Seguridad proactiva con búsqueda de clientes inseguros
Hace un tiempo tuve el gusto de sentarme a la mesa con una persona responsable del software con el que yo había hecho alguna demo de hacking. En esa comida yo le expliqué que para hacer mi demo solo había necesitado hacer un poco de hacking con buscadores para encontrar uno de los muchos sitios que están inseguros en Internet. La respuesta fue que ellos han publicado guías e información sobre cómo montar bien su software, pero que muchos clientes o partners que lo instalan lo hacen mal, y por eso pasaba eso.
Ayer, cuando publiqué el artículo de las impresoras de HP con la opción de imprimir desde una URL que podrían ser utilizadas para atacar la DMZ de la organización que la ha dejado de forma insegura alguien de la organización de las impresoras me dijo que basta con poner la password, y que en los nuevos sistemas ya no funciona de esta forma, pero que los clientes y usuarios no se toman en serio la seguridad.
Ante tales respuestas yo les propuse una cosa que ahora os cuento aquí a vosotros: ¿por qué no convertir estas situaciones en una oportunidad para vosotros en vez de quejarse de los clientes que usan mal el software? Al final, si sabéis que son clientes vuestros, sabéis que lo tienen mal configurado y podéis localizarlos fácilmente usando los buscadores de Internet, la pregunta que me viene a la cabeza es: ¿por qué no buscar aquellos clientes que tienen mal las configuraciones de vuestro software y ofrecerles ayuda para dejarlo seguro?
Al final, tener una oportunidad de entablar una conversación con un cliente en estos tiempos siempre es positivo, y podéis quedar bien con ellos al tiempo que les ayudáis. Seguramente hasta tal vez se convierta en una oportunidad comercial que haga cuadrar el ROI de esta actividad y consiga que aumente la satisfacción de los clientes.
Es cierto que tal vez algunos clientes sean los culpables, pero seguro que hay alguno que cuando le digan que tiene abierta la impresora a Internet o configurado un determinado software de forma insegura toma precauciones para estar más seguro. ¿No os parece un buen programa de concienciación a los clientes?
Saludos Malignos!
8 comentarios:
Eso seria lo mas correcto, que la empresa fuera detrás de los clientes parcheando sus fallos de seguridad, pero seguramente no les interese...No se si leí en tu blog o fue en una de tus conferencias en la que dijiste que se estaban pensando lo gobiernos el echo de denunciar a las compañía por no tomarse el tema de la seguridad de los usuarios mas en serio, siendo la propia empresa la encargada de poner esos muros para hacer mas seguros sus propios programas.
Como siempre Chema, gracias por las entradas que escribes todos los días, en mi caso , haces que cada día aprenda algo nuevo :)
Pero si le dices a un posible cliente, "oye, tienes esto malamente, te pueden hacer la puñeta y te lo puedo demostrar", entras en el problema de que no le haga gracia que estés trasteando y tengas un problema legal.
Lo complicado es demostrarle que está mal como para que se plantee invertir en tí como empresa pero sin que llegue a pensar "lo mismo es él el que me lo está jodiendo para cobrarme por arreglarlo".
Es complicado. Chema, ¿cómo haces para abordar esto?
@Anónimo, a través de los Partners Account Managers y los Account Managers }:)
Hay algunos clientes que se ponen a la defensiva y cuestionan con qué derecho les has hecho esa 'auditoria' sin permiso. De todo hay por ahí :(
El concepto es interesante, pero además de los problemas expuestos (cliente a la defensiva) también cabe el problema del cliente suspicaz, que crea que has hecho la aplicación insegura a posta para cobrarle por una configuración posterior. Y el lío que se puede montar puede ser aún más gordo.
Es un tema un tanto peliagudo, pero realmente interesante.
¡Saludos!
Al menos por mi experiencia; los clientes lo que desean es no tener que preocuparse de los fallos, una aplicación que vaya informándole de las actualizaciones y los sucesivos parches pero al tiempo que no sea intrusiva con sus datos. Vivimos en una sociedad que adora la ley del mínimo esfuerzo a cambio del nada de nada.
¿Cuant@s usuari@s se molestan en dedicar medio minuto en enviar un informe (automatizado) de errores pulsando a lo sumo un par de botones? en sistemas como GNU/Linux es lo más común pero en otras plataformas el cliente pasa bastante y la seguridad no puede depender únicamente del distribuidor, mantener limpias las aplicaciones es labor de tod@s.
Esto me recuerda cuando antaño el Prompt nos decía: "Comando o nombre de archivo desconocido" entonces sabías que tú habías errado,ahora tratas de aconsejar (que cosa tan cero intrusiva) y te puedes estar jugando una denuncia desde el lado del desarrollador, especialmente si tu empresa se encuentra en una situación económica boyante...
Además de monos, somos malos.
Básicamente las empresas no son una ONG. No ganan absolutamente nada advertiéndoles porque al cliente se la sudan estas cosas, hasta que pasa algo. Como ya han dicho, muchas veces incluso te arriesgas a que te pongan una denuncia.
El problema en España, es que hay pocos hackers de sombrero negro, que son los que dan trabajo a los de sombrero blanco, como el maligno. Entonces las empresas les da igual la seguridad, porque igualmente no va a pasar nada, y sale muy caro contratar una auditoría cada x meses.
Realmente, como dice patowc en la rooted, no se entiende como no hay más gente haciendo "cosas", con lo fácil que es y con los medios que hay. Basta una busqueda en shodan del tipo "admin 1234" o "default password" para colarte en cualquier router que es un mini-servidor.
Es que es más fácil mirar para otro lado y no ver ciertas cosas. Algunos por falta de solidaridad. Otros por inexperiencia y otros por desinterés, pero lo cierto es que si de esto supiera el área de marketing de la empresa, seguro lo aprovecharía al 100%
Publicar un comentario