sábado, junio 15, 2013

Mea Culpa, Penny

Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de una de ellas: La de olvidarnos de cuidar de Penny.

Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN

Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología. 

Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.

Durante muchos años nos hemos enrocado en definir a  "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.

El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en su quehacer diario y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad... pero para Geeks.

Sheldon se conoce bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar por la WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID,  luego sigue con el "usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK,  cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle", para terminar con un "actualiza el firmware". Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.
No tiene sentido.
Algo no hemos hecho bien en la industria de la seguridad si para conectarse al Facebook usando la WiFi, tengo que dar un curso de tecnologías a mi madre - algo que seguramente ni disfrutará - cuando todos los terminales móviles vienen con un botón de "conectar". Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo - y que Hugo Teso no esté cerca -.

No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?

Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.

Saludos Malignos!

29 comentarios:

  1. Hombre, si la idea es ver a Penny desnuda...

    ResponderEliminar
  2. La idea es buena pero la analogia del avion es mala... esta claro que yo queiro subir al avion y no enterarme de todos los procedimientos de seguridad, pero a la computadora la manejas tu mismo, al avion no. Para ello hay personas capacitadas en todos los procedimientos de seguridad que te llevan a destino, en esta analogia habria que tener un "piloto de internet para madres" jajajaja.

    Partiendo de ahi entonces podemos decir... que tal es la idea de desarrollar un piloto para internet? alguna especie de algoritmo inteligente que le haga la vida mas simple a nuestras madres.

    Si sale un producto comercial por lo menos recordame xD

    ResponderEliminar
  3. El problema suele ser que Penny no quiere ayuda. Todavía hay personas que conducen el coche sin cinturón de seguridad y da igual qué invente la industria del automóvil. Les explicas lo de la longitud de la contraseña o lo de no utilizar la misma contraseña para todo y pasan completamente. Y esto son dos casos en los que no hay dificultad para entender ninguna tecnología. Me he encontrado sitios web con vulnerabilidades y he informado a sus dueños y NO HAN HECHO NADA. Los que trabajamos en informática debemos tener claro hasta dónde llega nuestra responsabilidad y hasta dónde la de los usuarios. Si bien es cierto que nosotros debemos hacer la vida más fácil a los usuarios, también es cierto que hay un límite y a partir de éste el usuario debe aprender y conocer qué se trae entre manos.

    ResponderEliminar
  4. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  5. Todo esto es moralmente encomiable,pero llegados a ese hipotético punto de perfección en los sistemas...que sería de nosotros sin "donks" aporreando el ratón,cuantas veces más una rubia despanpanante nos invitará a su casa si no es para mirarle el bicho...
    Personalmente me gustan las cosas como están,porque si esto deja de ser complejo,deja tambien de ser divertido....xD

    ResponderEliminar
  6. Una reflexión internaste Chema, pero coincido con el comentario anónimo. El usuario la mayoría de las veces rechaza ayuda e incluso interfieren evitando que puedas configurar de forma segura sistemas que usas tu mismo. Por ejemplo, mis compañeros de piso ni siquiera me dejaron cambiar la clave por defecto del router, el SSID y desactivar WPS porque no querían molestarse en cambiar la configuración de sus equipos para conectarse y esas cosas eran paranoias mías.

    ResponderEliminar
  7. @Megaunder, el teléfono lo maneja ella, pero la red WiFi viene con tecnología creada por nosotros que debería ser como la electricidad y la señal de la tele. No debería tener que preocuparse de eso, igual que yo no debería preocuparme de cómo se conecta el avión con la torre de control.

    Saludos!

    ResponderEliminar
  8. @Anónimo de las 09:56, claro que Penny no quiere ayuda, porque no le interesa, ni le parece divertido. Es como la mecánica del maligno-móvil y yo. No me interesa demasiado el tema y me aburre. Si tuviera que preocuparme de "Securizar el ABS y el ESP" de mi coche antes de subirme a él, mal iríamos...

    Saludos!

    ResponderEliminar
  9. Hola Maligno. Soy Anónimo (ahora me he fijado que sí puedo poner el nombre). Tu último comentario con la analogía del ABS es interesante para recalcar lo que quería expresar. 1) El ABS es un sistema CERRADO que incluye el ordenador de a bordo, la electrónica del ABS y los frenos. No interactúa con el conductor (ni cuando frena, porque aunque no funcione el ABS el coche frenará). La responsabilidad del usuario se limita a atender la luz del salpicadero que indica que no funciona el ABS, si alguna vez se muestra. 2) En informática los sistemas son ABIERTOS y ello implica una responsabilidad de las empresas que trabajamos en informática y la responsabilidad de los usuarios. Ciertamente debemos hacer las cosas fáciles para los usuarios que no entienden de informática y sus riesgos, pero tal como decía inicialmente, no podemos cogernos la responsabilidad de los usuarios. Siguiendo con la analogía del coche, las luces y los intermitentes sí son sistemas abiertos e interactúan con el conductor y con el exterior del coche. Ciertamente la industria del automóvil va en la dirección que tú indicas y, por ejemplo, ahora las luces de un coche detectan la intensidad de la luz ambiente y se encienden o apagan solas, y cuando se quedan encendidas tras cerrar el coche se nos avisa con un pitido. Está muy bien y eso mismo es lo que a mí también me gustaría que le ofreciéramos a los usuarios de informática. Pero, siguiendo con el coche, por mucha tecnología que queramos incorporar que ayude al conductor, el no llevar bombillas fundidas o la presión de las ruedas bajas es responsabilidad del conductor, y no se solventa por mucha tecnología que queramos aplicar.

    ResponderEliminar
  10. @Ruben, la seguridad WiFi debería ser como elABS. Y HD de decir que el sw de la centralita de los coches modernos permite configurar valores en el ABS , pero no es responsabilidad del usuario por defecto };)

    ResponderEliminar
  11. Pues yo creo que aún pasan pocas cosas, muy pocas. Si los grupos "underground" de los 90 estuvieran ahora, con la tecnología actual, fliparíamos con el caos habría.

    Y también creo que el hecho de que no se tomen en serio la seguridad beneficia a esta industria. Imaginen que por defecto te viniera todo securizado: routers con wpa2, sin wps, contraseña de 50 caracteres aleatorios, contraseñas de windows de más de 15 caracteres como mínimo, etc. Sería más laborioso para quién se gana la vida con esto.

    ResponderEliminar
  12. Es curioso que la idea del wps es precisamente la que tu propones: Conectarse a la wifi pulsando un botón sin preocuparse de parámetros complicados... Y sin embargo una de las primeras cosas que recomendais desactivar.

    ResponderEliminar
  13. Pues yo recomendaría a Penny que se leyera este blog, donde además de aprender te diviertes. O el de SbD.
    (Perdón por los no mencionados, es que no leo más pq no tengo tiempo. Tengo que hacerme las uñas ;-)

    ResponderEliminar
  14. Yo veo una diferencia clara... al piloto del avion no le estan intentando robar todo el dia, al conductor de turno desactivarle el abs no produce ningun beneficio ahora bien grabar a penny desnuda puede producir bastante placer o dinero a algunos

    ResponderEliminar
  15. Totalmente de acuerdo. Es una batalla que se debe luchar a dos frentes:

    1 -> Productos más cercanos al usuario.

    2 -> Usuarios más cercanos al producto.

    ¿Cual es el primer frente? Los valores por defecto deben ser estrictamente seguros.

    Hace poco me cambie de ISP, me enviaron un router nuevo, cuentas admin:admin y user:user, ademas de una cuenta de support de la que no se la contraseña. Tanto les cuesta generar una contraseñas y unas claves para WPA2 aletoriamente.

    De verdad es necesario que el navegador contenga las CAs de wachupikistan del sur.

    Y sin embargo, si algun día recuperamos terreno a favor de Penny espero que no se pierda a favor de los geeks como el minimalismo de Apple y otros a veces consiguen pretendiendo que el boton de "Opciones Avanzadas" nunca ha existido.

    Y si algun día se consigue todo esto para celebrarlo monto una lanparty y os invito a todos.

    ResponderEliminar
  16. No creo que a Penny no le importe pescar un malware o, menos aún, que le roben la identidad de alguna forma. Al contrario, muchos recibimos llamados a cualquier hora de algún familiar/amigo con consultas por el más insignificante de los popups.
    Creo que pasa, más bien, por el hecho de que hay demasiada banalización sobre el tema de seguridad. ¿Qué importa si la contraseña tiene 6 caracteres o 100, si todos vimos en ésa película cómo el hacker casi hunde un barco carguero con una computadora, o leyó en las noticias que hackearon Apple, Facebook y cientas empresas más en un año? ¿Qué (cree) Penny que puede hacer frente a esa figura cuasi-omnipotente cuando tiene una computadora? Un posible ataque de algún tipo parece ser algo tan casual como, llegado el caso, inevitable.

    Por el otro lado, llega a Internet con la premisa de que ésto es el campo de flores silvestres de la libertad, donde cada uno puede poner lo que quiera sin que nada pase, y se lo toma al pie de la letra. Le comenta su dirección y teléfono a algún amigo en Facebook (que vaya a hacer él el curso para configurar la privacidad de Facebook), si total Penny no trabaja en el Pentágono, ¿a quién le va a importar?
    Una página le pide su teléfono para mandarle un ringtone gracioso, ¿qué podrían llegar a hacer con éso, si Penny no tiene archivos secretos de la CIA?

    Es como si en lugar de enseñarte a manejar, te pusieran las 6 películas de Rápido y Furioso de un tirón. Creo que antes de poder echarle culpas a Penny por estacionar el auto con las ventanillas bajas y las llaves puestas, hay que mostrarle, efectivamente, qué es un auto.

    ResponderEliminar
  17. Tenéis razón cuando decís por ahí arriba que el usuario no quiere recibir ayuda pero ese hecho tiene lugar debido a la evolución que ha llevado este mundo, a la gente ni le gusta ni entiende la mitad de los conceptos que hay que explicarles para que su red wifi sea segura, se limitan a hacer la siguiente pregunta... ¿como puedo saber si alguien me chupa la wifi?

    La reflexión de Chema para mi entender da en el clavo. Debido a mi trabajo muchas veces tengo que explicarle a la gente que tal o cual página no son del todo seguras, a lo que me suelen responder a la gallega ¿Por qué? ¿Que hago? preguntas que no existirían si la seguridad fuera algo implicito en los sistemas, si todo estuviera implementado de manera que solo fuera necesario pulsar un botón. Cierto es que seguirían existiendo los archiamigos de lo ajeno que todo lo quieren y buscarían las artimañas para lograrlo pero ya sería mas complicado.

    No soy especialista en seguridad informática, ni me acerco, pero no creo que Microsoft, Apple, Cisco, etc etc, no posean las herramientas necesarias para construir o desarrollar un conjunto usuario-sistema-red que fuera seguro y sencillo, estoy seguro que en ciertos entornos militares o gubernamentales eso es realidad.

    Un ejemplo, hace poco un portatil de mi empresa, el cual está configurado para conectarse a donde debe para hacer lo que tiene que hacer, llega a otra empresa... ¿es que tenéis JUIFI? si señor, ¿que hago para conectarme? deje que yo se la configuro. Al día siguiente... Alarm!! Alarm!! antivirus serio saltando a tope cual luz de la reserva de mi buga. Cambió todos los parámetros de conexión, proxys etc... moraleja: si a Penny se lo das hecho y llega otro y toca donde no debe, no hacemos nada.

    Para finalizar el rollaco que seguro que si lo leo no dice nada jajjaaj decir que mi mente conspiranoica me dice que jamás crearan sistemas completamente seguros a manos del usuario porque entonces... "para que actualizar, mientras no se me quede lento el pc?"... y si fuera así que les vendemos???

    Me ha gustado mucho la entrada, en serio, la comparto por doquier.

    Saludos a todos y pensar que sin Penny nuestras vidas serían un poco mas aburridas xDDDD

    ResponderEliminar
  18. Muy bueno el post de hoy Chema, yo también creo que das en el clavo. La tecnología al servicio de los usuarios, no los usuarios esclavos de la tecnología.

    Ahora bien..la analogía del coche tiene un "pequeño" detalle importante; se podrían equiparar el día que los users (que no lo lusers :P ) tengan que ir a una "netescuela" a sacarse el teórico y el práctico..porque salir a la carretera sin saber donde está el freno y cúal es tu carril es peligroso.. ;)

    Un saludo!

    ResponderEliminar
  19. Hola Chema, soy lector de tu blog hace mucho tiempo, este artículo me justó muy cierto.

    Pero quiero preguntar algo totalmente fuera de contexto, y es que tengo que dedicir por la carrera y me gusta mucho lo que es el desarrollo de software y la seguridad informática pero tengo muchas carreras para elegir como por ejemplo:
    Ing. en Sistemas
    Ing. en Informática
    Ing. en Software
    Ing. en Computación

    Como también está la licenciatura en ciencias de la computacion, ya sé que estudiaste Ing. informática pero acá en mi país esta ingenieria no es la misma (Argentina). Así que si tienes información sobre estas carreras estaré muy agradecido.

    Saludos.

    ResponderEliminar
  20. escribí justó porque pensé en justo y después puse gustó, perdón xD!

    PD: Gustó.

    ResponderEliminar
  21. La idea de usabilidad para la seguridad es desde luego una tarea pendiente, pero seamos sinceros, es una ilusión pensar que podemos darle a Penny una herramienta fácil y sencilla. ¿Por qué?

    Como han comentado varios bloggers, trabajamos con sistemas "abiertos". La informática, no nos olvidemos, es una disciplina que sigue en su adolescencia. Todavía crece a una velocidad enorme, y las posibilidades se multiplican a cada momento.

    ¿Cómo podemos crear algo para que Penny "securice" su wifi sin que se vuelva loca con un montón de conceptos y tecnologías?

    Efectivamente, cerrando las posibilidades, limitando las elecciones.

    Para eso "la industria" tendría que estandarizar la forma de hacerlo. Algunos routers tienen el famoso botón WPS, otros no.
    Unos tienen WEP y gracias, en cambio otros tienen tal cantidad de posibilidades que abruman...


    Así que vamos a ponernos todos de acuerdo, y vamos a crear modelos cerrados que se vayan actualizando lentamente. ¿He oído Apple-like?

    Cuando tuve el primer iphone me gustaba mucho la usabilidad del terminal, pero me desesperaban las limitaciones.

    Habrá quien diga que hay mucha gente que no necesita más. ¿Queremos que un fabricante nos diga cuando podemos poner un fondo de pantalla o no?

    El hecho de facilitar implica tomar decisiones por el usuario. ¿Queremos eso?

    Y hay que tener en cuenta que esa solución mañana estará obsoleta. Y vuelta a empezar.

    ResponderEliminar
  22. Rubia con un buen redondo trasero16/6/13 5:22 p. m.

    Y también me llamo Penny y contrario a lo que parezca, sí estoy interesada en saber cómo debo proteger mi red Wifi para que no me graben desnuda ¿dónde puedo leer sobre eso?. XD

    ResponderEliminar
  23. Lidiando con Users "In-A-Box"

    Todos han aportado correctamente, de hecho creo que solo soy uno mas.

    Aun asi, creo que el punto ha quedado demostrado:

    - Se necesita una solucion GLOBAL a los problemas del usuario.

    - Debemos enfocarnos los Profesionales, a entregar un boton de "ON/OFF"

    Un Colega me dijo: "El mejor lugar para probar tu infraestructura avanzada, es siempre con un Usuario Comun. El te bombardeara de preguntas que un Profesional nunca haria y tal vez por absurdas, las obvie."

    Usabilidad es la Respuesta.

    ResponderEliminar
  24. Como tener equilibrio entre seguridad y usabilidad si nosotros mismo no sabemos que es eso del equilibrio...Pasamos de q nuestros padres nos dijeran "ten cuidado, no vayas sola, no hagas....", vamos que casi no podías hacer nada sin que fuera un atentado contra tu vida, a hacer todo a lo loco sin pensar muchas veces en las implicaciones que conlleva y más si hablamos de internet, asumimos el riesgo o directamente no pensamos en él? (podríamos entrar a debatir si no pensamos xq no sabemos o xq no hay tiempo para ello, vivo con la sensación de que todo va a 2000 por hora).
    He empezado un master en seguridad y mismamente mis compañeros decían ayer la frase de....va si yo no tengo nada interesante, ¿para que lo van a querer?

    Supongo que la solución no es sólo que los expertos en seguridad le hagan la vida más fácil al usuario, precisamente habrá que encontrar "el equilibro" entre eso, educación en seguridad y un poco mas de cordura por parte de la gente.

    Como iniciada en el tema , me gusta el reto de buscar esa solución ya sea por conseguir ese cómo concienciar a los usuarios o por facilitarles el proceso :P

    ResponderEliminar
  25. Creo que el problema está en la desidia de la gente...
    Empresas como apple se empeñan en hacer al usuario cada día mas tonto, y sus seguidores encima lo defienden "Para qué quiero saber yo eso!" "yo lo que quiero es que funcione, y ya!"...

    pues no señores, yo creo que hay que educar al usuario, y que igual que se te exige un carnet para conducir, y unos mínimos conocimientos de mecánica (que sepas por encima lo que tienes entre manos), creo que habría que educar a los usuarios... No me parece tan dificil.

    Es verdad que yo llevo toda la vida trasteandolo todo, pero es un mínimo de curiosidad... que cuando se te encienda la luz del coche no te limites a llevarlo al taller... que investigues qué es, qué le pasa, y si lo puedes arreglar tú mismo.
    Unas nociones básicas que te harán tomar decisiones mas seguras.

    Eso no quita que podamos facilitar la vida un poco más a la gente... pero hay que forzarla a aprender, si no los ordenadores se convertirán un día en videoconsolas caras, y internet en la televisión moderna...

    ResponderEliminar
  26. Yo diría que lo primero que tenemos que preguntarnos es, ¿es posible crear un sistema que permita acceder de forma segura sin tener conocimientos?

    Para conducir un coche se exigen unos determinados conocimientos que se evalúan muy estrictamente antes de entregar un permiso de conducir. Eso significa que esos conocimientos son imprescindibles y no hay manera de hacer más sencilla la conducción.

    ¿Es posible hacer más sencilla la seguridad sin complicar las cosas y sin caer en "estilo apple" donde el usuario no puede tocar nada aunque quiera?

    ResponderEliminar
  27. Yo le digo a mi madre que no use cuenta admin para navegar por internet y me dice que no quiere lios y quiere que funcione. Se lo explico y se queda igual. Le digo que cambie la contraseña del wifi por defecto y me dice que como se hace.

    Desde luego algo si se está haciendo mal. Y empezando con que las isp ofrecen routers vulnerables a sus clientes y WPS activado de guasa.

    Dile que use use KePass para gestionar las contraseñas...

    ResponderEliminar
  28. Y yo me pregunto:

    Pero a la industria de la seguridad le interesa de verdad mejorarla? Si se mejorase habría tanto dinero como ganan ahora las empresas de seguridad o habría menos pastel para solo unos pocos. Como todo en la vida lo 100% perfecto no existe. Al final el que tiene la culpa es el usuario final.

    Yo creo que Windows debería hacer un aviso a la hora de arrancar un ordenador nuevo donde te explicase el por qué de crear una cuenta estándar.

    Tipo: Cree una cuenta estándar para mejorar su seguridad en internet

    Los ISP incluidos movistar deberían de dejar de ofrecer routers vulnerables...

    La gente debería tener cuidado al usar los programas P2P tan a la ligera sin antes analizar lo que uno se descarga.

    Yo creo que desde la ESO deberían empezar dar clases de Seguridad informática. VPN etc.

    Pero si un juez no sabe lo que es una dirección ip apaga y vámonos este país no puede mejorar en seguridad informática.

    ResponderEliminar
  29. Hay muchas cosas que pueden hacer los fabricantes. En el ejemplo del router: A cualquier URL pedida se responderá con una página que indica que no podrá navegar hasta que no cambie la contraseña por defecto. O venir con la actualización automática activada.

    Y por parte de la compañia telefónica reducir la seguridad del WiFi solamente cuando un cliente pida acceder con un equipo que no soporte el nivel más alto de seguridad y siempre advirtiendole que esto reducirá su seguridad. El problema que también supone más trabajo para la telefónica, y por tanto más callcenters.

    Lo que si es seguro es que si no viene con WPA2 activado, el usuario medio no lo va a activar, ni va a cambiar las contraseñas por defecto.

    ResponderEliminar