Básicos 10: Thinking about security (aspectos básicos) (parte. I)

Hola a tod@s! :-: .. bienvenidos a otra entrega más de la serie (o saga :)..) “Básicos“, que tal y como su propio nombre indica gira en torno a “aspectos básicos” de aprendizaje. En esta ocasión,  y para con el “artículonúmero10“.. el cuál he llamado “Thinking about security: aspectos básicos“, hablaremos en relación acerca de algunos ejemplos sobre “los peligros en el mundo digital” y que se puede hacer frente a ellos a nivel de usuario.

Básicos 10, T.A.Security - BLOG - 2

También veremos que opinan los expertos al respecto y cuáles son sus recomendaciones, y como – en tal casoevitar o prevenir dichos peligros.

Básicos 10, T.A.Security - BLOG - 3

Todo un “mundo digital” dónde cada día la información está al alcance de todos, pero también la “privacidad“.. }:0


Aspecto de Seguridad – UNO

Básicos 10, T.A.Security - BLOG - 4

Alex Stamos (jefe de seguridad de Facebook) ha pasado la mayor parte de su carrera buscando “brechas de seguridad” y tratando de descubrir cómo tratan los “piratas informáticos” (no confundir con Hacker) de sacar provecho a esos fallos. A lo largo de su carreraha visto de todo -, desde los ataques más retorcidos a las estafas mas sencillas de “ingeniería social“. En ese tiempo, lo que ha descubierto es que hay dos soluciones muy simples para la amplia mayoría de usuarios:

-) Una "password" (contraseña) fuerte.

-) Verificación en dos pasos (la mayoría desconoce, o no usa esta opción).

Stamos cree que “el mayor problema” es que las noticias se centran en los casos de ataques más complicados y eso deja en los usuarios una cierta sensación de que no pueden hacer nada para defenderse por sí mismos, pero eso no es cierto. Stamos describe:

-) He notado un montón de nihilismo en los medios de comunicación, los expertos en seguridad y la propia opinión pública desde que los documentos de Snowden se hicieron públicos. Este nihilismo suele expresarse levantando las manos y diciendo: “No hay nada que pueda hacer para estar a salvo”. Es cierto que una persona normal no puede hacer mucho contra la infraestructura de una gran agencia de inteligencia capaz hasta de reescribir el firmware de un dispositivo, pero eso no debería disuadir a los usuarios de hacer lo que esté en sus manos para protegerse de amenazas más probables, y a los expertos en seguridad de crear sistemas de protección prácticos contra adversarios mas reales.

A nivel de usuario, las personas “pueden protegerse” contra los ataques más probables y dañinos con solo seguir dos simples pasos:

1-) Instalar un programa de "gestión de contraseñas" para crear códigos únicos (passwords) para cada uno de los servicios que usa.
2-) Activar la "verificación en dos pasos" (generalmente vía mensajes de texto) en su correo electrónico (gmail, hotmail, etc) y redes sociales (facebook, twitter, etc).

El último (consejo 2) es “especialmente importante” porque una vez que los “piratas informáticos” descubren una contraseña de cualquier tipo la usan para probar suerte en otros servicios con el fin de hacerse con la mayor cantidad de información posible. Me gustaría que los medios de comunicación dejaran de extender la idea de que, por el hecho de que las amenazas de alto nivel sean cada vez mas sofisticadas, no es posible protegernos en la mayor parte de escenarios.

Captura: ¿Crees que tu
Captura: ¿Crees que tu “contraseña” es suficientemente segura?

Adam J. O’Donnell, ingeniero en el “Grupo Avanzado de Protección contra Malware” de Cisco, amplia las afirmaciones de Stamos:

-) Mi consejo para el ciudadano medio: Haz buenas "copias de seguridad" y ponlas a prueba a menudo. Usa un "sistema de gestión de contraseñas" y una contraseña diferente para cada servicio (muchos usuarios cometen el grave error de usar una sola contraseña para muchos servicios, descubierta una.. descubiertas todas).
Captura: Si usas una
Captura: Si usas una “únicacontraseña para todos tus servicios: “descubierta una, descubiertas todas“.
-) Consejo: En efecto, tener una buena "contraseña" es fácil y sigue siendo la mejor protección que puedes tener.

Aspecto de Seguridad – DOS

Básicos 10, T.A.Security - BLOG - 7

Llegas a casa contento con tu flamantedispositivo” recién comprado, la euforia te invade.. 🙂 – a poco más y tienes un ataque de “sindrome de stendhal“. Abres la caja de tu “nuevo smartphone“, tableta o PC, huele a plástico nuevo y las baterías funcionan de maravilla, pero eso no significa que el equipo no esté ya infectado con “malware” o lleno de vulnerabilidades.

-) Este consejo "algunos de vosotros" lo habréis escuchado y otros muchos lo habrán oído en alguna que otra ocasión (o tal vez no)..}:P

Eleanor Saitta es una “Hacker” y la directora técnica del Instituto Internacional “Modern Media“, y lleva una década asesorando a gobiernos y corporaciones sobre seguridad informática. Saitta cree que uno de los mitos más perniciosos sobre seguridad es que los dispositivos comienzan su vida útil completamente seguros” pero van mostrando fallos con el tiempo. Simplemente no es cierto. Algunos dispositivos hasta vienen con “malwareinstalado de serie como el famoso “Superfish” que venía en tantos equipos “Lenovo“;

-) Esa es la razón por la que "Superfish" fue un caso tan sonado. Hicieron una "puerta de atrás" (backdoor), pero la hicieron con tanta incompetencia que cualquiera con conocimientos podía utilizarla.

Cuando confías en un "código" escrito por otra persona o un servicio "online" sobre el que no tienes control hay posibilidades de que no actúen completamente en beneficio nuestro sencillamente porque su objetivo es vendernos cosas. 

Hay muchas posibilidades de que el sistema en cuestión ya esté comprometido o pertenezca a otra persona. No hay una buena manera de gestionar la confianza para ello ahora mismo, y es probable que haya muchas personas usando ya ese código.
Captura: Asegúrate, piensa bien tu respuesta antes de contestar :)
Captura: Asegúrate, piensa bien tu respuesta antes de contestar 🙂

Pero, existe otro problema que apareció a comienzos de este año con el ataque “FREAK“, es que muchas máquinas ya vienen directamente con “puertas traseraspreinstaladas. Estas “puertasse instalan a petición del propio gobierno para que las “agencias de inteligencia” tengan más fácil hacer “seguimiento” (espiar) a ciertos objetivos. El problema es que, una vez se conocen, estas “puertas traseras” pueden ser usadas por cualquiera.

Saitta explica:

-) Es fundamental que entendamos que si se construye un "sistema de monitorización" en una - red móvil o en un sistema de cifrado -, cualquiera puede usarlo. Es una vulnerabilidad en el sistema y, por mucho que se intente controlar, una "puerta trasera" es una "puerta trasera". Cualquiera puede entrar por ella si sabe cómo hacerlo.

Aspecto de Seguridad – TRES

Básicos 10, T.A.Security - BLOG - 9

Seguro que muchos de vosotros imagináis que si el “software” es lo bastante bueno, es completamente seguro ¿verdad?. Debido a esta actitud, muchos usuarios se enfadan cuando las “máquinas o software” que usan resultan ser “vulnerables” a un ataque. Después de todo, si somos capaces de diseñar un coche seguro, ¿por qué no vamos a poder diseñar un software seguro? Al fin y al cabo solo es cuestión de tener la tecnología adecuada ¿no?.. }:S

Parisa Tabriz explica que este “concepto” es totalmente erróneo. Tabriz es la ingeniera al frente del equipo de seguridad de “Chrome“, y ella cree que la información sobre seguridad se parece un poco a la medicina (un poco entre el arte y la ciencia) que a las “ciencias puras“. La razón es que la tecnología la fabrican seres humanos con motivaciones muy poco científicas. Esto es lo que dice ella al respecto;

-) Creo que la información sobre seguridad informática es en muchos sentidos parecido a la Medicina: es al mismo tiempo un arte y una ciencia. Es posible que sea porque los humanos han construido y diseñado, de manera "explícita" y desde cero, cosas como la seguridad e internet. Asumimos que deberíamos ser capaces de hacerlos a la perfección, pero la complejidad de ello nos supera y ahora esa tarea parece casi imposible. Hacerlo seguro implicaría que no existiese ningún "bug", algo imposible.

Siempre habrá "bugs" en el software. Siempre. Algunos de ellos tendrán un impacto en la seguridad de muchos. El reto es darse cuenta de cuáles merece la pena arreglar y a cuáles merece la pena dedicar recursos. Mucha de esa "especulación" se basa en modelos básicos de amenazas que se beneficiarían enormemente si se fijasen más en las motivaciones humanas, como el crimen, la "monitorización", etc.
Captura: Si, no lo dudes, hasta el mejor
Captura: Si, no lo dudes, hasta el mejorsoftware” puede llevar graves fallos de seguridad (bugs).

La investigadora en seguridad informática de “RAND Corporation“, Lillian Ablon, ratifica lo mismo;

-) No hay ningún sistema 100% seguro. El "objetivo" de los que se encargan de protegerlo es hacer que el ataque resulte muy caro de realizar, no imposible.

Leamos sus palabras;

-) Con suficientes recursos, siempre suele haber una manera para el atacante de romper la seguridad. Es posible que te suene la frase “es una cuestión de cuando, no de si” en relación a este problema. En su lugar, el objetivo de la seguridad informática es elevar los costes para los atacantes (en cuestiones como el tiempo, los recursos, la investigación... etc).

Aspecto de Seguridad – CUATRO

Básicos 10, T.A.Security - BLOG - 11

Es muy probable (y si no, es que eres de Marte.. :)) que hayas oído prácticamente todo rumor habido y por haber sobre “HTTPS“;

-) Que si es solamente para páginas que deben ser "ultra seguras".. }:S

-) Que si no funciona realmente... }:O

- Todas son incorrectas -.

Peter Eckersley, de la “Electronic Frontier Foundation“, es un “tecnológo” que ha estado investigando el uso de “HTTPS” desde hace varios años y trabajando con el proyecto de la “Electronic Frontier Foundation” llamado “HTTPS Everywhere“. Afirma que hay un error de concepto muy peligroso en el que la gente cree que la mayoría de “webs y apps” simplemente no necesitan “HTTPS“. Así lo explica;

-) Otro serio error es el de algunos propietarios de "páginas webs" relevantes, como "periódicos o redes de publicidad", pensando que “como no procesamos ningún - pago online -, nuestro sitio no necesita HTTPS”. Toda página en la web debería ser "HTTPS", porque sin él es fácil para algunas personas con "ciertos" conocimientos "curiosear" la información (datos) y más aun para los gobiernos, que utilizan "herramientas de protección" para ver exactamente cómo la gente reacciona en el sitio (web), qué datos procesa tu aplicación o incluso alterar esos datos de manera maliciosa.
Captura: Según
Captura: SegúnEckersley“, todas las páginas de Internet deberían ser “HTTPS“.

Eckersley no está afiliado a ninguna compañía ni tiene ningún interés comercial (la “EFF” es una organización sin ánimo de lucro), y por tanto ningún “conflicto de interés” cuando se trata de promover el uso de “HTTPS“.


Aspecto de Seguridad – CINCO

Básicos 10, T.A.Security - BLOG - 13

Una gran mayoría de datos está en la “nube” en la actualidad (ver artículos de “Cloud ComputingI y II). Ahí tienes tu correo, tus fotos, tus mensajes instantáneos, tus documentos médicos, tus datos del banco e incluso tu vida sexual. Y de hecho – “está ahí más segura” – de lo que cabría esperar. Al mismo tiempo, y sin embargo, crea nuevos problemas de seguridad que obviamente hay que tener en cuenta. La ingeniera de seguridad Leigh Honeywell trabaja para una gran compañía de “cloud computing“, y explica cómo funciona la seguridad en la “nube“;

-) Tu casa es tu casa y normalmente, sabes exactamente el tipo de "precauciones" que debes tomar para protegerla contra intruso y además qué es lo que ganas y lo que pierdes para cada una de ellas. ¿Valla electrificada? ¿Un sistema de alarma? ¿Barrotes en la ventana? ¿O preferiste evitarlos porque afeaban la imagen de la casa?

¿Vives en un sitio con portero? Yo llegué a vivir en un sitio donde hacía falta una "tarjeta de seguridad" para ir a cada piso concreto: Era más enojoso y cansado, sí, pero también más seguro. El guardia de seguridad se aprendía los patrones de movimiento de los inquilinos y así puede reconocer intrusos potenciales. Tiene más información que el propietario individual.
Captura: :)..
Captura: :)..

Honeywell amplía;

-) Los servicios en la "nube" son capaces de "correlacionar" datos de sus clientes para deducir patrones que sean peligrosos para su seguridad. Puede que no tengas 100% acceso al lugar donde tus datos se están almacenando, pero hay alguien, un “portero”, en ese "edificio virtual" 24 horas 7 días a la semana y ese alguien ve los patrones y los "logs" del sistema. Es algo así como una protección derivada de ser una "manada". Hay muchos que automáticamente lo hacen saltar: una única dirección "IP" accediendo a varias cuentas a la vez en varios países distintos donde nunca antes se ha accedido a esa cuenta. O que algunas de esas cuentas compartan un mismo "tipo de archivo", indicando que puede ser malicioso.

Si es un ataque más dirigido, los signos serán más sutiles. Ahí es prácticamente como buscar una "aguja en un pajar", porque tienes que manejar muchos más datos. Hay mucho entusiasmo con el "big data" y el comportamiento de "aprendizaje de las máquinas" (ver artículo del blog al respecto) pero la verdad es que apenas estamos rascando la superficie ahora mismo. Un atacante con habilidad puede aprender a moverse de manera sigilosa y sin provocar que salten los "sistemas de detección".
Captura: La
Captura: La “Nubeno es 100% segura, pues no existe nada que sea totalmente seguro. Aún así, es mucho más segura de lo que cabría esperar 😉

En otras palabras, algunos “métodos de ataque automatizados” hacen saltar las alarmas casi al instante. Pero también es sencillo esconderse. Honeywell aclara que los usuarios necesitan considerar cada clase de amenaza cuando elijan un “servicio en la nube” o “uno local“;

-) Los "servicios en la nube" son mucho más complejos que, digamos, un "disco duro" conectado a tu ordenador, o un "servidor" de email ejecutándose en tu casa. Hay muchos más lugares donde las cosas pueden salir mal, más partes móviles. Al mismo tiempo, también hay más gente encargada de que nada de eso ocurra. Lo que la gente debería preguntarse es: ¿es mejor que yo mismo me encargue de esto o debería dejar que gente con más tiempo, dinero y conocimientos se encargue? ¿En quién pienso cuando me viene a la mente un "ataque informático": la NSA, un gamer irritado o una ex-pareja? Yo alojé mi propio servidor de email durante años, hasta que finalmente lo moví a uno dedicado. 

Conozco a gente que trabaja en Gmail y Outlook.com y hacen un mejor trabajo manejando ese tipo de asuntos del que yo habría hecho jamás. Es también una inversión de tiempo, porque administrar uno es un jaleo constante. Para algunos, sin embargo, merece la pena, porque les preocupa que la NSA meta sus narices.

Y esto es todo por el momento. En esta entrega de la serie “Básicos” (ya por su décima entrega :)..) habéis visto algunos “aspectos básicos” (muy importantes) sobre seguridad y aun faltan más, pero eso será en la segunda parte.

Como suelo decir, espero que hayáis aprendido y disfrutado con este artículo.. y, nos vemos en el próximo… }:D

Salu2


TonyHAT - 246

Anuncios

4 comentarios en “Básicos 10: Thinking about security (aspectos básicos) (parte. I)”

  1. Hola Tony, sinceramente nunca probé una app generadora de strong passwords ya que si ésta falla chau! backup de tu pass (me imagino) o ¿cómo recordas una pass generada por la app para hacer login fuera de casa? Sería como recordar IP sin DNS.
    En mi caso en lo que subo a la nube son algunos scripts, libros digitales y algunas cosas de mayor importancias encriptadas con mi amigo GPG.
    Buen post! Saludos!

    Le gusta a 1 persona

    1. Hola -xxxgaboxxx- Qué tal?

      Bueno, yo tengo mi propio sistema (por patrones) creado personalmente para las “pass”. Algo así como un “cifrado” propio, y tampoco uso “Strong Password Generator”, etc.

      Sin embargo si que uso “GPG” y cifrado de discos y USB. Desde hace tiempo pruebo las opciones de mensajería (aparte de GPG) “Tutanota” y “Protonmail”, que cifran de la manera que comentas, en segundo plano y de forma completamente automatizada sin que “interactue” el usuario.

      Este tipo de “mensajería cifrada” son muy recomendables para toda esa gente (y creéme… es mucha) que utiliza “Gmail” & “Hotmail” como correos principales.

      Respecto a la nube y con lo “susceptible” que es aún respecto a la “seguridad”, casi que las cosas más relevantes o de carácter importante prefiero usar un “cifrado” en disco (HDD) o (SDD). Me gusta tener las cosas a mano, la “nube” da para un extenso debate.

      Un abrazo!

      Le gusta a 1 persona

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s