Los CERT ya caducaron.

¿Qué es un CERT? Si no lo sabes, de entrada ya me ayudaste a establecer mi punto inicial de que –no importa qué sea- ya caducaron. Un CERT es un “Computer Emergency Response Team” y el primero fue creado en EUA (para variar).

La creación de este primer CERT fue creado a raíz de un malware, el famoso gusano de Morris. El gusano de Morris (’88), como de hecho lo fue en su momento Melissa (’99), ILoveYou (’00), Nimda (’01) o Blaster (’03) causaron gran revuelo y tenían –entre otras- dos características: eran gusanos que se distribuían con rapidez y fueron creados a propósito para que fueran altamente visibles (por el impacto causado en redes y/o sistemas).

Para este tipo de gusanos, los CERT de alrededor del mundo cumplieron –de cierta manera- una función de ser punto de contacto, otorgar información relevante de erradicación y de prevención. Por lo anterior es que tenemos varios CERT como el de EUA, el de Francia, Alemania y sí, el de México, entre otros más.

Desde el Blaster, el malware ha evolucionado a nuevas amenazas: buscan dinero y son sigilosos (no quieren ser detectados). También han tomado fuerza los ataques dirigidos como el que sufrió Google. ¿Qué han hecho estos CERT contra este nuevo tipo de amenazas?

Visiten sus páginas, verán una lista de vulnerabilidades informáticas, algunos manuales y noticias. Nada que no se pueda encontrar en otros sitios como blogs, sitios de fabricantes de software o empresas de seguridad informática. Tanto para las corporaciones o los usuarios de a pie, no es necesario visitar a los CERT.

¿Alguien quiere conocer noticias relevantes de seguridad o estar al pendiente de nuevas amenazas o vulnerabilidades? Ahí está Twitter y el Google Reader (u otro recolector de RSS) que es de hecho lo que hago yo. ¿Manuales o procedimientos para configuraciones de seguridad? Ahí están los sitios de los fabricantes, el NIST u otras fuentes. ¿Información completa de malware? Tenemos los sitios web de los fabricantes de antivirus. Blogs y artículos completan la información (e incluyen opiniones).

¿Qué y cuánto se ha podido prevenir por tener estos CERT? ¿Existe algún dato concreto y objetivo que defina la aportación de estos sitios? Los cientos de usuarios que caen víctimas del malware para robar dinero al hacer banca en línea y las empresas que han perdido montos tan descabellados (y que están a punto de la quiebra) probablemente no recibieron ayuda de estos CERT, creo yo.

Opino que los CERT tienen una actitud muy poco proactiva, ellos piensan “yo pongo la información y ayuda aquí, depende de los usuarios venir a buscarla, depende de ellos enterarse de mi existencia”.

Si preguntan a su gurú de confianza en cuestión de seguridad de la información, seguro les dirán que los CERT han contribuido mucho, que son muy necesarios y que quién sabe qué sería de nosotros sin ellos. Pidan casos concretos de ayuda, información detallada del apoyo brindado que en el mundo real haya servido de algo o en qué medida han prevenido que amenazas exploten vulnerabilidades; en pocas palabras, cifras, números y ahorro$. Juzguen por ustedes mismos.

Opino que estos CERT tienen tres opciones: a) Evolucionar y dejar de vivir en el 2003, estamos en el 2010 por amor de Dios!; b) Desaparecer; c) Seguir igual que hoy, siendo un dizque punto de contacto, juntando un par de noticias por aquí y por allá y poniendo algunos manuales y ofreciendo una ayuda limitada.

La información está en Internet, no en los CERT.

Ejemplo: en la página web de un CERT en su sección “Usuario Casero” (28-feb-2010), ponen información de vulnerabilidades informáticas, una definición de “desencapsulamiento” y una noticia de que “han aumentado los riesgos de seguridad en datos de voz”. ¿A un usuario “casero” le importa tener un listado de vulnerabilidades, saber lo que es “desencapsular” o sobre los “riesgos” en datos de voz? Si me pongo en el papel de “usuario casero”, poca información de esta página me hubiera ayudado realmente.

La Seguridad no es tu Trabajo.

¿Quién es el responsable por la seguridad de la información? Ciertamente no eres tú, porque para eso hay un Departamento de Seguridad Informática que se ocupa, preocupa y responsabiliza por todo “eso” de la seguridad.

¿Qué opinan algunos de los grupos de personas dentro de una corporación respecto a “eso” de la seguridad?

Administradores: su trabajo es administrar los servidores para que den el servicio esperado. Su trabajo es hacer migraciones “transparentes” para los usuarios y hacerse cargo de ciertas aplicaciones que ayudan a administrar sus servidores.

Su trabajo, por otra parte, no es mejorar ni mantener la seguridad de sus servidores y tampoco de la información que en ellos reside. Eso no vende, no lo ve la Alta Dirección, no les dan una felicitación ni incentivo por actividades que no son parte de sus funciones. “Para eso está Seguridad Informática”.

Usuarios: su trabajo es redactar documentos para entregar ese análisis solicitado; también están los cálculos en Excel para llevar el control de proveedores o de las ventas mensuales. Áreas legales, contables, de mercadotecnia o de ventas.

Todos con “chamba” propia, con niveles de desempeño qué cumplir, proyectos a realizar. No hay tiempo para preocuparse por “eso” de la seguridad de la información. No están bien enterados de lo que se debe o no hacer para mantener la seguridad de los documentos que manejan; de hecho no es algo que esté en su radar porque no es parte de sus funciones.

Quieren trabajar, quieren que se les habilite JavaScript en Adobe Reader, y en Internet Explorer habilitar ActiveX. Quieren recibir correos sin filtros porque “no vaya a ser que se pierda un correo importante”; quieren Flash, quieren abrir adjuntos: “no vaya a ser que no pueda ver ‘esas’ fotos que vienen en PowerPoint”.

Quieren libertad, no restricciones ni alentamientos por “ese antivirus”. No quieren ser molestados. Quieren entrar a redes sociales, usar chat y ver todas las páginas deseadas. Quieren quitarse las ataduras, las limitaciones y restricciones para trabajar “como Dios manda”. Claro, porque “para eso está Seguridad Informática”.

Alta Dirección: hay tres tipos de alta dirección. La que realmente le interesa la seguridad de la información, la que no le interesa y/o lo ve como un gasto, y la que aparentemente le interesa (tal vez por moda o porque se siente mal de no hacerlo) pero que realmente no demuestra acciones concretas, contundentes y frecuentes en pro de mantener un nivel aceptable de seguridad dentro de la corporación.

Y aguas, no estoy diciendo que deban de ser unos geeks de seguridad; la alta dirección está para ver que el negocio jale, que obtenga ganancias y para marcar el rumbo. Pero vaya, darle seguimiento a “eso” de la seguridad una hora cada dos meses y/o asegurarse –al menos- de poner a alguien (con rango en el organigrama) que sepa lo que hace en cuestión de seguridad de la información, no le hace mal a nadie, creo.

¿Asunto de todos?

Lo particular de la seguridad es que es de esas “cosas” donde todos participan de una manera u otra. Por ejemplo, seguir las normas corporativas o asistir a cursos de capacitación. Si usuarios, administradores o el “cuate” encargado de las redes ignora o no le interesa seguir una actitud “segura”, es ahí donde veremos a los USB perdidos con datos corporativos, computadoras botnet, ataques de inyección de código SQL para extraer el contenido de las bases de datos o un exploit para obtener información importante (caso Google-China). ¿Mantener un nivel aceptable en la seguridad de la información es tarea de todos de alguna manera u otra?

¿Cómo hacer que la seguridad sea parte de las funciones de los integrantes de una organización?

Hay dos opciones: por la buena y por la mala (o una combinación de ambas). Por la buena es usando cursos y campañas de “security awareness”, instando a las personas a que cambien sus hábitos y actitudes por el bien de la seguridad de la información. Por la mala y aunque sea una propuesta desagradable (no me odien), es básicamente sancionar o despedir al personal que haya violado una política de seguridad o que haya expuesto a la corporación a un riesgo de seguridad. Cuando despides a alguien por estos motivos, se pone el ejemplo y de pronto “eso” de la seguridad se vuelve parte de las funciones y del trabajo; porque ahora sí es del interés de los empleados proteger la información (o bien, la infraestructura a su cargo) ya que si no fuera así, básica y sencillamente, podrían ser despedidos; así de crudo.

Conclusiones.

Las TI son un habilitador, mientras que la seguridad restringe. Las TI son “palpables” y percibimos su utilidad; sin embargo cuando la seguridad funciona no la “vemos” ni apreciamos, pero cuando falla entonces nos damos cuenta de que está ahí y nos quejamos. Dentro de una empresa, cada departamento tiene una agenda y trabajo qué cumplir, sin olvidar la atención a cuestiones políticas internas qué cuidar. Al final de cuentas, no nos debería de preocupar, porque supongo que “para eso está Seguridad Informática”, cierto?

Nota: respondiendo a la pregunta inicial: ¿quién es el responsable por la seguridad de la información? Todos, aunque sea de manera indirecta; si no les gusta la palabra “responsable” favor de sustituirla para que quede algo a su gusto como ¿Quién debe colaborar en la…? ¿Quién debe participar por…?

Nota 2: en este artículo asumo que tienes un área de seguridad informática en la empresa o alguien dentro de Informática que asume esa función. Si no es así, tu situación es peor de lo que pensaba.

Hospedaje Costoso.

“¿Desea reservar con su tarjeta, señor?” Es la típica pregunta que nos hacen al apartar un par de días en nuestro destino preferido. Y más allá del costo del cuarto, podría haber costos inesperados, tal cual lo expone un artículo donde se nos dice que las redes y sistemas de hoteles fueron los más atacados por crackers en 2009. ¿Cómo puede ser?

En primera instancia debemos tomar este reporte con cautela. El equipo de SpiderLabs de la empresa Trustwave recolectó información de investigaciones de intrusiones a sistemas y redes llegando a los siguientes porcentajes:

· Ataques en hoteles: 38%

· Ataques en servicios financieros: 19%.

· La lista sigue con el resto de ataques en otros sectores.

Lo que llama la atención es que el primer sector atacado no son los servicios financieros, sino el sector “turismo” representado básicamente por hoteles.

El reporte se basa en investigaciones de intrusiones de una muestra de 218 reportes. Pienso que los resultados se pudieron ver afectados por varias cuestiones como el tamaño de la muestra, también por cómo se obtuvieron los resultados –reportes- y finalmente por los lugares específicos donde fueron recolectados los datos. Sin embargo no es muy descabellado pensar que la infraestructura hotelera es un blanco suculento. E independientemente de las cifras, creo que los atacantes ya voltearon hacia la hospitalidad que ofrecen los hoteles.

¿Por qué los hoteles? Una importante cantidad de hoteles reciben tarjetas (crédito y hasta débito) de sus clientes y muchas veces las guardan en sus sistemas para no “molestar” al cliente en subsecuentes cobros o en el check-out.

Sin embargo, una de las principales razones de almacenar tarjetas sucede al momento de hacer reservaciones por Internet o al llamar al fron-desk. Se nos pedirá un número de tarjeta para hacer la reservación y al final es posible pagar con ésa o brindar otra. Hacer la reservación se traduce en que el hotel debe de guardar la información en sus sistemas aunque a los huéspedes no les queda claro por cuánto tiempo se quedan guardados estos datos (¿por siempre?). Estas son sólo algunas razones por las cuales estas tarjetas se almacenan en varios sistemas de cómputo hoteleros.

Finalmente, sabemos que donde hay dinero habrá gente que desee extraerlo, o mejor dicho, robarlo. A diferencia de otras infraestructuras de TI de diferentes empresas e instituciones, podemos pensar que la de muchos hoteles estarán lejos de ser unas fortalezas. A comparación de otras infraestructuras comerciales, carecerán de muchos controles de TI y de seguridad, sin mencionar procedimientos y “security awareness” entre otras cuestiones orientadas a proteger la información que en este caso, se centra en números de tarjetas.

No es de sorprender que se lleguen a atacar estos sistemas de algunos hoteles dada la facilidad inusual para extraer $$$. Después de haber leído esto ya no veremos con los mismos ojos la reservación que lleguemos a hacer en un futuro en donde haya un número de tarjeta de por medio.