Aprovechando que hoy 30 de Noviembre es el Día de la Seguridad Informática os voy a dejar aquí la conferencia que preparé para el ya pasado CyberCamp 2015 titulada "Low-Hanging Fruit". La charla la preparé pensando en todos aquellos que dan recetas mágicas para solucionar los problemas de seguridad de una empresa centrándose en un producto o una solución mágica, cuando la realidad de ser el encargado de llevar la seguridad en una organización es mucho más compleja.
Figura 1: Do the Basics: Elimina el Low-Hanging Fruit
También la hice teniendo en mente todos los que llevan la gestión de la seguridad de una compañía a base de comprar o poner en su plan del año la tecnología o el proyecto de moda del año, sin haber hecho los deberes básicos todavía.
Do the Basics
Está muy bien que una empresa ponga sistemas Anti-APT que miren los Callbacks o que tengan una Big Data de IoCs (Indicators of Compromise) que cruce todo el tráfico de la red con sistemas en cloud de correlación de eventos, pero antes de eso hay que tener el software actualizado, eliminados todos los bugs sencillos de explotar en tus webs o haber resuelto el problema de la gestión de contraseñas e identidades en tu empresa, que es un problema de hace muchos años.
Figura 4: Conferencia de CyberCamp 2015 "Low-Hanging Fruit" de Chema Alonso
Al final, lo que se trata es de resolver el dilema entre ser Elsa o Anna de Frozen (yeah!). Es decir, Sentirse Seguro como Elsa y con mucho presupuesto comprarse un bonito castillo o Estar Seguro y luchar contra los problemas afrontando todas las adversidades. Gestionar la seguridad es complejo, y para explicarlo utilizo una frase que uso Linus Torvalds hace muchos años en una entrevista: "El tiempo de soluciones sencillas a problemas sencillos hace mucho que pasó".
Do the Basics (understood?)
Así que, si tienes que gestionar la seguridad de una empresa, que no te metan un Spear Phishing porque no hayas configurado bien el SPF y no hayas puesto un sistema de Antispam robusto. Si te roban los datos de tu base de datos de clientes que no sea porque no has puesto un control de acceso con segundos factores de autenticación en tu plataforma. Si te roban los archivos de tu equipo que no sea porque no tienes el software de tus puestos de trabajo actualizados. Si te ownean la compañía que no sea porque tenías un SQL Injection en la web de una de tus promociones en Internet. No te comas un OWASP TOP 10 que debería sacarte cualquier sistema de Pentesting Persistente.
Do the Basics, y luego piensa en los siguientes pasos que deberás ir aplicando en la gestión de tu compañía, mira cosas avanzadas como buscar los Hidden Links de tu red o hacer investigación del malware en tu red, pero no dejes Low-Hanging Fruit que pueda ser aprovechada por super cibercriminales en un APT o un Script Kiddie con ganas de pasárselo bien con tu empresa. Do the Basics.
El programa salió en antena ayer por la noche, y ya está disponible en la web de RTVE, así que os lo dejo aquí por si alguno se lo perdió y le apetece verlo, que la periodista es de gran calidad y conoce en profundidad todo este conflicto.
Ayer era el Black Friday y yo disfruté la tarde en el Codemotion 2015 donde me hice fotos con amigos, terminé las demos y las diapositivas, jugué en la máquina de pinball que está en la zona de juegos y hasta me tomé una cerveza fresquita con los amigos de TicJob - pasaos a verlos si estáis por allí que son buena gente y amables -. También están mis compañeros de Telefónica, así que no dudéis en ir a verlos unos minutos. Fue una tarde agradable, en la que también estuve un rato con los amigos de Autentia para hacer una pequeña entrevista como en ediciones anteriores de la Codemotion.
Figura 1: Ya puedes ver "Blues" de Codemotion 2015 en Youtube
Pero el plato principal en mi agenda era la charla que tenía a las 18:00 horas en el Track 1, que yo había titulado como Blues y donde debo decir que me lo pasé genial. Tenía ganas de dar esta charla, preparé con mimo las diapos, la música y las demos, y al final salí encantado. Me alegró la efusividad de los aplausos y vítores del final en el auditorio. Disfruté yo más que los asistentes, seguro.
Como sabéis era el final de la trilogía que ya había avanzado el año anterior y quería, como en las ediciones anteriores hacer algo distinto. No es que descubra la rueda en estas charlas de Codemotion, pero la primera de ellas me llegó en un momento muy singular de mi vida y fue muy importante en mi vida personal, así que he intentado estos años que estas conferencias que he dado siempre fueran distintas.
Figura 3: Dando la charla de Blues en la Codemotion 2015
La última de ellas, este Blues, termina de contar la historia del Hacker y la la Developer que creé para en la Codemotion 2013 y que ya el año pasado avancé que se acabaría. En todas estas charlas se mezcla a partes iguales y partes distintas, detalles que son verdad, historias que son ficticias, mensajes que son retorcidos y ocultos en pistas que nadie debe ver, y en gestos estudiados en la puesta en escena para que todo en sí sea un collage que enseñe algo, entretenga mucho y comunique lo máximo, al tiempo que sirva de mensaje enviado en una botella que llegará cuando llegue a donde tenga que llegar. Y todo eso en una charla.
Figura 4: Codemotion 2015 - Blues
Por si quieres ver toda la historia, te dejo todas las charlas en orden inverso a como debes verlas si no has visto ninguna. Si ya has visto las anteriores, ve directamente a ver Blues. Esta será, por ahora, la última charla en Codemotion como ya anticipé.
Figura 5: Codemotion 2014 - Love Always Takes Care & Humillity
Aprovecharé este mes de Diciembre para irme unas largas vacaciones, pero estaré de vuelta dando charlas y conferencias el año que viene. Adoro mi trabajo, me gusta lo que hago, y seguiré con ello. No os preocupéis un ápice, que solo será un homenaje que me voy a dar por que me lo merezco.
Figura 6: Codemotion 2013 - Los Amantes del Círculo Polar
Y esto es todo por hoy. Nos vemos en un rato en CyberCamp 2015, que además creo que lo puedes ver en Streaming.
Quede en primer lugar claro que yo actualmente trabajo en una empresa de telecomunicaciones, así que si alguien quiere anular el contenido de este artículo por eso mismo, que deje de leer aquí mismo. Trabajo en una empresa que está declarada como empresa de telecomunicaciones, y además también en Alemania, donde tenemos una operación grande dentro del grupo. Sin embargo, todo lo que pone en este artículo es opinión absoluta y completamente personal y al margen de cualquier posible interpretación de comentario o postura oficial. Esto lo único que quiere decir es que mi empresa podrá opinar igual o diferente ya que esto lo opino yo en mi blog personal para mis lectores.
Figura 1: Alemania pide a Gmail que se declare como Servicio de Telecomunicaciones
La historia lleva ya años en los tribunales, ya que desde 2012 se demandó a Google para que registrase a su servicio Gmail de correo electrónico y añadidos, como servicio de Telecomunicaciones, algo que Google contestó alegando que ellos no transmitían señales, que no eran responsables de la red. Ahora la justicia alemana ha dicho que:
“Although Google for signal transmission not very own telecommunications networks, but the open Internet use is, the signal transmission nevertheless mostly attributable to their e-mail services in a judgmental-practical strategy.”
O lo que es lo mismo, que aunque no posean las redes, al desarrollarlo sobre las redes abiertas de Internet, en la práctica, la señal que se transmita por las redes en esos casos es mayormente atribuible a sus servicios de correo electrónico.
La atribución de esa señal de Internet a Gmail para convertirlo en un servicio de telecomunicaciones tiene una razón de ser práctica y entendible por muchos. Los servicios de telecomunicaciones están obligados a cumplir un reglamento nacional y europeo supercomplejo en cuanto a reglas de competencia, supervisión y control por parte de los países. Cuando sobre esas redes se monta un servicio de comunicaciones que hace exactamente lo mismo que el original - por ejemplo envío de señal de voz -, pero lo hace digitalizado y cifrado, se ha convertido en un servicio de comunicaciones sin tener que cumplir las obligaciones de los servicios de telecomunicaciones tradicionales.
Así, si la justicia de un país con un gobierno soberano elegido por los ciudadanos de ese país considera que debe aplicar una determinada acción amparada en la ley que ellos han votado y dictado para la regulación de los servicios de telecomunicaciones, esta no podrá ser de aplicación sobre la empresa que no está registrada como servicio de telecomunicaciones y la empresa que sí que está registrada como empresa de telecomunicaciones no podrá aplicarlo por imposibilidad técnica al estar cifrado todo el tráfico.
Por supuesto, a nadie se le escapa que si al final Europa empuja a Gmail a este sitio, los siguientes deberían ser Office 365, WhatsApp, Facebook, Telegram, Skype y cualquier otro servicio que dote a sus tecnologías de un canal de comunicaciones sobre Internet. Si nos ponemos estrictos, esto podría acabar hasta con los chats en los juegos, pero creo que la intención no es esa, sino de meter en la regulación a los servicios de comunicación masivos en la sociedad europea, que aún así sería una gran cantidad.
Esta sentencia del tribunal viene en un momento delicado en la sensibilidad europea, donde la gente está dispuesta a sacrificar un poco del derecho a la privacidad por el derecho a la vida, el derecho a la infancia u otros. A, como suelo decir yo, buscar el equilibrio en la defensa de todos los derechos fundamentales que se quieren tener y que a veces se pisan en las fronteras.
Por otro lado, el gran debate es el de la regulación de Internet o no. Dejar un Internet poco regulado puede favorecer la innovación por medio de la canivalización de un servicio en pro de otro más eficiente, más barato o mejor implementado. Pero, al mismo tiempo, al no existir una regulación mundial de nuestras sociedades esto puede ser catastrófico para los países.
El mundo capitalista utiliza a las empresas para la creación de riqueza en sus países. Para que las gentes de los países en que hay empresas puedan disfrutar de una vida digna y saludable. Por ello las empresas generan riqueza y pagan impuestos a los países, al igual que los trabajadores, para que haya servicios que favorezcan el bienestar de la sociedad. Así debería de ser en un mundo que funcione bien.
¿Quién debe ser el garante de nuestros derechos en sociedad?
Cuando una empresa de otro país genera un servicio en un país en el que no genera riquezas, haciéndolo eficiente a base de no pagar impuestos en esa sociedad, de no estar sujeto a una regulación de garantías del servicio en el país o de abaratarlo en base a quitar derechos a los trabajadores de ese servicio, entonces debemos plantearnos si es bueno o no para nosotros como sociedad.
Esto es solo una opinión personal que he defendido en el caso Uber. Un taxista trabaja un montón de horas como autónomo para pagar sus impuestos en este país, poder contar con sanidad pública, jubilación e incluso indemnización en caso de baja por enfermedad. Sobre eso, tienen que cumplir una regulación estricta en cuanto a calidad del servicio, control de la administración pública y pagan impuestos por su trabajo. Este difícil equilibrio permite que un taxista pueda llegar a tener una vida digna con derechos y obligaciones para con su sociedad.
Cuando llega una empresa como Uber que no paga impuestos en este país, que no paga por ninguno de los taxistas ningún seguro, impuesto o derecho, pueda abaratar sus costes. Así, su servicio puede ser mucho más barato, puede ahorrar en Seguros Sociales, puede ahorra en impuestos, puede ahorrar en bajas - si el conductor que usa Uber se pone enfermo es problema del conductor, no de Uber -, etc...
¿Quién gana con esto? A priori se puede ver que Uber gana, y algunos podrían pensar que el usuario del taxi que consigue un ahorro. Y es verdad, el usuario del coche de Uber consigue un ahorro a priori, pero si es un ciudadano de la sociedad, a largo plazo perderá porque si los ahorros vienen de los pagos a impuestos y cotizaciones a la seguridad social que hace la empresa, entonces a la larga tendrá menos servicios en su sociedad o que pagar más impuestos. En conclusión, solo gana Uber.
Figura 4: Coste anual en una universidad de Ohio y en la número 18 de New York
Sí, sé que para muchos esta visión de nuestra sociedad será discutible. Es solo mi opinión. Es la opinión de alguien que estudio gracias a los servicios públicos de este país y que está agradecido eternamente a la Universidad Española por haberme dado la oportunidad de estudiar sin tener que pagar grandes cantidades de dinero.
Yo, como ciudadano tengo mi propia visión de la sociedad en la que quiero vivir y creo que debería ser una que garantice las condiciones mínimas de calidad de vida de todos los miembros de la sociedad. También estoy de acuerdo en premiar el esfuerzo y trabajo de sus miembros con sistemas de meritocracia, y que se debe fomentar la creación de innovación y riqueza de emprendimiento de los países.
¿Que Gmail sea marcado como un servicio de telecomunicaciones y le vayan a regular más? No creo que sea el fin del mundo. Hay muchas empresas que están marcadas como servicio de telecomunicaciones en Europa, la gran mayoría de ellas empresas europeas y la opinión pública no se ha rasgado las vestiduras por las normas que los países imponen a este sector. El que un servicio de telecomunicaciones vaya sobre VoIP, HTTP-s sobre 4G debía ser indiferente para la regulación y no olvidemos que Google piensa en hacer pasar todo el tráfico HTTP desde directamente el navegador con SPDY.
Ayer por la tarde se publicó el nuevo libro de la Editorial 0xWord, pero bajo una nueva línea llamada 0xWord Pocket. Ya teníamos en la editorial algunos títulos que están centrados más en la lectura y el entretenimiento que en la parte técnica, como es el caso de los libros de Wardog y el Mundo o el de Microhistorias: anécdotas es historias del hacking & informática, además de contar con el libro de Hacker Épico, que además de contar cosas técnicas, es principalmente una gran historia de lectura que hemos podido incluso trasladar a un cómic. El nuevo libro se llama Cluster y es una novela. Una novela, pero con una carga tecnológica alta, y hemos querido crear la nueva línea 0xWord Pocket para diferenciar bien estos libros de lectura, de los textos que sean principalmente técnicos.
Figura 1: Cluster, 0xWord Pocket y el Black Friday 2015
Cluster es una novela en la que se cuenta una historia de acción con una mezcla de muchos elementos de este mundo nuestro. Une un suceso traumático como el suicidio de un joven que sufre cyberbullying y grooming, con el proceso de investigación de ataques SCADA en el que se busca a un grupo de cibercriminales. Será la Brigada de Investigación Tecnológica (BIT) de la Policía la encargada de llevar a buen puerto la resolución de los casos.
En la trama, que no os quiero desvelar mucho, se explican casos como Stuxnet, el ataque real a Cofrentes por parte de Greenpeace y el mundo de hacktivistmo, así como las acciones de un hacker que ayuda en la resolución de ciertas partes de la historia con el que al final colabora la Policía. Por supuesto, hemos querido que el libro, sin ser un manual técnico, fuera realista con las partes tecnológicas, y no hubiera "magia de Hollywood" de esa que te saca de la película cuando ves cosas como la de la Operación Swordfish.
Figura 2: Cluster, una novela para amantes del hacking y el thriller
El autor es Felipe Colorado, que es Ingeniero Advance Plus de la Universidad Politécnica de Madrid y profesor de matemáticas y tecnología. Ganó el premio Desnivel de Literatura 2009 con su obra “Om, la montaña roja” que es una novela de alpinismo-ficción ambientada en Marte en el siglo XXII y fue finalista del prestigioso Premio Ignotus 2013 en la categoría mejor novela, por “Corazón de alacrán”. En su tercera obra "Baldur. El ocaso del III Reich" abandonó la temática futurista para sumergirse en una tensa trama histórica y ahora ha escrito "Cluster" que entra de lleno en el género tecno-thriller policiaco, abordando los peligros de Internet desde el acoso a menores hasta los ataques a infraestructuras críticas.
Black Friday en 0xWord
El libro lo hemos editado en un formato un poco más pequeño que los manuales técnicos para poder ponerle un coste más bajo al libro, así como para que sea más fácil llevar en los desplazamientos en metro, autobús o tren al trabajo. Y, lo hemos lanzado hoy para que mañana podáis aprovecharos de la oferta del Black Friday que vamos a poner en 0xWord.
Figura 3: Código con 10% de descuento para el Black Friday 2015
Desde las 00:00 horas (hora de España) de este viernes, es decir, desde esta misma noche, hasta las 00:00 horas del sábado, podéis utilizar el cupón BLACKFRIDAY2015 para obtener un 10% de descuento en todas las compras que hagáis en 0xWord, así que si quieres hacer un regalo de Papá Noel o aprovisionarte de material, puede ser el momento que estabas esperando.
Por supuesto, ya anunciaron que habían pagado ese Millón de Dólares por un exploit que cumplía las características pero que NO lo iban a publicar. Es parte de su negocio, ya que ellos luego venden este conocimiento a empresas que quieren estar más seguras que el resto. O esa es la idea.
Figura 2: El cartel con la recompensa de 1.000.000 USD inicial
Ahora, ya conocido su negocio por todos, han puesto en Internet una tabla periódica con los precios que van a pagar por exploits en los principales productos. La estrella sigue siendo Apple iOS, con pagos de hasta 500.000 USD por 0days en su plataforma, seguido por Android y Windows Phone que llegan hasta las 100.000 USD. Luego baja ya a los plugins y navegadores con Adobe PDF, Flash Player y Google Chrome llegando a los 80.000 USD. La lista es larga y deja, por ejemplo, los exploits de Windows, Mac OS X y Linux en un precio de 30.000 USD. Puedes buscar tu software favorito en ella.
Figura 3: Lista de precios por exploits y tecnologías
Una cosa interesante es que no se pagan todos los exploits y buscan exploits detallados en cada cuadrito. Por ejemplo, los RCE (Remote Code Executation) son los que se buscan en los plugins y navegadores. En los sistemas operativos de escritorio bastan con un LPE (Local Privilege Escalation) siempre que tenga un SBX (SandBox Escape) asociado, ya que con pedir la ayuda al usuario para que haga un clic en un enlace sería suficiente para conseguir el RCE final.
Por supuesto en Apple iOS se busca el RJB (Remote Jailbreak) para poder tomar control total del dispositivo. Es decir, no solo ejecutar código, sino hacer la elevación de privilegios, cargarse el CodeSigning y controlar totalmente el dispositivo.Si queréis más información de qué se paga y qué no se paga, o como reportar un exploit de 0day, lo mejor es que os leáis las FAQs.
Esta semana doy por concluidos todos los eventos y actos públicos en los que voy a participar este año. La semana que viene terminaré algunos asuntos de trabajo, pero luego voy a tomarme algún tiempo, así que si quieres venir a alguna charla o verla por Streaming, estas son las dos últimas que voy a dar.
Figura 1: Codemotion & CyberCamp, mis últimos eventos del año
La primera de ellas será el viernes 27 de Noviembre a las 18:00 horas en el Track 1. Será la última charla que imparta en Codemotion e intentaré preparar alguna cosa chula para ese día. Espero que todos los que asistáis o la veáis por Streaming disfrutéis con ella. Ya sabéis que a las charlas de la Codemotion siempre les pongo mucho amor maligno.
La segunda y última será en el CyberCamp. El sábado 28 de Noviembre a las 12:45 y hablaré del Long Hanging Fruit en el mundo de la seguridad de las empresas. CyberCamp sabéis que está repleto de grandes ponentes, talleres, competiciones, etcétera, así que si quieres pasar unos días entretenidos no dudes en pasarte por allí. Además, podrás ver la charla por Streaming igualmente.
Figura 3: Queda nada para el Cybercamp 2015
No la busquéis todavía en la agenda, que como soy un desastre envíe todos los datos para su publicación ayer mismo. Y eso es todo. Ya no hay más por ahora y habrá que esperar a bien entrado el año 2016 para que me anime a dar alguna otra charla. De momento Winter is Comming.
En estos días que quedan del mes de Noviembre tengo mi recta final de conferencias durante el año. Luego, como ya os contaré, voy a tomarme un largo parón para relajar el ritmo de combate y recargar pilas. Será, como decía Extremoduro en La Pedrá algo como "No pienses que estoy huyendo si me ves retroceder, espera, que estoy cogiendo carrera". Mientras tanto, os dejo para hoy tres vídeos de cosas que ya han sucedido y que podéis ver online.
Figura 1: Las charlas disponibles online
El debate en la Universidad
El pasado lunes 16 de Noviembre, aprovechado que venía Luciano Bello a España, decidí organizar in extremis una charla debate en el Campus Sur de la UPM en Madrid. A ella se subió también el gran Diego Ferreiro, arquitecto de software en SalesForces y otro de esos de los que deberíamos tener muchos en España. En mi escuela se movieron, y en un solo día hubo overbooking en el auditorio.
Figura 2: Charla entre Luciano Bello, Diego Ferreiro y Chema Alonso
La sala estuvo a rebosar de compañeros que están donde estaba yo hace muchos años y tuvimos una sesión de 2 horas de preguntas y respuestas de lo más animada. Aquí está el vídeo para que la podáis ver. Me encantó ver lo activos que estaban todos los estudiantes por conocer cosas de la vida profesional después de la Universidad, de nuestras carreras profesionales y de la seguridad informática.
Sinfonier en la GEW2015
Esta charla fue impartida por mi compañero Fran J. Gómez en la Global Entrepreneurship Week 2015 que se organizó en el BBVA y en solo 30 minutos intenta explicar cómo funciona el proyecto y cómo se puede utilizar esta plataforma para ciberseguridad u otros usos.
Figura 3: Conferencia sobre Sinfonier en la GEW 2015
El vídeo es del streaming y el primer minuto y medio no estuvo conectado el micro del ponente, no te preocupes, luego va perfectamente.
Gartner EMEA 2015
La última charla que os traigo es la que impartí hace poco en Barcelona, dentro del evento Gartner EMEA 2015 sobre Tacyt y Sinfonier de cómo utilizar técnicas OSINT + Cloud Computing + Big Data para investigar en el mundo de las apps móviles. Está en inglés y dura 30 minutos clavados, que es el tiempo que me dieron inicialmente.
No es nada que haya ocultado en mi vida, mi cantante preferido es Rosendo. Sus letras - de este poeta de los pobres - te llegan o no te llegan, y a mí me llegan. Me llegan junto al sonido de su guitarra. Esta es la parte que muchos conocéis de por qué me gusta Rosendo, pero hay mucho más detrás de eso que cuento habitualmente, y que solo los que me habéis conocido en más profundidad me habréis escuchado contar. Rosendo me inspiró en mi vida cuando más lo necesitaba y con sus letras me ayudó a formarme como persona, metiendo en mí algunas de las características que he seguido con tesón durante estos últimos 25 años.
Figura 1: Rosendo, prometo estarte agradecido por tanto
Que Rosendo es un gran artista no os lo voy a descubrir ahora. Con una carrera extensa con más de 30 álbumes en solitario, con Ñu y con Leño, con multitud de premios, con el reconocimiento de todos sus compañeros de profesión y con una horda de seguidores que le acompañan en sus peripecias por España. Él solo hace Rock'n Roll, y no va más lejos, pero lo hace muy bien. Con solo su guitarra carabanchelera que no cambia durante todo el concierto, con la ayuda de Rafa al bajo y con Mariano a la batería, es capaz de hacer que suene así de bien el final de "Flojos de Pantalón" que grabé ayer en el concierto.
Figura 2: Flojos de Pantalón ayer en Alcobendas
Ayer disfrute como hacía mucho tiempo que no disfrutaba. Tanto que terminé el día con agujetas en los carrillos de estar sonriendo y contento tanto tiempo. Me regalaron la entrada para ir a ver a Rosendo tocar en el Teatro de Alcobendas y al principio me sonaba raro. A Rosendo he ido a verle en concierto desde que tenía 18 años, y he estado con él en festivales, en Las Ventas de Madrid, en las fiestas de Hortaleza, en las fiestas de Fuenlabrada, en el ViñaRock, en las fiestas de Fuenlabrada, en las de Alcorcón, etcétera. Vamos, cualquier lugar de Madrid donde tocara. También le he ido a ver a la Riviera y otras salas de conciertos, pero esta era la primera vez que iba a verle en un teatro donde había butacas, y estábamos sentados.
Al principio pensé que iba a ser un concierto un poco raro en el que la gente no estuviera tomando algo de beber, saltando y bailando apretujado en primera fila, que era donde me gustaba estar cuando era un veinteañero, pero la gente no se pudo contener y el teatro se convirtió en una sala de conciertos más con todo el mundo saltando al ritmo de los acordes y gritando las letras de las canciones. Este es un momento del clásico "Maneras de Vivir" que grabó con Leño tocado ayer mismo para nosotros.
Figura 3: Maneras de Vivir ayer en Alcobendas
Mientras estaba en el concierto pasaban imágenes de mi vida recordando la de veces que he ido a verle tocar, y recordaba las sensaciones de ir a comprarme sus "vinilos" en las tiendas de Madrid. "A las lombrices", "Fuera de Lugar", "Jugar al gua", etc, etc... Creo que en vinilo tengo como ocho o diez discos suyos, con especial cariño para el disco de Para Mal o Para bien, en el que le dedicaba canciones a mucha gente y venía la maravillosa "A la sombra de una mentira", que tanto me gusta. Esta canción está últimamente muy presente en mi Spotify, pero desde que la escuché con menos de 20 años me transmitió que hay que ser humilde siempre y luchar por lo que quieres, cueste lo que cueste.
Figura 4: A la sombra de una mentira
Tuve mi primer contacto con la música de Rosendo después de sacar él su tercer disco en solitario. Escuché en la TV, en uno de esos programas musicales, una canción que se llamaba "El asa del cubo". No la entendí mucho, ni me gustó en exceso en aquel momento. Al día siguiente, unos amigos me dijeron que "molaba más el primer disco" y me hicieron una copia en una cinta para que lo escuchara. Y ahí estaba la canción que iba a marcarme para mucho tiempo en mi vida.
En aquel entonces yo era un joven de unos 13 años entrando en el bachillerato, con la personalidad sin formar y con muchos complejos y tabúes. Ser un empollón gordito no ayudaba en aquel entonces a llevar una vida tranquila en un Instituto de Bachillerato Público en Móstoles. Como todos los jóvenes tuve mis momentos buenos, malos y fatales en las relaciones con los otros jóvenes. Supongo que andaba buscando referentes para formar mi personalidad, y no acababa de encontrar la manera de hacerme un hueco con los demás chicos para sentirme cómodo. Eran más molones los que fumaban, bebían, suspendían y hacían cosas divertidas que los que eran como yo. Lo pasé bastante mal - como muchos - en esa época de pre-adolescente - adolescente.
Pero la música de Rosendo me ayudaba a mantener mi mente, y en concreto esta canción que marcó mi forma de ser el resto de mi vida. Yo quería ser el enemigo, disparando Pan de higo. La letra de la canción me enseñó muchas cosas. Si te he contado esta historia antes, es que eres importante para mí.
Figura 5: Pan de Higo. Pon atención a la letra
Era muy joven aún como para irme de conciertos, pero seguí a Rosendo durante años hasta que pude ir a ver su primer concierto. Cuando ya había entrado en la Universidad seguía siendo fan de sus canciones y me había vuelto en un lector insaciable de libros, así que me fui a comprar un libro que hablaba de su biografía. De cómo empezó, de cómo se metió en el mundo de la música y de todo lo que tuvo que pasar. Y me gustó aún más. El libro se llama Rock en las tripas y contaba sus peripecias en los inicios, y ahí se convirtió aún más en mi inspiración.
Rosendo comenzó con Ñu, como sabemos los más viejos del lugar, pero su relación con "ya sabéis quién lideró Ñu" no era muy buena. De hecho, cuando Rosendo traía una canción, la respuesta que obtenía de su compañero de grupo era "Esa canción no mola, esa canción es un LEÑO". Rosendo abandonó el grupo y, con todo su carácter, montó un grupo al que llamó LEÑO. De esta forma Rosendo demostraba que era fiel a su estilo y no le importaba lo que él dijera de su música.
Si alguno conoce la historia de porque mi alias es Maligno, tiene mucho que ver con este hecho de Rosendo. Con este hecho descubrí que no hace daño el que quiere, sino el que puede, y que yo iba a ser el primero en reírme de mi mismo. Así que, cuando intentaron insultarme en un foro diciendo que "Chema Alonso era El Maligno disfrazado de John Lennon", decidí que iba a ser El Maligno. Y listo.
Otra de las cosas que siempre recuerdo con cariño es que Rosendo contaba en su biografía que se enteró de que habían publicado su primer single cuando estaba de fiesta en una discoteca de Móstoles, lo que lo hacía mucho más cercano a mí. Pero sobre todo me gustaba cómo explicaba sus inicios en el mundo de la música. Cuando era un joven trabajaba de botones en una oficina, haciendo recados. Era un trabajo para comenzar a buscarse la vida, pero él tenía claro que quería ser músico. Para ello, se lo tomó como un trabajó y todos los días ensayaba con horarios. Si quería ser bueno en esta profesión debía trabajar en serio, así que se puso una disciplina para conseguirlo y todos los días tocaba la guitarra.
Como ya os he contado en otras ocasiones, yo hacía algo similar. Me dedicaba a trabajar como pintor, barnizador o albañil, y el resto del tiempo se lo dedicaba a estudiar informática. Cuando leí esa historia de Rosendo, tenía claro que si quería lograr ser bueno en algo debería ser muy constante. Si Rosendo, viniendo de Carabanchel había podido convertirse en un gran músico, yo, viniendo desde Móstoles, podría convertirme en un gran informático. Solo había que ensayar todos los días.
Por supuesto, si has seguido este blog a lo largo de los últimos años habrás podido comprobar que yo "ensayo" todos los días y sigo ensayando todos los días. La dictadura de escribir un post al día en este blog era mi forma de obligarme a seguir practicando, incluso cuando ya era un profesional de la informática. Había que seguir aprendiendo día a día para trabajar.
Rosendo se convirtió para muchos de los que seguimos en un referente de vida. No solo por su trabajo y su tesón que le llevó a que - ya en solitario - recibiera las críticas de muchos por haber dejado Leño. Él llevó con trabajo constante, disco a disco, concierto a concierto, su trabajo al mercado. Ha vivido de lo que ha hecho sin hacer más que trabajar en lo que le gusta la música. Me acordé mucho de esto cuando decidí que terminaba con Informática 64 para transformarla en Eleven Paths y, por supuesto, muchos me atacaron por este hecho. Alguno hasta de forma agresiva.
Uno de los que están entre la lista de inspirados por Rosendo es el pequeño gran Fito Cabrales. Ir a los conciertos de Fito es lo único que me hace tan feliz como ir a ver a Rosendo, y recuerdo todos y cada uno de ellos con gran alegría, especialmente el último que fue genial. Año a año mejora el pequeño de la gorra. Fito es distinto a Rosendo en los conciertos. Mientras que Rosendo es fiel a su guitarra, Fito cambia cada dos o tres canciones para sacar nuevos sonidos y ponernos el corazón blandito, pero ha seguido una carrera muy similar a la de Rosendo. Él tuvo que abandonar Platero y Tú y seguir su camino en solitario.
Figura 6: Platero y Tú homenajea a Rosendo en "Si la tocas otra vez"
Yo tuve la suerte de ir a ver el último concierto de Platero y Tú en Madrid (¿Te lo he dicho alguna vez?) y fue una autentica pasada. Por supuesto, estuvo Rosendo por allí cantando con ellos una canción. A la semana siguiente, Fito presentaba su segundo disco en Madrid, y por supuesto estaba Rosendo cantando también con él. Y no es raro ir a un concierto de Rosendo y que se suba el pequeño Fito a cantarse algo con el Rosen. Cuando estaba en Platero y Tú, le hicieron una canción de homenaje a Rosendo con referencias a todas las canciones que había compuesto este poeta de rock urbano madrileño, donde demostraban su admiración por su trabajo.
Por supuesto, la canción de Si la tocas otra vez habla también de las canciones que Rosendo dejó de tocar de Leño para poder avanzar en su carrera en solitario, porque si no nunca saldría. La canción estrella, del primer disco de Leño, es sin duda El Tren. Dura, metálica, fuerte y con una letra rasgadora. Ayer, yo pude escuchar a Rosendo tocar El Tren en Alcobendas.
La última de las cosas que aprendí de Rosendo es a ser fiel a tu estilo. A uno mismo. Yo hago lo que hago porque es como me sale hacerlo. Yo me inventé mi forma de conferencias no porque quisiera hacer nada raro, sino porque es como me salía hacerlas. Yo escribo este blog y no he cambiado la plantilla para hacer un blog más "molón", porque para mí lo importante es lo que escribo y no el continente y me puse un gorro de casualidad, al igual que Fito lleva su gorra o Rosendo sus aros en las orejas. Apuesto a que ni Fito, ni Rosendo - como es mi caso - han tenido un asesor de imagen o algo parecido que les ha dicho que se vistan de una u otra forma. No se vende el Rock and Roll.
Nunca he conocido a Rosendo en persona, pero sí tengo una anécdota curiosa. Un día fui a dar una conferencia a la Universidad ICAI de Madrid. Iba con José Parada de Microsoft en aquel entonces, que había estudiado Industriales. En un momento llegó con uno de sus profesores y me dijo:
- "Oye melenas, ¿quién es tu cantante preferido?"
Yo miré al profesor y su cara me sonaba de algo, pero no sabía de qué. Extrañado por esa pregunta le contesté a José algo que él ya sabía de sobra:
- "Pues cual va a ser, ¡Rosendo!"
Ellos se echaron a reír y no lo entendía. Luego, me dijo José:
- "¿Y la cara de este tipo no te recuerda a la suya?"
Sí, era el hermano de Rosendo que era un profesor del ICAI. A mí Rosendo me ayudo mucho con su música, con sus letras, con sus vivencias y con su existencia, y por eso,yo, prometo estarte agradecido maestro.
La gestión de la seguridad de una organización grande suele ser algo complejo. El volumen de sistemas de información que se manejan crece día a día a una velocidad superior a la que se introducen los mecanismos de gestión y seguridad. Además, la obsolescencia continuada del parque informático, el cumplimiento normativo y legislativo, unido a los incidentes que surgen, hacen que el día a día de un equipo de seguridad de una organización sea una aventura en la que tienen que lidiar con los temas urgentes, los proyectos importantes y la visión a largo plazo. Una aventura que los CISO y los CSO de las organizaciones deben vivir con la cabeza fría para llevar a la compañía dentro de los límites de un "Riesgo Aceptable".
Figura 1: El DHS es como cualquier otra empresa u organización grande
Pero no penséis que esto es solo su trabajo. No, al igual que hay auditores fiscales y contables que revisan todo lo que tiene que ver con el movimiento de dinero y presupuestos dentro de las empresas, también están los auditores internos de seguridad que revisan si el trabajo de los CISO y los CSO está siendo el adecuado o no y si, está alineado y cumple con la normativa global, central o gubernamental. Estos informes suelen, además, sacar del plan de trabajo a los CSO y CISO ya que acaban en los más altos estamentos de la empresa y les rompe la planificación de su trabajo.
En el gobierno de los Estados Unidos también hacen estos informes de auditoría, y han publicado el referente al mes de Noviembre que se ha realizado a los sistemas de información del DHS (Department of Homeland Security), con unos resultados que he visto en tantas y tantas organizaciones que me he sentido hasta "feliz". No feliz en el sentido de que disfrute con que un sistema de seguridad esté mal, sino feliz porque he estado con muchos - y cuando digo muchos, son muchos - CISO y CSO que sufren por las cosas que ellos saben que tienen mal y luchan contra viento, marea y presupuestos por ir avanzando poco a poco. Muchos de ellos, además, sufren pensando que están peor que otros, y ver que el DHS tiene exactamente los mismos problemas, me ha hecho animarme a publicar este artículo para mis amigos CISO y CSO.
Shadow IT - Mal inventariado de activos
El primer punto importante que dice este informe de auditoría seguro que los conocéis muchos. El informe de auditoría hace referencia a que los informes de activos consolidados de las distintas áreas no muestran los mismos activos que el informe del área de seguridad. En esto falla el DHS.
Figura 3: Mal inventariado de activos en los reportes
Esto también se produce porque no hay un sistemas centralizado de inventario o porque muchas áreas en las empresas empiezan a meter lo que se ha dado en llamar Shadow IT, o lo que es lo mismo, del Bring Your Own Device referido al terminal smartphone, muchos departamentos de las empresas empiezan a hacer cosas como Bring Your Own Cloud, Bring Your Own NAS, Bring Your Own WiFi Hotspot, etcétera, debido a que como muchos empleados tienen conocimientos avanzados de tecnología, comienzan a hacerse "sus cosas" cuando las necesitan, generando un problema de seguridad en la organización sin darse cuenta. Esto, por supuesto, da lugar a las famosas Hidden Networks dentro de las empresas.
Defence in Depth - Do the Basics
Si una empresa no está preparada para asumir su siguiente paso en el nivel de madurez de seguridad, entonces va a estar perdida. Siempre contamos que las empresas más inmaduras en seguridad tienden solo a invertir en Prevenir los incidentes de seguridad, por lo que basan muchas de sus inversiones en software de protección perimetral, con la esperanza de poder frenar todos los atacantes fuera de sus sistemas. Es como los padres que quieren proteger a sus hijos de todos los males sin asumir que no van a ser capaces de hacerlo siempre.
Figura 4: Sistemas operativos sin soporte
Las empresas que están en un segundo nivel de madurez, asumen que los enemigos están en su red e invierten más en Detectar. Pueden ser atacantes que hayan logrado entrar por una red WiFi en una sucursal, por una impresora mal configurada en Internet, o por un simple Spear Phishing a la persona concreta, o directamente un empleado malicioso pero hay que asumir que el enemigo está dentro. Si no has preparado tus sistemas dentro del perímetro para ser "resilliance", entonces será un paseo militar por tu red.
Figura 5: Software sin actualizar en los puestos de trabajo. Un regalo para un Metasploit
Mi recomendación es que no dejes de aplicar la política de Defensa en Profundidad en tu organización, y comienza por lo más básico. No dejes sistemas sin actualizar constantemente. No utilices sistemas operativos sin soporte y actualiza absolutamente todo el software que corra sobre los sistemas operativos. Si esto pasa, un atacante dentro de un equipo con un Metasploit va a destrozar tu sistema, tu red, y tu empresa como un cuchillo cortando mantequilla caliente. En esto, también falla el DHS, como muchas empresas.
Procesos & Incident Response Plan
La gestión es importante en la seguridad. De hecho, supongo que estaréis todos hartos de escuchar que la seguridad no es un producto sino un proceso continuo de gestión que mezcla, Tecnología, Personas y Procesos. Si no tienes los procesos de seguridad bien incrustados en tu compañía, va a ser completamente inmanejable gestionar la seguridad y dentro de esos procesos deben estar los relativos al último nivel de madurez de una compañía: Asumir que el riesgo va a convertirse en realidad y tener un proceso para responder a ese incidente.
Figura 6: Malos procesos de gestión de incidentes de seguridad
¿Qué pasa si me roban los datos del servidor central?¿Qué pasa si un atacante encuentra un 0day en mi sistema expuesto a Internet? ¿Cómo voy a responder ante ese problema? Todos los Planes de Contingencia deben tener su Incident Response Plan, para poder gestionar y resolver correctamente el fallo. Las empresas maduras asumen que eso puede pasar y tienen un plan. Nosotros contamos el caso del bug de Jeep que Charlie Miller y Chris Valasek encontraron. La compañía no tenía previsto que apareciera un bug en el software y no contaba con un sistema de actualización, y le ha costado mucho dinero en tener que actualizar el software coche a coche.
Identity & Access Control
Otro de los puntos en el que el informe de DHS ha hecho hincapié ha sido en la mala gestión de la Identidad y el Control de Acceso. Desde contraseñas inseguras, hasta la falta de uso de Segundos Factores de Autenticación en los sistemas de información internos de la organización, pasando por una falta de control de cuentas privilegiadas.
Figura 7: Control de cuentas privilegiadas
Entre las cosas que cita hay una reflexión más que interesante que debería hacerte replantear los procesos legales de tu organización, y es que las cuentas que están autenticadas con usuarios y contraseñas las cataloga de "accesos anónimos", ya que el usuario y la contraseña puede ser robado de tantas y tantas formas que garantizar que la acción que hace una cuenta en un sistema ha sido realizada por la persona a la que se le entregó inicialmente es complicado.
Figura 8: Falta de Segundos Factores de Autenticación
Continuos Monitoring & Persistent Pentesting: Long Hanging Fruit
Controlar la seguridad de una organización con auditorías cíclicas cada 6 meses o cada año, es algo que deja una ventana de exposición muy amplia. Estas auditorías son una buena verificación de que se están haciendo bien las cosas, si ya has implantado un sistema de Continuous Monitoring que verifique día a día las vulnerabilidades de todos tus sistemas, o un sistema de Pentesting Persistente como nuestro Faast que va a estar buscando vulnerabilidades día a día con una análisis exhaustivo de todos los activos expuestos a Internet.
Figura 9: Long hanging fruit - Sin actualizar, passwords inseguras y SQL Injection
Que una organización como el DHS tenga Long Hanging Fruit en forma de SQL Injection en las webs de sus sistemas de información dice muy poco de sus sistemas de Continuous Monitoring y de Pentesting Persistente. Si quieres que te hagamos un piloto gratuito para tu organización de nuestro sistema de Pentesting Persistente Faast, ponte en contacto con nosotros y vemos cómo hacértelo.
Figura 10: Aplicación de Continuous Monitoring & Persistent Pentesting
Dicho esto, si eres un CSO o un CISO de una organización espero que este informe te sirva para hacer ver a los jefes lo complejo que es gestionar la seguridad de una empresa. Y si te sirve de algo mi opinión, en los presupuestos del año que viene huye de tecnología super-fashion que acaba de ganarse un espacio en un nuevo cuadrante mágico de algún analista y céntrate en afianzar las cosas fundamentales que yo creo que están bien recogidas en este artículo.