Sevilla Sec&Beer

– He oído hablar de un tipo que entró en un banco federal con un teléfono portátil y se lo entregó al cajero. El tipo que esperaba al otro lado de la línea le dijo al cajero: «Tenemos a la hija de este hombre, y si no le da ahora mismo todo su dinero, vamos a matarla».
— ¿Y funcionó?
— ¿Que si funcionó? ¡Joder si funcionó! El tipo entra en el banco con un teléfono, nada de pistolas, nada de escopetas…, sólo un jodido teléfono, limpia el lugar y nadie levanta un jodido dedo para impedírselo.
— ¿Le hicieron daño a la niña?
— Pues no lo sé. Probablemente, ni siquiera habían secuestrado a ninguna niña. Pero lo importante de la historia no es la existencia o no de la niña, sino el hecho de que robaron el banco con un teléfono.

Los teléfonos modernos están llenos de posibilidades para pasar un buen rato: ebooks, juegos, fotos, vídeos, Internet, etc. Y, como no podía ser de otra forma, para los que nos dedicamos a seguridad también hay algunas aplicaciones que nos pueden entretener en un momento dado.

Os voy a contar qué hago yo con el teléfono por hobby con el objetivo de mantenerme un poco al día y a la vez aumentar mi conocimiento del mundo que nos rodea.

Cuando llego a algún sitio y me acuerdo, cojo el teléfono y miro a ver qué redes Wi-Fi hay cerca que pueda usar. Te puedes encontrar con varias situaciones:

• Que la conexión a la red inalámbrica no necesite autenticación y te permita navegar
• Que la conexión a la red inalámbrica no necesite autenticación pero haya un portal cautivo que te impida navegar si no introduces un usuario y contraseña válidos
• Que la conexión a la red inalámbrica necesite autenticación, en cuyo caso puede ocurrir que sea una de esas redes con contraseñas por defecto del operador o no

Para este último caso, yo uso PulWifi o Router Keygen que dan bastante buen resultado (para Android). Los amantes de las manzanas pueden usar iWep.

Si conseguimos conectar a la red inalámbrica, podemos usar una aplicación como Fing (para Android) para ver qué otros equipos hay conectados. Tened en cuenta que, en el caso de portal cautivo, aunque no puedas navegar por Internet seguro que puedes ver todo lo que hay en el segmento de red al que te has conectado.

Y aquí es donde empieza la parte graciosa… Podéis probar en sitios con redes abiertas, por ejemplo, bares, centros comerciales, universidades, etc. y ver qué equipos están conectados. Os sorprenderá lo que se conecta a redes inalámbricas abiertas.

De aquellos equipos interesantes (por nombre o modelo) podéis hacer un escaneo de puertos (con Fing en Android, por ejemplo) y ver qué servicios tienen corriendo. Yo he encontrado servicios SIP, SAMBA sin contraseña, telnets, interfaces de administración sin contraseña (o con contraseña admin/admin, 1234/1234 y otros clásicos similares), cámaras web, impresoras, sistemas con VNC abiertos, etc.

Es triste encontrarse negocios con Wi-Fi con SSID y contraseña por defecto que son adivinables con el móvil y que la tienen en la red del resto de equipos del negocio.

No olvidéis conectaros a http://whatismyip.com o algún sitio similar para ver por dónde salís y poder hacerle un escaneo desde la tranquilidad del hogar. Podéis llevaros alguna que otra sorpresa de lo que se hace NAT.

Algunas herramientas que uso las podéis ver en esta captura.

Al final, el riesgo de estar en la misma red local que alguien con malas intenciones o que se aburre es alto. En algunos tipos de dispositivos Wi-Fi parece que es posible ‘aislar’ a los usuarios de forma que sólo puedan interaccionar con el punto de acceso y no ver al resto de usuarios (en ciscolés le llaman Wireless Client Isolation).

O eso parece porque la documentación no es muy buena y todavía no me he tenido la ocasión de probarlo en ningún punto de acceso. ¿Alguien lo ha hecho? ¿Es efectivo?

Esta semana, la buena gente del INTECO organiza la semana de la seguridad con el objetivo de promover y concienciar y otras cosas que ya @olyoly nos ha convencido de que no sirven para nada son muy útiles.

Es por ello que desde Sevilla Sec&Beer queremos contribuir proponiendo medidas acordes para que, durante esa semana, celebréis el éxtasis de la seguridad en vuestras organizaciones.

• Activar el salvapantallas con contraseña de todos los equipos para que salte cada cinco minutos (aunque haya actividad)
• Hacer que las contraseñas cambien obligatoriamente cada día y que incluyan números, letras, mayúsculas, símbolos y un carácter klingon
• Borrar cada día de forma aleatoria ficheros de los servidores, para ver si alguien se queja y para probar las copias de seguridad, que luego cuando pasa de verdad viene el tiempo de llorar
• Aplicar listas blancas en el proxy, dejando inicialmente la web de la organización y poco más, exigir que se solicite formalmente el acceso para cada nueva web
• Eliminar todos los permisos de los usuarios privilegiados y que tengan que justificar su ‘necesidad de conocer’
• Infectar equipos de la organización con virus y gusanos para comprobar la fiabilidad de los sistemas antivirus
• Hacer ataques de phishing a los empleados solicitando que introduzcan datos personales, contraseñas, tarjetas de crédito y luego creando una sección de la intranet en la que se publiquen los más pringados, por aquello de la concienciación graciosa
• Desactivar todas las aplicaciones web que no hayan pasado recientemente un análisis de seguridad… ups, que son todas… qué le vamos a hacer, todo sea por la celebración
• Cambiar todas las contraseñas de root y Administrador y sorprenderte al ver cuánta gente/scripts las usan
• Enviar las alertas del IDS a la cuenta del Director/Consejero/Comité o lo que esté más arriba de vuestra organización para que tenga muy presente las amenazas a las que está expuesto o, por lo menos, que se acojonen un poco

En definitiva, es un gran momento para demostrar a todos el valor de la seguridad.

Me despido deseandoos feliz semana de la seguridad a todos y ya nos contaréis qué habéis hecho para celebrarla.

Acabo de recibir mis credenciales para poder empezar a colaborar con este blog.  Ya sabía que me iban a conceder tan grande honor desde hace tiempo, por lo que llevo pensando desde hace varios días “a ver que demonios cuento en mi post inaugural”. En serio, casi ni duermo de la emoción . 

Tenía varias ideas rondándome la cabeza, interesantísimas todas, de verdad de la buena. Pero al final me he dicho a mi mismo “que demonios, que esto es España y aqui casi todo lo bueno empieza con unas cervezas”. Asi que nada, inauguro mi colaboración con el que durante muuuuucho tiempo será mi mejor “post”:  ¡convocatoria Sec&Beer!.

Los detalles, a continuación:

Lugar: Cervecería Internacional (por el centro, cerquita de Plaza Nueva y Calle Zaragoza)

Día  y Hora: Jueves 22 de Septiembre, a las 20.30 (si, lo se, tenía que haber avisado antes).

Tema inicial:

• Una cosa ligerita, que acabamos de volver de vacaciones: ¿qué proyectos relacionados con seguridad teneis en mente para los próximos 3 meses? 

Si quieres asistir a la reunión y aun no eres miembro puedes:

• pedirle a un miembro de Sevilla Sec&Beer que te apadrine
• escribirnos un correo a reuniones@sevillasecandbeer.org
• pasarte por allí, pedirte una cerveza y hablar con nosotros sobre seguridad

Te esperamos…

“Si el ratio de cambio fuera es mayor que el ratio de cambio dentro, el fin está cerca” Jack Welch

Entonces… ¿por qué nos empeñamos en imponernos trabas y enrevesados procedimientos internos para seguridad?

Y no estoy hablando sólo de las amenazas externas a una organización sino también a los cambios que sufre la propia organización y la habilidad para reaccionar del grupo de seguridad.

Así que, os animo a pensar cómo reducir al máximo vuestras trabas y complejidades porque de lo contrario… el fin está cerca.

– Sufre usted de un principio de securosis.

– ¿Es grave, doctor?

– Sí, y sus síntomas pueden agravarse si va ud. al Sec&Beer.

1. No esperes que cambie el comportamiento humano. Nunca.
2. No puedes sobrevivir únicamente con defensa.
3. No todas las amenazas son iguales, y todos los checklists son erróneos.
4. No puedes eliminar todas las vulnerabilidades.
5. Sufrirás intrusiones.

Uff. Vaya tela. Son interesantes. Puedes estar más o menos de acuerdo, pero parecen mucho mejores (y más prácticos) que otros diseñados por organismos internacionales.

Voy a comentarlos por separado, utilizando la propia explicación en la página y lo que se me ha ido ocurriendo, al leerlos.

El factor humano

Los humanos son complejos. En el diseño de controles hay que tener eso en cuenta. Así como en la presentación de iniciativas de seguridad.

"Os maldigo a todos"

Sobre cómo vender seguridad internamente y la importancia de apelar al ‘factor humano’ ya discutimos hace poco.

Respecto a considerar sociología y psicología en el diseño de controles de seguridad, os recomiendo leer ‘The new school of information security’ y ‘Managing the human factor in information security’.

Lo que está claro es que los humanos no somos ‘programables’ de una forma sencilla. No puedes esperar publicar una norma y que todo el mundo se la lea y la cumpla felizmente. Igualmente, tienes que considerar que el ser humano se adapta. Si tu control es molesto intentará evitarlo como sea. Si es complejo se encargará de buscar una forma de hacerlo más sencilla. Creo que a todos se nos ocurren muchos ejemplos.

En definitiva, adaptate al comportamiento humano de tu entorno, no esperes que cambie así por las buenas.

Más vale prevenir

Aparte de implantar mecanismos de defensa, también conviene implantar mecanismos de ‘inteligencia’ para conocer y evitar las posibles amenazas. Lo que dice Rich es que, una vez has recibido un ataque, tus medidas de defensa ya han fallado, por lo que ya no puedes depender de ellos.

Mientras más se conozca del entorno y de los ‘movimientos’ de los posibles agentes amenazantes (ya sean humanos o no) y se reacciona según esta información, mejor. No puedes sobrevivir únicamente con defensa.

Todo depende

Aunque yo no soy muy partidario (vale, nada partidario) de las metodologías de análisis de riesgos arcaicas tradicionales, sí creo que las medidas de seguridad tienen que responder a los riesgos a los que está expuesta la organización.

Y está claro que no todas las organizaciones son iguales ni sufren de los mismos riesgos ni la percepción del mismo es igual para todas. Por lo tanto, checklists que se hagan para una situación no tienen por qué ser válidos para cualquier otra. Es más, ni siquiera tienen por qué ser válidos pasado un tiempo, en el que haya cambiado esa situación.

Y ya sabemos todos que un mono con un checklist no es capaz ni de hacer una auditoría (bueno, es capaz, pero no va a aportar mucho valor). Hay que entender los riesgos… y eso no es fácil. Rich propone que te hagas un experto en esos riesgos, que realmente nadie conoce. Y no me extraña.

No todas las amenazas son iguales, y todos los checklists son erróneos.

La 100-ésima ventana

Por mucho que te empeñes no vas a poder subsanar todas las vulnerabilidades que conoces y seguramente haya otras que no conoces. Además, nuevas vulnerabilidades se descubren día a día, por lo que mantenerse actualizado es difícil.

100th window de Massive Attack

Además, arreglar vulnerabilidades, aunque necesario, es ir por detrás de la amenaza. Sería mejor implantar soluciones para evitar que se exploten amenazas, en vez de ir arreglando las vulnerabilidades que vayan saliendo.

0wned

Debido a que, tarde o temprano sufrirás una intrusión, tienes que prepararte para detectarla y reaccionar. Según Rich, el control más importante es la respuesta a incidentes rápida y efectiva.

La verdad es que poco se dedica a reaccionar o actuar frente al conocimiento que se tiene. Y es una pena. Porque muchas veces nos quedamos en análisis parálisis. Establecer los mecanismos para conseguir una rápida respuesta debe ser una de las prioridades de cualquier equipo de seguridad.

Recuerda, sufrirás intrusiones.

Colofón

Este listado condensa lo que este hombre ha aprendido en sus veinte años de dedicación a la seguridad de la información. Y no es poco. ¿Qué os parece? ¿Os identificáis con sus principios?

He encontrado esta tira de Dilbert en el interesante blog de The new school of information security.

“…that is not only meaningless… but also dangerously misleading”.

Podría estar hablando de un análisis de riesgos… me recuerda tanto a muchos resultados de consultorías y auditorías de seguridad….

El pasado jueves tuvimos el segundo Sevilla Sec&Beer. Os comento algunas impresiones así rápido.

El sitio genial, con una amplia selección de cervezas y hasta pudimos sentarnos y comer algo. Yo creo que el próximo también lo hacemos ahí, sino hay nadie que se oponga o no se nos ocurre antes un sitio nuevo, claro.

En cuanto a los presentes, pues se vieron caras nuevas aunque faltó alguno de los de siempre.

A diferencia de lo que podría pensarse no hablamos del omnipresente Esquema Nacional de Seguridad, bueno, no del todo, o sea, no mucho, vamos que algo así que se dijo pero así de pasada.

Principalmente se habló de dónde debería situarse la figura del responsable de seguridad dentro de una organización. Que si reporte a Dirección directamente, que si reporte al Secretario General Técnico, que no dependa del responsable de informática (por razones obvias), que si debe tener o no control sobre la operación de los elementos de seguridad, de los problemas de que se aleje de la realidad.

Quedó patente que, en cualquier caso, es un camino a andar y que dependerá mucho de cada responsable de seguridad buscarse las vueltas para poder alcanzar una posición adecuada en el organigrama.

Aparte de eso también se habló de Andalucía-CERT, de contratos en la Administración Pública, de los centros educativos, de la RCJA, de lo que se podría hacer (o no) con FireSheep en el NISA y de algunas otras cosas que no recuerdo o que se dijeron después de que me fuese (¿alguien que aporte más datos?).

Al final no se habló del segundo tema del día, que quedará como bote para el siguiente Sec&Beer junto con algún otro tema que propongáis.

En definitiva, una velada agradable después de una semana estresante (al menos para algunos).

“Esto no se puede contar… hay que vivirlo”

Gente alegre en la Feria/el Rocío/otras fiestas locales

Pues conociendo esta limitación, os hago una pequeña crónica de la, por fín, primera convocatoria de Sevilla Sec&Beer ™.

El sitio estaba tranquilito y, aunque no eramos muchos, eramos gente de calidad.

Echamos un ratillo bueno. Estuvimos hablando de lo humano y lo divino, del análisis de riesgos, de MAGERIT, de PILAR, de Mañas, de la forma en la que los humanos apreciamos el riesgo, del CCN, del Esquema Nacional de Seguridad, de Matrix, de spam y phishing y de lo difícil que es explicar las cosas, de los consultores y las consultoras, de blogs, de política, de iniciativas locales en materia de seguridad, de batallitas de unos y de otros, de certificaciones y certificados, de algunos de nuestros propios artículos y de ideas para otros, de medidas de seguridad en viajes y de cómo guardar dinero en tu casa.

En definitiva, de todo menos de lo que era el tema del día… no sé qué de la función de seguridad en la empresa.

Hasta hubo regalitos para los asistentes.

Entre una cosa y otra, se pasó el tiempo rapidísimo. Y aquí estamos, otra vez en el mundo y tiempo real… hasta que se convoque el próximo Sec&Beer.

Cuando veo iniciativas como el Esquema Nacional de Seguridad me parece que los creadores tienen buenas intenciones pero no tienen ni idea de cómo son las cosas.

Y no porque lo que digan sea ‘demasiado bueno para la realidad‘ sino porque la organización que proponen y la forma de acometer la gestión de la seguridad es bastante inútil, por no decir contraproducente.

Y no es que yo lo sepa todo. Que yo sólo tengo dudas. Creo que es más uno de esos casos de sesgo cognitivo. Al estar más cerca del problema y verme más afectado por él, tengo muchas más dudas y veo muchos más errores en la forma de abordar el ENS de lo que ven sus creadores, que dudo que se enfrenten a él de una forma directa.

Logo del ENS

Es lo mismo que pasa con las metodologías de riesgos como MAGERIT.
Aparentemente, para alguien que no haya hecho ni vaya a hacer nunca un análisis de riesgos y que se lo mire por encima, le parece muy razonable.

Sin embargo, cualquiera con dos dedos de frente que se haya puesto a hacer en serio un análisis de riesgos con MAGERIT y PILAR sabe que no vale para nada. Pero desde el MAP y el CCN les parece que es una metodología genial y siguen pagando por el desarrollo de la herramienta PILAR.

Es fácil hacer un marco de trabajo teórico que parezca ‘razonable’ y ‘lógico’, pero no todo lo que parece ‘razonable’ o ‘lógico’ tiene por qué ser cierto o puede llevarse a la práctica.

La cosa es que el otro día estuve viendo la película ‘Lo que queda del día‘ y me quedé con el discurso de mister Lewis que incluyo a continuación (extraído del libro, no de la película).

“Durante unos instantes reinó un silencio embarazoso hasta que, por fin, mister Lewis se puso en pie, sonriendo afablemente como era su costumbre… finalmente, volvió a sonreír y dijo: … me disculparán por lo que voy a decir, pero, a mi juicio, parecen ustedes una pandilla de ingenuos soñadores y serían unos caballeros encantadores si no se empeñasen en entrometerse en asuntos que afectan a todo el planeta. Pongamos como ejemplo nuestro anfitrión, aquí presente. En el fondo, ¿qué es? Un caballero, y supongo que en eso están todos de acuerdo. Un típico caballero inglés, recto, bienintencionado, sí, pero un mero aficionado…pero hoy en día los asuntos internacionales ya no pueden estar en manos de aficionados, y cuanto antes lo comprendan ustedes aquí, en Europa, mejor. Y ahora, amables y bienintencionados caballeros, permítanme que les pregunte algo. ¿Tienen idea de cómo evoluciona el mundo que los rodea? Ya forman parte del pasado los días en que se podía ser bondadoso…Hay caballeros como nuestro buen anfitrión que se creen con derecho a entrometerse en asuntos que no entienden. Se han dicho muchas tonterías estos días. Con muy buen corazón y muy buena intención, pero tonterías. Lo que necesitan en Europa son buenos profesionales que dirijan sus asuntos, y como no reaccionen pronto, están abocados al desastre. Ahora brindemos, caballeros, brindemos por los profesionales”.

El Esquema parece haber sido creado por gente que no conoce ni como hacer gestión de la seguridad actualmente ni como funciona la Administración Pública. Y, además, tienen el ego suficiente para pensar que son capaces de definir cómo tienen que gestionar la seguridad todas las Adminsitraciones Públicas de España.

Con esto sólo consiguen confundir en un campo que ya provoca bastante confusión per se. Claro que tiempo tuve para opinar cuando era un borrador y no dije ni ‘mú’. Aunque tampoco creo que me hubieran hecho ni *$#! caso.

De todos modos, leedlo y sacad vuestras propias conclusiones. No todo es malo del Esquema, pronto espero poder publicar un análisis del mismo donde valoro lo bueno y lo malo que tiene.

Os animo a echar un vistazo a esta presentación sobre cumplimiento del Guerilla CISO.

En la slide 36 podéis ver el enunciado de la Ley de Rybolov referida a la implantación de controles en un entorno de ‘cumplimiento normativo’ que os traduzco a continuación.

“Mi solución sólo es tan buena como la habilidad del auditor para entenderla”

Quisiera añadir el corolario de chmeee a la Ley de Rybolov, también llamado el cambio mínimo necesario, que enuncio a continuación.

“Cada requisito se cumplirá con la solución mínima con la que se pueda demostrar que es conforme al texto normativo, independientemente de la seguridad que aporte y aprovechando la ambigüedad del mismo”

En mi siguiente post os contaré un ejemplo real (y triste) del corolario. Y recordad “no hay mayor placer que cumplir sin cumplir“.