Hace ya unos años, durante una gira Up To Secure, daba una charla sobre lo difícil que se ha convertido el trabajo de encargarse de la seguridad de los sistemas de una organización. Comenzaba con un hombre y una mujer felices en su CPD. Al hombre le faltaba un puro, una copa de coñac y El Marca para ser feliz allí. Ese CPD era su reino. Una foto ensoñadora. Era feliz porque no había usuarios. Ni compañeros manazas. Ni superiores que tocan el sistema informático sin saberlo. Era su reino de cómputo. Nada que hiciera prever el destino final de los administradores de sistemas como Bastard Operators From Hell a lo Wardog.
En esa presentación que os dejaré aquí para el recuerdo, continuaba toda la historia de penurias que seguirían a tan bucólico comienzo. Tras un momento donde sólo había que preocuparse de tener un plan anti-incendios, anti-humedad, hacer copias de seguridad de las cintas, tener un generador de corriente de respaldos y, como no, de tener un candado - cada vez más grande debido a los lockpickers - para gestionar su seguridad.
De ahí en adelante, todo fue un suplicio. Primero las terminales, luego las redes de área local, los servicios de acceso remoto, los servicios en hosting, para pasar luego a tener redes WiFi, los Pokemons tipo BlackBerry, Symbian o Windows Mobile que sería Digimon en iPhone, Windows Phone y Android, para pasar luego de la tecnología en cluster, a los Grid, de ahí a preocuparnos de mandar los procesos pesados a sistemas de High Performance Computing hasta llegar a la Cloud. Todo ello, sin olvidar el divertido "compliance" de legislación y certificaciones de estandarización que tanta diversión provocan en el mundo de la seguridad.
Figura 2: Chema Alonso - Seguridad Hoy
En esa charla, siempre que contaba los problemas de cada estadio al que habíamos llegados, para resaltar con tremendismo teatral la tragedia de nuestra profesión, continuaba con una pregunta al aire que decía: "¿Puede esto ir a peor?" Por supuesto, la respuesta siempre es sí. Siempre hay algo que puede hacernos trabajar más en nuestra profesión.
Al final, en aquella época terminaba hablando de que encima tienes que ocuparte de los hackers, que necesitan que les des un sistema capaz de soportar el pentesting, de los hacktivistas, la ciberguerra y los usuarios fashion victim de las redes sociales y los servicios de Internet.
Estos últimos especialmente, son los que obligan a día de hoy a tener que tener un ojo puesto en la zona del sistema que contiene los datos críticos de nuestra organización, y otro ojo puesto en la otra parte del sistema que puede contiener "parte" de los datos críticos de nuestra organización. Una es la zona que hemos definido nosotros, otra es todo Internet.
El "CPD" como Mundo Sin FIN
Nuestro sistema se ha convertido en arena del desierto que se escapa entre los dedos de nuestra mano. Una página web publicada ya nunca podrá desaparecer de Internet. Una fuga de información en un documento publicado en nuestra web perdurará para siempre. Un fallo en la configuración del servicio DNS o en la protección inicial del hosting y será un problema para siempre. Una mala configuración de nuestros parámetros SEO y datos de nuestros clientes aparecerán en las cachés de los buscadores. Un fallo en la seguridad de la web y un eventual hacktivista replicará nuestra base de datos en un foro como Pastebin. Un cliente con mala praxis, abrirá al mundo del Fraude Online las puertas del dinero de nuestros fondos. Y un atacante con ganas de robar información de nuestro sistema podrá utilizar todas las fugas que hayamos sufrido en su favor con un APT.
En el mundo del pentesting se llama OSINT a la disciplina de nutrirse de fuentes abiertas para hacer las fases de footprinting y fingerprinting, pero con un poco de suerte, una fuga de datos publicada en un sitio como Pastebin o analizada en LeakedIN en la que se hayan volcado los datos del router de una víctima o los usuarios y contraseñas capturados por una botnet desactivada, puede abrir muchas puertas en casa del objetivo.
En el mundo de la seguridad de sistemas, al servicio que comprueba constantemente que no haya fugas de la organización que se protege se le llama Inteligencia, Vigilancia Digital, o Ciber-Seguridad - como se le llama en Telefónica - pero al final significa lo mismo. Comprueba constantemente que en todo Internet no hay en ningún repositorio información sensible para la seguridad de tu sistema. Y esto puede estar a la vista... u oculto por servicios de pago como el del Whois histórico que se llevó al "emprendedor" que creo la botnet más grande en Mac OS X, foros privados a los que solo se puede acceder si tienes infiltrados un determinado nivel de confianza con el grupo que allí pulula o la famosa Deep Web. Todo cuenta.
El firewall, el IDS, el sistema de actualización de software, el antimalware de la red, los servicios de redes limpias con antispam, los servicios de VPN o la auditoría de seguridad las webs - que nosotros pensamos que debe ser continua - parecen más que introducidas en el mundo de la seguridad empresarial. La vigilancia de Internet continua para tener un servicio de Ciberseguridad, a pesar de que se comercializa desde hace ya tiempo, no está aún introducida en todas las empresas, pero todo se andará, seguro.
Y cuando esté resuelto el servicio de ciberseguridad de la empresa... ¿Puede esto ir a peor? Pues seguro que sí, o si no, tiempo al tiempo...
Saludos Malignos!
De verdad era necesaria la foto agarrándote un pecho? xD
ResponderEliminarAcabas de sustituir a las ballenas en mis pesadillas....arrrrr
ResponderEliminarAcabas de sustituir a las ballenas en mis pesadillas!!!
ResponderEliminarJoder Chema, para hacerse esa foto hay que ser hacker nivel ninja.
ResponderEliminarHola a todos,
ResponderEliminaresa foto es del Calendario Tórrido que hicimos para recaudar fondos para la fundación Alzehimer España.
Son nuevos por aquí, verdad?
Saludos!