InfoSecMan Blog

Leyendo los artículos publicados en el evento HAISA: Human Aspects of Information Security and Assurance, al que debería haber asistido pero que unos problemas de salud importantes a última hora no me permitió ir, he encontrado uno bastante intresante de H. Mauwa y R. Von Solms. en el que ofrecen una aproximación alternativa a la clásica hacia el “conocimiento de la seguridad”, en inglés security awareness.

Comentan los autores, que todos los estándares y códigos de buenas prácticas recomiendan esta acción basándose en las políticas de seguridad y procedimientos existentes en la organización y que por tanto, deben desarrollar las mismas. Pero existe un importante problema a la hora de llevar a cabo esta difusión del conocimiento de la seguridad en muchas organizaciones, especialmente en pequeñas y medianas empresas, y es que un número importante de estas compañías aún no tienen ni tan siquiera una política de seguridad sobre la que desarrollar este programa de concienciación o formación. De hecho se ha comprobado que por ejemplo, sólo 1/3 de las organizaciones en el Reino Unido tienen definida una política de seguridad.

¿Quiere esto decir, por tanto, que no pueden iniciar un programa de concienciación o formación en seguridad? En absoluto. Los autores recomiendan iniciar una aproximación alternativa (y complementaria) a la tradicional basada en la existencia de políticas y procedimientos, y formar y concienciar a los usuarios y empleados paralelamente al desarrollo de estas políticas, que habitualmente son distintas y locales para cada compañía, centrándose en puntos comunes de “concienciación” o “formación” que pueden ser llevados a cabo incluso sin una política inicial existente, como podrían ser, entre otros, los siguientes:

– Copias de seguridad y almacenamiento

– Ingeniería Social

– Seguridad de los trabajadores remotos, móviles o teletrabajadores

– Seguridad en las palabras clave (passwords)

– Seguridad en el correo electrónico

– Seguridad física y del entorno

– “Ética informática”

– Privacidad y Confidencialidad

– etc….

El artículo se titula “Information Security Awareness: Towards a Generic Programme” y puede obtenerse a través de los resultados del simposio HAISA 2007 que podéis solicitar (previo pago) aquí.

Cuando tenga tiempo iré comentando aquí algún otro artículo interesante de este simposio.

Como casi todos sabéis, vivo (o procuro vivir) en Gijón, lo que tiene como parte positiva la excelente calidad de vida que podemos disfrutar los que vivimos en esta preciosa ciudad cuando estamos en ella, y como negativa, lo mucho que tenemos que viajar aquellos que tenemos reuniones, clientes, proyectos, etc. fuera de la provincia (en mi caso el 99% de mi trabajo se desarrolla fuera).

Esto hace que tenga numerosas anécdotas y una gran experiencia en vuelos, compañías aéreas, hoteles, etc.

Pues bien, hasta el día de ayer, que estaba en Terrassa, venía observando una vulnerabilidad obvia a la hora de identificarse en un hotel. Y es que obtener una “llave” (en realidad una tarjeta magnética de acceso) en la mayoría de los hoteles para cualquier habitación es “trivial”, basta con bajar una tarjeta semejante a recepción y decir que no abre, probablemente porque “la llevaba junto al móvil” o argumentar que nos la hemos dejado dentro y si nos pueden dar otra, o incluso pedir un duplicado para nuesta esposa.

Habitualmente no realizan ninguna comprobación, limitándose a pedir el número de habitación o en el mejor de los casos el nombre. Estos datos, mediante técnicas de ingeniería social son muy fáciles de conseguir. En el hotel en el que habitualmente me hospedo en Madrid, incluso siendo un buen hotel, con un excelente servicio y de muy buena calidad, siguen manteniendo esta vulnerabilidad (suelo probar periódicamente su “explotación” por mera curiosidad… y porque en mi maletín hay un imán que suele borrar este tipo de tarjetas 😉 ).

Cuál fue mi sorpresa cuando ayer en el hotel de Terrassa, al probar esto, la amable señorita de recepción pidió mi nombre y DNI, y procedió a “autenticarlo” contra sus ficheros procedentes de la agencia de viajes. En efecto, algo tan sencillo y rápido como esto, pero que nadie hace… probablemente porque nadie les ha dicho que lo hagan.

Hay otros puntos muy interesantes sobre la seguridad en los hoteles como pueden ser  la “confraternización” con los empleados (especialmente los de seguridad), o temas tales como la seguridad de las “televisiones de hoteles” (habitualmente tienen un puerto de consola en su parte trasera), la seguridad de sus cajas fuertes, o la explotación de “debilidades sociales” en los lobbies de los hoteles o sus cafeterías en las horas vespertinas. Un buen ingeniero social (o cualquiera con ciertas dotes de relaciones interpersonales) puede obtener mucha información de los huéspedes en esos momentos “de soledad” y en los que cualquier otro huesped que manifieste cierta cordialidad, con  alguna que otra “argucia” puede convertirse en un confesor atento que escuche todo lo que su interlocutor pueda contarle (que habitualmente suele ser bastante, … sobre todo si se acompaña con ciertas dosis de alcohol…) 😉

¿Qué experiencias tenéis en este sentido? … y en otro orden de cosas, ¿para qué quieren una fotocopia del DNI en algunos hoteles?… ¿sois conscientes que podrían suplantar vuestra identidad fácilmente con esta acción? …. buff… dejémoslo ahí, al menos por hoy.

Comentaba mi amigo Victorino Martín hace unos meses en una comida lo poco agradecida que es esta profesión del responsable de seguridad, en la que muchos de nuestros compañeros nos toman siempre como “el enemigo”.

Sin entrar ya en la imagen que tienen de nosotros casi siempre los usuarios (esos que siempre están cortando cosas, los “fisgones”, los “auditores”). Yo he oído cosas como “que viene la policía” al acercarme a algún compañero, de broma, sí, afortunadamente. O en la imagen de nuestros compañeros de sistemas y comunicaciones: los de seguridad “siempre poniendo problemas a todo”, “para qué cerrar tanto”, “pero cómo vamos a separar esos servicios”… y tantas otras cosas más. Y nosotros, siempre “molestando”.

A lo que iba, decía Victornio una gran verdad y es que en esta profesión nuestras siempre llevamos la de perder.

En relación con los incidentes de seguridad, amenazas, vulnerabilidades, etc.:

– Si decimos que va a ocurrir algo y finalmente no ocurre, somos unos alarmistas y derrochamos el presupuesto en poner “cortafuegos” cuando nunca hay realmente ningún fuego, ni mucho menos pirómano… (o eso creen). Conclusión: hacemos mal nuestro trabajo.

– Si ocurre algo y no hemos dicho o advertido que iba a ocurrir (algunas veces porque no nos dejan o no quieren oirnos), somos unos incompetentes porque no ponemos los medios adecuados para evitar esos fuegos, con la cantidad de pirómanos que hay por ahí… Conclusión: hacemos mal nuestro trabajo.

– Si no ocurre nada y no hemos dicho nada al respecto, entonces la duda es “a qué nos estamos dedicando”, a ver qué vamos a estar haciendo que no damos golpe, porque nuestra labor aunque no ocurra nada, sería predecirlo o advertirlo por si acaso. Conclusión: hacemos mal nuestro trabajo.

– Si ocurre algo y ya lo habíamos dicho o advertido, entonces no tenemos capacidades de convicción o comunicación. Al fin y al cabo es nuestro trabajo el advertirlo, y deberíamos haber puesto todos los medios para convencer y concienciar a quien correspondiese para que no ocurriese (…habrá que empezar a pensar a utilizar pistola y encañonar a algún que otro directivo para convencerlo)… Conclusión: hacemos mal nuestro trabajo.

Y es que amigos, esta profesión aunque es bonita (a algunos nos gusta) no es muy gratificante, al menos en esos términos. Creo que está claro: pase lo que pase, estamos fastidiados (en realidad, quería escribir jodidos… con perdón, pero ha dado vergüenza 😉 ).

Por cierto, cuando tenéis que explicar a alguien como vuestra tía, suegra o amigo a qué os dedicáis, ¿qué decís? … creo que mis padres aún no saben a qué me dedico… el otro día mi madre me dijo sino me gustaría trabajar mejor en una sucursal bancaria, que viajaría menos… glups! (próximo capítulo en lugar de user awareness, family awareness 😉 )

Así podría llamarse a las barreras que el gobierno chino tiene implantadas para “proteger” a sus ciudadanos de contenidos “no adecuados” según ellos. Pero detrás de toda barrera siempre hay alguien intentando revasarla.

Lisa Vaas escribe un artículo muy interesante en eWeek sobre la tecnología utilizada por China para realizar ese control de contenidos, o como lo llaman ellos el Gran Firewall de China (GFC, Great Firewall of China).

Según parece (hay grupos estudiando su comportamiento) no son firewalls ni proxies lo que están utilizando para ello, sino routers que inspeccionan el tráfico y en base a un diccionario de términos prohibidos dejan de cursar ese tráfrico prohibido.

Estos grupos (entre los que está el de la Universidad de Nuevo Mexico) han descubierto que el GFC no bloquea cualquier término prohibido que aparece sino que únicamente se hace en determinados puntos y según parece están utilizando lo que análogamente sería un “panopticon”, un tipo de prisión cuyo diseño permite a su vigilante observar a todos los priosioneros sin que éstos puedan saber si están siendo observados o no, lo que en la práctica hace que los prisioneros (o usuarios en este casos) se comporten siempre como si lo estuviesen siendo… (aunque pueda no ser así).

Como detalle técnico el GFC cuando encuentra una comunicación “no permitida”, hace un RESET de la misma, lo que permite a los investigadores que están estudiando su funcionamiento, identificar qué términos están prohibidos. Esto permitiría (y en esa línea están investigando) utilizar las técnicas que están utilizando los spammers para saltarse esas barreras y poder hacer llegar a esos usuarios presas de la censura los contenidos deseados (por ejemplo introduciendo espacios en los términos “prohibidos”, etc.).

El artículo es mucho más completo y entra en más detalle, comentando por ejemplo que en UK y Canadá también se realiza filtrado de contenido para términos de pornografía infantil, en Alemania para términos Nazis o que en Iran se utiliza el control de contenidos mediante proxies web, por ejemplo. Os recomiendo su lectura. Muy interesante.

Podéis acceder al mismo aquí.

Tras la buena acogida de IS2ME por parte del mercado desde su lanzamiento, sus autores (Ignacio Paredes y yo mismo) hemos decidido publicar la versión en inglés de la metodología.

Desde ayer por la tarde puede descargarse gratuitamente desde la web oficial: www.is2me.org. Con esta acción pretendemos ampliar el alcance geográfico de la metodología y ofrecer la posibilidad de acercar la seguridad de la información a las medianas y pequeñas empresas, mediante un método sencillo, comprensible, práctico y eficaz.

Continuando con la labor de difusión internacional, en breve aparecerá publicado un resumen de IS2ME en una revista sobre seguridad de la información con amplia cobertura internacional, de cuyo hecho informaré por este medio.

Según parece la policía de Mumbai está solicitando que en los 500 cibercafés de la ciudad se instalen keyloggers que capturen cada tecla pulsada por sus usuarios y envíen esa información al gobierno (casi en tiempo real).

Muy muy preocupante… Dicen algunos que no sería de extrañar que exista de inmediato un mercado negro donde se compre a funcionarios/policías corruptos información como números de tarjetas de crédito u otro tipo de información que consigan “recaudar”.

El Instituo Australiano de Criminología (organismo del Gobierno Australiano) acaba de publicar un informe muy interesante sobre el futuro del cibercrimen (“Future directions in technology-enable crime: 2007-09”) en el que realiza un análisis bastante completo y real de los distintos riesgos y avances tecnológicos que se están dando y parece que se van a dar y cómo estos influirán en la aparición y modificación de los métodos utilizados por “los chicos malos” para realizar sus fechorías.

El documento, como os comento es muy completo (y tiene 166 páginas), pero para aquellos que andáis liados de tiempo al menos no deberías de dejar de echar un vistazo al resumen ejecutivo, muy interesante bajo mi punto de vista.

Dentro del informe se realiza una introducción del “crimen tecnológico”, sus motivaciones, riesgos, etc. para después explicar qué desarrollos en las tecnologías de la información podrían facilitar este tipo de crimen, las áreas de riesgo y oportunidades y qué implicaciones legales pueden tener (entrando en temas legislativos, evidencias electrónicas, defensas criminales, etc.). Finalmente concluye proponiendo algunas estrategias de defensa y acciones que deberían llevarse a cabo para prevenirlo.

Como os digo, muy completo e interesante. Os lo recomiendo.

Podéis obtener el documento completo aquí.

Vengo asistiendo recientemente a la carrera que distintos organismos y entidades certificadoras de “profesionales de la seguridad” están siguiendo hacia su certificación ANSI. Sellito ampliamente perseguido por todos y que se supone que es un aval de calidad y “seriedad” de dicha certificación (además un punto necesario para ofrecer estas certificaciones al mercado estadounidense).

Quien más quien menos está avanzando en ese sentido asegurando que sus certificaciones son independientes, que deben ser renovadas, que tienen unos procesos y procedimientos que las gestionan, que los contenidos son los adecuados, etc.

Entre certificaciones que me consta han pasado y están pasando por ello podemos mencionar las más famosas CISSP de (ISC)2, CEH de EC-Council, CISA/CISM de ISACA o toda la familia de GIAC (SANS Institute).

Todo esto nos afecta a sus “usuarios”, profesionales de la seguridad, de forma que los exámenes cambian, sus procedimientos también, el modo de mantener las certificaciones se complica, etc. … todo ello se supone que en busca de una mayor calidad de las mismas.

La realidad es bien distinta. Si miramos el escenario desde el exterior, veremos que el “mundo de las certificaciones” no deja de ser un mercado en sí mismo, con unos consumidores bien diferenciados y que, aún sin contar con datos explícitos, intuyo que mueve muchísimo dinero (buena prueba de ello es que hay organizaciones que vivien exclusivamente de ello). Por tanto, el “sellito de ANSI” no deja de ser motivado por un origen puramente comercial y de marketing, en lugar de por su calidad (si fuese así, estos organismos ya lo habrían hecho mucho antes).

Una vez más ocurre en nuestro campo lo mismo que en el de nuestros clientes. En lugar de buscar la calidad o seguridad en una certificación, buscan el “sellito” que les permita vender más cursos, más exámenes, más renovaciones, más libros, etc.

Y a mí todo esto (junto a algún otro detalle que me ha ocurrido recientemente con uno de esos organismos), como “usuario” y “consumidor” de este tipo de mercado, me viene a hacer pensar si realmente son necesarias o aportan algo… ya no al curriculum de cada uno (que quedan muy bonitas), sino realmente a las organizaciones, a mi compañía por ejemplo, y me refiero a algo más allá de una herramienta de marketing.

Seguro que todos conocemos, al menos yo sí, a profesionales certificados con certificaciones de prestigio como CISSP, CISA, CISM, CCIE, etc. que realmente no tienen ni “pajolera idea” (con perdón) de los conocimientos que supuestamente estas certificaciones deben aportarles.

En mi opinión (y lo dice alguien que tiene unas cuantas) estas certificaciones son un mero trámite y una “chapita” de marketing que todos utilizamos, primero ante nuestra organización, y después nuestra organización ante sus clientes.

Como diría el personaje televisivo: “patético”, pero es así… y mientras tanto, algunos a emplear recursos, tiempo personal y profesional, dinero y esfuerzo en seguir manteniendo todas las “chapitas”… y digo yo, si no quieren decir nada realmente, ¿no sería mejor que las vendiesen?

¿Cambiará algo con su certificación ANSI?… no sé no sé… a mí me dan ganas de dejar de certificarme en todo, sinceramente… pero claro, ante mis clientes y mis “contratantes”, ¿en qué posición quedaría?… porque aquello de “si quiere, se lo demuestro” no queda demasiado bien… no vaya a ser que comencemos a decir “de lo chulo que soy, me dan mareos”…

Ahle, voy a seguir estudiando para la siguiente… si es que…. 🙁

Ese puede ser el resumen de agosto, al menos en lo que al área de seguridad se refiere.

Por diversas causas he estado totalmente desconectado de la tecnología en general, y de las noticias y los temas de seguridad en particular, durante el último mes y a mi regreso (apenas hace unos días) me he sorprendido (en realidad no tanto, ya que me esperaba algo así) el descubrir que “no ha ocurrido nada”.

En realidad debería decir que ha ocurrido lo de siempre. Me encuentro con las mismas noticias: muchísimas vulnerabilidades de distintos productos y aplicaciones, ataques a compañías importantes, fuga de datos confidenciales de organismos, empresas, autoridades, anuncios de conferencias y eventos … y poco más.

Pensaba que el regreso sería más traumático, pero parece que se puede “desaparecer” un tiempo prudencial y regresar sin que se “mueva la foto”. Pensando en mi lector de noticias por RSS, tranquilamente podría copiar y pegar todas las noticias del mes de junio, pegarlas en septiembre e intuyo que no serían muy diferentes.

Esto a mí me hace pensar. Ya lo he comentado otras veces pero, ¿no nos estamos estancando? Insisto, no hay grandes novedades (al menos visibles) en el sector y esto, bajo mi punto de vista, comienza a ser preocupante…

Hace falta que mentes inquietas dinamicen el área de la seguridad. No todo está “inventado”. Me niego a pensar eso. Pensemos, pensemos, pensemos… si el día a día nos lo permite 😉

Por cierto, buen regreso de vacaciones!

Y con ellas el merecido descanso y el “cambio de hábitos” en lo posible.

Estaré de viaje las próximas semanas bastante desconectado de las tareas habituales por lo que este espacio estará probablemente desactualizado durante el mes de agosto. Si durante ese tiempo  descubro algo interesante de ser contado (sobre seguridad de la información 😉 ) lo incluiré por aquí, en otro caso…  nos vemos en Septiembre!

¡Pasad un buen verano!