Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
22 de Mayo, 2014    General

No esperes a ser hackeado: Piensa como un hacker, planifica como un CSO y haz magia como Harry Potter

Hace ya un tiempo me pidieron escribir un decálogo sobre seguridad informática para entregar en un evento en el que iba a participar. Como siempre, huyendo de formalismos establecidos decidí escribir en tono de humor algunas de las ideas que llevo siempre dentro de mi cabeza - o debajo del gorro para según quién -. Entre las diez reglas que escribí, recuerdo que una de ellas decía:

"Pagarás todo el dinero del mundo por securizar tus sistemas…
una vez te hayan hackeado y expuesto públicamente. ".

Inexplicablemente, día tras día, veo esta afirmación respaldada por la actualidad deInternet que no deja de traer, una tras otra, noticias de empresas que han sido afectadas por esta norma del decálogo maligno que escribí.

Figura 1: Bitly hakeado solicita resetear passwords

La última de ellas que ha venido a respaldar el enunciado ha sido la empresa Bit.ly la web de Ebay que ha visto como sus cuentas de usuario han quedado expuestas públicamente y ha tenido que pedir el reseteo de contraseñas masivo.

Figura 2: Después del 21 de Mayo hay que cambiar la password

En ambos casos, tanto en Bitly como en Ebay los datos se fueron para siempre, y como suelo decir en las charlas de Digital Latches, una vez que los datos de un cliente han sido expuestos, han sido expuestos para siempre. Puedes pedirle al usuario que cambie la password o que cancele la tarjeta de crédito, pero no puedes pedirle que se cambie el nombre, los apellidos, dónde vive, la fecha de nacimiento o los números de identificación de documentos oficiales como el DNI o el pasaporte. Tu eras responsable de sus datos, y ahora ya no hay forma de controlarlos porque están en la red para siempre.

Para evitar que alguien pueda sufrir un robo de identidad y cualquiera de las consecuencias que esto pueda acarrear, en el caso de Bitly se ha implementado un sistema de Autenticación de Segundo Factor para sus identidades, mientras que en el caso de Ebay ya lo tienen...- al menos en USA, pero no en Ebay.es, donde aún por defecto el sitio funciona en HTTP y no HTTPs y no hay forma de encontrar donde poner un 2FA -.

Figura 3: Zona de configuración de cuenta de Ebay.es bajo HTTP

Esto no solo le pasa a empresas de este tamaño, sino que empresas tan importantes, poderosas, grandes y con tanto dinero en caja como Apple no han tenido una media de seguridad en 2FA en sus sistemas de identidad hasta que el número de incidentes como el del periodista de la revista Wired, Matt Honan que según sus palabras fue "brutalmente hackeado" no han salido a la luz pública. 

Lo triste es que, una vez que los datos se han esfumado, puedes solicitar el reseteo de la contraseña -incluso aunque sea casi 2 meses después de que la base de datos hubiera robada como en el caso de Ebay, que dicen que perdieron la base de datos a finales de Febrero o principios de Marzo, robando las credenciales de empleados deEbay porque NO tenían 2FA en sus cuentas de usuario internas.

Figura 4: la base de datos fue robada a finales de Febrero, principios de Marzo

La fortificación de sistemas

La fortificación de cualquier sistema informático se basa en tres reglas archi-conocidas fácilmente entendibles y reconocibles por cualquier persona. La primera de ella dice que debes aplicar siempre el Mínimo Privilegio Posible en todas las piezas de tu sistema - incluidos tus usuarios -. La segunda habla de crear un sistema con laMínima Superficie de Exposición, o lo que es lo mismo, que reduzca al máximo los puntos expuestos a un atacante. El tercer principio es el más genérico y más importante de todos: Defensa en Profundidad

Defense in Depth, que dicen los anglosajones, recopila bajo su paraguas todas las medidas de seguridad que ayuden a fortificar el sistema en cualquiera de las capas, siempre y cuando una medida no anule a otra. Si puedes poner otra capa de seguridad para proteger tus sistemas y no rompe una medida de seguridad anterior y no va en contra de la disponibilidad del servicio, ponla.

Piensa como un hacker y hackeate a ti mismo 

En un sistema informático, al igual que hacen los hackers e investigadores de seguridad, hay que poner en tela de juicio siempre las protecciones de seguridad que tiene actualmente el sistema para poder pensar en la siguiente medida a implantar. Pensar como un atacante para descubrir cuál es el punto más débil en el sistema que tienes actualmente y planificar como un CSO deben ser parte de la tarea diaria. 

Descubrir si lo que necesitas es una protección de 2FA basada en sistemas SMS o más evolucionado como Latch, es tan fácil como descubrir si es sencillo o no robar las credenciales de personas clave de tu compañía como le ha pasado a Ebay. Es sencillo y lo puedes hacer tú, aunque viendo todo lo que ha pasado ya a tantas y tantas empresas que han sufrido el robo de cuentas, parece innecesario.

O bien dentro del próximo proceso de auditoría de seguridad, o como una prueba ad-hoc, hazte un ataque de phishing a ti mismo. Para ello busca las direcciones de correo electrónico de 50 personas de tu compañía o de 50 clientes y envíales un correo de phishing bien armado que les lleve a una web donde se les pida el usuario y la contraseña con el gancho de ser una campaña interna de la empresa para poder participar en un sorteo de la compañía. Haz bonita la web y luego parate a contar el número de credenciales que la gente entrega por la promesa de poder ganar un premio interno. Me apuesto el gorro a que te sorprendería. 

Planifica como un CSO ... a pesar de tus jefes 

Si eres un CSO y no tienes un Plan Director de Seguridad que te vaya indicando cuál es la siguiente medida de protección que debes aplicar dentro de la regla deDefensa en Profundidad, tal vez no estás gestionando del todo bien tus sistemas. Si pones una medida de seguridad como un segundo factor de autenticación solo después de que has tenido un escándalo, un robo de identidad o un hackeo, probablemente tendrás el mismo problema con otra medida de seguridad en el futuro

De todas las medidas que tengas que poner, prioriza sabiendo cuáles de ellas van a requerir presupuesto, y cuáles solo voluntad de tu equipo. Si necesitas presupuesto y no tienes, entonces hackea a tus jefes y haz campaña para que entiendan la importancia. Mételos en el ataque de phishing si es necesario. 

Haz magia como Harry Potter 

Si tienes gente con voluntad de cambiar las cosas, pasionales por la tecnología, con ganas de transformar la compañía a pesar de la compañía, entonces piensa en todas las cosas que se pueden hacer con cero o poco dinero. Aplicar una medida comoLatch en una web o servidores Linux, es algo que lleva unos minutos y es gratis si hay menos de 50 usuarios. 

No esperes a que hackeen tu sistema para poner la próxima medida de seguridad. Piensa ya como un hacker, atácate a ti mismo, y planifica como solo un CSO sabe hacer, "haciendo magia" con los presupuestos y los recursos, además de pegándose con la gente de negocio. No pensarías que iba a ser fácil ese rol, ¿verdad?

Saludos Malignos! 

PD: No os olvidéis de cambiar las contraseñas de Ebay, yo ya he acabado de cambiar las mías.
Palabras claves , , , , , , , , , , , , , , ,
publicado por alonsoclaudio a las 23:27 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Marzo 2024 Ver mes siguiente
DOLUMAMIJUVISA
12
3456789
10111213141516
17181920212223
24252627282930
31
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Analizando el LiveBox 2.1 de Orange
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Detectando tráfico de conexiones HTTP inversas de Meterpreter (Snort)
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
595 Comentarios: Scott, Scott, Jarlinson mercy, [...] ...
» Qué hacer ante el robo de un teléfono móvil o una tableta
2 Comentarios: best buy security cameras swann, best buy security cameras swann
» Espiando usuarios gracias a la vulnerabilidad en cámaras TRENDnet
1 Comentario: Coin
» Recopilatorio de aplicaciones y sistemas vulnerables para practicar
2 Comentarios: vera rodrigez ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
2 Comentarios: firdous ...
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad