Páginas

miércoles, 18 de enero de 2017

Que pesaditos con nuestra privacidad en las aplicaciones

Y una y otra vez, y seguimos diciendo que las aplicaciones son seguras o no, que venden nuestros datos o no lo sabemos si lo han hecho aun, pero de cualquier forma las utilizamos.
Que una aplicación como Whatsapp no sea segura y que sigamos usándola, por comodidad, porque nuestros conocidos la tienen, por que no nos preocupa que lo que decimos sea espiado, ...

 Decir que no te interesa la privacidad porque no tienes nada que debamos ocultar, es como decir que no te interesa la libertad de expresión porque no tienes nada que decir. Edward Snowden

Que Google utiliza nuestra información es algo que ellos mismos afirman, que otros lo hacen cuando justamente dicen lo contrario, es algo que podríamos suponer y se ha confirmado. Ya lo dijo Snowden, pero el robo de Yahoo y los sucesos siguientes solo han sido una demostración de lo evidente. No solo que Yahoo daba la información al gobierno, sino que ciertas vulnerabilidades pueden ser usadas del mismo modo por los supuestos malos.


Hemos leído sobre casos donde una cadena de supermercados sabe si una chica está embarazada por las compras que realiza, cuando sus padres aún no lo saben, o que sepan tus gustos y el interés en ciertos productos por el tiempo que tu pasas en un lugar de la tienda, tus tendencias sexuales, religiosas o políticas por los clicks que realizas, donde estás y cuando estás, ... Toda esta información y mucha más se almacena en unos servidores, en la mayoría de los casos sin tu consentimiento / sin tu conocimiento y serán utilizados para fines que no te puedes ni imaginar. No te preocupes que esto es lo que los "buenos" están haciendo con esa información, pero deberías pensar que es lo que los "malos" van a hacer con ella, porque también pueden acceder a la misma, o que te crees que ¿solo es accesible por los "buenos"?.

 *El uso de buenos o malos en este texto, hace referencia a aquellos a los que les estamos entregando la información a sabiendas de la finalidad que esperamos que realicen con ella. Buenos no indica que estos proveedores solo empleen la información para el fin que nos han comunicado, aunque deberían.


Tu sabes que existe una red oscura, accesible mediante TOR, pero que a su vez se recomienda TOR para navegar de forma privada, con ciertos navegadores y con ciertos buscadores. En los últimos años, TOR esta siendo comprometida. ¿Crees que el afán de comprometer TOR es destruir los enlaces fraudulentos? ¿Crees que es un intento por romper la privacidad?. TOR no es tan segura como parece.

Las empresas están obligadas a cumplir la ley, pero eso no quiere decir que si la empresa tiene un documento que indica cumplir la ley, realmente lo haga. Básico, ¿no? pero parece que estamos convencidos que en realidad si tiene documento de seguridad, cumple. ¿Tu crees que Whatsapp no intercambia datos con Facebook?, si, cierto es que han indicado que lo iban a hacer y muchos países se han puesto en pie de guerra. Bueno, confía.


Con esta situación sobre la mesa aparecen día si día también aplicaciones que indican ser las más seguras y confiables del mundo. Herramientas como Telegram, por ejemplo, que no ponen su código fuente accesible para que sea auditable, lo que da mucho que pensar. Aplicaciones donde se cifra la comunicación entre ambos extremos, pero lo extremos han recibido el certificado sin intervención y el generador de los certificados podría tener una llave maestra. Es lo mismo que decirte, "Esta es tu clave que es super secreta y solo tu y yo la sabemos".

¿Entonces vamos a utilizar esas herramientas de código abierto y que dicen ser seguras? Bueno, pues "Trust but check". En principio es lo que debemos hacer, teniendo en cuenta que esas aplicaciones aunque tengan el código fuente publicado pueden haber sido o no auditadas y aunque hayan sido auditadas pueden tener vulnerabilidades en ese momento o en las siguientes actualizaciones o que las librerías que utilizan, tengan las vulnerabilidades que hacen débil la aplicación.

Se que no es fácil elegir un conjunto mínimo de aplicaciones seguras, pero te recomiendo que busques al menos aplicaciones tanto para ordenador, como móvil o tablet con los siguientes propósitos:
  • Cifrado de disco, memoria.
  • Conexión a Internet ocultando el lugar de origen de la conexión y la navegación que realizas.
  • Uso de cifrado en el correo electrónico
  • Herramientas de mensajería con certificados, a ser posible PGP o más fuertes. Incluir herramientas que oculten el contenido del mensaje de forma que no sea visible por personas que estén cerca (ofuscación). El mensaje recibido puede estar dentro de una imagen o texto diferente.
  • Descifrado del contenido "on the fly". La información esta siempre cifrada y solo es accesible momentaneamente. Suele requerir introducir la contraseña para visualizar el contenido cifrado pero no se almacena nunca cifrada.
  • Sobre todo para el móvil, contraseña de acceso al móvil muy fuerte
  • GPS, WIFI, Bluetooh solo cuando es necesario. Des-habilitar o limpiar los datos de posicionamiento de las fotos y otros documentos que pudiesen incluir la ubicación (ofimática), navegación

No eres la persona más importante del mundo, pero tus sentimientos, tu vida no es pública, ¿o sí?. Ya sabes que siempre podrás compartir la contraseña del email o los datos de tu tarjeta de crédito con tus vecinos y compañeros de trabajo, porque no tienes nada que ocultar. ¿No?
Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , ,

sábado, 3 de diciembre de 2016

Vulnerabilidades. ¿Tienes o no lo sabes?


Mucho se esta oyendo estos días de vulnerabilidades de unos y otros, ataques entre gobiernos, entre empresas, ...

Cuando hablamos de vulnerabilidades, por lo general, nuestro oyente esta pensando en aquellas vulnerabilidades de las que ya se ha publicado un parche para su solución, pero no solo hay ese tipo de vulnerabilidades. En principio podríamos diferenciar entre vulnerabilidades conocidas y desconocidas.
  • Las desconocidas, tendríamos a aquellas que existen pero aún no han sido descubiertas o publicadas. El riesgo sobre todo está en aquellas vulnerabilidades que no han sido publicadas, pero si descubiertas, sobre todo porque podrían haber sido descubiertas por crackers.
  • Las vulnerabilidades conocidas son aquellas de las que se ha reportado su existencia al fabricante, foros de interés o públicamente. Dentro de las vulnerabilidades conocidas, tenemos:
    • Vulnerabilidades "zero day", vulnerabilidades descubiertas, pero sin parche que las corrija, que tienen un impacto muy alto si se llegan a materializar.
    • Vulnerabilidades conocidas sin parche. Vulnerabilidades de impacto bajo o medio y de las que tampoco existe una solución aún.
    • Vulnerabilidades conocidas y con parche o solución temporal, pero no se ha implantado.
    • Vulnerabilidades conocidas, corregidas e implantadas.
Desconocidas
Conocidas

Sin Parche
Toda vulnerabilidad no conocida no tiene parche.
Zero-day
Requieren acción:
·    Desconocidas. Procesos preventivos (concienciación)
·    Zero-day y Otras. Principalmente procesos alternativos y monitorización.
·    Conocida con parche. Planificación, pruebas y actualización
Otras (impacto medio o bajo)
Con Parche

Aún no hemos actualizado
Se ha actualizado
·    Monitorización del rendimiento de las actualizaciones.

Ejemplo de Ventana de Tiempo. Vulnerabilidades deconocidas / Vulnerabilidades conocidas




Bajo esta introducción, podemos darnos cuenta que pese a tener todos los parches o soluciones existentes frente a las vulnerabilidades de los sistemas y aplicaciones que nos rodean, podemos seguir siendo vulnerables. Ya sea por aquellas zero day o por las vulnerabilidades desconocidas. Por lo que la aplicación de las mejores practicas en seguridad y concienciación en el uso de los sistemas de la información es primordial.

Uno de los mayores vectores de ataque existentes es sobre los navegadores de internet. Aprovechando las vulnerabilidades existentes en los mismos o en sus diversos plugins. Estamos hablando de los navegadores en general, no solo los utilizados en el ordenador sino también en los móviles, tables o cualquier dispositivo conectable a la red.

En estos casos es importante el conocimiento, por parte del usuario, sobre que información debe acceder, fuentes confiables, verificar el origen de la información y links destinatarios.


Un enlace en un correo electrónico o en cualquier otro medio, puede aparentar una web confiable, como la de Microsoft para descargar un software valido y sin embargo estar apuntando a una web intermedia donde descarguemos un troyano o ejecute un script sobre nuestro navegador que conceda permisos de administrador o cualquier otra acción no prevista. Las url cortas de las que no sabemos donde dirigen, aunque alguien nos haya dicho donde van, pero de las que podrían dar acceso a una web maligna o incluir un intermediario maligno.

Emplear gestores de actualizaciones debe ser una necesidad. En los gestores de actualizaciones podríamos validar las actualizaciones para el entorno de pruebas, donde confirmar que tanto la actualización como las aplicaciones existentes en la organización siguen funcionando según lo previsto. Una vez realizada la comprobación podremos permitir las actualizaciones a los equipos de producción tanto servidores como usuarios finales.

Las vulnerabilidades existen y existirán y por tanto debemos seguir implementando las mejores practicas, pero más aun si cabe, saber como usuarios, que es lo que podemos hacer y lo que no. Y ante la duda, evitar el acceso. Se requieren políticas muy fuertes en cuanto a prevención, detección y gestión de vulnerabilidades.

Ya sabes que "el nivel de seguridad se mide por el punto más débil". No seas el punto más débil. Confía pero comprueba, siempre comprueba.

Publicado por en No hay comentarios:
Etiquetas: , , , , ,

viernes, 23 de enero de 2015

¿Que esperaría del CIO?

Aunque creo que todos sabemos quien es el CIO, no esta de más indicarlo, para partir de un punto de partida común. De paso introduzco otras abreviaturas comunes. Solo indicar que no están todas y que posiblemente en algunas empresas no se reconozcan los mismos roles para todas ellas.

  • CEO - Chief Executive Officer - Director Ejecutivo o Gerente. 
  • COO - Chief Operations Officer - Director de Operaciones. 
  • CFO - Chief Financial Officer - Director Financiero. 
  • CHRO - Chief Human Resource Manager - Director de Personas y relaciones empresariales. 
  • CMO - Chief Market Officer - Director de Marketing. 
  • CAO - Chief Admin Officer - Director Administrativo. 
  • CIO - Chief Information Officer - Director de la Información. 
  • CRO - Chief Risk Officer - Director de Riesgos. 
  • CSO - Chief Security Officer - Director de Seguridad 


Pues empecemos. Sería idílico que estos roles existieran en toda organización, pero el tamaño de algunas empresas impide la existencia de ellos por lo que muchos de ellos se asumen por la misma persona. Estos roles son cargos directivos en la organización. Por lo tanto, su existencia, debería suponer que se les va a informar de los rumbos que va a tomar la organización para que ellos puedan aportar a la misma mejoras o advertir de los riesgos, que permitan reconducir el camino o detenerlo. Ellos ayudarán al CEO a tomar ese rumbo.

Por lo tanto, son personas que deben de conocer de la materia funcional y como dirección. En el caso que nos ocupa, el CIO, como habíamos indicado se encarga de la Información. Pero no de la información simplemente, sino de la Información y sus sistemas. 

Esta persona, por lo tanto debe conocer ampliamente las necesidades que una organización requiere de sistemas de la información y más aún, formas en las que desde Sistemas de la Información se pueden conseguir los objetivos de la organización.
Eso quiere decir que debe ser un experto en programación, riesgos, seguridad, análisis de datos, ..?.
No. Debe conocer lo que se puede obtener y lo que se debe obtener (best practices). Debe de saber hablar, expresar y convencer al CEO y seguramente a la Directiva. Los valores que se están aportando en las más exitosas organizaciones mundiales van siempre acompañadas de un lazo muy estrecho entre CEO y CIO.

¿Y si la organización no tiene CIO? Pues esa responsabilidad la debe asumir otra persona. El problema es, si esa persona conoce suficiente de Sistemas de la Información para apoyar al negocio o si por el contrario se va a tener que apoyar en asesores internos o externos, donde ellos van a tener que realizar ese trabajo y nos enfrentemos a un nuevo reto.

Supongamos el caso que el CAO asume también las responsabilidades del CIO.
  • El CAO deberá detectar en las reuniones de dirección aquellos puntos desde los que sistemas de la información puedan ayudar a la organización. 
  • En el caso que los detecte correctamente, deberán transmitírselos a sus asesores para que le den opciones de valor para la organización.
  • Los asesores una vez definidas las opciones, tendrán que transmitírselas al CAO y convencerle de las ventajas de unas y otras y posiblemente transmitirle el valor que cada una de ellas tiene para la organización para que realice la selección de las mejores
  • Las opciones que el CAO haya determinado las transmitirá a la organización y deberá de convencer al resto de gerentes de sus ventajas y riesgos frente a otras.
Como indicaba, se puede observar en este caso unas debilidades muy significativas para que las oportunidades de la organización a considerar sean todas tenidas en cuenta y aporten el valor necesario.
Algunos de nosotros nos hemos enfrentado mas de una vez a esta situación. Donde la opción prioritaria es anulada, prefiriendo otras por su perspectiva propia, para tras ser analizadas por la dirección se solicita de nuevo un modelo similar cercano o igual a la opción prioritaria.




El CIO, y por su amplia relación con los Sistemas de la Información que comentaba, requerirá de:
  • Alto conocimiento del idioma Ingles y del idioma local. Aunque podemos encontrar mucha documentación en Español, en la mayoría de los casos las normas, frameworks, best practices aparecen en Ingles. La inmensa mayoría de los proveedores también van a requerir comunicaciones en Ingles, aunque va cambiando. Y por su puesto los clientes, tanto internos, personal de la organización a la que ofrecemos servicios, como externos para aquellos que nos compran. En un mundo en el que nuestras organizaciones trabajan por diferentes países, y donde el Ingles se impone en la mayoría de casos como denominador común de entendimiento entre todos ellos.
  • Por lo tanto, conocimiento de las best practices y algunas de las certificaciones al respecto. CGEIT, CISM, CRISC, PMP, PRINCE2, COBIT, ITIL.
  • Elaboración de presupuestos, control financiero y control de activos. El departamento tendrá que rendir proponer un presupuesto y gestionarlo correctamente, para rendir cuentas ante la dirección de la empresa.
  • Gestión y control de las personas del departamento y externos. Tanto las necesidades del equipo, como las tareas a desarrollar de forma ordenada.
  • Administración de proyectos y programas. Debe de establecer los planes del departamento con una visión primaria en los objetivos del negocio y estar al tanto de los proyectos y programas de la organización para su gestión, seguimiento y posible mejora. Revisión de los riesgos de TI vinculados a cada uno de ellos, ... Tener en mente los avances tecnológicos, los riesgos, la continuidad del negocio, los proyectos de seguridad (dependiendo de la existencia o no del CISO y de la relación entre ambos, debe de existir una muy buena comunicación entre ambos).
  • Administración de operaciones y entrega de servicios. Analizar la calidad del servicio, posible mejora del mismo, personal encargado, indicadores, ...
  • Implementación y administración de métricas y presentación de información. Para conocer el estado del departamento e informar de ello va a ser necesario haber establecido previamente las métricas y objetivos para luego recogerlos, prepararlos y presentarlos adecuadamente a la dirección de la empresa de forma que den valor a la misma.
  • Administración del ciclo de vida del desarrollo de tecnologías de información. Estar al corriente y asignación de las personas y recursos necesarios para que el desarrollo siga el plan previsto y solventar los posibles desvíos que surjan según las necesidades de la compañía.
¿Crees que falta algún matíz?

Publicado por en No hay comentarios:
Etiquetas: , , , , , , , , , , ,

martes, 6 de enero de 2015

Contratos. Alta fácil baja difícil. Seguridad del hogar

Seguro que alguna vez hemos conocido lo difícil que es darse de baja de un servicio de telefonía, aunque ya se han puesto muchos mecanismos para facilitar tal proceso. Pero nunca jamas me hubiera imaginado la situación con un sistema de videovigilancia / alarmas de hogar, hasta que le pasa a un conocido y te la cuenta.



Pues el caso que he revisado, y que espero ponerle fin, aunque tocará pasar por denuncias, es que mi contacto tiene una casa en la que una persona que estuvo viviendo allí dio de alta un sistema de alarma con vídeo vigilancia.
Tras varios años el propietario de la casa que vivía allí, llega un momento que no quiere tener dicho sistema instalado en su hogar.

Pues, llama a la casa de seguridad y le indica que den de baja el servicio instalado en su hogar. La empresa le solicita la contraseña de seguridad del servicio que el desconoce y lo que le proponen es enviar un documento a su domicilio con el proceso de recuperación de contraseña, pero le informan que necesitaran que además de la contraseña les envíe el DNI de la persona que dio de alta el contrato.

Entonces, la empresa, ¿va a seguir teniendo un sistema de vídeo grabación en ese hogar, sin haber recibido autorización del propietario del domicilio, o haber solicitado un documento de alquiler o similar?

La contestación, es que ellos no acceden a la grabación. Bueno, si, cuando salta la alarma. Bueno o también si existe alguna vulnerabilidad en su sistema que les permita acceder a ellos o a cualquier otro y ver lo que sucede en el interior de la casa. Por ejemplo.



Entonces, esta empresa llamada Securitas Direct, no hace nada para preocuparse quien da de alta el servicio en un hogar. Como si es la mujer de la limpieza o el "chispas" que están por allí esos días. Dan de alta el servicio, se encargan de pagar y listos. Ellos mientras cobren les da exactamente igual si el que instala el servicio esta autorizado o no para hacerlo y mucho menos de solucionarlo o de poner un remedio a una situación alegal. Todo por la pasta.

Si, como indicaba antes, existe una vulnerabilidad en su sistema y sin producirse un salto en el sistema de alarmas, alguien puede acceder a lo que sucede en ese hogar, ¿quien es el responsable? ¿Quien dio de alta el contrato? ¿Ellos?

Aviso al consumidor: Lo que si esta claro es que en su sistema de alta hay una vulnerabilidad muy grave para los clientes, y no esta justificada de ninguna de las maneras.
Publicado por en No hay comentarios:
Etiquetas: , , , , ,
Suscribirse a: Entradas (Atom)