Seguridad por oscuridad. Es realmente efectivo?
A lo largo de nuestra historia se han encontrado innumerables casos en los que la principal medida de seguridad fuera la oscuridad, es decir, la ocultación de los recursos o la información de la vista y/o acceso público.
Pasadizos secretos en castillos, valores escondidos adentro de jarrones o libros ahuecados, bases militares bajo subsuelos, etc...
No logro evitar preguntarme: Es realmente la mejor de las medidas?
La práctica cotidiana dice que los pasadizos secretos no tienen ningún control de acceso, los jarrones con valores escondidos no tienen llave, y los vehículos que llegan a las bases militares bajo subsuelos suelen circular y estacionar en "planta baja", divulgando sus movimientos.
No me malinterpreten, la oscuridad es un gran método para imponer seguridad. No es casualidad que dicha técnica haya trascendido por milenios. Mi duda apunta al nivel de efectividad de la seguridad total de un entorno si su única medida es la oscuridad.
Yo, si fuera rey, no me sentiría para nada seguro si lo único que frenara a un atacante de llegar a mis reales aposentos fuera un simple pasadizo secreto sin control de acceso ni guardia (como hemos visto en miles de libros y películas).
Porqué no puede haber un guardia también en este pasadizo secreto? Hmmm, quizás porque en esa situación ya no sería "secreto".
Hablemos ahora un poco de la actualidad. Listemos algunos de los items mas discutidos sobre seguridad informática:
- Criptografía: Hace muchos años ya que los criptoanalistas se dieron cuenta que la oscuridad en los algoritmos no era el método mas efectivo de brindar seguridad. Es por eso que los algoritmos se abrieron y ahora centralizan su seguridad únicamente en la clave.
Ahora, eso significa que si yo armara un algoritmo propio y NO divulgara su código, sería menos seguro? Para nada, de hecho estoy considerando hacerlo
. Simplemente los grosos de la materia decidieron cambiar la postura en cuanto a los conceptos de seguridad en un algoritmo de encriptación.
Y todos los developers/admins/infosec officers les agradecemos mucho su decisión, ya que gracias a su divulgación todos podemos implementar dichos algoritmos en nuestras aplicaciones, internamente. - Redes sociales: Lo repito hasta el cansancio en clase, en clientes y hasta en una cena con amigos.
Muchos se vanaglorian al decir "no, yo no tengo usuario en Facebook". Es esa una buena decisión? No estamos facilitando el trabajo de un falsificador o ladrón de identidades, al no tener una base "informáticamente tangible" sobre nuestro perfil? Que mas fácil de falsificar que algo que no se conoce públicamente?Imaginen la siguiente situación: Un supuesto arqueólogo va a un coleccionista y le dice "mira, tengo el santo grial en mi posesión, lo desenterré de una tumba en marruecos". Mas allá del escepticismo, el coleccionista jamás va a poder asegurarse rotundamente que la afirmación del arqueólogo sea falsa.Ahora, imaginen la siguiente situación: "Un contrabandista va a un coleccionista y le dice "mira, tengo la Mona Lisa, me la robé del Louvre". Acto seguido, el coleccionista hace un llamado al museo y dice "Hola, tienen la Mona Lisa por ahí? - Si señor, la tenemos en display". Y la misión del contrabandista de vender una falsificación no tiene éxito.Al existir un perfil nuestro real en las redes sociales, dificultamos el trabajo del atacante de robarnos la identidad. Pero por favor, pónganle un password complejo al usuario de Facebook!
Paralelamente, los invito a preguntarse lo siguiente (a aquellos que no tienen usuario en Facebook): Tan grave es pertenecer a dicha red social, si se puede mantener un perfil acotado, simple, sobrio, profesional y que no divulge información realmente importante?
- Perímetro de Red: Configurar servicios para que NO trabajen en los puertos standard es una muy buena práctica.Pero que pasa, del lado del atacante, si se escanea un perímetro y se encuentran 5 puertos abiertos? El atacante tendrá un tiempo X de análisis mas invasivo para averiguar que servicios hay detrás de esos puertos.Qué pasa si abrimos 30000 puertos en un perímetro? El cálculo del tiempo de análisis no es exactamente X * 30000 (es un poco menos de tiempo en realidad), pero igualmente estaríamos dificultando significativamente el trabajo del atacante. Lo único que hay que hacer es securizar correctamente dichos puertos/servicios, y listo.Tener 30000 puertos abiertos, de los cuales 5 apunten a servicios reales (en puertos NO standard) y el resto apunte a una simple honeypot (o a donde sea), me resulta mas seguro que tener visible públicamente sólo lo que realmente existe y funciona.
Para resumir, en mi opinión es mejor mostrarse de manera segura, que ocultarse y sentirse seguro.
Prefiero invertir en una caja fuerte de seguridad nivel 10 y dejarla apoyada en el medio del pasillo, que comprar una caja de seguridad nivel 8 y ocultarla atras de un cuadro.
Prefiero tener un perfil en Facebook, asegurarlo y no divulgar información realmente confidencial, que NO tenerlo y que alguien pueda crearlo a nombre mío.
Prefiero que un escaneo de puertos a mi perímetro arroje un resultado de cientos de puertos abiertos con un nivel de efectividad del 10% , antes que obtener 4-5 puertos con una efectividad del 100%
Y miles de etcéteras.
Hay una única respuesta? No lo se. Siéntanse libres de opinar (y/o criticar) después de leer.
Clickjacking a Facebook, Google y otros sitios importantes
Una de las peores amenazas a la seguridad en navegadores actualmente es el Clickjacking. Esta técnica, mediante una superposición de frames invisible al usuario final, logra que éste haga clicks en links maliciosos haciéndole creer que en realidad está clickeando en links "válidos".
Esta técnica no es nueva. Lo que sí es nuevo es el descubrimiento de ciertos mayores sitios de internet (como ser Facebook y Google, por decir un par) son vulnerables a dicho ataque.
Un israelí llamado Shlomi Narkolayev publicó un video demostrando un ataque de Clickjacking hacia una cuenta de Facebook mediante el cual, en cuestión de segundos y sin necesitar una intervención invasiva sobre el navegador, la computadora o la cuenta de usuario de la víctima, logró instalar una aplicación dentro de su perfil.
Aquí está el video:
Lo peor de este ataque (además del alcance) es que lo que lo permite existir es un error de diseño nativo en el modo de manejar contenido de los navegadores actuales. No se trata de una falla en javascript, ni flash, ni nada, sino una vulnerabilidad en el manejo de DHTML.
La solución por ahora, aterrante pero real es deshabilitar TODA ejecución de scripts. Aunque eso nos haría volver a 1990, es la única solución 100% efectiva que hay por ahora.
Una recomendación mía, es usar NoScript. Este software (es una extensión para Firefox) permite establecer reglas de bloqueo a sitios, modificar a mano dichas reglas según sea necesario, dar permisos temporales, y un interminable etcétera. Yo personalmente uso este software para el 100% de mi navegación, y me da una tranquilidad eterna.
Para los que tengan ganas de probar, tanto el nivel de vulnerabilidad de su website como la efectividad de su navegador, pueden entrar al sitio del Israelí donde puso una demo de su script de Clickjacking.
Link (Inglés): http://shlomi.sitegoz.com/ClickJacking.html
Mkit Argentina en BarCamp 2009 – Informacion Segura Para Todos
Aca les dejo la filmación y la presentación de la charla que di en la Universidad de Palermo para el BarCamp 2009, sobre seguridad de la información.
Lo que se habló en la charla fue sobre métodos, técnicas y buenas prácticas para preservar al máximo posible la seguridad de nuestra información, sin necesidad de tener conocimientos informáticos avanzados.
Video - Parte 1 - Español:
Video - Parte 2 - Español:
Video - Parte 3 - Español:
Video - Parte 4 - Español:
Video - Parte 5 - Español:
Para quien necesite mayor información sobre esto, o para quien desea tener una charla sobre estos temas en su institución o empresa, no dude en comunicarse conmigo a matias (arroba) matiaskatz [punto] com .
12 Tips para mantener las redes sociales seguras
Mitchell Ashley, de NetworkWorld, armó un pequeño slideshow con 12 tips básicos para mantener las redes sociales seguras.
Esta información es de primer nivel en cuanto a seguridad, pero vale la pena ser publicado.
Aquí están los temas que toca:
- Cuidado con el TMI (Too Much Information - Demasiada Información): las 5 cosas que jamás deberías compartir
- Customiza las opciones de privacidad
- Limita los detalles laborales en LinkedIn
- No solo confíes, verifica
- Controla los comentarios
- Evita compartir accidentalmente detalles personales
- Buscate
- No violes las políticas sobre redes sociales de la empresa donde trabajas
- Aprende como los sitios pueden usar tu información
- Olvidate del concurso de popularidad
- Crea una red social de menor tamaño
- Create una cuenta OpenID
Los tips pueden ser aplicados por cualquier usuario de internet de una manera fácil y efectiva. Asi que muéstrenlo a cada amigo, familiar, compañero de trabajo, empleado o empleador que puedan tener.
Fuente - Inglés: NetworkWorld
¿Se preocupa Google, Twitter, Facebook y compañía de tus contraseñas?
La seguridad ha tomado un papel muy importante hoy en día, proteger nuestra información personal y la información que almacenan nuestros sistemas es de vital importancia.
Normalmente los usuarios tienden a usar contraseñas que sean fáciles de recordar. Como el nombre de su pareja, de su perro, el nombre de su equipo favorito o su ciudad de nacimiento. Para un atacante no sería difícil observar cuales son las obsesiones del usuario para intentar averiguar su contraseña.
Un atacante que quiera entrar de forma manual en la cuenta de un usuario, lo primero que probará serán palabras que sean importantes para él. Si no consigue resultados de forma rápida, lo siguiente será un ataque por diccionario y si esto tampoco funciona intentará un ataque por fuerza bruta usando múltiples combinaciones de caracteres aunque actualmente la tecnología pone límites a este tipo de ataques... aunque no siempre bien implementadas
Cuando se crea una contraseña, debemos usar una que no se encuentre en un diccionario. Y todo lo larga y compleja para que un ataque de fuerza bruta no pueda resolverla porque requiera mucho tiempo y procesamiento, ya que una contraseña se hace exponencialmente más compleja por cada carácter que añades incrementando su longitud.
¿Se preocupan las redes sociales, webmails de que usemos contraseñas robustas?
Por desgracia, la mayoría de ellos no nos exigen una contraseña robusta, aunque tienen indicadores de la fortaleza de la contraseña.
Guía para la generación de contraseñas
Las contraseñas débiles tienen las siguientes características. Se pueden encontrar en un diccionario. Son de uso común como: nombres de familiares, mascotas, amigos, personajes fantásticos, términos de ordenador, comandos, ciudades, compañías, hardware, software, fechas de cumpleaños y otra información personal como direcciones o números de teléfono. O patrones como aaabbb, qwerty o palabras seguidas o precedidas de dígitos.
Las contraseñas fuertes tienen las siguientes características: contienen caracteres minúsculas y mayúsculas, dígitos y caracteres especiales. 0-9, !@#$%^&*()_+|-=\`{}[]:";'<>?,./ Tienen al menos 8 caracteres de longitud. No están en ningún diccionario. No están basados en información personal. Se debe intentar crear una contraseña fácil de recordar. Una forma de hacerlo es crear una contraseña basada en una canción, afirmación o frase. Por ejemplo "Stairway To Heaven" podría quedar St41rW4y2H34v3n@!.
Además contamos con herramientas para la generación de contraseñas automáticas, como por ejemplo nuestro bot que dispone de un servicio para ello.
Estándar de protección de contraseñas
- Cambiar las contraseñas cada 30 días.
- No escribir las contraseñas y dejarlas al alcance de los demás.
- No guardar las contraseñas sin cifrarlas.
- No usar la misma contraseña para las cuentas de la organización que para las cuentas personales (email,banco...).
- No compartir las contraseñas en la empresa con nadie, incluidos el personal administrativo, secretarias.
- Todas las contraseñas deben ser tratadas como información sensible, confidencial.
- No dar la contraseña por teléfono a nadie.
- No dar la contraseña por email.
- No darle la contraseña al jefe.
- No decir la contraseña delante de personas.
- No revelar la contraseña en cuestionarios.
- No compartir la contraseña con familiares o compañeros de trabajo durante las vacaciones.
- No usar la opción "remember password" en las aplicaciones (IE, MSN, Mozilla,...)
- Si sospechamos que una clave ha podido ser usurpada, reportar el incidente al personal de seguridad de TI y cambiar todas las contraseñas.
- Se deberán hacer auditorias de crackeo de contraseña por el personal de seguridad. Si alguna contraseña se obtiene durante estos escaneos deberá ser documentado al usuario para que proceda a cambiarla.
- Además habría que ver qué usuarios existentes en los sistemas no necesitan contraseña ni shell, de manera que no haya forma de que entren en los sistemas.
La robustez de las contraseñas es un punto fundamental que está en primera línea para la protección de las cuentas de usuario. Elegir una contraseña débil comprometerá de forma crítica los recursos.
Fuente: http://www.securitybydefault.com/2009/09/se-preocupa-google-twitter-facebook-y.html
Tags
Entradas recientes
- 1er año del blog – Más de 5000 visitas
- Ataque de phishing hecho en casa
- Sorteo de Entradas: 1er Jornada de Seguridad en la Comunicación y Soluciones Móviles
- In Fraganti – Caso #3, empresa en zona céntrica, Ciudad de Buenos Aires
- Revista Electrónica El Derecho Informático Nro 4
Archivos
- Agosto de 2010 (3)
- Junio de 2010 (4)
- Mayo de 2010 (3)
- Abril de 2010 (3)
- Marzo de 2010 (2)
- Febrero de 2010 (6)
- Enero de 2010 (16)
- Diciembre de 2009 (6)
- Noviembre de 2009 (2)
- Octubre de 2009 (7)
- Septiembre de 2009 (12)
- Agosto de 2009 (4)
- Julio de 2009 (4)
- Junio de 2009 (4)
- Mayo de 2009 (4)