Aprovechando que hoy 30 de Noviembre es el Día de la Seguridad Informática os voy a dejar aquí la conferencia que preparé para el ya pasado CyberCamp 2015 titulada "Low-Hanging Fruit". La charla la preparé pensando en todos aquellos que dan recetas mágicas para solucionar los problemas de seguridad de una empresa centrándose en un producto o una solución mágica, cuando la realidad de ser el encargado de llevar la seguridad en una organización es mucho más compleja.
También la hice teniendo en mente todos los que llevan la gestión de la seguridad de una compañía a base de comprar o poner en su plan del año la tecnología o el proyecto de moda del año, sin haber hecho los deberes básicos todavía.
Do the Basics
Está muy bien que una empresa ponga sistemas Anti-APT que miren los Callbacks o que tengan una Big Data de IoCs (Indicators of Compromise) que cruce todo el tráfico de la red con sistemas en cloud de correlación de eventos, pero antes de eso hay que tener el software actualizado, eliminados todos los bugs sencillos de explotar en tus webs o haber resuelto el problema de la gestión de contraseñas e identidades en tu empresa, que es un problema de hace muchos años.
Figura 2: CyberCamp 2015: Low Hanging Fruit de Chema Alonso
Para eso, la charla comienza hablando de los bugs en software que hemos vivido en los últimos tiempos, como HeartBleed o ShellShock y del equipo de Google Project Zero para buscar "Low-Hanging Fruit" en los proyectos más utilizados en Internet. Dentro de la empresa, me paro a ver como una organización como Department of Homeland Security, de la que se supone que debe ser una de las más fortificadas, tiene exactamente los mismos problemas con Low-Hanging Fruit que el resto de las empresas. Contraseñas por defecto, bugs de SQL Injection, sistemas sin actualizar e incluso problemas de inventariado.
Años después de la creación del programa CLEAR para la eliminación de fugas de datos en documentos público, el propio army.mil sigue publicando documentos con metadados que muestran los usuarios de sus sistemas, algo que debería estar erradicado. Eso, sin contar que las empresas líderes que comercializan sistemas DLP (Data Loss Prevention) también tenían fugas de datos en sus documentos públicos. El vídeo de la conferencia completa lo tenéis aquí mismo.
Figura 4: Conferencia de CyberCamp 2015 "Low-Hanging Fruit" de Chema Alonso
Al final, lo que se trata es de resolver el dilema entre ser Elsa o Anna de Frozen (yeah!). Es decir, Sentirse Seguro como Elsa y con mucho presupuesto comprarse un bonito castillo o Estar Seguro y luchar contra los problemas afrontando todas las adversidades. Gestionar la seguridad es complejo, y para explicarlo utilizo una frase que uso Linus Torvalds hace muchos años en una entrevista: "El tiempo de soluciones sencillas a problemas sencillos hace mucho que pasó".
Do the Basics (understood?)
Así que, si tienes que gestionar la seguridad de una empresa, que no te metan un Spear Phishing porque no hayas configurado bien el SPF y no hayas puesto un sistema de Antispam robusto. Si te roban los datos de tu base de datos de clientes que no sea porque no has puesto un control de acceso con segundos factores de autenticación en tu plataforma. Si te roban los archivos de tu equipo que no sea porque no tienes el software de tus puestos de trabajo actualizados. Si te ownean la compañía que no sea porque tenías un SQL Injection en la web de una de tus promociones en Internet. No te comas un OWASP TOP 10 que debería sacarte cualquier sistema de Pentesting Persistente.
Do the Basics, y luego piensa en los siguientes pasos que deberás ir aplicando en la gestión de tu compañía, mira cosas avanzadas como buscar los Hidden Links de tu red o hacer investigación del malware en tu red, pero no dejes Low-Hanging Fruit que pueda ser aprovechada por super cibercriminales en un APT o un Script Kiddie con ganas de pasárselo bien con tu empresa. Do the Basics.
Saludos Malignos!
Buenas maligno.
ResponderEliminarDoy fe de la dejadez de mi empresa en estos entornos a empresas informáticas externas y cuando hablo con ellos veo su ineficacia ya que gestionan nuestro servidor interno ye hicieron una cagada epica y se perdio casi toda la informacion delicada en los backups de seguridad y su respuesta es simple y llana fue un virus intruducido externamente y se lavan las manos.
Les informas de usar una nube de seguridad me tratan de tonto o de aislar el servidor de seguridad de la red .
La gente conecta sus pendrives odan acceso a la wifi a cualquier empresa externa.
Las claves de accesso al servidor son de risa...
Un saludo crack.
Cada anglicismo de más es un pasito hacia la conversión a un trasunto de E-Dance.
ResponderEliminarBuenas Maligno.
ResponderEliminarYo estube alli y fue una ponencia estupenda. Creo que el peor de todos los Low Hanging Fruit es el ser Humano.
El ser Humano es atacado por ingenieria social y todo depende de como sea de inteligente para que una empresa este segura. De nada vale toda la seguridad del mundo en corafuegoa o balizas de seguridad o redes distintas o.... si luego llaman por telefono a un trabajador y les dicen que se esta haciendo un plan auditor y que pongan un remoto y va y lo hace sin consultar. O va y abre un correo particular mediante webmail en su ordenador y ejecuta un enlace viral. Todo debe empezar por una correcta educacion a los trabajadores que manejen cualquier elemento de la red que pueda ser vulnerable.
Un saludo.
Este comentario ha sido eliminado por el autor.
ResponderEliminarDO THE BASICS: Ejemplo gráfico -> https://twitter.com/thexxlman/status/668818980182876160
ResponderEliminarHola Maligno!
ResponderEliminarPodrías ayudarme, mencionándome que controles de seguridad puedo aplicar a la Base de Datos en mi empresa. Actualmente hago uso de SQL Server 2008 y 2012
Un saludo desde Honduras!