InfoSecMan Blog

Muchas veces me encuentro delante de un cliente que ha solicitado un determinado servicio y que ha recibido varias ofertas de distintos proveedores (siendo mi empresa uno de los ofertantes). Algunas veces la competencia es leal y profesional y la oscilación en las valoraciones económicas de unos y otros es poca y suelen estar en la misma magnitud. Sin embargo en algunas ocasiones surge una compañía que aparentemente ofrece exactamente lo mismo (el texto de su oferta, la planificación y otros temas son muy similares al resto) pero su oferta económica es considerablemente más baja (aún recuerdo un caso en que nuestra oferta y la del resto de participantes era un 2000% más cara que la de otro de los ofertantes).

Ante semejante situación hay clientes que no entienden por qué “el resto” le queremos cobrar mucho más por algo que otros hacen por muchísimo menos. Esto, cuando estamos hablando de servicios de seguridad cuyo resultado, en muchos casos, puede traer asociado responsabilidades legales puede hacer que un “cliente irresponsable” cave su propia tumba.

Security Monkey ha escrito un artículo muy interesante: “The Good, The Bad, And The Risk Assessment”, en el que explica una situación de este tipo que ejemplifica el por qué uno debe seleccionar adecuadamente los profesionales y proveedores con los que debe trabajar. Insisto, no os perdáis los comentarios (especialmente el primero), también muy “entretenidos”.

Yo, como comprenderéis, no puedo contar mis “batallitas” aquí porque estaría violando cualquier tipo de ética profesional y acuerdos de confidencialidad, pero, supongo que como todos, he visto cosas realmente …. ¿interesantes? ¿divertidas? ¿curiosas? 😉

Siempre que se intenta visualizar posibles “atacantes” de nuestro negocio, la imagen que habitualmente se presenta es de un técnico, joven, con ganas de fama (o de dinero, o de ambas cosas) o a alguien perteneciente a alguna mafia organizada (esto suele ser lo más común últimamente).

Pues no amigos, no. Los defraudadores suelen pertenecer a la alta dirección, ser hombres de más de 36 años, trabajan en finanzas en la misma compañía y suelen trabajar solos. Esas son algunas de las conclusiones que se desprenden de un estudio realizado por KPMG sobre el perfil de los defraudadores. Otras también interesantes es que suelen conseguir realizar el fraude gracias a la existencia de controles internos muy débiles (o ausencia de los mismos) o mediante el abuso de esos controles.

Hoy no me voy a repetir en lo que siempre digo (así que ya os lo podéis imaginar). La solución no es sólo tecnológica…. y bla bla bla…

Os recomiendo su lectura. Muy interesante (y sorprendente para algunos). Artículo completo aquí.

…. es curioso, pero el perfil (salvo por algun pequeño detalle) me identifica como un posible defraudador… 😉

Como todos sabréis, una de las características de la mayoría de sistemas en sus comunicaciones TCP/IP es la generación aleatoria del número de secuencia de paquete en las conexiones.

No voy a extenderme aquí en explicar cuál es la razón ni el método para realizar esto, simplemente indicaré para los neófitos (por favor, disculpadme los expertos por ser tan generalista) que si un equipo envía un paquete con un número de secuencia X y el siguiente lo envía con un número X+1 y el siguiente con un número X+2, un atacante podría “adivinar” cuál sería el siguiente número de secuencia, interceptar la conexión y hacerse pasar por el equipo origen. De ahí, que los sistemas operativos incorporen esa característica y generen “aleatoriamente” ese número de secuencia.

Pues bien, esa “aleatoriedad” no lo es tanto si echamos un vistazo a la representación gráfica del conjunto de valores posibles del número de secuencia en distintos sistemas operativos, y es que uno de los mayores problemas en criptografía (y en seguridad) es aseguridad la pura aleatoriedad en la generación de números.

BindView tiene publicado un artículo muy interesante sobre este tema, incluyendo una multitud de representaciones gráficas de las “supuestas aleatoriedades” de la generación de números de secuencia en distintos sistemas operativos.

Lectura muy recomendada e interesante. Artículo completo aquí.

Como ejemplo a continuación podéis ver la distribución para el sistema operativo Cisco IOS 12 (sin parchear)… ¿aleatorio? 😉

Interesante reflexión de Joseba Enjuto sobre la necesidad de formación en los usuarios y la autoridad moral de la dirección cuando, según algunas encuestas, es ésta la que comete la mayoría de los fraudes… Echadle un vistazo.

No os perdáis uno de los últimos comentarios de Bruce Schneier con más ejemplos sobre Ingeniería Social. Volvemos siempre sobre lo mismo, pero cada vez tenemos más ejemplos que se hacen públicos.

En este caso, hace referencia al desafío llevado a cabo por varias personas en la Super Bowl, como bien dicen, con la única ayuda de un traje, un headset bluetooth, un bloc de notas y claro, además ser blanco ayuda.

En el artículo incluye varios enlaces con ejemplos variados que incluyen un vídeo de cómo lograron introducir varias cajas (81 nada menos) de “dispositivos” saltándose todos los controles de seguridad y medidas implantadas en el evento (clasificado con el mismo nivel de seguridad en Estados Unidos  que los encuentros con el presidente de la nación).

¡Impresionante!

Estoy terminando de leer “The Art of Intrusion” de Mitnick en el que uno de los capítulos está dedicado a un ejemplo llevado a cabo en un casino de Las Vegas, aunque si realmente estáis interesados en este tema, os recomiendo su otro libro, “The Art of Deception”, para mí mucho más entretenido y dedicado por completo a la ingeniería social con multitud de ejemplos, análisis de ataques, contramedidas …

¿Conocéis algún otro libro interesante? Proponedlo aquí y me comprometo a hacer un resumen de libros y recursos sobre este tema.

Era de esperar. Tras un evento con tanta repercusión, ya han sacado una nueva versión de phising aprovechándose del mismo. El mensaje intenta que el usuario acceda a una web en Brasil con un vídeo de la tragedia. Cuando pincha, se baja un salvapantallas que en realidad es un troyano que se dedica a recolectar usuarios, contraseñas e información bancaria. Penoso…

Artículo completo en Dark Reading.

Este artículo ahonda y aporta algunos datos estadísticos (basados en un estudio en Estados Unidos, quizás no muy representativo de España o del mundo latino), sobre la difusión de información personal en Internet por parte de los adolescentes que ya había comentado hace unas semanas en el post “Juventud, divino tesoro o la edad de la inocencia”.

Cada día se avanzamos más en nuestra sociedad, incorporando más tecnología a nuestra vida diaria. Ahora parece que llegan nuevas etiquetas de precio electrónicas.

Sí. Cuando vayas al supermercado, en lugar de ver los papelitos con el precio (que hasta donde sé vinculan a su vendedor a venderlo al precio que marca, aunque hayan cometido un error, por ejemplo tipográfico), comenzaremos a ver etiquetas electrónicas como la de la foto (cortesía de Tecnorantes)

Pues bien… ¿habrán incorporado buenas medidas de seguridad para su modificación o como es habitual, habrá primado la facilidad y rapidez en su uso? Y si alguna mente perversa con ciertas habilidades técnicas accediese inadvertidamente a la etiqueta de una televisión plana de 42″, por ejemplo y modificase su precio de 3.000 a 300€, ¿debería el vendedor proporcionársela al precio oficial (eventualmente modificado) con que la tienen marcada? … estoy casi seguro que SI.

Sé que la situación es similar a que modificásemos la etiqueta de papel actual, pero la diferencia es que en este caso será más difícil de probar su modificación (y que esta además haya sido realizada por el comprador, podría haber sido realizada por otro gancho)….

En fin, la conclusión, o más bien la pregunta es: ¿Incorporan los integradores de nuevas soluciones tecnológicas la seguridad como un requisito fundamente desde las primeras fases de diseño de una solución?…

Interesante también el comentario de JuanLuis en Tecnorantes sobre la posibilidad de precios dinámicos y algún otro comentario al respecto.

No os cuento nada nuevo si os digo que en Seguridad, como en tantas otras cosas, se sigue la moda. Y no me refiero sólo a la forma de vestir, sino a las tendencias “tecnológicas”. Cada fabricante y cada gurú, intenta innovar, aproximarse a los problemas de forma distinta, mejorar y avanzar. A veces surgen auténticas “perogrulladas”, otras más de lo mismo, y otras cosas muy sencillas que todos decimos “cómo no se nos habrá ocurrido”.

Se me viene ahora a la cabeza una iniciativa o corriente de pensamiento de la que no he vuelto a hablar desde hace años. Sun Microsystems, allá por el … ¿2001 o 2002? publicó y de hecho yo asistí a un par de presentaciones describiendo su nuevo modelo de seguridad “distribuída”. Los Firewalls centrales desaparecían y se desplazaban hacia los servidores y equipos de usuarios, existiendo una consola central que lo gestionaba. Algo así como que cada PC y cada servidor tendría su propio firewall incrustado en su pila TCP/IP y que sería gestionado centralmente por una consola que unificaría la seguridad de toda la organización en un solo punto (siendo los otros “enforce points”). Me disculpará la gente de Sun, puesto que probablemente no sea exactamente así, pero ahora es de lo que me acuerdo.

Pues bien, ahora surge una nueva moda, los dispositivos UTM (Unified Threat Management). Dispositivos que “hacen de todo” a excepción de café. En un único dispositivo contamos con firewall, IPS, terminador de túneles IPSEC y SSL, antivirus, control de contenidos…. y en general todos los servicios de seguridad perimetral que una organización puede necesitar.

Lo cierto es que es algo lógico y que parece que empieza a cuajar. Hay fabricantes que ofrecen buenas soluciones en ese sentido y mi opinión es que este tipo de dispositivos tiene un mercado interesante al que llegar: las PYMES, empresas de hasta 500 o 1000 empleados, dependiente de su tipología, que tienen unas necesidades limitadas de funcionalidades avanzadas (como por ejemplo VPNs, control de contenidos, etc.) y que tienen que tener muy bien cubierta su seguridad perimetral (Firewall, IPS), que necesitan productos que requieran poca operación y sean fáciles de mantener y configurar (es habitual la escasez de recursos humanos para este tema).

En ese campo, me parecen una solución muy interesante y los recomendaría. Por el momento, para escenarios más grandes, creo que siguen justificándose funcionalidades separadas en dispositivos separados, no sólo por rendimiento sino por cumplimiento de requisitos avanzados…  ¿qué opináis?

Richard Bejtlich comenta en su Blog un excelente artículo de la revista Information Security: “Boxed In” donde hacen referencia a la llegada de estos dispositivos al mercado y cómo serán (y están siendo ya) un gran éxito. En el comentario incluye un par de gráficos y un cuadro comparativo de fabricantes que me parece muy interesante.

Estoy esta semana en Barcelona en un evento de seguridad en el que el formador viene de Washington y los alumnos, además de Españoles (Madrid, Barcelona, Galicia, Sevilla, Asturias), vienen de otro lugares de Europa (Suecia, Dinamarca…).

Además del contenido del mismo, lo que más atrayente me está resultando es el conocer el estado de la seguridad de la información en otros lugares de Europa (y por qué no, de España), y también en USA.

En España, el tema es más homogéneo. Sea en capital o “provincias”, la seguridad está, de forma general, en una fase muy inmadura aún. Hay un pequeño número de grandes empresas que están bastante avanzadas, concienciadas y preocupadas por la seguridad, mientras que la mayor parte (medianas empresas) hacen “lo que pueden”. Llegan a lo justo, implementando medidas de seguridad en base a “apagar fuegos” y a “tendencias o modas” (la moda del firewall, la modal del IDS, etc. 😉 ), y carecen de forma casi total de un conocimiento y cultura organizacional adecuada en lo que a seguridad de la información se refiere.

En Europa, por lo visto, la situación es parecida. Según he podido constatar, lo que nos ocurre aquí es fiel reflejo, con alguna salvedad, de lo que ocurre en otros lugares como Alemania, Dinamarca o Suecia. Y digo con alguna salvedad, porque parece que el tema de cumplimiento, certificación, etc. está algo (bastante) más avanzado que aquí, si bien en términos generales, parece que los “iniciadores” o “drivers” de la seguridad son los mismos: la respuesta a incidentes o “el apagado de fuegos”. ¿Curioso? … parece que cada vez somos más “europeos”, ¿verdad? Antes que pensábamos que “ahí fuera” las cosas se hacían mejor…. pues parece que no siempre es así. Mención aparte requiere un compañero perteneciente al equipo de seguridad de Microsoft en Europa… incorporación de seguridad en el ciclo de desarrollo, concienciación… no sé si creérmelo o no… supongo que cuesta cambiar algo que lleva muchos años haciéndose de otra forma 😉

Dondé sí que la diferencia es enorme es en la comparaciones entre USA (EE.UU) y Europa. La diferencia es TOTAL. En cuanto a concienciación, a valoración, a certificaciones, a remuneración económica. Estamos hablando de mundos distintos.

Mencionaba el formador que en uno de sus últimos eventos en EE.UU. el principal objetivo de uno de los asistentes es saber qué tenía y qué no tenía que hacer para no ir a la cárcel. SoX, HIPAA y otras regulaciones los han marcado mucho y han hecho que su concienciación suba aún más (no así aquí con la posible equivalente LOPD, aunque algo sí que ha hecho).

En cuanto a nuestra profesión, creo que no es necesario que os comente que el mismo perfil tiene una remuneración muy superior “al otro lado del charco” que en la vieja Europa o que cosas como la incentivación por certificaciones o similar son algo común: que tienes la certificación X, por convenido tu sueldo será un 15% superior, que adémás tienes la certificación Y, pues se incrementará en otro 10%, y así sucesivamente.

Y es que señores (y señoras, y por supuesto señoritas 🙂 ), intercambiando impresiones a cualquiera le entran ganas de “hacer las Américas”… el problema es que a mí me apetecería más hacer las Américas….. del Sur 🙂 Cuestión de gustos, ya se sabe 😉