viernes, 22 de agosto de 2014

Los Mandamientos de la Seguridad

Usted no tiene que ser un programador para hacer realmente bien este trabajo. De hecho, en realidad, creo que un perfil técnico puro podría ser más una distracción”. Con estas palabras comenzaba la entrevista que GovInfoSecurity le hacía a Michael Daniel, actual coordinador de seguridad de la Casa Blanca.


Palabras que han servido de inspiración en Network Security para abrir un intenso debate sobre la viabilidad de altos cargos de responsabilidad con perfiles no técnicos. Entre sus defensores, el propio Michael Daniel, que señala la importancia de saber tomar decisiones apoyado en un grupo de consultores techies. Y en el otro, el propio Martin, editor de Network Security, recordando el peligro que puede conllevar la toma de decisión del futuro de la seguridad de un país desconociendo uno mismo las consecuencias a medio/largo plazo.

Ejemplo de ello es la fuga de información que UPS, una de las empresas de paquetería más grande de EEUU, ha sufrido en 51 de sus sucursales. La compañía no ha especificado el número de clientes comprometidos, ni el tipo de malware utilizado en el ataque, pero teniendo en cuenta los datos que maneja la empresa (domicilios, números de cuenta, teléfonos e identificadores personales) podríamos estar ante uno de los botines más suculentos en el mercado negro.

La semana pasada se celebraba en Las Vegas uno de los eventos de seguridad más importantes del año, la Black Hat. Y desde el CIGTR estuvimos cubriendo el acontecimiento día tras día. Por supuesto, no hemos sido los únicos, y en el blog de Kaspersky, Brian Donohue nos cuenta sus propias sensaciones con mención especial para la charla de Dan Geer, jefe de seguridad de la información en In-Q-Tel, que sorprendió a los asistentes con los Diez Mandamientos de la Seguridad, una recopilación de peticiones a gobiernos, empresas y usuarios de todo el mundo sobre cómo hacer del tercer entorno un lugar menos peligroso.

Entre las posibles salidas, la de regular de forma clara y sencilla el hacking ético, cuyo interés es únicamente el de mejorar la seguridad de los sistemas alertando a sus creadores, y que aún en nuestros días puede ser causa suficiente para acabar en un juzgado. Dan Geer proponía que el gobierno de EEUU pagara 10 veces más que en el mercado negro por los exploits 0-days, divulgándolos después en un fichero público para que las empresas y administraciones pudieran consultarlo y arreglarlo. Lorenzo Martínez, de SecurityByDefault, señala a una legislación más permisiva con el pentester, que proteja su trabajo y marque unos límites claros de operación.

Otra de las cuestiones tratadas fue el porqué cada vez con más intensidad se suceden ataques masivos que ponen en peligro nuestros datos. Desde Net-Security lo tienen claro: Bandas del cibercrimen mucho más organizadas, unidas a técnicas cada vez más sofisticadas, a la expansión de la identidad digital y el aumento del uso de este tipo de servicios. Al menos, no todo está en nuestra contra, y realizando una serie de rutinas como cambiar las contraseñas, revisar nuestros perfiles y tener toda nuestra interacción digital localizada, minimizamos muchísimo el riesgo.

Del otro lado, interesante la propuesta de realizar análisis masivos de malware atendiendo a la información de los DNS y de las IPs. Si buena parte de los ataques actuales vienen dados por botnets formadas por clientes infectados, el obtener información de las peticiones DNS de este tipo de dispositivos y los rangos de IP llamados permitiría a las suites de seguridad establecer patrones de predicción para ataques futuros. 

Estrategias encima de la mesa que tienen como objetivo mejorar la seguridad del mundo digital. Algo en lo que todos podemos colaborar, bien sea auditando sistemas como hacen los pentester, bien sea vigilando nuestros perfiles sociales, bien sea divulgando este tipo de artículos entre nuestros círculos.

0 comentarios:

Publicar un comentario