos queda que gato es “DEoOotXIrdG”.

Finalmente agregamos una serie de caracteres fáciles de recordar. Por ejemplo “México” con un par de números en lugar de letras: “M3xic0”. Y lo agregamos al final de la serie de caracteres que ya teníamos: “DEoOotXIrdGM3xic0”.

Si perdemos la matriz (recuerden que la tenemos impresa), resulta que el atacante no sabe que la palabra que seleccionamos fue “gato” y tampoco sabrá que le agregamos “M3xic0” al final.

Conclusión.

El mensaje a final de cuentas es que uses contraseñas difíciles de adivinar y de ser posible que uses passwords únicos para cada sitio/servicio/equipo que uses (recuerda que te puedes apoyar de la herramienta LastPass).

Hay diferentes técnicas que puedes llegar a utilizar para generar contraseñas robustas (a mí me convence la HayStack de Gibson); si no te gustan las aquí expuestas busca en Internet otras que te parezcan útiles, sencillas pero robustas.

A pesar de las promesas de dispositivos biométricos o los one-time passwords (tokens), hoy por hoy la manera más usada para autenticar son las contraseñas, así es que mientras otra cosa no suceda, es mejor aprender a convivir con ellas de la mejor manera posible, no crees?