Publicada en Windows TI Magazine 110. Junio 2006
**************************************************
Desmontando algunos mitos
Chema Alonso, ponente habitual en las sesiones para la comunidad técnica de Microsoft, destaca el importante papel de las herramientas de gestión de la seguridad cuando Windows y Linux tienen que verse las caras en los entornos empresariales.
José María Alonso es –además de Ingeniero Técnico en Informática de Sistemas por la Universidad Politécnica de Madrid y Director Técnico de Informática 64–, MVP en Windows Security de Microsoft (Most Valuable Professional, o Profesional Más Valioso), una reducida lista.
Desde la compañía en la que trabaja centra su atención en distintos aspectos de la seguridad como pueden ser implantaciones, auditorias, formación, test de intrusión y técnicas de hacking ético. Su actividad también incluye ponencias en seminarios organizados por Microsoft para su comunidad técnica, al tiempo que comparte sus conocimientos en los Hands On Lab que Microsoft realiza por toda la geografía española. Y todavía tiene tiempo para contar sus experiencias en materia de seguridad en su propio blog [http://elladodelmal.blogspot.com/].
Aprovechando su estancia en el último Microsoft Security Day el pasado mes de mayo, le abordamos en uno de los descansos para conocer sus impresiones y tomar el pulso a la seguridad de las tecnologías Microsoft.
“Lo de ser MVP es un premio que te dan cada año –yo lo soy en seguridad desde hace dos años–, y lo que hacemos es contestar y ayudar a la gente en los foros. Mi perfil es un poco distinto, porque además doy conferencias gratuitamente en distintas universidades, congresos y en definitiva, comparto mis ideas con quien tenga interés por estos temas. Intento mostrar a la gente los problemas de la seguridad con técnicas reales: en qué consiste el ataque, cómo se realiza y cómo debe protegerse el sistema”, comienza diciéndonos Chema Alonso.
Uno de los frentes de batalla en los que este experto en seguridad se mueve como pez en el agua es en el de la frecuente comparativa entre la oferta del software libre y el software propietario o de modelo de distribución comercial. Suele estar pendiente, por ello, de lo que se publica internacionalmente. “Me achacan –dice– que me haya cambiado incomprensiblemente de banquillo. Hay gente que le gusta mi discurso en lo que respecta al Software Libre y a otros les disgusta. Y no es porque yo esté en contra del Software Libre, pero si que hay ciertos mitos en la seguridad que ayudan a que se hackeen los sistemas: el mito de que a mí no me van a atacar, o el pensar que porque tengas una tecnología en concreto estás a salvo”, cuenta Alonso. A su juicio, hoy por hoy se atacan todas las tecnologías, todos los sistemas y todas las plataformas.
PUBLICACIÓN DEL CÓDIGO FUENTE Y LA SEGURIDAD
Existe en la actualidad una corriente de opinión que piensa que publicar el código fuente ayuda a la seguridad. Chema Alonso no comparte esta idea. “El hecho de publicar el código fuente no es en sí una medida de seguridad, porque el hecho de securizar código en sentido práctico se realiza con herramientas automáticas. Teniendo en cuenta la cantidad de líneas de código de un programa es imposible que alguien revise todo eso a no ser que sea un grupo encargado del tema. Además, los fallos pueden depender del compilador, del linkador, etc.”. Esta reflexión, piensa Alonso, no tiene nada que ver con ser partidario o no de Microsoft.
Lo que sí valora muy positivamente nuestro interlocutor es la metodología para evaluación de la seguridad que aplica internamente la compañía: “Cuando en un producto de Microsoft aparece un fallo de seguridad en una porción de código concreta, se analiza internamente ese fallo y se genera un patrón, de tal manera que ese patrón retroalimenta las herramientas automáticas de auditoría de código. A partir de ese momento, se hace un escaneo con los nuevos patrones y es posible que aparezcan más”. Estableciendo el paralelismo, “con el código abierto, si tú no has hecho esta auditoría o no tienes un sistema muy depurado basado en herramientas automáticas, puede pasar que alguien encuentre un patrón y lo aplique o no para la depuración del resto del código”.
En cualquier caso, hace años–concretamente en 1998– apareció un proyecto conocido como LSAP (Linux Security Auditor Project) y más tarde Sardonix para aglutinar a los profesionales de la seguridad en búsqueda de agujeros de seguridad en Linux y no funcionó, porque tal y como él nos recuerda, los participantes estaban más preocupados por figurar en el hall of the fame publicando sus descubrimientos en mailing lists que en documentar y hacer comunidad de una forma responsable.
Tal y como dijo Crispin Cowan en su momento (conocido por su colaboración en WireX Communications y cofundador de Sardonix), “la promesa de Open Source es que permite que muchos ojos revisen el código, pero en la práctica esto no sucede”. El testigo lo ha tomado ahora el gobierno norteamericano financiando el proyecto “Bug Hunting”, con el que se pretende inspeccionar los principales proyectos de software libre. De este trabajo, encargado a la empresa Coverity, ya se han publicado los primeros resultados [http://www.washingtontechnology.com/news/1_1/homeland/28134-1.html], encontrándose una media de 1,5 fallos por cada 1.000 líneas de código, mientras que solamente en el kernel de Linux han aparecido 841 fallos. “¿Quiere eso decir que son peores? No, simplemente revela que no se sacan los fallos con sólo poder mirarlos. Si no lo conoces, no sabes lo que es”.
¿QUÉ PREOCUPA A LAS EMPRESAS?
Las empresas están preocupadas por la seguridad, pero las inversiones no llegan. Así lo percibe Chema Alonso en su actividad profesional dentro de Informática 64. “En la seguridad informática empresarial se producen dos paradojas: una de ellas es que se invierte mucho dinero para no comprar nada. Por otro lado, cuando se ponen medidas la organización se vuelve más inflexible: más medidas de protección, más comprobaciones... y cumplir con la seguridad exige recursos, técnicas de formación, gestión, monitorización, innovación, etc. Tenemos la sensación de que los sistemas no están bien protegidos. Además, existe el falso mito de que el departamento de seguridad debe estar formado por un equipo enorme y no tiene por qué ser así. Debe ser un equipo que funcione bien y conseguir que la seguridad forme parte del pensamiento del día a día de la empresa”. Como primera actuación, Chema Alonso recomienda buscar un buen asesoramiento especializado en securización de sistemas, que sea capaz de analizar los requisitos de una empresa. “Y si es interno, mejor que mejor”, afirma.
A partir de ahí, la sugerencia es formar un equipo interno bien formado, que aplique la seguridad de forma gradual y construya un ciclo de vida de la seguridad. En primer lugar, poniendo una política compleja de contraseñas. En segundo, instalando un sistema de gestión de actualizaciones de seguridad. En tercero, haciendo una segmentación física de la red. En cuanto a la posibilidad de externalizar, Chema Alonso, considera que hay cosas que se pueden externalizar y otras no. En el primer caso cita las actividades relacionadas con el establecimiento de sistemas de auditoría perimetral, la mejoría de los diseños de la red o el mantenimiento. ”Pero los servicios core internos de la empresa sí es importante que los siga llevando la propia empresa. Por este motivo, un modelo mixto es quizá la mejor solución, liberando tareas que pueden ser automatizadas externamente”, insiste.
MICROSOFT Y LOS ANTIVIRUS
En cuanto a la seguridad ligada a los productos y tecnologías antivirus, el futuro pasa por tener una solución multinivel, multicapa y multimotor. “Cuantos más laboratorios haya trabajando para detectar un virus u otro malware mejor que mejor. Depender de un único laboratorio (sea Panda, Kaspersky, Norton, TrendMicro, McAfee o cualquier otro) siempre lo hemos considerado como un fallo de seguridad, al igual que lo es poner dos firewall iguales exactamente seguidos. Más que nada porque si uno cae el segundo va detrás”, asegura Alonso. Está convencido de que cuando Microsoft comercialice OneCare Live, un servicio de pago integral de seguridad frente a virus, spyware, malware e intrusiones, se convertirá en otra alternativa, aunque desconoce cómo va a funcionar comercialmente. “No lo tengo muy claro, pero creo que te vas a poder suscribir a varios motores, de tal manera que son Antivirus como servicio, al igual que en Antigen tenemos nueve motores”.
En cuanto a la rapidez de respuesta de Microsoft ante un asunto relacionado con la seguridad, Alonso comenta que “a veces se acusa a Microsoft de ser lenta, pero en temas como rootkit, spyware, adware, etc., las compañías de antivirus han sido por lo general lentas”. Para nuestro interlocutor, la demanda de soluciones ante el malware ha generado un mercado muy grande que las compañías de software de seguridad no han sabido coger a tiempo. Y es que el problema reside en que estos ataques no funcionaban igual que los antivirus. “Los motores de antivirus estaban acostumbrados a capturar un fichero y pasarlo por un motor de firmas y ya está. Y cuando esto lo quieres implantar en un sistema de correo con escaneo en memoria hay que cambiar la arquitectura. Y temas como el spyware o el adware no se pueden mirar por una firma, hay que observar el comportamiento. Igual que con el tema de los rootkit. Y no veo ninguna producto comercial que sea una solución 100% efectiva”, continúa Alonso.
HERRAMIENTAS DE GESTIÓN
Muchas son las vulnerabilidades que se descubren relacionadas con productos Microsoft, que son publicadas periódicamente por la compañía en boletines de seguridad gratuitos, a los que es muy recomendable suscribirse. Y los ataques contra la seguridad se han diversificado mucho en los últimos tiempos. Chema Alonso ve muy positiva la puesta en marcha por parte de Microsoft del programa Informática de Confianza (Trustworthy Computing). “Los temas de seguridad se están abordando muy bien y las conferencias de hackers ya lo están reconociendo. En el mundo Linux hay proyectos mejor estructurados que otros, con un mejor ciclo de vida o mejor ingeniería. Por ejemplo, Apache, que a pesar de ser muy seguro, no llega todavía a los niveles de Internet Information Server 6.0, que con tres años de vida ha puesto el listón muy alto en seguridad”.
Para el Director Técnico de Informática 64, el punto vulnerable de una empresa cuando se habla de proyectos de seguridad Open Source está en las herramientas de gestión de la seguridad. “Una compañía no puede estar pensando en todos los proyectos de Open Source que tiene instalados, perder el tiempo investigando si se ha publicado algún parche de seguridad crítico para instalarlo, planificar la fase de pruebas y tras superarla, proceder a la distribución”. En este sentido para Alonso la política de Microsoft de gestión de actualizaciones es perfecta, y con ella se demuestra que han aprendido mucho de sus anteriores etapas. Destaca entre otras tecnologías la aplicada en la herramienta MBSA v2.0 (Microsoft Baseline Security Analyzer) y la recientemente presentada Windows Server Update Services (WSUS), que permite a las organizaciones automatizar el proceso de gestión de actualizaciones a la vez que reduce el tiempo, esfuerzo, costes y riesgos vinculados con esta tarea.
Otra piedra angular diferenciadora es la gestión centralizada que permite el Directorio Activo. Entre ellas, afirma, “gestionar todos los desktop, auditar la seguridad, el firewall, el navegador.. poder simplemente restringir las capacidades del navegador para afianzar la seguridad”. Y cita un sencillo ejemplo: “Me hablan mucho de Firefox, pero con Microsoft puedo decidir de un plumazo que mis 3.000 usuarios no puedan ejecutar un control ActiveX. Con Firefox eso es inviable, porque cada uno se lo configura con una página web en local”.
Desmontando mitos ...con un poquito de FUD, ¿no? ;)
ResponderEliminarTe ha faltado decir que Apache sólo lo usan los ISP's gratuitos para páginas como botijosdemipueblo.com.
"Una compañía no puede estar pensando en todos los proyectos de Open Source que tiene instalados, perder el tiempo investigando si se ha publicado algún parche de seguridad crítico para instalarlo, planificar la fase de pruebas y tras superarla, proceder a la distribución"
Ahora resulta que las distribuciones linux no tienen herramientas para gestionar TODO el software, claro, esto lo ha inventado microsoft. Sólo para su software, claro.
Ah, y en Firefox te aseguro que ningún usuario de la empresa instalará controles activex, gracias a dios. XD
Hola Bastian!
ResponderEliminarcuanto tiempo!
Bueno, el título no es mio, yo no lo pondría nunca.
Respecto al tema de las actualizaciones, creo que a pesar de que las distribuciones paquetizan y distribuyen, ya tienes que esperar a que esté el paquete, pero además, al no haber planificación tienes que revisarlo constantemente.
Respecto al tema del ActiveX... en Firefox están los plugings y objetos embebidos, y ... Vamos, venga! Que queda claro que el problema del firefox es la administración remota, tio!
;)
Salu2!
Hasta el final muy buena la entrevista en los dos últimos párrafos la cosa pierde fuelle.
ResponderEliminarYo diría que en Firefox los plug-ins no se almacenan ni configuran en una pagina web en local, esencialmente porque ahí solo se permiten cosas independientes del SO, extensiones, marcadores y preferencias y por lo tanto lo peligroso se pueden administrar de un plumazo ( y cargarse las extensiones si aparecieran problemas con alguna de ellas.
Por eso cada uno podemos tener las extensiones que nos de la gana y todos la misma versión y por eso en mi casa puedo compartir el perfil entre windows y linux sin mas que hacer un enlace simbólico, manteniendo los plugins de cada uno en donde corresponde, actualizando uno y otro sin tener que tener la misma versión(dentro de la misma rama).
Lo siento pero son demasiados años de navegador parado como para arreglarlo antes de la versión 9.
Respecto a IIS aquí estos emisarios del bien tienen algunos datos igual en parte tienen razón http://www.kriptopolis.org/microsoft-gana-en-malware-tambien-en-servidores
Hola anónimo,
ResponderEliminarel config de firefox se hace con html en local, el problema para la gestión en una empresa es como adminsitrarlo remotamente, hay que montar una de cuidado (lo digo por experiencia en un cliente grandote). Respecto a lo de kispistopolis. Te dejo esta noticia dónde le contesté justo a ese link. Blind Comment Injection
soy el anonimo 3.
ResponderEliminarYa puse en lo de kriptopolis que igual tenían algo de razón a sabiendas de que dificilmente toda y posiblemnente poca, vamos que hay que tener cara para sesgar así el informe. De todas formas yo no diría tan así en general este es mas seguro.
En firefox, en el perfil se puede elegir la ubicación, así que si quieres no tienes perfiles en local y todos los navegadores uniformes con el mismo html, aunque me parece que en la mayor parte de los casos es mejor alternativa dejarlo como esta y que cada uno maneje su perfil independiente y el navegador y los plugins se cambian de una vez.