Formar, Informar, Educar

En una reciente charla escuché conceptos varios sobre la necesidad de formar en materia de seguridad informática al usuario de computadoras.

Cuando comencé Virus Attack!, allá lejos en la década del 90, la idea siempre fue informar, con el objetivo de educar, en materia de seguridad informática, con el fin de que los usuarios sean capaces de prevenirse de los virus informáticos, tan comúnes en aquel momento.

Con el tiempo, compromisos laborales y la ida de algunos colaboradores llevaron a la necesidad de poner un freno al sitio, que recién pudo "volver" con este blog, que tampoco es sencillo de llevar todavía (verán como fluctúa la cantidad de posts mes a mes).

Sin embargo, dentro de los objetivos profesionales, planteamos la necesidad de educar... el problema es que formar en seguridad informática implica primero formar en informática en general, y creo yo, ahi está el problema a resolver.

Antes de poder explicar la necesidad de instalar actualizaciones de software, por nombrar un ejemplo, el usuario debe saber qué es el software y qué es una actualización. Internet hoy núclea a un sinfin de usuarios con diversos conocimientos de PC, desde muy muy básicos hasta avanzadisimos, y eso lleva a la educación en informática se haga más complicada.

Es prácticamente imposible, con las herramientas de hoy en día más la dinámica de Internet lograr que todo el mundo sepa lo que necesita saber para prevenirse de la inseguridad informática. Más aún con la diversidad de conocimientos en informática que hay.

Todos nos mandamos a hacer cosas aunque no las sepamos y eso trae problemas siempre; los automoviles están entre nosotros desde hace más de 100 años pero todavía hay accidentes, tanto por culpa de los peatones como de los conductores. La electricidad hace más tiempo que existe, y aún así, hay gente que se electrocuta... ¿La educación en informática es causa perdida entonces?

Creo que no, pero implica un compromiso mayor... Mientras que las empresas trabajan para implementar normas como las ISO 27000, no dedican tanto esfuerzo a formar a sus empleados en materia de informática y su seguridad... Eso va a implicar siempre agujeros que van a ser díficiles de cerrar.

El compromiso de la seguridad informática debe partir desde todas las partes: empresas, usuarios, gobierno, universidades, etc, donde es importante que las iniciativas por lograr una Internet más segura tomen en cuenta todas las variables y no solo nos dediquemos a publicar notas sobre vulnerabilidades sino también a formar ... esa es la cuestión.

Tenemos que preocuparnos porque las siguientes generaciones estén correctamente formadas en informática, y desde mi humilde opinión, la seguridad informática debe enseñarse en las escuelas. Si, como sucede en mi país (Argentina), la informática se imparte en las escuelas para que los alumnos solamente sepan usar el Office, nunca lograremos tener una Internet más segura. Se deben dedicar recursos para que la educación sea completa, o se acerque lo más posible, y de esa manera, podremos lograr que la seguridad sea más alta.

Si no le enseñamos al futuro usuario de internet lo que debe y no debe hacer y le damos las bases del por qué, siempre encontraremos brechas de seguridad que no podremos cerrar. Caso contrario, solamente queda en nosotros mismos hacer lo posible por aprender más, y eso nunca cerrará muchos de los agujeros actuales que, en realidad, podrían ser resueltos...

La informática está entre nosotros para quedarse, eso no es ninguna novedad, aprendamos a usarla responsablemente... Sino, siempre tendremos inseguridad informática...

Más sobre vulnerabilidades

Tras lo que ví recientemente al preparar una charla sobre la vulnerabilidad ANI, me dediqué a seguir mirando más en la red sobre lo que hay hoy en día disponible, y la verdad, hay de todo :-)

La vulnerabilidad ANI sigue siendo muy utilizada, pero no es la única y está decreciendo lentamente, lo cual deja bien claro que pronto, quienes crean malware, encontrarán alguna otra que explotar masivamente.

El problema mayor no son esas vulnerabilidades que se usa masivamente, dado que, aunque preocupante, son rápidamente detectadas y prevenidas por los antivirus. El mayor inconveniente se da por aquellas vulnerabilidades que sirven para ataques dirigidos.

Por ejemplo, si damos vuelta por la red, encontraremos varias formas que permiten a un atacante interno ganar más privilegios de acceso a un servicio de una empresa, como un servidor web, de bases de datos, etc.

Ese tipo de ataques son tan o más preocupantes que los que usan vulnerabilidades masivas porque son orientados y el atacante tiene algún objetivo particular que puede dañar de alguna forma a la empresa donde trabaja.

Tenemos que tener en cuenta dos cosas:

• Más del 50 % de los ataques que sufren las empresas proviene del exterior.
• Los ataques que más daño económico suelen causar vienen del interior.

El administrador o responsable de seguridad de la empresa debe preocuparse no sólo por cerrar las puertas a ataques externos, sino también por mantener seguro el entorno interno, dado que el agujero de seguridad aprovechado puede venir de cualquier dirección.

Para empezar, tenemos que analizar cuales son los software que usamos, preocuparnos por mantenernos actualizados y no dejar que queden versiones obsoletas de software que puedan contener vulnerabilidades.

Luego, tenemos que preocuparnos de que los usuarios de la red interna tengan acceso solamente a los recursos que necesitan, y que no puedan elevar sus privilegios de alguna manera. Por más que nuestro servidor web y/o cualquier otro servicio publicado al exterior esté al día, si no actualizamos el software de base de datos, un operador puede llegar a aprovechar una vulnerabilidad en el mismo para robar o modificar información y causar un daño altisimo. Una página web defaceada es un problema de imagen muy grave para una empresa, pero el robo de información es más "caro".

La seguridad no solo es poner una puerta blindada, sino también que quien esté del lado de adentro, no pueda hacer más de lo que tiene permitido hacer.

"is"

Vishing, smsishing, etc... (Lección 8.1)

Recientemente hablamos sobre uno de los principales vectores de ataque de la actualizado. El conocidisimo y tan mentado phishing. El problema es que hay tantos términos utilizados por los especialistas en seguridad informática, así que vamos a cubrir algunos de ellos aquí.

• Vishing: Es el uso de Voz sobre IP (VoIP) para el robo de información sensible, similar al phishing, pero con el componente de la conversación. Es una denominación para el viejo truco de llamar a alguien para engañarlo por teléfono, pero aprovechando la tecnología de hoy.
  
  
• SMSishing: Es cuando el phishing se realiza específicamente a través de mensajes SMS (esos que enviamos y recibimos por nuestro teléfono celular).

Hay muchos más *ishing (cambie el asterisco por lo que le plazca) que no son ni más menos que técnicas utilizadas para el robo de información, tales como el phishing, pero que no utilizan el correo electrónico y un sitio web, sino algún otro medio. A no confundirse: el objetivo es el mismo, robar nuestros datos, solo cambia la forma, por lo que no debemos espantarnos por el nombre de la técnica y siempre preocuparnos por no revelar la información a fuentes que no hemos confirmado.

"is"

Exploits en la red - Al alcance de cualquiera

Como consecuencia de mi charla en un reciente evento, me encontré buscando ejemplos de algunas vulnerabilidades en la red, para ver que tipo de información estaba disponible. Para mi no-sorpresa, encontré de todo.

Inicialmente, estaba buscando algúna prueba de concepto (PoC) que me permitiera hacer una demostración de la explotación de la vulnerabilidad ANI comentada anteriormente. Comencé con lo fácil: fui a google, y busqué por "ani exploit demo". Para mi sorpresa... ¡encontré lo que buscaba!

No solamente es que encontré una demostración de la vulnerabilidad, sino que encontré código fuente de varios exploits, con instrucciones de cómo usarlos y para qué vulnerabilidad específica servían. Ni siquiera tuve que esforzarme demasiado, estaban ahí al alcance de mi mouse.

Bajé uno de los códigos fuentes, un interesante programa en C que me permitía crear un archivo ANI vulnerable, capaz de ejecutar cualquier acción si se utilizaba en equipos no correctamente actualizados. Lo compilé, probé, y ¡voilá!

Esto demuestra claramente que el crear códigos maliciosos está al alcance de cualquiera, y eso es una de las razones de la gran cantidad existentes hoy en día. No solo nos encontramos con trabajos de grupo como muchos de los principales malware de la actualidad, sino también códigos maliciosos sencillos cuyo origen es algún código fuente disponible en la web.

Por ello es que tenemos que seguir las reglas de oro: usar antivirus, actualizarlo e instalar las actualizaciones de sistema operativo y navegador de internet cuando estén disponibles en el sitio del navegador. Cuanto más hagamos esto, más seguros estaremos.

Más sobre "10 maneras de ser estafado"

Hoy se realizó el seminario de Segu-Info sobre 10 maneras de ser estafado, en el cual expertos de distintas áreas relacionadas a la seguridad de la información y el derecho informático mostraron algunos de los tantos vectores de ataque existentes y en práctica en la actualidad.

Tuve el placer y la oportunidad de participar en el evento como disertante, hablando sobre vulnerabilidades en Windows, y mostrando una sencilla demo sobre la vulnerabilidad ANI.

La charla, sacando mi participación :P, tuvo un alto nível de conocimientos mostrados por los conferencistas, y el público, alrededor de 200 personas, se retiraron altamente conformes con los resultados.

¡Desde acá, felicito a los responsables de Segu-Info y Root-Secure, entidades organizadoras, por el excelente evento!

Más información sobre el seminario puede ser encontrada en el sitio de Segu-Info.

"10 maneras de ser estafado"

La semana próxima, más precisamente el martes 17 de Julio a las 13.30 hs, se llevará a cabo un seminario organizado por el sitio argentino Segu-Info, referente en materia de seguridad informática, en el cual varios expertos mostrarán métodos usados por los estafadores de hoy en día.

Para más información del seminario, que se dicta en Buenos Aires, Argentina, les recomiendo visitar el enlace directo del Tercer Seminario de Segu-Info, "10 maneras de ser estafado".

"is"

Avancemos, ¿qué es el phishing? (Lección 8)

Aquí empezamos con algunos conceptos algo más complicados, que requieren una longitud mayor de texto, pero como no queremos aburrir, vamos a intentar hacerlo lo más sencillo posible.

El phishing es un método utilizado desde hace algún tiempo cuyo objetivo es robar contraseñas (y datos de acceso a servicios) de los usuarios de Internet. El nombre proviene del termino en inglés (cuando no) Password Harvesting, aunque en algunas fuentes le asignan otro origen.

Como mucha terminología en seguridad, ha mutado a lo largo del tiempo, y ahora se aplica solamente a un tipo de forma de robo de contraseñas (cuando hay varias decenas, o centenas de métodos).

En el caso del phishing, entran en acción varios componentes (y ninguno de ellos es un malware), tales como el correo electrónico y algún sitio web.

En primer lugar, el usuario recibe un mensaje de correo electrónico que parece provenir de una fuente de confianza (banco, entidad financiera, sitio de subastas, hoteles, etc.). El atacante confecciona estos mensajes de correo para que tengan un estilo y gráfica similar a la fuente suplantada, y para que el texto alarme al destinatario y lo lleve a hacer click en un enlace.

El enlace en cuestión, normalmente, también parece real, pero está especialmente preparado para que el usuario piense eso. Cuando se hace click en el mismo, se accede a un sitio web que, ¡oh, sorpresa!, también parece real (por ejemplo, el de nuestra entidad bancaria). En dicho sitio se nos solicitan nuestros datos de acceso (usuario, contraseña) y/o información de nuestra tarjeta bancaria.

Obviamente, si ingresamos esos datos, terminarán en la base de datos de quien armó el ataque de phishing, y estaremos entregando la lleve de acceso a nuestra cuenta bancaria, por ejemplo.

La solución: primero, no tenemos que hacer click en enlaces que nos llegan por correo electrónico y provienen de entidades financieras sin que los hayamos solicitado. Segundo, no ingresar los datos de acceso a un sitio web si accedimos al mismo desde un sitio de Internet; abrir primero nuestro navegador de internet, acceder manualmente al sitio y solo en ese caso ingresar nuestros datos. Tercero... No hay demasiadas más cosas que podamos hacer, además de las otras que se aplican a muchas cosas (asegurarnos que entramos a sitios seguros https, borrar emails sospechosos, usar herramientas anti-phishing, etc), pero muchas de estas cosas no son 100 % confiables.

La pregunta de muchos es obvia: ¿Cómo diferenciamos un mensaje de correo válido de uno que no lo es?

Primero hay que comprender algo básico: "por más que luzca como un gato, no tiene por qué ser un gato". O sea, por más que venga por email, parezca ser un email de una fuente confiable, no tiene por qué serlo. Tenemos que aprender a desconfiar un poco de aquello que llega por email, y no hacer click en cuanto enlace aparece.

En segundo lugar, los bancos y entidades financieras no deben (y por suerte, casi nunca lo hacen, si tienen políticas de seguridad adecuadas) enviar mensajes de correo electrónico que contengan enlaces. Un banco debe cuidar de sus clientes y sus fondos, y por ende, la mejor forma de evitar el phishing es no permitir confusiones, es decir, el banco nunca debe enviar mensajes de correo electrónico que contengan enlaces, y debe informar al cliente que nunca lo hará. Si su banco le sigue enviando mensajes con enlaces, cambíese a otro banco, no tienen una política de seguridad adecuada.

La mejor defensa contra el phishing somos nosotros mismos; si evitamos mensajes no solicitados, y no hacemos click en los enlaces de aquellos cuyo único objetivo es solicitarnos nuestros datos, estaremos más seguros contra el phishing.

"is"

NOTA AL MARGEN: El phishing es un tema complejo, que confunde hasta a los experimentados. Por ello, es complejo explicarlo claramente, y más allá, dar recomendaciones que cualquiera pueda seguir. Lo que siempre recomiendo en estos casos es: mantenerse informado sobre seguridad, intentar aprender, y así, podemos cada vez estar más seguros. Si ud. nunca le daría sus datos de acceso a su cuenta bancaria a un extraño que le habla en la calle, ¿por qué se los daría a un mensaje de correo electrónico que le llega a su casilla? Reflexionemos... y encontraremos soluciones :)