Cuando yo era pequeño mi padre me enseñó las reglas del ajedrez y, después de mi primera partida, yo dije “ya sé jugar al ajedrez” y mi padre me miró y me dijo “ aún no sabes jugar al ajedrez, tú sólo sabes mover las piezas“.

Algo similar pasa a menudo en el mundo de las TI y afecta considerablemente a la seguridad de la información.

Cada producto que utilizamos: dispositivos de red, equipos, sistemas operativos, herramientas, software base, aplicaciones, etc. requiere de un conocimiento que supera el simple montaje o uso de la interfaz de administración.

Por ejemplo, para gestionar un cortafuegos es necesario conocer cómo funciona la interfaz, qué conceptos se manejan (objetos, reglas, NAT, etc.) pero también es necesario conocer cómo usarlo, qué configurar, disponer de un criterio de configuración y de monitorización.

Lamentablemente, muchos cursos y manuales están enfocados a contar las opciones de los menús de la interfaz o las variables del fichero de configuración pero no enfocadas a definir y enseñar los criterios que deben seguirse para poner el producto en producción ni la estrategia de operación del mismo.

De hecho, mucha gente relaciona el saber de un producto o tecnología en conseguir instalarlo y echarlo a andar o en saberse determinadas opciones de los menús, cuando realmente no saben como instalarlo bien o como configurarlo adecuadamente. Y lo contrario, viene a ser cierto a veces también. El que sabe configurar Cisco, Juniper y CheckPoint pero te dice que sólo esos, que no otro producto de cortafuegos.

Bueno, no sé si me estoy explicando con esto pero, en esencia, lo que quiero decir es que hay una parte de estrategia en todos los productos y que cada uno requiere un estudio de la situación y de para qué quieres usarlo y requiere lectura de documentación, libros, presentaciones, etc. para comprender cuándo usarlo y cómo. De hecho, la mayor parte de las veces, la estrategia es independiente de los productos, por lo que si la conoces bien, puedes utilizar cualquiera con una pequeña curva de aprendizaje, ya que todos te deben permitir implementarla de una forma u otra.

El ejemplo del cortafuegos es bueno porque, pese a ser teóricamente sencillo, luego es difícil ver uno bien gestionado y configurado. Pero hay muchos más. De hecho, como decía arriba, cualquier producto que pongas en producción tiene un conjunto de consideraciones que hay que tomar y, normalmente, no ‘funciona sólo’ como te dicen los vendedores.

Y en algunos casos es hasta comprensible porque es difícil encontrar donde te cuenten la mejor forma de actuar, por ejemplo, gestión de logs, pero otros no tienen perdón.

A veces, cada uno tiene que encontrar el modo que le funciona para que lo que hace sea perdurable, sea mantenible, sea legible y sea seguro. Y eso requiere cierto esfuerzo que luego se ve recompensado.

Lo que no debemos hacer es dejar que esto pase, cosas medio configuradas, nada de estrategia, no conocer cómo monitorizar, etc. porque al final, tarde o temprano, ya sea por seguridad o por operativa, se acaba pagando el pato.

¿Y qué pasa? Pues pasa que no se atreve nadie a actualizar nada, ni a migrar nada, ni a tocar nada  y, cuando falla, nadie saber por qué y que cualquier cambio se convierte en un exorcismo.

En fin, creo que ha quedado más o menos claro lo que quería decir con eso, os dejo para que penséis si lo que hacéis es jugar al ajedrez o sólo mover las piezas…

En estos momentos hay gente que se pone títulos rimbombantes para sus puestos de seguridad. Llega hasta tal absurdo que alguien ha creado el ‘generador de nombres aleatorios para títulos de seguridad de la información‘.

Desde Sevilla Sec&Beer queremos promocionar un nuevo título que pensamos es mucho más realista para los tiempos que corren y que está más de acuerdo con nuestra forma de entender la seguridad: la figura del ‘Security Comedian‘.

En la siguiente viñeta Alan Moore explica perfectamente lo que queremos transmitir.

Pues trasladándolo al mundo TIC, visto lo mal que está todo, las malas decisiones que se toman, la mala implementación, las carencias en la aplicación de medidas de seguridad y la pesada deuda tecnológica que arrastramos (lo que hay ya no se puede cambiar fácilmente), creemos que ser el Security Comedian es lo único que tiene sentido.

Si alguna vez has sentido esa sensación de cámara oculta y has dicho “es coña, ¿no?” ante alguna situación de (in-)seguridad… es que hay un poco de Security Comedian en ti. Ya sólo necesitas asumirlo.

Y recuerda que, en este mundo hay dos tipos de personas, los que se ponen muy serios y te intentan timar y los que se lo toman a guasa pero te intentan ayudar. Desconfía de los primeros.

 

Pues eso, “cuando un tonto coge un camino, el camino se acaba y el tonto sigue”. En este caso el tonto soy yo. La linde es la necesidad de tener en cuenta las características socio/culturales de una organización para el desarrollo de sus modelos de gestión y marcos normativos de seguridad. (Pedazo de frase pedante que me he marcado, verdad?…)

Hace unos días, mi compañero Daniel Santos (no he pedido permiso a Dani para nombrarle ni citarle, espero que no le moleste) hizo una exposición magnífica sobre los proyectos que nuestro equipo desarrolla con pena y gloria a partes iguales.

Cuando habló de aquellos proyectos relacionados con el cumplimiento normativo (el compliance que diría un señor consultor) usó una cita de la película “Gladiator”.

Marco Aurelio y Máximo Décimo conversan: “¿Y qué es Roma Máximo?” “He visto parte del resto del mundo, es brutal, cruel y oscuro, Roma es la luz”.

Dani venía a decirnos que las normas son un instrumento útil para organizarnos y que sin ellas el caos hace nuestra existencia muuuuy complicada e incómoda.  Y esto, aplícalo al código civil, al código penal, al de circulación o a las políticas de seguridad.

Como digo, en el caso de las normas o políticas de seguridad es lo mismo, son muy útiles especialmente en situaciones que nos resultan ambiguas. Para un usuario con conocimientos limitados de la tecnología, la elección de guardar sus documentos en el servidor de ficheros o en local en su portátil es completamente ambigua. Con sus conocimientos no puede evaluar los pros y contras de cada una de las dos formas de proceder y las dos le parecen conductas válidas. Si en este caso existe una norma clara que le diga que toda documentación corporativa va al servidor de ficheros y la documentación personal se queda en su carpeta de documentos locales, la situación se des-ambigua de forma inmediata.

Sin embargo…. al igual que ocurre con las metodologías de gestión de seguridad  (ver la entrada de VIC Information Security Management Mediterranean Mode), en el desarrollo de políticas de seguridad cometemos el mismo error y desarrollamos normas como si nuestros usuarios fueran luteranos alemanes o individualistas norteamericanos. Ni las políticas ni la forma de hacerlas cumplir puede ser la misma aquí que en Londres.

A continuación voy a citaros un par de fragmentos de sendos post del blog politikon, que nada tienen que ver con la gestión de la seguridad de la información, pero sí con las diferencias culturales y la aceptación y cumplimiento de normas.

El primero sobre los alemanes Esa cultura que es Alemania II, cito traduciendo:

“La afición alemana por el orden, sobre la que a menudo se hacen bromas, ha demostrado ser cierta, dijo Carlos Baixeras, de 30 años. Un ingeniero que comenzó a trabajar cerca de Frankfurt hace 18 meses. “Hay reglas para todo”, dijo. “Hay una política de uso de la papelera.”

Y otro de nuestros amigos centroeuropeos Esa cultura que es Alemania III, cito y traduzco:

“Según el diario alemán Der Spiegel, la policía alemana disparó únicamente 85 balas en todo 2011… la mayoría de estos disparos ni siquiera fueron dirigidos a personas: “49 disparos de advertencia, 36 disparos a sospechosos. 15 personas fueron heridas, 6 resultaron muertas.”

Y ahora para comparar, una de nuestros cercanos (culturalmente hablando) primos griegos, Esa cultura que es grecia, cito y aviso que es un poco largo pero merece la pena:

“Resulta que el gobierno griego, en un momento de inspiración, decidió que era hora que la gente empezara a pagar un impuesto sobre propiedades para tapar el enorme agujero fiscal del país. Es un impuesto decente, bastante progresivo; los que tienen una casa más grande cobran más, etcétera. Como el sistema de recaudación griego es una verbena, el ministro de turno decidió que el impuesto se cobraría junto con el recibo de la luz. Todo el mundo necesita electricidad, al fin y al cabo; nadie va a quedarse a oscuras con tal de evadir dinero a hacienda.

Bueno, esto es Grecia. Primero, los sindicatos protestaron, montando un pollo tremendo, organizando desobediencia civil y llevando el tributo a juicio. La gente, lisa y llanamente, prefirió dejar de pagar el recibo de la luz antes que (horror) pagar un miserable duro al gobierno. La compañía eléctrica (pública, como todo en ese país), que ya iba justa de dinero, tuvo que ser rescatada de mala manera por el gobierno ante la barbaridad de gente que sencillamente dejó de pagar por el suministro completamente. Para acabarlo de arreglar, un tribunal decretó que cortar la luz a alguien por no pagar un impuesto es ilegal, así que el gobierno ha acabado no viendo un duro del nuevo tributo y encima gastándose una millonada para cubrir las pérdidas.

La cosa, sin embargo, no se queda aquí. La eléctrica ha decidido que esto de aplicar la ley no va con ella, así que este año ni va a intentar cobrar el impuesto. El gobierno griego, como ni está ni se le espera, no ha dicho nada, así que tenemos un impuesto (otro más) que está en los libros pero que todo el mundo va a ignorar olímpicamente”

Creo que sobra que os haga la analogía con la normalización de seguridad.

¿Qué modelo de desarrollo normativo creo que puede funcionar en nuestro entorno? Os lo cuento en mi próximo post…

Siempre que empiezo alguna auditoría de seguridad resuena en mi mente el Private Investigations de Dire Straits. Esta canción retrata la investigación de un detective privado y cómo lo que descubre le va afectando emocionalmente.

Como supongo que muchos de los que trabajamos en seguridad nos sentimos identificados con esto, he hecho algunas leves modificaciones en la letra de la canción para incluir elementos de seguridad. Os la dejo aquí:

It’s a mystery to me – the game commences
For the usual fee – plus expenses
Confidential information – it’s in a database
This is my investigation – It will last a few days
I go checking out the reports – digging DNS
You get to know all tools in this line of work
Unhardened services – there’s always an excuse for it
And when I find the reason I still can’t get used to it
And what have you got at the end of the day?
What have you got to take away?
A couple of XSS and a new set of lies
Blind SQL injection and a pain behind the eyes
Scarred for life – no compensation
Security investigations

Os dejo un vídeo de la canción para que podáis escucharla…

Leaven: ¿Qué hay ahí fuera?
Worth: Estupidez humana ilimitada.”
Cube.

Impresionante la última saga del cómic ‘The walking dead‘ (En español: Los muertos vivientes). Os sonará por la serie de televisión. Aunque no le hace del todo justicia, el cómic es bastante mejor.

En el último número, publicado esta semana, el personaje principal de la serie, Rick Grimes, comprende por fin una gran verdad. Y es que, como diría mi primo Daniel, es el único cómic de zombies en el que los vivos dan más miedo que los muertos.

Siempre han sido las personas las que han causado los problemas, los muertos… son sólo una amenaza controlable

No he podido evitar hacer la analogía con la gestión de la seguridad. Os dejo la viñeta en la que Rick confiesa, para su pesar, este hecho.

Y para los que no conozcáis el cómic, os recomiendo su lectura. Los autores hacen un recorrido sobre el comportamiento humano en situaciones límite que te hacen reflexionar sobre ti mismo, cuáles son tus prioridades y cómo es tu relación con la sociedad.

Al principio de la película Conan el Barbaro, Thulsa Doom es un hacker (véase cómo hackea la cabeza del padre de Jorge SanzConan).

Después de esto, Conan pasa toda su juventud aprendiendo a hackear, participa en concursos de CTF y, la verdad es que no se le da nada mal. Incluso tiene que luchar contra un troyano que intenta infectarle mediante el reclamo del sexo.

Su objetivo es ser un hacker mejor que Thulsa Doom para ganarle en su propio terreno y vengar el hackeo de su padre.

Ya formado y preparado, se dirige a vengarse de Thulsa Doom. Pero para su desconcierto y sorpresa, Thulsa ha dejado de ser un hacker underground. Hace tiempo que colgó los exploits y los cambió por aspectos de gestión.

Ahora Thulsa gestiona un equipo inmenso de personas para los que sus normas y procedimientos son ley y los cumplen a rajatabla. Como le explica a un Conan desconcertado, eso es el poder y no el ir por ahí hackeando.

Sin embargo, esta nueva cara del Sr. Doom no engaña a Conan, que ve cómo Thulsa sigue siendo maligno y no olvida cuando hackeó a su padre ni reduce sus deseos de venganza.

Hacia el final de la peli y pese a todos sus esfuerzos organizativos y su magia negra de gestión, Thulsa y su organización acaban siendo hackeados por Conan, que finalmente consigue su ansiada victoria.

PD: Debo la idea de una interpretación distinta de esta película a mi primo Juan Manuel, que me inspiró para convertirla al campo de la seguridad.

Wittgenstein dijo que la filosofía es una lucha contra el embrujamiento del entendimiento por parte de los medios de nuestro lenguaje. Eso pienso yo también de la seguridad de la información. Hay veces en las que simplemente es imposible entenderse con alguien (usuario, cliente, comercial, etc.) debido a que no entendemos  lo mismo para las mismas palabras.

Debe ser uno de esos sesgos cognitivos o simplemente se trata de que usamos palabras comunes en un entorno especializado donde tienen un significado mucho más concreto. Véase como ejemplo el propio concepto de seguridad, que evoca pensamientos completamente distintos según a quién le preguntes.

Un buen uso de los términos de seguridad ayuda a diferenciar a un buen profesional de seguridad de uno malo. Yo lo he usado en mi cuestionario para entrevistas. Además ayuda a reirse un rato (o llorar) cuando vemos barbaridades escritas relacionadas con seguridad.

Y de eso es de lo que va este post, realmente, aunque la intro me ha salido muy filosófica. En los últimos días he recibido varios documentos que han suscitado por igual mi sonrisa y mi lamento y que paso a comentaros a continuación.

La amenaza del SSL

Esto es un texto de un pliego de condiciones técnicas para la construcción de una aplicación web. El texto es horrible. Lo más hilarante es que identifica la autenticación sobre HTTPS como una amenaza.

El técnico especialista

Nos llegó por fax este esperpéntico curso de seguridad en la empresa.

El texto no tiene desperdicio… Estoy convencido de que después de este curso los alumnos podrán bloquear sistemas operativos poco seguros o hacer frente a todas las amenazas importantes del correo electrónico, el ordenador, internet y las redes inalámbricas.

El código encriptado

Este folleto nos anima a leer el mensaje encriptado con nuestro teléfono, aunque realmente se trata de una codificación QR.

Este tipo de mensajes confunde y hace pensar que, si algo no se entiende a simple vista, está cifrado, cuando no es así.

Por no decir que encriptar no existe, es una mala traducción del inglés, el verdadero término es cifrar.

Adiestrando usuarios

Por último, en otro pliego para una oferta sobre LOPD se solicita ‘adiestramiento de usuarios’. Los que se presenten espero que hayan considerado los costes de las galletitas dog-chow :).

¿Para cuándo una ley de uso correcto del lenguaje en cuestiones de seguridad?

  • la cerveza: mientras más bebes más te gusta pero más borracho estás.
  • los pañuelos: los usas para limpiarte cuando tienes mocos porque no eres capaz de curar el resfriado.
  • la felicidad: que es algo que se recuerda.
  • perdidos: te pasas un montón de años teniendo aventuras pero al final no te enteras de nada.
  • el tenis: que si no vas ganando, es que vas perdiendo.
  • los pañales: dado que no puedes educar al implicado, al menos intentas que no lo ponga todo perdido.
  • la filosofía zen: todo el mundo cree saber de qué va porque lo han visto en alguna película.
  • la amistad: si no la mantienes periodicamente, se acaba perdiendo.
  • los videojuegos: que siempre te quedas atrapado en alguna fase de la que no sabes salir.