Una al día es una fuente indispensable de información para quienes, como es mi caso, se interesan por eso de la Seguridad de la Información. Porque encontrarse cada día con una noticia de interés no es moco de pavo.
Últimamente las noticias hablan mucho de Java. Posiblemente sea lo que toca este año. Y una de ellas cuenta una historia cuanto menos curiosa: Facebook, Twitter y Apple sufrieron fueron "atacados". Equipos de sus redes internas fueron infectados con malware. Y la culpa, dicen, parece ser... de Java.
¿Cómo? Bueno, se supone que estas compañías cuentan con sistemas de seguridad que impiden que nada "entre" en sus sistemas. ¿Verdad?
Sí, verdad. Pero si la montaña no viene... habrá que acercarse uno.
En primer lugar, los ciberdelincuentes conocían una vulnerabilidad de Java y crearon un código mailicioso que se aprovechaba de ella. Después buscaron páginas web a las que la gente de Facebook, Twitter y Apple se conectaban habitualmente y las analizaron para ver si alguna era vulnerable.
Finalmente, infectaron las páginas web vulnerables y les introdujeron el código malicioso que tenían preparado. Y cuando la gente las visitaba... se infectaba. El malware no entraba desde fuera. Eran los propios usuarios quienes, al visitar las webs vulneradas y sin saberlo, "salían a recogerlo".
Se combinan así dos tendencias en esto de la seguridad: el ataque a los puestos clientes y el "envenenamiento de pozos".
Con todo, lo que más me llamó la atención de la noticia fue una frase que decía: "Facebook se apresura a admitir que sus sistemas estaban completamente
actualizados y que contaban con un antivirus". Porque mientras nos quedemos ahí, la batalla estará perdida.
Hay una frase que se repite mucho: "La Seguridad no es un producto; es un proceso". No puedes comprar la seguridad. No se puede conseguir a base de instalar o poner en marcha herramientas. No puedes pagar a nadie para que te la proporcione. La verdadera base de la Seguridad consiste en determinar tus objetivos, establecer qué actuaciones debes llevar a cabo, realizarlas, evaluar los resultados obtenidos,... y volver a empezar.
Seguridad tiene más que ver con Altos Mandos, Jefazos, que se implican y establecen políticas acertadas, las ponen en marcha. Con que todo el mundo sabe lo que tiene que hacer y lo hace. Con que los resultados se miden...
Mucho más que con un hacker que explota una vulnerabilidad.
Y por eso, en estos tiempos en los que todo el mundo piensa en soluciones basadas en la nube y en externalizar, puedes comprar herramientas y ponerlas en funcionamiento. Puedes contratar a empresas, a partners que te ayuden en aquello que tú no dominas. Puedes subcontratar algunas actividades. Puedes hacer mil cosas.
Pero hay dos cosas que no puedes hacer. Una es pensar que eso de la Seguridad es sólo un problema informático. Y la otra, dejar en manos de terceros lo que realmente es importante: el enfoque estratégico y global. Creo que si alguien te intenta convencer de lo contrario, no te vende "la nube".
Te vende humo.
jueves, 21 de febrero de 2013
miércoles, 20 de febrero de 2013
Seguridad subjetiva
Hoy no tenía pensado poner nada nuevo en este blog. De hecho, llevo cosa de un mes sin hacerlo porque últimamente estoy dedicando mi poco tiempo libre a un "proyecto paralelo". Ya os daré noticias.
Pero he visto un par de noticias de aquellas que hacen pensar.
La primera es la polémica que se ha levantado en el Reino Unido por un juguete:
http://es.noticias.yahoo.com/set-playmobil-representa-atraco-banco-desata-polemica-104345591.html
Resumiendo: hay un paquete de los Clics de Playmobil para "jugar a los bancos" que, entre otras cosas, trae su atracador con pistola y todo.
Aunque nunca me gustaron los juegos de armas, por mi edad, me crié en una época en que jugábamos a policía y ladrones sin que eso supusiera un problema. Los Clics piratas, en su barco, atacaban al Castillo. Los Geyperman y Madelman realizaban acciones de comando...
Quizá aquello fuera demasiado. E inadecuado. Pero creo que estamos sobrepasando el punto a partir del que las medidas son contraproducentes.
Demasiada sobreprotección. Bruce Schneier en uno de sus artículos explicaba como la sobreprotección es mala para la seguridad. Y ponía como ejemplo los parques infantiles. En mi época, el suelo era de gravilla y si te caías te arañabas entero. Hoy son blanditos (al menos por donde yo vivo) y amortiguan los golpes. Como consecuencia, las generaciones más jóvenes, al no haberlo vivido, aprenden a desestimar el riesgo.
El riesgo ya es de por sí difícil de evaluar como para poder permitirnos el lujo de desconocerlo. Concluía Bruce Schneier señalando que esto haría que las personas jóvenes asumieran los riesgos con una naturalidad que puede terminar siendo peligrosa.
Y, si nos fijamos en las atracciones de feria, algo de razón tiene. Cada vez se piden sensaciones más extremas.
Con todo, lo que más me llamó la atención de la noticia anterior fue un enlace que encontré en ella:
http://es.noticias.yahoo.com/blogs/gaceta-trotamundos/una-ni%C3%B1a-cinco-a%C3%B1os-expulsada-por-terrorista-su-144039104.html
Expulsan del colegio por terrorista a una niña de CINCO AÑOS que había invitado a sus compañeros a dispararse unos a otros con UNA PISTOLA DE POMPAS DE JABÓN DE HELLO KITTY.
¿Gracioso? No para la familia. La niña fue expulsada y ahora tiene una mancha en su historial que hace que ningún colegio quiera admitirla.
Estamos en una época en que, bajo la bandera de la protección antiterrorista se están tomando medidas que puede que parezcan destinadas a mejorar nuestra seguridad, pero que, en muchos casos, claramente no pasan de ser meros aparatos formales, simples maniobras de distracción que no aportan ni un grano de arena a la verdadera seguridad pero (como algo había que hacer) simulan hacerlo.
Porque parten de decisiones estratégicas mal tomadas. O de decisiones que, debiendo ser tomadas con carácter estratégico, se toman con el corto plazo en mente o, peor aún, a remolque de los hechos que se van produciendo.
Y es preocupante como puede afectar eso a nuestras libertades y derechos,
Pero he visto un par de noticias de aquellas que hacen pensar.
La primera es la polémica que se ha levantado en el Reino Unido por un juguete:
http://es.noticias.yahoo.com/set-playmobil-representa-atraco-banco-desata-polemica-104345591.html
Resumiendo: hay un paquete de los Clics de Playmobil para "jugar a los bancos" que, entre otras cosas, trae su atracador con pistola y todo.
Aunque nunca me gustaron los juegos de armas, por mi edad, me crié en una época en que jugábamos a policía y ladrones sin que eso supusiera un problema. Los Clics piratas, en su barco, atacaban al Castillo. Los Geyperman y Madelman realizaban acciones de comando...
Quizá aquello fuera demasiado. E inadecuado. Pero creo que estamos sobrepasando el punto a partir del que las medidas son contraproducentes.
Demasiada sobreprotección. Bruce Schneier en uno de sus artículos explicaba como la sobreprotección es mala para la seguridad. Y ponía como ejemplo los parques infantiles. En mi época, el suelo era de gravilla y si te caías te arañabas entero. Hoy son blanditos (al menos por donde yo vivo) y amortiguan los golpes. Como consecuencia, las generaciones más jóvenes, al no haberlo vivido, aprenden a desestimar el riesgo.
El riesgo ya es de por sí difícil de evaluar como para poder permitirnos el lujo de desconocerlo. Concluía Bruce Schneier señalando que esto haría que las personas jóvenes asumieran los riesgos con una naturalidad que puede terminar siendo peligrosa.
Y, si nos fijamos en las atracciones de feria, algo de razón tiene. Cada vez se piden sensaciones más extremas.
Con todo, lo que más me llamó la atención de la noticia anterior fue un enlace que encontré en ella:
http://es.noticias.yahoo.com/blogs/gaceta-trotamundos/una-ni%C3%B1a-cinco-a%C3%B1os-expulsada-por-terrorista-su-144039104.html
Expulsan del colegio por terrorista a una niña de CINCO AÑOS que había invitado a sus compañeros a dispararse unos a otros con UNA PISTOLA DE POMPAS DE JABÓN DE HELLO KITTY.
¿Gracioso? No para la familia. La niña fue expulsada y ahora tiene una mancha en su historial que hace que ningún colegio quiera admitirla.
Estamos en una época en que, bajo la bandera de la protección antiterrorista se están tomando medidas que puede que parezcan destinadas a mejorar nuestra seguridad, pero que, en muchos casos, claramente no pasan de ser meros aparatos formales, simples maniobras de distracción que no aportan ni un grano de arena a la verdadera seguridad pero (como algo había que hacer) simulan hacerlo.
Porque parten de decisiones estratégicas mal tomadas. O de decisiones que, debiendo ser tomadas con carácter estratégico, se toman con el corto plazo en mente o, peor aún, a remolque de los hechos que se van produciendo.
Y es preocupante como puede afectar eso a nuestras libertades y derechos,
viernes, 1 de febrero de 2013
Cómo no se deben hacer las cosas (2): Jugando al escondite con un webmaster
Este es el segundo de una serie de posts. En el primero se mostró como una página había caído víctima de unos ciberdelincuentes que la habían utilizado para promocionar una web que decía vender programas.
Vale. ¿Y qué? Que una web sea modificada de forma autorizada no es nada nuevo. Ni siquiera los expertos en seguridad están libres de este riesgo. O incluso lo están menos que otros porque son un objetivo llamativo. No es de extrañar que gente tan reconocida en este mundillo como John Strand, de Paul Dot Com, pidan disculpas por adelantado, por si acaso y para cuando ocurra... lo que parece inevitable.
Ni tampoco son nuevas las técnicas de promoción de sitios web en buscadores utilizando técnicas ilegítimas o ilegales. Por darme autobombo, ya hace tiempo que mi amigo Chema Alonso y yo escribimos al respecto en Técnicas SEO para gente de moral relajada, o que hablé sobre el tema en una charla o que le dediqué un capítulo de un libro sobre buscadores. Y en su momento hice una herramienta para detectar precisamente este tipo de comportamientos y la íbamos a presentar en la Open Source World Conference de 2010 en Málaga.
Sí, esa que al final no llegó a celebrarse por falta de dinero.
Bueno, vamos a ir dejándonos de "anuncios". Entonces... ¿A qué repetirme otra vez aquí?
En esto, como en tantas otras situaciones, lo malo no es tanto que te la peguen como no darte cuenta. O no querer darte cuenta. O no hacer lo posible por darte cuenta. O... Sigamos con la historia...
En casos como éste, en que el problema es notorio y está registrado en Google, entiendo que lo más apropiado es tratar de contactar con el webmaster y contarle lo que uno ha visto. En casos como éste, digo, porque hay otros en los que lo más seguro para uno es callarse o comunicar la noticia a través de intermediarios. Que no se quieren para nada los problemas legales.
Así que me fui a la página de "contacta con nosotros":
Perfecto. Una dirección postal, por si quiero enviarles una carta, y una lista de distribución. ¿Acaso debería pegarle un sello a un sobre y esperarme a que llegue mi misiva? ¿o es preferible mandar la información a la lista y que todo bicho viviente que esté registrado en ella lo sepa?
Pues, esto último... ni aunque creyera yo que es lo correcto. Porque el enlace no furula:
Fallo número 1. Si tienes un sitio web, ten siempre una forma de contacto ágil para que te puedan contar estas cosas y no te conviertas así en el último en enterarte. Como aquel al que...
Para tener la conciencia tranquila, mandé el correo al webmaster de www.mit.edu. Algo tendrá que ver con este dominio, espero. Después pensé "seguro que en algún sitio hay otro dato de contacto" y navegué un poco por la web. Y me fui dando cuenta de lo poco actualizada que estaba
Desde finales del 2011 no había nada nuevo. Ummmmm....
Fallo número 2. Si no necesitas ya un sitio web, no lo mantengas operativo.
Cada cosa que pones aumenta tu superficie de exposición, haciéndote más vulnerable y complicándote la vida un poco más. Por no hablar de los costes que pudiera suponer.
Aunque, a lo mejor, sí que lo necesitan. Quizá sea un repositorio de documentación interesante. Como no veía nada por fuera que me fuera determinante, decidí echar un vistazo al código fuente y...
¡Jommla 1.5! ¡Pero si eso ya va por la versión 2.5.8 (recomendada por los de Joomla para uso general) y 3.0.2 (para los valientes)?
Fallo número 3. Si tienes un sitio porque lo necesitas, mantenlo actualizado.
Vamos a ver: no se trata de que las versiones más modernas no tengan vulnerabilidades. Donde radica la verdadera diferencia entre la úlima versión y las versiones antiguas es en que las vulnerabilidades de éstas últimas son muy, pero que muy, conocidas. Y hasta en las webs de numismática se las encuentra uno a veces explicadas.
Teníamos una página web que se comportaba de tres formas diferentes. De forma similar, los tres fallos que hemos encontrado se pueden resumir en uno: no pongas en marcha nada que no seas capaz de mantener en el futuro y gestiónalo de forma integral y responsable.
O, lo que es lo mismo, no caigas en la "trampa del elemento facilitador". No instales nada simplemente porque puedes hacerlo y es gratis. Primero porque, al final, nada es gratis. Y después porque si no estás en condiciones de poner encima de la mesa los medios económicos, organizativos, técnicos y de cualquier otro tipo... al final algo saldrá mal.
Y, cuando pase, mejor será que te enteres pronto y le pongas solución.
Resumiendo y utilizando las expresiones de otros: "no instales sistemas por encima de tus posibilidades".
A estas alturas, me hago una idea sobre cómo consiguieron hacerle la fechoría a la página. Quizá algún día tenga ocasión de contarlo.
Quizá. Así que... (continuará)
Vale. ¿Y qué? Que una web sea modificada de forma autorizada no es nada nuevo. Ni siquiera los expertos en seguridad están libres de este riesgo. O incluso lo están menos que otros porque son un objetivo llamativo. No es de extrañar que gente tan reconocida en este mundillo como John Strand, de Paul Dot Com, pidan disculpas por adelantado, por si acaso y para cuando ocurra... lo que parece inevitable.
Ni tampoco son nuevas las técnicas de promoción de sitios web en buscadores utilizando técnicas ilegítimas o ilegales. Por darme autobombo, ya hace tiempo que mi amigo Chema Alonso y yo escribimos al respecto en Técnicas SEO para gente de moral relajada, o que hablé sobre el tema en una charla o que le dediqué un capítulo de un libro sobre buscadores. Y en su momento hice una herramienta para detectar precisamente este tipo de comportamientos y la íbamos a presentar en la Open Source World Conference de 2010 en Málaga.
Sí, esa que al final no llegó a celebrarse por falta de dinero.
Bueno, vamos a ir dejándonos de "anuncios". Entonces... ¿A qué repetirme otra vez aquí?
En esto, como en tantas otras situaciones, lo malo no es tanto que te la peguen como no darte cuenta. O no querer darte cuenta. O no hacer lo posible por darte cuenta. O... Sigamos con la historia...
En casos como éste, en que el problema es notorio y está registrado en Google, entiendo que lo más apropiado es tratar de contactar con el webmaster y contarle lo que uno ha visto. En casos como éste, digo, porque hay otros en los que lo más seguro para uno es callarse o comunicar la noticia a través de intermediarios. Que no se quieren para nada los problemas legales.
Así que me fui a la página de "contacta con nosotros":
Perfecto. Una dirección postal, por si quiero enviarles una carta, y una lista de distribución. ¿Acaso debería pegarle un sello a un sobre y esperarme a que llegue mi misiva? ¿o es preferible mandar la información a la lista y que todo bicho viviente que esté registrado en ella lo sepa?
Pues, esto último... ni aunque creyera yo que es lo correcto. Porque el enlace no furula:
Fallo número 1. Si tienes un sitio web, ten siempre una forma de contacto ágil para que te puedan contar estas cosas y no te conviertas así en el último en enterarte. Como aquel al que...
Para tener la conciencia tranquila, mandé el correo al webmaster de www.mit.edu. Algo tendrá que ver con este dominio, espero. Después pensé "seguro que en algún sitio hay otro dato de contacto" y navegué un poco por la web. Y me fui dando cuenta de lo poco actualizada que estaba
Desde finales del 2011 no había nada nuevo. Ummmmm....
Fallo número 2. Si no necesitas ya un sitio web, no lo mantengas operativo.
Cada cosa que pones aumenta tu superficie de exposición, haciéndote más vulnerable y complicándote la vida un poco más. Por no hablar de los costes que pudiera suponer.
Aunque, a lo mejor, sí que lo necesitan. Quizá sea un repositorio de documentación interesante. Como no veía nada por fuera que me fuera determinante, decidí echar un vistazo al código fuente y...
¡Jommla 1.5! ¡Pero si eso ya va por la versión 2.5.8 (recomendada por los de Joomla para uso general) y 3.0.2 (para los valientes)?
Fallo número 3. Si tienes un sitio porque lo necesitas, mantenlo actualizado.
Vamos a ver: no se trata de que las versiones más modernas no tengan vulnerabilidades. Donde radica la verdadera diferencia entre la úlima versión y las versiones antiguas es en que las vulnerabilidades de éstas últimas son muy, pero que muy, conocidas. Y hasta en las webs de numismática se las encuentra uno a veces explicadas.
Teníamos una página web que se comportaba de tres formas diferentes. De forma similar, los tres fallos que hemos encontrado se pueden resumir en uno: no pongas en marcha nada que no seas capaz de mantener en el futuro y gestiónalo de forma integral y responsable.
O, lo que es lo mismo, no caigas en la "trampa del elemento facilitador". No instales nada simplemente porque puedes hacerlo y es gratis. Primero porque, al final, nada es gratis. Y después porque si no estás en condiciones de poner encima de la mesa los medios económicos, organizativos, técnicos y de cualquier otro tipo... al final algo saldrá mal.
Y, cuando pase, mejor será que te enteres pronto y le pongas solución.
Resumiendo y utilizando las expresiones de otros: "no instales sistemas por encima de tus posibilidades".
A estas alturas, me hago una idea sobre cómo consiguieron hacerle la fechoría a la página. Quizá algún día tenga ocasión de contarlo.
Quizá. Así que... (continuará)
Suscribirse a:
Entradas (Atom)