Hace ya unos años, durante una gira
Up To Secure, daba una
charla sobre lo difícil que se ha convertido el trabajo de encargarse
de la seguridad de los sistemas de una organización. Comenzaba con un
hombre y una mujer felices en su
CPD. Al hombre le faltaba un puro, una copa de coñac y
El Marca para ser feliz allí. Ese
CPD
era su reino. Una foto ensoñadora. Era feliz porque no había usuarios.
Ni compañeros manazas. Ni superiores que tocan el sistema informático
sin saberlo. Era su reino de cómputo. Nada que hiciera prever el destino
final de los administradores de sistemas como
Bastard Operators From Hell a lo Wardog.
 |
| Figura 1: Mi CPD es mi reino |
En esa presentación que os dejaré aquí para el recuerdo, continuaba toda
la historia de penurias que seguirían a tan bucólico comienzo. Tras un
momento donde sólo había que preocuparse de tener un plan
anti-incendios, anti-humedad, hacer copias de seguridad de las cintas,
tener un generador de corriente de respaldos y, como no, de tener un
candado - cada vez más grande debido a los lockpickers - para gestionar su seguridad.
De ahí en adelante, todo fue un suplicio. Primero las terminales, luego
las redes de área local, los servicios de acceso remoto, los servicios
en hosting, para pasar luego a tener redes WiFi, los Pokemons tipo BlackBerry, Symbian o Windows Mobile que sería Digimon en iPhone, Windows Phone y Android, para pasar luego de la tecnología en cluster, a los Grid, de ahí a preocuparnos de mandar los procesos pesados a sistemas de High Performance Computing hasta llegar a la Cloud. Todo ello, sin olvidar el divertido "compliance" de legislación y certificaciones de estandarización que tanta diversión provocan en el mundo de la seguridad.
En esa charla, siempre que contaba los problemas de cada estadio al que
habíamos llegados, para resaltar con tremendismo teatral la tragedia de
nuestra profesión, continuaba con una pregunta al aire que decía: "¿Puede esto ir a peor?" Por supuesto, la respuesta siempre es sí. Siempre hay algo que puede hacernos trabajar más en nuestra profesión.
Al final, en aquella época terminaba hablando de que encima tienes que
ocuparte de los hackers, que necesitan que les des un sistema capaz de
soportar el
pentesting, de los
hacktivistas, la
ciberguerra y los usuarios
fashion victim de las redes sociales y los servicios de
Internet.
Estos últimos especialmente, son los que obligan a día de hoy a tener
que tener un ojo puesto en la zona del sistema que contiene los datos
críticos de nuestra organización, y otro ojo puesto en la otra parte del
sistema que puede contiener "parte" de los datos críticos de nuestra organización. Una es la zona que hemos definido nosotros, otra es todo Internet.
El "CPD" como Mundo Sin FIN
Nuestro sistema se ha convertido en arena del desierto que se escapa
entre los dedos de nuestra mano. Una página web publicada ya nunca podrá
desaparecer de
Internet. Una fuga de información en un documento publicado en nuestra web
perdurará para siempre. Un fallo en la configuración del servicio
DNS o en la protección inicial del
hosting y será un problema para siempre. Una
mala configuración de nuestros parámetros SEO y datos de nuestros clientes aparecerán en las cachés de los buscadores. Un fallo en la seguridad de la web y un eventual
hacktivista replicará nuestra base de datos en un foro como
Pastebin. Un cliente con mala praxis, abrirá al mundo del
Fraude Online
las puertas del dinero de nuestros fondos. Y un atacante con ganas de
robar información de nuestro sistema podrá utilizar todas las fugas que
hayamos sufrido en su favor con un
APT.
En el mundo del
pentesting se llama
OSINT a la disciplina de nutrirse de fuentes abiertas para hacer las fases de
footprinting y
fingerprinting, pero con un poco de suerte, una fuga de datos publicada en un sitio como
Pastebin o analizada en
LeakedIN en la que se hayan volcado los datos del
router de una víctima o los usuarios y contraseñas capturados por una
botnet desactivada, puede abrir muchas puertas en casa del objetivo.
 |
| Figura 3: El "CPD" se ha convertido en un mundo cibernético sin fin |
En el mundo de la seguridad de sistemas, al servicio que comprueba
constantemente que no haya fugas de la organización que se protege se le
llama
Inteligencia,
Vigilancia Digital, o
Ciber-Seguridad - como se le llama en
Telefónica - pero al final significa lo mismo. Comprueba constantemente que en todo
Internet
no hay en ningún repositorio información sensible para la seguridad de
tu sistema. Y esto puede estar a la vista... u oculto por servicios de
pago como el del
Whois histórico que se llevó al
"emprendedor" que creo la botnet más grande en Mac OS X,
foros privados a los que solo se puede acceder si tienes infiltrados un
determinado nivel de confianza con el grupo que allí pulula o la famosa
Deep Web. Todo cuenta.
El
firewall, el
IDS, el sistema de actualización de software, el
antimalware de la red, los servicios de redes limpias con
antispam, los servicios de
VPN o la auditoría de seguridad las webs - que nosotros
pensamos que debe ser continua - parecen más que introducidas en el mundo de la seguridad empresarial. La vigilancia de
Internet continua para tener un servicio de
Ciberseguridad,
a pesar de que se comercializa desde hace ya tiempo, no está aún
introducida en todas las empresas, pero todo se andará, seguro.
Y cuando esté resuelto el servicio de ciberseguridad de la empresa...
¿Puede esto ir a peor? Pues seguro que sí, o si no, tiempo al tiempo...
http://www.elladodelmal.com
De Chema Alonso
