lunes, 20 de septiembre de 2010

Software gratuito

Hola a todos,

Nos encanta el software gratuito, todo lo que sea gratis, tenga o no utilidad… es gratis y podemos tenerlo.

¿O no?

Desde mi punto de vista, en seguridad y TI, pienso en varias cosas … y me respondo.

¿Tiene utilidad? si la respuesta es afirmativa, este producto debería pasar un sencillo ciclo de testeo para ver como se lleva con el resto de nuestra plataforma. Siempre tenemos una configuración estándar (o deberíamos) en la que podemos encontrarnos desagradables sorpresas en las que otras aplicaciones dejan de funcionar.

¿Es segura? La respuesta es totalmente técnica y debe salir de TI. Nos dejamos engañar por bonitas paginas web, diseños corporativos y pueden esconder una aplicación con troyano o zombi incluido que nos puede dar una desagradable sorpresa. Y la culpa, mas que del usuario… será de Seguridad o TI por permitir la ejecución de ese software sin testear.

¿Seguro que es gratuita? Y aqui la mejor!!! nos encontramos con muchas palabras acabadas en ware (shareware/freeware/etc)… pero … Pone GRATIS !!!! he visto… “descarga gratuita aqui”!

Pues bien… veremos que el software es gratuito, pero en muchos casos,…  si nos gusta, pasado 1 mes podemos pagar por la funcionalidad completa (shareware) o si nos gusta y vamos a ejecutarlo en un entorno empresarial, podemos PAGAR por maquina que tenga el producto instalado.

Si, no me he equivocado "Pagar”… Mi abuelo decia que nadie daba “duros a 4 pesetas”.

Veamos también la posibilidad de un producto gratuito, que vamos a instalar. Útil y gratuito.

Cuanto cuesta el trabajo del técnico que debe revisar que el software, el coste de implementación, el coste de resolver incidencias sobre el producto, el coste de sus averias…

Yo como casi todos (o todos) soy usuario de software de ese tipo.. pero no le llamaría gratuito… simplemente barato. Y analicemos y mostremos el bajo coste cuando nos dicen….

MIRA, ESTE SOFTWARE ES GRATIS, PUEDES INSTALARMELO?  :)

¿Donde terminan las políticas de Firewall y comienza la seguridad?

 

Hay una gran diferencia entre la gestión y la explotación. Inevitablemente me hago mayor (si saben arreglar eso, déjenme un post con su dirección de correo :) )  y me está tocando cambiar del mundo técnico al de gestión. Algo que siempre he visto, y lo he entendido como normal, es que una inversión económica de seguridad, pasa por poner equipos y contratar consultorías de apoyo. Todos esos cacharritos amarillos, negros o de cualquier color, que tengan diodos led que parpadeen, eso si… es una inversión de seguridad.

El mundo de la gestión me ha obligado a pensar en otra cosa. Seguridad global de la compañía. Que complejo suena.

Yo tomo mucho café al día, y uno de estos días, en una empresa donde trabajaba, tenia como compañeros de maquina de café al jefe de ventas y a un comercial que hablaban y alardeaban del buen contrato que habían conseguido con un cliente. Se enorgullecían que pese al bajo coste de un producto, habían podido venderlo a un precio elevado.

También había en la zona de cafés y zona de fumar mas personas, en las que no presté atención porque no los conocía. Lamentablemente parece que uno de ellos trabajaba para el cliente del que estaban hablando y pocos días después, ese contrato se rompió.

Como bien indica la ISO 27001, la seguridad no es solo válida para componentes informáticos. Un competidor ahí, hubiese robado al cliente sin necesidad de cyber-terrorismo, La única arma de ataque hubiese sido… tener ganas de tomar un café.

Como conclusión, indicar que creo mucho mejor inversión, gastar una buena parte del presupuesto en formar a los empleados de mi compañía en una campaña de concienciación de seguridad… que solo poner políticas de firewall y preocuparme solo de que no usen emule.

Saludos

martes, 20 de abril de 2010

Código abierto… Poco control y demasiado caro

Jose EspinalAlgo que debemos controlar con referencia a la seguridad, es la propia seguridad del software de código abierto. Me ha tocado trabajar con un producto de código abierto, bastante conocido, y me he encontrado algo que me hizo reflexionar.

Cada muy pocas semanas, el código es actualizado y cuando quieres bajarte el software tienes la versión actual. Parece algo fantástico, pero los problemas llegan cuando has preparado, verificado y trabajado con una versión que tiene unas semanas de antigüedad. Si, estas caducan antes que los yogures.

Algo prioritario es guardar y conservar la versión del software con la que trabajar. Si no es así, probablemente no puedas volver a descargarla pasado algún tiempo. Y empezamos a pensar… Una versión de hace 1 mes!!! estoy desactualizado?

Luego, llegan las dependencias del software. Aplicaciones web que se basan en otros productos de software (también libre) que también se actualizan frecuentemente y salen versiones nuevas. Tienes una copia de la versión del día que te hizo falta? pues estas en un lio, porque ya la han quitado de la web por obsoleta.

Estos sitios web que son actualizados tan frecuentemente (creo que más de lo debido) generan demasiada confusión. Desde un usuario final hasta un administrador de sistemas experimentado. Como todo es tan fácil, tan abierto y todo el mundo ayuda a la vez (con algo de falta de control), pues me voy a la web, descargo el procedimiento que tienen publicado y descargo el producto y voy a buscar las dependencias de otros software que son necesarios.

El procedimiento es para la versión 1.9.5 y tengo la 1.9.8, bueno, será igual… Pues no!! tienen menús distintos y preguntas distintas. Ahora PHP… pues no… los archivos han cambiado de situación y tu versión descrita en el procedimiento ya no está disponible. Después la base de datos, e ídem de lo mismo.

Ya lo decía aquel anuncio, La potencia sin control, no sirve de nada.
Voy a trabajar… el doble? el triple? Pues sinceramente, creo que mas. Tengo que descargar todo lo actual, hacerme mis propios procedimientos y no actualizar hasta que sea estrictamente necesario.
El software libre es gratuito, pero mi esfuerzo…. también lo es?

jueves, 11 de marzo de 2010

La importancia del Centro de Servicio

OLYMPUS DIGITAL CAMERA         He leído una noticia de una conocida compañía, en la que pretende conseguir una interesante cuota de mercado. Esta compañía tiene una competencia feroz, en la que los productos se presentan baratos y una calidad de servicio alta. Sinceramente no creo que técnicamente su servicio sea mucho mejor, aunque tampoco peor, y así, la compañía tiene una posición en la que creo que es difícil crecer.

Curiosamente, han apostado por un centro de servicios de calidad. Un centro de servicios que no te mareen demasiado y que puedan atender a dudas. Aquí si pienso que han encontrado una característica diferenciadora del resto de competidores y que los deja en buena posición.

No sé si ha sido mi inquietud por probar o mi descontento con la compañía anterior, pero he contratado el servicio y mi sorpresa ha sido comprobar que era cierto lo que decían. Tienen personal cualificado que ha sido capaz de responder rápidamente y con respuestas efectivas (coloquial y técnicamente) a mis preguntas y resolver mis dudas.

La apuesta creo que ha sido muy dura. Le han dado una importancia considerable al centro de servicios y han escogido personal que pienso que tienen estas características. No perder los nervios fácilmente, saber articular, conocimiento del producto, conocimientos de todos los servicios y un gran periodo de formación. Con todo esto, transmiten cordialidad y un espíritu de ayuda que agradecen los usuarios cuando llaman, porque cuando llaman los usuarios es por tener problemas en sus servicios.

En la compañía que usaba anteriormente, mis llamadas al centro de servicio fueron lamentables. Dificultad para comunicarme con ellos era una razón. Otra razón era que me escalaban continuamente (en vez de escalar incidentes, escalaban a los clientes) y sinceramente era descorazonador los tiempos de espera para que me atendieran y las respuestas que me daban. Siempre tenia ganas de decirles a la primera persona que hablaba conmigo… “no voy a hacer un ping, pásame a vuestro departamento experto!!”.

Espero que a esta compañía les vaya muy bien con su acción. Si no modifican los servicios creo que continuaré con ellos bastante tiempo.

Saludos

sábado, 6 de febrero de 2010

Informe de Daños

Pues si, hay que admitirlo.... nos han atacado.

Esta frase no es muy leida/oida. Parece que un ataque daña más nuestro ego que nuestros datos, pero es una frase que cuesta dinero. Ese dinero, va normalmente en prestigio de la compañía. Imaginese que en nuestra compañía de seguros, adsl, banco/caja etc nos dijeran lo siguiente.

Hemos recibido un ataque y han robado la base de datos de cliente.

Suena muy de pelicula, pero el hecho es que si mi compañía de ADSL me dijera esto, probablemente yo buscaría otro proveedor de servicios, y como yo otros tantos, así que el daño real del ataque se quedaría no solo en "copiar" un fichero del que tengo backup, sino en una perdida de clientes en la que tardaría mucho tiempo en recuperarse. De ahí que pocas veces una compañía haga publico su "informe de daños"

Si el ataque hubiese sido menos critico, algo así como... El atacante nos produjo una parada de servicios que se ha restaurado en 48 horas.

Tambien pensariamos que mejor, cambiar de proveedor, no vaya a ser que reciban otro ataque. Así que mejor no difundir que hemos recibido un ataque.

Y bien, hasta aqui la opinion publica o el mensaje a difundir externamente... pero internamente??

Pues casi igual, tenemos que tener en cuenta que aunque sean empleados, deben tener la información justa. En el caso del departamento de seguridad e Infraestructuras la cosa cambia, pues serán necesarios la revision e intentos de sabotaje en la considerada zona militarizada.

Así debemos realizar estudios internos exaustivos para comprobar las distintas areas internas y las consecuencias para conocer el Riesgo.

Recomiendo una lectura de los servicios secretos del gobierno de los Estados Unidos que creo que será interesante.
http://www.secretservice.gov/ntac/its_report_050516.pdf

Aunque sea el Servicio Secreto, es un documento no-secreto.

Saludos

ISO 27001 o la seguridad bajo control

En la mayoria de los casos, la seguridad suele ser firewalls, configuraciones de dispositivos y politicas en servidores y estaciones de trabajo. Esto es lo adecuado para técnicos de sistemas y sus responsables.


Pero cuando miramos mas arriba, normalmente en responsables de seguridad y sistemas, la cosa cambia, pues hay un monton de aspectos que no se tienen en cuenta. Y son estos los que las normativas nos va a recordar y ayudar para que se cumplan.

Probablemente tengamos una buena configuración en cuanto a las directivas y restricciones de accesos internet, pero quien tiene en cuenta que un empleado puede sacar ficheros y datos en general desde un dispositivo USB? Aunque las politicas en ficheros en discos duros sean las mas adecuadas, ¿Quien se responsabiliza de acompañar al tecnico del fabricante y asegurarse de que un disco duro averiado no se saque de las instalaciones? ¿O quien destruye un disco averiado para que nos aseguremos que la información no podrá ser recuperada? ¿Y la informacion impresa en un papel?

Actualmente, vivimos una sociedad mas sensible a todos estos casos. ¿Quien no escuchó la noticia de informacion comprometida depositada cerca de contenedores de basura? Esta, por causas del destino, fué descubierta por personas que andaban por la zona y no se puede decir que se robara, pues una vez en la calle, esperando a los camiones de la basura, se podría decir que no es un robo recoger estos papeles.

Las normas, nos ayudan a hacer las cosas bien, y a cubrir las posibilidades en cuanto a todo esto que puede ocurrir. Estas, normas, recogidas por ISO y con el código 27001 nos explican como podemos controlar todo, para no dejar información de la empresa, al azar. Así, con una buena implementación de las normas, podremos pensar que estamos haciendo las cosas bien, mas allá de las politicas de nuestros dispositivos de seguridad.

Kevin Mitnick vs Tsutomu Shimomura

En las navidades de 1994 se produjo uno de los hechos que podemos decir, mas fascinantes desde el punto de vista de la seguridad informatica y probablemente un gran caso de estudio,


En esas fechas, quizas el hacker mas conocido del mundo intento robar ficheros a uno de los expertos mas conocidos de la seguridad y consultor famoso, Shimomura. Este hecho nos lleva a reflexionar sobre multiples aspectos a tener en cuenta a la hora de proteger nuestras redes, servidores y sobre todo, nuestros datos.

Resumo brevemente lo ocurrido.

Shimomura protegio sus sistemas en su domicilio, pues tenia en cuenta un posible ataque contra sus servidores, asi que al ser conocido, probablemente alguien intentara por fama "hackearle", este constaba de un servidor al que solo se podia acceder desde una maquina cliente, con lo cual empezamos con una relacion de confianza entre las maquinas internas. El sistema operativo cliente y el sistema operativo del servidor en ejecucion era un Sistema Operativo Solaris, de Sun Microsystems, especificamente la version 4 de este (SunOS4) y tenia una red conectada permanentemente a Internet, en la que tenia registrado el dominio "toad.com"

Aprovechando unas vacaciones de Shimomura en las que estaba de viaje en casa de un amigo en San Francisco, y Mitnick comenzo con su ataque.

Para empezar, ejecuto sentencias FINGER para chequear los usuarios tipicos de un sistema, y asi conocer que usuarios hay y las relaciones en las que los equipos confian entre si. Finger es un comando que te responde facilmente ante preguntas de usuarios.

Para continuar, realizo un ataque de denegacion de servicio DoS mediante SYN flood, asi consiguio bloquear en un primer lugar al servidor, de esta forma, el atacante silencia al servidor, que al silenciarse no puede generar ninguna advertencia.

Una vez silenciado el servidor, el atacante va a por la maquina cliente comprobando debilidades en la pila TCP, de forma que mediante SYN/ACK va aprendiendo como se establecen las conexiones en la relacion de confianza. Estos intentos de conexion se realizaban desde apollo.it.luc.edu,

Una vez chequeado, el stack tcp, el atacante encuentra una forma de conectarse y mediante spoofing, consigue simular al servidor atacado que no da signos de funcionamento y consigue abrir un socket o puerto en el cliente X.

Para finalizar, una vez abierta una sesion, usara #rlogin -l root" para tomar el control de la maquina cliente.

Este hecho, nos da que pensar cuando aprendemos algo mas del caso.

Kevin Mitnick no utilizo ninguna tecnica inventada por el, simplemente hizo uso de las herramientas que cualquiera puede encontrar en internet. Asi nos lleva a pensar lo peligroso que puede ser cualquier atacante. En cualquier formacion de seguridad, nos entregaran un CD con multiple informacion, links o herramientas que nos permitirian realizar este tipo de ataques.

Otro hecho relevante, es el ataque de denegacion de servicio usado por un joven de Canada, que interrumpio el servicio de varias empresas con presencia en internet tan conocidas como Yahoo o Ebay.

Como me dijo un amigo, la forma 100% segura de mantener servidores fuera de ataques, es desconectandolos y apagandolos. Esto es cierto. Cualquier servidor conectado a Internet ya esta expuesto y podria ser una victima. Pero lo realmente importante que tenemos que pensar, es en protegernos de este tipo de ataques, ya son conocidos y aplicamos parches de seguridad pero no estan del todo controlados.

La inversion en seguridad no nos lleva a pagar firewalls y configuraciones de seguridad solamente. Nos lleva a aprender mas cosas como la seguridad que debemos aplicar para defendernos de la ingenieria social, que tantos fraudes ocasiona.

Bueno, pronto hablare mas sobre otras vulnerabilidades.

Finalmente, Kevin Mitnick fue arrestado por el FBI por la demanda de Shimomura al haber robado ficheros con informacion importante. Como referencia dejo el nombre del libro: Takedown: The pursuit and capture of Kevin Mitnick, America's most wanted computer outlaw - by the man who did it. ISBN 0786862106 publicado por Hyperion en Febrero del 1996.