Oct 14 2013

El día 23 de octubre, participaré en el 7 ENISE organizado por INTECO hablando de: «Ciberdelincuencia»

7 ENISE, INTECO LeónEn el año 2011, tuve el placer de participar en el primer encuentro denominado «Blogueros de Seguridad». que organizó INTECO dentro de los actos celebrados en el ENISE (Encuentro Internacional de Seguridad de la Información).

Fue una gran experiencia, allí pude intercambiar puntos de vista sobre cuestiones que no siempre puedes abarcar, además de conocer a grandes profesionales y gente tan interesante como mis compañeros de mesa y otros participantes. El próximo día 23, entre las 15:30 y 17:30h, estaré junto a José Selvi, Lord Epsylon y Pablo González, hablando de «Ciberdelincuencia» en una mesa moderada por Alberto López (Gerente de Consultoría Tecnológica de INTECO).

Un extracto de la temática propuesta para nuestro taller (T2.3):

«La ciberdelincuencia es unos de los ámbitos delictivos de mayor crecimiento durante los últimos años, apoyados en la facilidad, anonimato y rapidez, con el que se pueden realizar los mismos a través de internet. Robo de Información, estafas, phishing, pornografía infantil, redes botnets, terrorismo de estado, son algunos de los delitos que se pueden cometer a través de las redes»

De todos modos, habrá streaming y seguro que salen a la palestra otros temas. También, los componentes de la mesa, hemos cruzado varios e-mails hablando de la temática y por mi parte, sólo os puedo decir lo veo muy homogéneo. Además de los temas propuestos para el encuentro, intentaré aportar algo de mi día a día en APACHEctl con los servidores y los diferentes ataques o consecuencias derivadas de ellos.

También, mi opinión personal sobre hacia dónde va el mundo del Hacking, dentro un marco legislativo que, cada vez con más ahínco, nos pone en el punto de mira, o más bien, la etiqueta protagonista de la mesa, «Ciberdelincuentes» (!). Me refiero a Leyes dictadas por Instituciones o Gobiernos que paradójicamente (o no tanto), espían y vulneran la privacidad de los ciudadanos de forma impune y sistemática…

Muchas gracias a INTECO por invitarme a participar (también a ESET que por cierto me invitó a estar en el «Security Day 2013» y es el mismo día, me hubiese encantado acudir, otro año será). Sobre el 7 ENISE, aquí tienes toda la información, si estás en la Universidad estudiando, el acceso a nuestro taller es gratuito, he preguntado y lo gestionan vía [email protected]

Estoy convencido que aprenderé un montón mis compañeros y participantes del encuentro. Espero veros a unos cuantos en León. Hablando de la entrada al evento, es una lástima que no sea como en 2011, acceso libre, pero para quienes no podáis acudir, siempre nos quedará el streaming -;).

Tags: , , , , , , , , , ,


Sep 06 2012

En vacaciones, cuidado con las autopistas… (de la información)

Esta entrada se ha publicado originalmente en el blog INTECO dentro de la campaña “verano seguro”, os recomiendo leer los últimos post publicados sobre el tema.

Por otro lado, como muchos ya sabréis, procuro hacerme eco tanto de recursos, como de cuestiones de seguridad en mi cuenta de Twitter y os recomiendo estar al tanto de lo que vamos publicando en Daboweb (también puedes seguirnos en Twitter).

Aprovecho la ocasión para comentaros que pronto habrá un nuevo episodio del podcast pasada esta época estival, mirad a modo de ejemplo Forat y su “Radial Rack” ;D.

En Verano, cuidado con las autopistas (de la información)

En tus vacaciones, presta atención al estado de esas autopistas por las que viajan nuestros datos y “teclea con seguridad”. También vigila por dónde navegas, no pierdas el rumbo ni las buenas costumbres necesarias para llegar a buen puerto y de ese modo, tener un viaje de vuelta sin sustos. Corren tiempos de una gran actividad en las diferentes redes sociales, también crece la necesidad de compartir tanto ubicaciones como fotografías o experiencias vividas en excursiones y viajes con nuestro círculo más cercano, esa combinación, unido a la “euforía estival”, puede hacer que nos conectemos “con lo que sea y desde donde sea” a Internet.

Ordenadores con dudosas medidas de seguridad implementadas y en ocasiones, con un registro de sitios web y datos de navegación visitados, como puede pasarte en un ciber o en el hall de un hotel. Son momentos donde se tiende a bajar la guardia y con tu conexión de datos cancelada temporalmente, o el “síndrome sin 3G”, esa red wi-fi de la que en condiciones normales dudarías, la ves más amigable y ahí pueden empezar tus problemas.

Recuerda que cualquier dato es susceptible de ser capturado si estás conectado a una red compartida (o no), medidas como utilizar siempre una capa de cifrado en tus conexiones (SSLTLS, SSH, SFTP, etc), usar el modo de “navegación privada” en tu navegador, unos passwords fuertes y que no sean los mismos en múltiples sitios, etc, te ayudarán a gozar de una privacidad mayor, pero de poco te servirán si ese equipo o conexión ya está comprometida por alguna botnet, troyano, keylogger o hay un sniffer almacenando trazas de red en esa wi-fi “envenenada”. Sí, aquello del sentido común, sigue siendo el mejor de los consejos a pesar de las reiteraciones.

Es muy habitual llegar a un equipo compartido y ver sesiones abiertas en el correo o sitio web de turno, también se incrementan las infecciones en dispositivos USB o tarjetas de memoria por ejemplo descargando fotografías y los ataques por ingeniería social van en aumento. Esa ausencia vacacional puede ser el momento ideal para intentar engañar al personal de tu empresa para conseguir información sensible de la misma, aprovechándose de algún dato que hayas podido publicar en un blog o la Red Social de turno. Es por ello que no está de más dejar marcadas unas directrices o pautas de actuación mientras estés en ese estado de desconexión que al final no lo es tanto (aquí volveríamos al primer párrafo).

Es importante que alguien de tu círculo de confianza si llevas adelante algún sitio web, o tu negocio se basa en Internet, pueda acceder a ese entorno caso que suceda algún problema o caída en el servicio. Del mismo modo, extrema las precauciones cuando regreses ya que es probable que a tu sistema o aplicaciones, le falten algún parche de seguridad publicado en tu ausencia. Abre con precaución los correos acumulados aún siendo legítimos y si usas alguna solución anti-malware,, asegúrate también de que sus firmas de detección estén al día antes de realizar cualquier operación con el equipo.

Para terminar no te olvides de los backups, que como las bicicletas, también son para el verano… Por lo que a disfrutar y “tengan cuidado ahí fuera” ;).

Tags: , , , , , , , ,


Jun 27 2012

Servidores web y respuesta rápida a incidentes. Teoría Vs práctica. (Publicado en INTECO)

Disclaimer: Publicado originalmente en el blog de INTECO.

Existen muchos mitos sobre un concepto tan utilizado en el mundo IT como el de “respuesta rápida a incidentes“. Podemos incluso, realizar todo tipo de planes de contingencia, continuidad de negocio, previsiones y pruebas de concepto, pero en base a las experiencias vividas en mi día a día con los servidores web, a título personal, o junto a mis compañeros de APACHEctl, a pesar de intentar marcar unas pautas comunes de actuación, en la hoja de ruta a seguir cuando todo lo que puede ir mal sucede, en cada caso tienes que añadir una nueva variable.

Es como un teorema en permanente estado de revisión, cuestionamiento y actualización. Obviamente, cuando has preparado un entorno web desde cero, juegas con la ventaja de saber en que terreno te mueves (sabes cómo puede funcionar el proveedor de hosting, la gestión del incidente, tiempos de recuperación, backups, la gestión de la comunicación y posible respuesta del cliente, medios de los que dispones, etc).

Pero en mi opinión, la complejidad reside en un caso muy común y muchas veces olvidado, donde cuando estableces una conexión SSH, tienes la sensación de estar “en tierra de nadie”. En un panorama como el siguiente, no sirven de mucho las teorías, lo que cuenta es crearlas sobre la marcha con la experiencia adquirida en el desarrollo de ese teorema anterior y ponerlas en práctica en el mínimo tiempo posible. Me refiero al caso tipo de:

“Hola, el motivo de mi consulta es porque mi servidor web no va bien y creo que puede estar comprometido”.

Hablamos de escenarios hostiles, las frases hechas como “lo más seguro es quitar el cable de red” son sólo eso, coletillas con un efecto placebo para el usuario. En momentos así, el único mecanismo de defensa frente al pánico del responsable del entorno de producción de turno, es pensar que quizás pueda librarse de verlo parado con las consecuencias que ese hecho pueda tener, tanto para la empresa, como para los usuarios finales.

Y allí estás, frente a una línea de comandos en un sistema GNU/Linux conocido por su arquitectura, pero totalmente desconocido en cuanto a su estado, en el que ya sabes desde antes de empezar que ese día, tu lista de variables aumentará, esperando también que alguna de las almacenadas en memoria funcionen. En medio del fuego cruzado TCP/IP que está entrando y saliendo por el cable de esa máquina, donde tú sólo eres una pieza más del puzzle (olvídate de protagonismos heredados de Hollywood) y los daños colaterales pueden ser grandes.

Siendo consciente, de que eres posiblemente el paso previo a un posterior análisis forense que de hecho, ya lo estás haciendo, aunque sea a un nivel no tan bajo del sistema. Revisando conexiones, logs y alguna vez, compartiendo sesión con quien ha provocado que estés allí.

Y sí, tienes que manejar de la mejor forma posible tanto la gestión del incidente, la comunicación, plan de continuidad, impacto sobre el sistema, grado de intrusión y todo lo que está en la teoría, ya que una decisión errónea, puede ser el desencadenante de una serie de hechos totalmente desafortunados para todas las partes implicadas, el ligero problema, es que debes hacerlo en minutos, o segundos…

Ahí radica la diferencia con “el escenario ideal”, otra frase hecha, pero en esta ocasión para quien se ha esforzado en implementar todos los planes necesarios que comienzan por ISO, el cliente que ha pagado por ello, o para el sufrido “SysAdmin” que también tiene derecho a irse a dormir algún día tranquilo. Cuando ves la (IN) Seguridad como algo natural y estás familiarizado con ella, sabes que todo es susceptible de pasar de “ideal” a “infernal” en cualquier momento y tienes que estar preparado.

Quizás, por ejemplos como este, uno de tantos, si después lees algo acerca de los intentos de criminalización de nuestra profesión, queriendo limitar el uso de herramientas para realizar auditorías de seguridad o tests de intrusión, es cuando piensas que mucha gente vive en universos paralelos, que más bien podrían denominarse, “para lelos”. Hoy, ese teorema, tan inquietante como abstracto, seguirá evolucionando.

Por cierto, no sé cómo acabará, pero empieza con un “Hacking is not a Crime”.

Tags: , , , , , , , , , ,


Mar 18 2012

2011 – 2012. Estado de la (IN) Seguridad Informática. (Publicado en el Blog de INTECO).

Los que tenéis a bien seguirme a través de Twitter y estáis al tanto (entre pingüinos y bugs) de mi día a día, ya sabéis que he comenzado a colaborar con el Blog de Seguridad de la Información de INTECO, junto a grandes profesionales del sector.

También, los habituales de aquí, sabéis el gran sabor de boca con el que vine dentro de mi participación el año pasado en León, dentro de las actividades del 5ENISE, en la ponencia “Bloggers de Seguridad 2011“, además del excelente trato recibido por INTECO-CERT.

El haber podido conocer al equipo humano del CERT, no ya dentro de las actividades del propio 5ENISE, sino donde conoces mejor a las personas, tomando unas cañas por ejemplo junto a mis compañeros de ponencia, (muy grandes;) sumado a la gran cantidad de material que suelo utilizar en mis cursos de INTECO, tal y como podrían dar fe la media de unos 14 alumnos que suelen asistir, hace que para mi, sea algo muy natural el haber empezado a aportar mi granito de arena en su blog (saludos Cristina, siempre pendiente del más mínimo detalle -;).

Ya venía siguiendo todos los resúmenes del resto de compañeros de blog acerca de su visión sobre el pasado 2011 y lo que esperaban para este año. Hablando de un campo como el de la Seguridad, tan cambiante por momentos que es verdaderamente complejo apuntar tendencias, me pidieron cerrar los resúmenes y aquí podéis leer mi valoración sobre el 2011 / 2012, o el “estreno en “ObservaINTECO Blog”.

Muchas gracias por la confianza depositada, intentaré ir escribiendo sobre lo que vea y recopilaré aquí todo lo publicado.

 

Tags: , , , , , , , , ,