El Mundo Real por Miguel A. Hernández
Consultor de Seguridad, Perito Informático
El manifiesto Hacker
0hace 2 días
“La conciencia de un Hacker”, así titulaba The Mentor (Loyd Blankenship) miembro de diversos grupos de Hackers entre los que destacaron Extasy Elite y Legion of Doom, un texto que escribió tras ser arrestado y que hoy se conoce como “El manifiesto Hacker” (Hacker Manifesto). Este texto fue publicado en la revista Phrack. Esta considerado como uno de los textos que sientan las bases de lo que hay en la mente de un Hacker y qué movía a los primeros grupos allá por los años 80.
Una traducción libre de este texto es la siguiente:
Uno más ha sido capturado hoy,
Está en todos los periódicos.
“Adolescente arrestado por delito informático”
“Hacker arrestado por irrumpir en un sistema bancario”.
//-Malditos muchachos. Son todos iguales.//¿Pero pueden, con su psicología barata y su cerebro de los años cincuenta, siquiera echar un vistazo a lo que hay detrás de los ojos de un hacker? ¿Se han parado alguna vez a pensar qué es lo que le hace comportarse así, qué le ha convertido en lo que es?
Soy un Hacker, entra a mi mundo . . .
El mío es un mundo que comienza en la escuela . . .
Soy más inteligente que la mayoría de los otros muchachos, esa basura que ellos nos enseñan me aburre . . .
//-Malditos subrealizados. Son todos iguales.//Estoy en la preparatoria.
He escuchado a los profesores explicar por decimoquinta vez como reducir una fracción.
Yo lo entiendo.
“-No, Srta. Smith, no le voy a mostrar mi trabajo, lo hice en mi mente . . .”
//-Maldito muchacho. Probablemente se lo copió. Todos son iguales.//Hoy hice un descubrimiento.
Encontré una computadora.
Espera un momento, esto es lo máximo. Esto hace lo que yo le pida. Si comete un error es porque yo me equivoqué.
No porque no le gusto . . .
O se siente amenazada por mi . . .
O piensa que soy un engreído . . .
O no le gusta enseñar y no debería estar aquí . . .
//-Maldito muchacho. Todo lo que hace es jugar. Todos son iguales.//Y entonces ocurrió . . .
una puerta abierta al mundo . . .
Corriendo a través de las líneas telefónicas
como la heroína a través de las venas de un adicto, un pulso electrónico es enviado,
un refugio para las incompetencias del día a día es buscado . . .
una tabla de salvación es encontrada.
“Este es . . . este es el lugar a donde pertenezco . . .”
Los conozco a todos aquí . . .
aunque nunca los hubiera visto, o hablado con ellos, o nunca vuelva a escuchar de ellos otra vez . . Los conozco a todos . . .//-Malditos muchachos. Enlazando las líneas telefónicas otra vez. Todos son iguales . . .//
Apuesta lo que quieras a que todos somos iguales . . .
Nos han estado dando comida para bebés con cuchara en la escuela, cuando estábamos hambrientos de carne . . .
Las migajas de carne que ustedes dejaron escapar estaban masticadas y sin sabor.
Hemos sido dominados por los sádicos, o ignorados por los apáticos.
Los pocos que tenían algo que enseñarnos encontraron en nosotros alumnos atentos, pero esos pocos son como gotas de agua en el desierto.Este es nuestro mundo ahora . . .
El mundo del electrón y el switch, la belleza del baudio.
Hacemos uso de un servicio que ya existe sin pagar, por que podría ser ridículamente barato, si no estuviera en manos de glotones hambrientos de ganancias, y ustedes nos llaman criminales.
Nosotros exploramos . . .
y ustedes nos llaman criminales.
Nosotros buscamos detrás del conocimiento . . .
y ustedes nos llaman criminales.
Nosotros existimos sin color, sin nacionalidad, sin prejuicios religiosos . . .
y ustedes nos llaman criminales.
Ustedes construyen bombas atómicas,
ustedes hacen la guerra,
asesinan, engañan y nos mienten
y tratan de hacernos creer que es por nuestro bien,
ahora nosotros somos los criminales.Si, soy un criminal.
Mi crimen es la curiosidad.
Mi crimen es el juzgar a las personas por lo que dicen y piensan, no por como se ven.
Mi crimen es ser mucho más inteligente que ustedes, algo por lo cual jamás podrán perdonarme.Soy un Hacker, y este es mi manifiesto.
Pueden detener a este individuo, pero no podrán detenernos a todos… después de todo, todos somos iguales.
+++The Mentor+++
Poco después, The Mentor junto al grupo de Hackers del que formaba parte lograron hacer un defacement de la página de la NASA donde colgaron el texto que aparece en negrita.
Referencias
http://www.phrack.org/issues.html?issue=7&id=3#article
http://www.taringa.net/posts/info/1519620/Manifiesto-Hacker_-The-Hacker-Manifesto_-Traduccion-Correcta.html
en.wikipedia.org/wiki/Hacker_Manifesto
http://blogultura.com/internet/el-manifiesto-hacker-escrito-por-the-mentor/
http://en.wikipedia.org/wiki/Loyd_Blankenship
http://cuadernobitacora.blogspot.com/2011_05_15_archive.html
La Biblia del Hacker (edición 2006)
Security by papers
0hace 4 días
Cada día que pasa crece un poco más el desencanto que me causa ver cómo “el quiero”, “el debo” y “el puedo” se separan entre sí por diversos factores. Cuando empecé en esto de la consultoría hace ya más de 3 años, las empresas que se lanzaban a la implementación de una norma ISO 27001 normalmente lo hacían por que querían y porque podían, llegando algunas de ellas a implementar la norma porque realmente les interesaba la seguridad de su organización y veían en un sistema de gestión la forma adecuada de ir construyendo ese gran castillo desde la primera piedra.
Ya hemos hablado muchas veces que tener un sistema de gestión de seguridad de la información no quiere decir que una empresa sea realmente segura. Sin embargo, si las cosas se hacen como se deben, el sistema empieza a señalar los puntos de la organización más débiles y ahí es donde la organización tiene que poder poner los controles.
Con la actual crisis económica, las posibilidades de inversión de las empresas disminuyen y con ellas también, en ocasiones, la posibilidad de disminuir el riesgo de una forma adecuada. Las alarmas que desata el análisis de riesgos se convierten entonces en una declaración de intenciones reflejada en un análisis de riesgos o trasladada en todo o en parte un plan director de seguridad y esto finalmente en “security by papers”.
Los papeles se convierten en un soporte que lo aguanta todo y proveen de un proceso que ve mermada su aplicación práctica, y es que la seguridad de la información no puede quedarse en un conjunto de políticas, normas y procedimientos, deben implantarse los controles, tener los indicadores adecuados y saber cómo los controles se están comportando. Necesito termómetros en la organización y poder poner remedios para evitar que cuando haya un incidente todo se quede en un “Te lo dije”, y por muy obvio que a muchos de vosotros os resulte esto, la realidad es que los sellos de 27001 deberían de caerse en el momento en que no son un reflejo de una mejora contínua en materia de seguridad dentro de un alcance significativo de la organización, pero no lo hacen, siguen ahí, atestiguando la no seguridad en muchos casos.
La definición es necesaria hasta el punto que soporta la mejora continua de la organización y provee de los órganos directivos y metodologías para dicha mejora contínua, no más allá, es por eso que ISO 27001 sólo describe unos pocos procedimientos como de documentación obligatoria. El resto es tener conciencia de cómo se hacen las cosas bien y ponerlo en práctica y es aquí donde la consultoría, en ocasiones se queda coja, no llevando la seguridad hasta la práctica y quedándose sólo en papeles, planes y un How to. La cuestión es, ¿hay alguien al otro lado?. La norma ISO27001 es dura y amplia, hasta el punto que es realmente exigente tanto para el consultor como para el auditor.
El problema comienza cuando la consultora se va y el sistema pasa al cliente que debe hacerse cargo de algo que en ocasiones le viene grande por lo que, si hay una verdadera preocupación por la seguridad, no tardarán demasiado en llamar con dudas, preguntas y aclaraciones que no harán mas que destapar la necesidad de recursos destinados a está area de forma casi exclusiva en función del tamaño de la organización. Éstos recursos en forma de personas y de controles aplicables según los planes de tratamiento serán los que harán pasar de “security by papers” a sólo “security”, la cuestión es, ¿puede la organización poner esos recursos?.
Proyecto CODEPOL
0hace 3 semanas
Antes de nada, feliz año nuevo a todos!. Mis mejores deseos para este 2012.
Ahora quiero presentaros una idea que hace ya mucho transmití en mi empresa y que dadas las circunstancias he decidido hacer pública bajo licencia Creative Commons.
La idea que hay tras este pequeño esbozo de proyecto es limar el gap existente actualmente entre la parte de seguridad de la información a nivel organizativo y la parte de seguridad informática a la vez que se trata de concienciar al usuario y acercar hasta él las políticas y normas organizacionales. La arquitectura que aquí se presenta permitirá hacerle partícipe de su cumplimiento y hacerle saber en tiempo real qué esta incumpliendo y cuáles son las consecuencias a nivel organizativo.
La plataforma de Concienciación y Despliegue de Políticas Organizacionales incorpora tres elementos que interactúan entre sí llevando hasta la implementación en los elementos ya existentes en la organización las políticas de seguridad y normas definidas a nivel organizativo. Esto permitiría en tiempo real que el Responsable de seguridad fuera consciente de qué se está incumpliendo con una perspectiva de negocio y quién lo está incumpliendo.
A su vez, la arquitectura incorpora un elemento en los host que tiene como misión notificar al usuario cuando se produce un incumplimiento así como persuadir del mal uso de los sistemas de la organización.
Un pequeño avance de lo que podréis encontrar en el documento que enlazo al final lo tenéis en esta figura:
Arquitectura CODEPOL
A continuación os dejo el enlace a la parte descriptiva del proyecto, una primera aproximación donde simplemente se presenta la idea. En su día hice un análisis DAFO, Calculé el ROI y también el Payback del proyecto, planifiqué, asigné perfiles, etc… pero esa información aquí no es relevante y por eso la he omitido.
Podéis acceder a una descripción del proyecto más extensa en el siguente enlace:
PROYECTO CODEPOL (CONCIENCIACIÓN Y DESPLIGUE DE POLÍTICAS ORGANIZACIONALES)
¿Estas a salvo de Piggybackers?
0hace 1 mes
Este post ha sido publicado previamente en el blog de seguridad de la información de Inteco.
Hace poco que leía un estupendo post de Samuel Segarra en Security Art Work titulado “¿Traes invitación? Sí, corbata y decisión…” que me hacía pensar en algo que resulta muy necesario hoy día, los test de intrusión físicos. Casi en cualquier organismo público de ámbito regional hay un guardia de seguridad en la puerta y un “control de acceso”. Me encantaría saber cuál sería el resultado si, como comentaba Samuel, nos ponemos traje y corbata y pasamos decididamente como si supiésemos donde vamos realmente.
Un control de entrada mal dispuesto y/o con una tecnología o procedimientos inadecuados puede permitir que se presenten amenazas conocidas como Piggybacking y Tailgating. Esto supone que alguien sin autorización de acceso sea capaz de entrar en las instalaciones o la zona restringida usando una autenticación válida de un usuario anterior. En los casos en los que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de sí, se utiliza el término Piggybacking. En caso de que la persona autenticada no sea consciente se utiliza el término Tailgating.
Si alguien ajeno a la organización es capaz de entrar en sus instalaciones de forma no autorizada puede ser por varios motivos:
- El control de entrada no se dispone de forma que obstaculice el paso a cualquiera que acceda a la ubicación de la organización. Esto es básico, si el control de entrada no obstaculiza, se genera la posibilidad de que alguien acceda a un área restringida ya sea de manera intencionada o no.
- El control de la entrada no impide el paso pero se han situado guardias de seguridad que tienen la responsabilidad de que los usuarios crucen por el control. Los guardias “conocen” a los miembros de la organización y sólo hacen pasar por el control a los “extraños”. En este caso el eslabón más débil es el factor humano. Al no cumplirse el requisito del punto anterior, la responsabilidad del control se traslada a los guardias quedando expuestos al factor humano.
- El control de acceso permite el piggybacking o el tailgating. Esto supone que alguien sin autorización de acceso sea capaz de entrar en las instalaciones o la zona restringida usando una autenticación válida de un usuario anterior. En los casos en los que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación, se utiliza el término piggybacking. En caso de que la persona autenticada no sea consciente de que alguien está entrando tras de sí, se utiliza el término tailgating (Samuel se convirtió en un tailgater de forma involuntaria según nos cuenta en su post).
Algunos mecanismos que previenen el piggybacking y el tailgating son los siguientes:
- Tornos giratorios: por si mismos no impiden el piggybacking aunque en sentido estricto, sí el tailgating.
- Puertas dobles: estos sistemas son comunes en el entorno bancario aunque para el acceso a un área restringida, dependiendo de las particularidades de la mencionada área, tendrían alguna modificación. Constan de una primera puerta que da acceso a un habitáculo intermedio, cuando se accede al habitáculo, la primera puerta se cierra y alguien desde el interior, comprueba quién hay en el habitáculo y decide aprobar o no la apertura de la segunda puerta.
- Guardias de seguridad: un control de acceso sólamente basado en guardias de seguridad es hoy día poco común y aplicable a entornos muy limitados (aunque sí está extendida la variante del recepcionista), puede ser un recurso que se utiliza con cualquiera de los dos anteriores y ayude a prevenir de ambas amenazas si el procedimiento aplicado es efectivo y se aplica de forma correcta.
Algunas tácticas que pueden utilizar los piggybackers o tailgaters para lograr entrar en las zonas de área restringida pueden ser las siguientes:
- Hacerse pasar por integrante de la organización: en empresas u organismos públicos uniformados, conseguir un uniforme de trabajador y pasar por el control de accesos de manera natural tras otros trabajadores.
- Pasar en hora punta junto a la muchedumbre: esperar a una hora en la que los recursos habilitados para el control de acceso (en caso de ser recepcionistas o guardias) no son suficientes como para seguir un procedimiento formal, entrando junto a miembros auténticos de la organización.
- Hacerse pasar por escolta: vestirse y disponer de elementos identificativos de escolta para pasar tras un integrante de la organización vestido con traje simulando ser su escolta.
- Entrar por la puerta de salida: Según esté dispuesto el control de seguridad, entrar por la puerta de salida tras un empledo autorizado que sale en ese momento puede ser una de las opciones posibles.
- Encontrar a alguien autorizado que por cualquier razón (ya sea por descuido, exceso de confianza o por venganza hacia la organización) quiera amablemente que pases tras de sí sin identificarte en el control de entrada.
Una aproximación posible para establecer un buen control de entrada puede estar basada en la combinación de una supervisión humana y un control técnico, que realiza el proceso de autenticación basado en tarjeta inteligente o alguno de los siguientes tipos de sistemas biométricos:
- Huella Dactilar: este mecanismo es poco invasivo y se basa en la obtención de una imagen de la huella dactilar en la cual se identifican los patrones de siete tipos de puntos característicos denominados minucias. El patrón de combinación de estos 7 tipos de puntos característicos en la huella en un número de hasta 120 combinaciones permite autenticar al usuario. Su uso y el proceso de registro es sencillo y su efectividad y tasas de falso rechazo y falsa aceptación se encuentran en torno al 0,5% y el 0,001% respectivamente.
- Escáner de iris: Este sistema extrae una fotografía en alta definición del iris, creando unos patrones internos que permiten comparar con los adquiridos en el momento de la autenticación. Una de sus principales críticas es la intrusividad del método que en sus primeras versiones exigía al usuario acercarse a escasos centímetros del dispositivo pero actualmente son capaces de hacer una fotografía de alta definición hasta a 2 metros de distancia y un proceso de autenticación de un tiempo estimado de alrededor de 3 segundos.
- Geometría de la palma de la mano: a través de este control se podrá autenticar al usuario con la forma de su mano. El sistema realiza mediciones de la longitud y ancho de los dedos, la anchura de la palma de la mano y otros parámetros característicos. La principal peculiaridad de este sistema es que la plantilla creada en el momento del registro cambia con el tiempo adaptándose a los cambios en los parámetros medidos sobre la mano. En los dos métodos anteriores, la plantilla creada en el momento del registro es muy estable y apenas cambia con el tiempo.
- Reconocimiento facial: mediante una extracción de los rasgos faciales de una persona en una imagen, la tecnología hace una comparación con el resto de personas reconocidas identificando las variaciones significativas determinando los rasgos clave, como los pómulos, la boca, la nariz o la posición de los ojos.
- Reconocimiento de las venas de la mano: esta innovadora técnica detecta la hemoglobina desoxidizada presente en la sangre, construyendo una imagen a partir de una proyección de rayos infrarojos. Esta técnica, de aparición más reciente tiene como particularidad que se basa en un rasgo interno del individuo que está más allá de lo que se puede percibir a simple vista. La tecnología se ha probado con una muestra de 140.000 personas y ha demostrado unos ratios de falsa aceptación del 0.00008% y el índice de falso rechazo del 0.01%.
La Guía sobre tecnologías biométricas aplicadas a la seguridad de reciente publicación por INTECO, hace un repaso a éstas y otras técnicas biométricas basadas en características fisiológicas y de comportamiento. Este documento amplía la información tratada en este post en relación al uso de la biometría para el control de acceso, describiendo otros usos posibles de estas tecnologías en el ámbito de la seguridad.
SYTE 12.12
0hace 1 mes
Esta tarde hay una ponencia muy interesante del Dr. Ricard Martínez Martínez en Murcia. Para aquellos que gusten de asistir el tema a tratar es muy interesante. Menores, Redes Sociales y Privacidad.
La conferencia tendrá como tema una cuestión actualidad y de gran preocupación para la Sociedad, “Menores, Redes sociales y Privacidad”, que contará como ponente de prestigio en los ámbitos nacional e internacional en la materia sobre la protección de datos personales, al Sr. Dr. D. Ricard Martínez Martínez.
Al finalizar la conferencia tendrá lugar el acto de entrega del premio Murcya 2011,en la categoría de Auditoría de los Sistemas de Información, a la Asociación Profesional Española de la Protección de Datos, en la persona de su presidente, Sr. Dr. D. Ricard Martínez Martínez, por su impulso en el desarrollo y cumplimiento de los derechos fundamentales de la protección de datos de carácter personal, esenciales para lograr que los sistemas de información empleados en nuestra Sociedad sean más seguros y eficaces.
La jornada tendrá lugar en el Salón de Actos de la Consejería de Economía y Hacienda, en Avda. Teniente Flomesta, Palacio Regional s/n el día 12 de diciembre a las 18:30.
Espero que los que asistáis me contéis vuestra experiencia.
Ha sido un problema informático
0hace 2 meses
Cuando me dirigía esta mañana hacia el trabajo, sintonizaba las noticias en la radio y escuchaba una muy curiosa que decía algo como lo siguiente (extraído de aquí):
Como consecuencia de un error técnico, un mensaje fue enviado de forma automática a alguno de los abonados de Standard & Poors Global Credit Portal sugiriendo que la calificación crediticia de Francia había cambiado. El rating de la República de Francia continúa en AAA/A-1+ con perspectiva estable, y este incidente no está relacionado con ninguna actividad de vigilancia de las calificaciones. Estamos investigando la causa del error
y claro, como no, el correo electrónico se escribió de forma automática por alguna clase de agente que funciona en modo autónomo con una IA como no se ha concebido otra.
Pero esto no es un caso aislado, hace un par de meses que una empresa dedicada a la selección de personal, envió una oferta con un gran número de direcciones en el CC de un correo electrónico. Al advertirles de su error, la respuesta fue que había sido un fallo informático. Yo debí contestarles en aquel momento algo como:: “díganle a su sistema informático que está incumpliendo la Ley Orgánica de Protección de Datos”, pero aquella mañana no me encontraba tan elocuente y simplemente les comuniqué el error por el que se disculparon y hasta ahí llegó el asunto.
Y es que culpar a un sistema informático por su indisponibilidad, los errores en la información o una fuga de datos tiene muchos puntos positivos:
-
La explicación es sencilla y al uso, emana por si misma.
-
El sistema no se puede defender (aunque si ha sido capaz de escribir un correo rebajando la calificación de deuda de Francia, quien sabe hasta donde puede llegar).
-
Todos somos comprensivos con los “errores informáticos” porque todos hemos “sufrido” alguno.
-
El verdadero error se conserva de puertas para adentro y las acciones que se emprenden para “solucionar el problema informático” no trascienden al exterior.
Lo que ocurre es que detrás del sistema informático estamos nosotros, los que lo manejamos, que podemos tener mejores o peores hábitos, más o menos conocimientos del sistema, de la legislación, de seguridad de la información pero es duro reconocer cuando uno se equivoca y es mucho más fácil culpar al sistema. Aquí hay, en mi opinión, dos temas de fondo que vienen siendo recurrentes en mi corta vida en esta profesión. Por un lado, tenemos la falta de asignación de responsabilidades que en mi opinión es básica para que todo funcione adecuadamente. ¿Dónde esta definida la responsabilidad ante un incidente?, ¿quién tiene bien delimitadas y claras las responsabilidades de su trabajo?. Por otro lado, se peca de no investigar la raíz del problema. Si se cae un edificio, se busca al arquitecto, al aparejador y hasta al maestro albañil si hace falta, determinando la causa raíz y buscando al responsable, pero si hay un “fallo informático”, se asume como normal, al fin y al cabo, es un sistema y va a fallar, cuando por detrás pueden haber innumerables causas como una falta de experiencia del personal para el desarrollo de sus funciones, un sistema de formación continua deficitario, una política de adquisición o mantenimiento de sistemas inadecuada y un sinfín de malos hábitos y/o procesos mejorables que a la fin y a la postre provocan el “fallo informático”.
Ya sabéis, los contables nunca se equivocan, siempre tienen un ”error de enfoque”, cualquiera que maneje un ordenador, siempre podrá decir “ha sido un problema informático”, pero es labor de la organización definir las responsabilidad de sus puestos de trabajo e investigar qué ha provocado ese “problema informático”. Errores podemos cometer todos pero no reconocerlos es redundar sobre el error y no investigarlos es un error al cubo, máxime cuando afectan a terceros.
Y a vosotros, ¿Cuantos errores informáticos os han afectado?
Seguridad y Redes Sociales, la perspectiva de la organización
0hace 3 meses
Este post apareció primero en el blog de Inteco
O sobre porqué poner las redes sociales a disposición de los integrantes de la organización puede no ser una buena idea
En un post anterior hablamos sobre las repercusiones que puede tener el uso de las redes sociales para un usuario sea cual sea el entorno en el que se encuentre. Pero hay un entorno en el que el uso de las redes sociales puede hacer que aparezcan nuevos riesgos cuyas consecuencias deben valorarse; el entorno corporativo.
Cada vez que se dispone de un nuevo mecanismo que las organizaciones pueden aprovechar para otorgar valor, se plantea el debate sobre su uso y surgen los que inmediatamente lo implementan, los que son completamente detractores y los que esperan a ver cómo les va a otros.
Las redes sociales son un mecanismo que puede permitir la comunicación entre los integrantes de la organización de una forma fácil, rápida y amena, sin embargo, hay determinados aspectos que dejan entrever que quizá el dar acceso a las redes sociales desde la organización no es la mejor idea. Antes de conceder acceso a redes sociales desde el interior de una organización deben sopesarse los siguientes riesgos:
Problemas derivados del licenciamiento y Condiciones del Servicio
Ya vimos las condiciones de uso de este tipo de servicios y sus repercusiones en relación al contenido del usuario en un post anterior. Pero en el entorno organizacional, las consecuencias se agravan aún más dado que el usuario puede estar introduciendo en la red social información confidencial que no es de su propiedad. Puestos ante la situación de que un empleado por error colocase información confidencial en la red, innumerables derechos se están compartiendo con el proveedor del servicio. Además el proveedor de servicio advierte:
2. El uso de [la red social] es personal, y bajo ningún concepto podrás utilizarlo con fines económicos o comerciales sin nuestro previo consentimiento.
8. Cuando un usuario publica cualquier tipo de contenido, garantiza que tiene todos los derechos necesarios para publicar dicho contenido y licenciar a [la red social] para su uso en la red y que con ello no se vulnera ningún derecho relativo a la intimidad, el honor o la propia imagen de un tercero.
Fugas de Información
Por lo general, en una organización se suelen limitar los medios de conexión con el exterior a fin de evitar que determinada información salga de las fronteras de la misma, se desactivan los puertos USB, se limita el acceso a las cuentas de correo personales, se controla el acceso a servicios de almacenamiento en la nube y un largo etcétera que pasa, para los más paranoicos, por DRM. Nuestra sociedad de la información, en la que se encuentran inmersas las organizaciones, permite a cualquier usuario con malas intenciones y un ordenador conectado a Internet buscar infinidad de métodos para extraer información de la organización. Sin embargo, cuando se plantea el debate sobre abrir o no la conexión a redes sociales desde la organización se debe evaluar el riesgo de fuga de información por este medio y sus posibles consecuencias ya que se está abriendo una puerta.
Una fuga de información puede venir motivada por un error o por un usuario desleal. En cualquier caso, lo que supone el cerrar esta vía de escape es prevenir las fugas por error a la vez que se cierra un medio mediante el que extraer información por parte de un usuario malicioso.
Proveedor de servicios comprometido
Al fin y al cabo estamos utilizando un servicio externo con las implicaciones que ello conlleva en caso de que información de la organización salga a la luz por un compromiso del prestador de servicios. Supongamos que decidimos utilizar la red social como herramienta para compartir información de la organización y damos visibilidad sólo a los compañeros correspondientes que agregamos para tal fin. De esta forma estaríamos compartiendo la información y acotando el acceso a la misma como si de un control de acceso discrecional se tratara. El problema viene cuando los elementos privados se ven desvelados, y esto ya ha ocurrido y no una única vez, ni dos. Y esto es dejando a un lado los posibles problemas de seguridad derivados, no de la aplicación en si misma, sino de los servicios que la ponen a disposición de los usuarios.
No se ha de olvidar que cuando se realiza outsourcing de cualquier cosa, la responsabilidad de la organización con sus clientes no se delega, sigue en la organización, mientras que la seguridad sobre el elemento de la cadena de valor externalizado pasa a ser gestionada por el proveedor. La cuestión es qué se le puede exigir al proveedor en relación a la seguridad de nuestra información y en estos casos las garantías pasan por un “Hacemos todo lo posible para mantener a salvo tu información“.
Propagación de Malware
Los casos de código malicioso que infectan redes sociales han dejado de ser extraños. En Febrero de este mismo año se detectaron dos tipos de malware que utilizaban la red social para propagarse. El anterior es sólo un ejemplo, pero no hay más que teclear en cualquier buscador “[red social] virus” (sustituya [red social] por la que más le guste) para darse cuenta de la repercusión del software malicioso en las redes sociales. En un escenario en el que los miembros de la organización están interconectados a través de la red social y tienen acceso a la misma desde la organización, la situación es idónea para la propagación de malware.
Conclusiones
El acceso a redes sociales desde el entorno corporativo comporta una serie de riesgos para la organización que deben ser conocidos por aquellos que deben asumirlos, en pro de ser conscientes de a qué se atienen. Las condiciones del servicio hacen al usuario responsable de qué se comparte en el medio social, y en la organización el usuario puede tener a mano información confidencial, que pueda ser compartida por error o deliberadamente, no siendo el usuario propietario de la misma. Si las redes sociales son un medio que puede aportar valor a la organización, ¿por qué no proporcionarlo desde el interior?. El uso de redes sociales y cómo estas se ponen al alcance de los miembros de la organización es una decisión como cualquier otra en la organización y se deben sopesar todas las posibilidades al alcance y cuál merece realmente la pena por los riesgos que se enfrentan.
Inventariado a través de la red
0hace 4 meses
Hace un par de semanas que contactó conmigo la empresa ClearApps con objeto de que realizara una revisión de su software Network Inventory Advisor (NIA en adelante). No soy dado a hacer mención de herramientas comerciales pero en este caso no me pareció mal porque al fin y al cabo, ya lo hice con otras como Everest y algunas más cuando evaluamos software para auditar software. Allí hicimos una lista de hasta 8 aplicaciones a la que hoy vamos a añadir este Network Inventory Advisor.
Comentamos en aquel post que las razones por las que una empresa puede plantearse hacer una auditoría de software pueden ser varias. En este caso, el mayor rendimiento que podemos sacar a una herramienta como esta es en el supuesto en que nuestra necesidad sea la de inventariar el parque de PCs de una organización que se encuentra gestionado por una misma persona. La configuración óptima es aquella en la que los PCs tienen cuentas de usuario restringidas para su uso diario y una cuenta de administración que gestiona el administrador de red y es común en todos los PCs o todos se autentican contra un servidor de dominio y allí se declara una cuenta con privilegios que puede ser usada desde cualquier PC. Además de ordenadores con Windows, también puede extraer información de otros con Linux o Mac OS.
Interfaz Principal
En el entorno anterior, esta herramienta es un potente aliado del administrador de red, ofreciendo una vista detallada de cada uno de los PCs administrados. Tras cada escaneo, NIA te muestra un resumen por cada dispositivo agrupando en los casos de escaneo de red a los diferentes PCs por su dominio. Por cada PC escaneado en su resumen muestra la información más relevante como el modelo del PC, Dominio/Grupo de Trabajo, usuario activo, Número de Serie, etc, así como información destacable de hardware y software. Pero es en la pestañas correspondientes a éstos últimos donde se puede ver hasta dónde se llega a inventariar cada PC.
Pestaña Software
Pestaña Hardware
Por mantener la coherencia con aquel post, si desplegamos la pestaña de Software, podemos obtener detalle del software presente en el equipo. En el caso de sistemas MicroSoft, todo el software de dicha compañía aparece bajo la pestaña “Información del SO” mientras que el resto de software se encuentra bajo la pestaña que vamos a desplegar.
Detalle del Software
Los que menos me ha gustado de este software ha sido el asistente que me parece poco claro, quizá por el interfaz y la traducción que en el momento de este test es algo deficiente. Por lo demás, es un justo competidor de otras herramientas comerciales que ya vimos en su momento como Network Inventory Expert o Total Network Inventory.
Con respecto al coste de la herramienta podéis verlo aquí. Éste depende del número de nodos (PCs a inventariar) pero una licencia con nodos ilimitados se va hasta los 699€ que es un precio superior al de Network Inventory Expert y sin embargo inferior a Total Network Inventory.
Para mi, el quid de la cuestión cuando decidimos gastar dinero en una aplicación es si este gasto merece la pena, en general esta cuestión es nativa de la seguridad, mas bien de la vida, pero filosofías aparte, podemos buscar alternativas sin coste con el objetivo de comparar, ajustando a las necesidades de la empresa, si las alternativas de pago aportan más (aparte del obvio soporte) que las disponibles for free.
Sin buscar mucho, uno localiza rápidamente en 1 google minuto Spiceworks pero la comparación no sería justa porque la arquitectura de ambas aplicaciones no se parece en absoluto, de hecho, esta aplicación libre exige un registro en línea de forma que la voy a omitir (no he ido más allá pero en caso de que se gestione toda la información online, ojo con las condiciones el servicio y la información que sale fuera de las fronteras de la organización). Aún no siendo fácil encontrar alguna alternativa freeware (las hay pero para ir PC a PC) Si añadiré a nuestra lista, ya algo extensa, Microsoft Assessment and Planing Toolkit, que aunque no tenga como principal propósito el crear un inventario a través de la red sino planificar una posible migración a otro tipo de solución o sistema operativo, el paso de creación del inventario en la organización es un requisito previo al planning de la migración.
He probado dicho software y la verdad es que puede constituir una alternativa, eso si, está en inglés y además no resulta tan sencillo ni el interfaz tan amigable ya que cuando tienes los PCs de la red localizados hay que generar los informes que se vuelcan a un excel no estando integrados con el interfaz de la herramienta. Hay que tener alguna noción más de cómo se estructuran los dominios, qué es WMI, y alguna cosa más que tampoco tiene mayor dificultad. En definitiva, aunque con un proceso de instalación lento y algunos requisitos pre-instalación fáciles de cumplir, este software puede ser una alternativa a los de pago (siempre y cuando hayas adquirido previamente Windows).
Conclusiones
En función de las necesidades de la organización, una herramienta de este tipo puede simplificar y mucho el inventariado y gestión de activos tecnológicos. Al igual que para cualquier tipo de adquisición en la organización, busque y compare. Network Inventory Advisor es una alternativa más del mercado hecha para competir en un segmento en el que se sitúa el software de inventario de red con interfaz asequible y amigable para el administrador de red. Las alternativas free, aunque haberlas las hay, hasta donde yo he encontrado y en el momento de escritura de este post no ofrecen el conjunto de funcionalidades del software de pago todas juntas, algunas ofrecen un buen interfaz pero no tienen la funcionalidad de inventariado por red, otras ofrecen la funcionalidad de inventariado por red pero el interfaz es un poco menos amigable y todo esto por supuesto sin entrar a valorar las funcionalidades una por una porque entonces en lugar de un post, tendría que escribir un libro de comparativas.
Os invito a que profundicéis en el análisis de cada una de las herramientas expuestas en este post y en el anterior que tratamos este tema (con otro enfoque).
Seguridad y Redes Sociales: La perspectiva del usuario
0hace 4 meses
Este post apareció primero en el blog de INTECO.
Las redes sociales constituyen una revolución en la forma de relacionarse con los amigos, los familiares o los compañeros de trabajo, al tiempo que se han convertido en un nuevo medio para realizar publicidad, en un nuevo canal para hacer negocios y en una nueva vía para conocer gente. Y todo esto gratis, no hemos tenido que pagar ni un euro para poder disfrutar de todos estos beneficios, pero cuando alguien da algo, a cambio aparentemente de nada, lo más adecuado es pararse a pensarlo dos veces.
Si examinamos las posibles implicaciones para la seguridad que las redes sociales tienen de cara al usuario, podemos encontrarnos, entre otras, las siguientes:
Desconocimiento de las condiciones del servicio
Lo que a la mayoría de usuarios de las redes sociales se les pasa por alto cuando se dan de alta en cualquiera de ellas es que, a los efectos, están firmando un contrato. Las condiciones de uso del servicio detallan qué es aquello que se está acatando por hacer uso del mismo y como no, en la era del capitalismo, que nadie espere euros a cuatro céntimos.
Las redes sociales son una forma más, quizá innovadora, de hacer negocio con la información que los usuarios amablemente ceden. La estrategia es sencilla y eficaz, poner en contacto a proveedores con clientes potenciales ofreciendo a los últimos un servicio atractivo “gratuito” y cobrando a los primeros por ponerles en contacto con, en el caso de Facebook, 700.000.000 de potenciales clientes en todo el mundo. Pero para poder hacer esto de una forma eficaz, las redes sociales recolectan todo tipo de datos entre los que figuran; Nombre, Edad, Fecha de Nacimiento, Sexo, Datos de Ubicación que traducen a coordenadas GPS, a los que se suman los que el usuario suministra voluntariamente como fotografías, vídeos, y un larguísimo etcétera. El fin último es ofrecer un servicio de publicidad particularizado a cada persona, pero por el camino se abren dudas sobre los derechos que la red social adquiere sobre determinado material publicado.
Así, la política de uso de redes sociales como Facebook, Tuenti o Linkedin ofrecen textos similares al siguiente:
Para aquellos contenidos que dispongan de derechos de propiedad intelectual, como fotos o vídeos, nos otorgas los siguientes permisos; nos concedes una licencia mundial, no exclusiva, transferible, sublicenciable y libre de pagos, para usar cualquier contenido sujeto a derechos de propiedad intelectual que pongas en tu sitio en la “Red Social” o al conectar con la “Red Social”.
Esto quiere decir que el usuario debe asumir que cualquier contenido sujeto a propiedad intelectual podrá ser usado por cualquiera una vez se encuentra en su sitio. El conflicto crece porque esta declaración puede chocar cuando el contenido que se sube a la red social esta ya licenciado o cuando en fotografías o vídeos aparecen personas cuyos datos personales están protegidos legalmente. Sólo imaginemos que una persona con una posición social y status relevante se hace una cuenta en una red social, una noche le hacen una fotografía con una botella de vino en la mano que posteriormente es subida a dicha red social. La empresa de la botella de vino, que tiene cuenta en la misma red ,ve la fotografía y llega a un acuerdo con Facebook para que le sublicencie los derechos de la misma, que posteriormente usa con fines publicitarios. Lo que le podría ocurrir a esta persona es que cuando fuese tranquilamente por la autovía viera su cara en un cartel junto a la botella de vino cosa que lo más probable es que, además de sorprenderle, no le hiciese la más mínima gracia. Lo de menos en este caso es buscar los culpables, si lo es la persona respetable que en su tiempo libre decidió celebrar su cumpleaños con una botella de vino, si lo es su amigo que le hizo la foto y quiso compartirla con su vecino o si lo es la empresa que ha tenido una actuación poco ética, la cuestión es que esta secuencia, que podría ser factible, provocaría unas repercusiones difíciles de calibrar en función de la identidad de la persona que nos ocupa.
Para el que piense que Google+ no adolece de estos males les recuerdo que existen las condiciones de servicio genéricas que aplican a cualquier servicio de google y en las que se puede leer:
11.1 Usted conservará los derechos de autor y cualquier otro derecho que ya posea del Contenido que envíe, publique o muestre en los Servicios o a través de ellos. Al enviar, publicar o mostrar Contenido, estará concediendo a Google una licencia permanente, internacional, irrevocable, no exclusiva y que no está sujeta a derechos de autor para reproducir, adaptar, modificar, traducir, publicar, representar y mostrar públicamente, así como para distribuir, cualquier Contenido que envíe, publique o muestre en los Servicios o a través de ellos. Esta licencia se otorga con el único propósito de permitir a Google publicar, distribuir y promocionar los Servicios y puede revocarse para determinados Servicios, según lo estipulado en las Condiciones adicionales asociadas.
Y también…
11.2 Usted acepta que esta licencia concede a Google el derecho de distribuir el Contenido a otras empresas, organizaciones o personas con las que Google mantiene relaciones con el fin de ofrecer servicios sindicados y de utilizar dicho Contenido en relación con la provisión de dichos servicios.
Como ya he mencionado en relación al uso de otros servicios del gigante.
Uso inadecuado
Las redes sociales son un nuevo medio, y como en todo, el ser humano requiere de un proceso de adaptación al medio para manejarlo adecuadamente.
Por lo general, las redes sociales permiten discriminar la información pública de la privada. Un mal uso por parte de los usuarios de la red social puede dar con información pública que no debería serlo o simplemente, determinada información puede ser usada con fines maliciosos como en su momento demostró la iniciativa pleaserobme, proyecto que accediendo a información pública sobre la ubicación de los usuarios de Twitter, muestra aquel que se encuentra fuera de casa. Sobre-compartir información puede ser un problema, y hay quien no aprecia que al otro lado de un comentario en determinadas redes sociales puede haber cualquiera, con mejores o peores intenciones.
La imposibilidad de verificar determinados campos a la hora del registro hace que la red social traslade la responsabilidad al usuario en caso de que éste aporte información falsa. Lo cierto es que si hacemos una cuenta con la foto de un/a chico/a guapo/a, nos inventamos un nombre, hacemos una cuenta de correo para el propósito y nos dedicamos a enviar peticiones de conexión con todo el que se nos cruce en el camino (preferentemente del sexo contrario al de nuestro recién creado avatar), en pocos días tendremos una red de amigos que nos darán acceso a toda su información. Con un poco de ingeniería social, este puede convertirse en el punto de entrada para difundir un enlace a una pagina con contenido malicioso, como ya ha ocurrido en alguna ocasión. Si esta alternativa no fuera del agrado del atacante, éste siempre podría realizar un robo de identidad de alguien que no tuviese cuenta en la red social.
Derivado de la misma imposibilidad de verificar ciertos datos, en Facebook hay más de 7.000.000 de usuarios, sólo en Estados Unidos, que no cumplen las restricciones de edad para tener una cuenta en la red social (edad mínima 14 años), y más de 20.000.000 de menores que en este mismo país utilizan Facebook de forma activa, según un estudio publicado en Mayo de 2011. Si las redes sociales, e Internet en general, han demostrado que cualquier usuario está expuesto a amenazas cuyo conocimiento es básico para un buen uso tanto del uno como del otro, el colectivo de los menores de edad en este “nuevo” medio es un blanco fácil para adultos que buscan relaciones con menores, para lo que los extorsionan mediante lo que se conoce como Grooming. Aunque la raíz de este problema no esté en el medio social sino en la incultura digital, este medio es un canal efectivo para el desempeño de estas acciones de acoso contra los menores.
Conclusiones
Las redes sociales son un “nuevo” medio y como tal se deben valorar los beneficios e inconvenientes de su uso. Si finalmente, se opta por el uso de este tipo de servicios, se debe ser consciente de las amenazas que pueden presentarse en este nuevo entorno de forma que estemos lo más preparados posible contra las mismas. Si nos vamos de safari a África, lo primero que tenemos que hacer es revisar nuestra cartilla de vacunación y acudir al médico para ver contra qué es conveniente vacunarnos. De igual modo, cada nuevo medio que se crea en Internet requiere de un análisis de las amenazas contra las que “vacunarse” y como hemos podido ver, las redes sociales no son una excepción.
nombre, dirección de correo electrónico, fecha de nacimiento y sexo
Artículo sobre Terrorismo y Seguridad disponible en PDF y EPUB
0hace 4 meses
Tal como reza el título, el artículo sobre terrorismo y seguridad que os presenté en el post de hace un par de días, ya lo tenéis en pdf y epub para aquellos que se lo quieran llevar a pasear en el iphone. Podéis accederlos a partir de la sección a fondo.
Un saludo.
