29 octubre 2010

Bloggers y seguridad

En muchas ocasiones, cuando te mueves mucho en un determinado 'mundillo', tratas a gente con inquietudes similares, lees blogs sobre esa temática, se crea un estado de conciencia en el cual se asumen como naturales y 'conocidos por todo el mundo' conceptos que probablemente no estén tan ampliamente difundidos. Al hilo de esto se nos ha ocurrido la idea de entrevistar a unos cuantos bloggers bastante conocidos, autores de blogs relacionados con la tecnología (en un plano mas general) para 'medir' cuanto de lo que para nosotros es 'el día a día' realmente tiene calado fuera de este ambiente.

Agradecemos infinitamente el tiempo que nos han dedicado:


1- Cada vez parece que la seguridad informática va tomando mas minutos de los medios tradicionales (televisión, prensa, etc) y mas a raíz del famoso 'Caso Aurora' de Google. ¿En vuestras fuentes diarias de información seguís algún sitio relacionado con seguridad o solo os llegan noticias en medios mas generalistas? (tipo Barrapunto, Digg ...)

Antonio Ortiz:  En mi caso sigo algunos blogs, leo SBD claro, pero también ojeo a Sergio Hernando y a Chema Alonso alguna vez y también a  Schneier. El caso es que la mayoría de las veces quien sabe de seguridad aborda el tema desde el punto de vista técnico y eso, como se suele decir, "me pilla lejos" después de varios sin ejercer de "informático".

El blog de Inteco podría ser una alternativa a este escenario pero creo que le falta el empuje que sí le dan otras instituciones como la CMT

Enrique Dans: Lo más especializado que sigo en ese sentido es a Bruce Schneider, que me parece una especie de profeta de dios en la tierra para muchas cosas. De todo lo demás relacionado con la seguridad me suelo enterar a través de páginas de esas que tú consideras generalistas (la palabra "generalista" está cambiando mucho su significado últimamente, va a ser que somos muy friquis :-) tales como Slashdot, Boing Boing, Digg o The Register.

Fernando Tellado: Sigo muchas fuentes y, aunque no soy técnico, estoy obligado a informarme acerca de seguridad informática. De hecho, este mismo mes de agosto tuvimos un ataque en Medios y Redes con un script a nuestro OpenX y nos vimos obligados a revisar aspectos del adserver del que no teníamos demasiada información, afortunadamente el equipo técnico lo detectó en seguida y en tiempo record estuvo solucionado, así que puedes ver que tenemos que estar siempre al día.

Como te decía, en mi caso leo a diario OpenSecurity, Security by Default y estoy suscrito a Hispasec hace años. Además, también informan sobre seguridad informática en medios tecnológicos más generalistas que suelo leer, como TechCrunch o Boing Boing.

2- Vosotros que sois gente amante del 'siempre conectado' que viajáis mucho y por ende os habréis conectado en Wifis compartidas, servicios de Internet de hoteles y probablemente en otros mil sitios potencialmente hostiles ... ¿ Tenéis conciencia de que realmente cada vez que actualizáis Twitter, Facebook, usáis Skype, el sujeto que está a pocos metros de vosotros podría tener acceso a vuestras credenciales ? ¿Tenéis la constancia de que existen herramientas bastante fáciles de usar para hacer realmente verdaderos desastres ? En definitiva: ¿Cual es vuestro grado de paranoia al respecto y que precauciones tomáis?

Antonio Ortiz: Mi grado de paranoia es moderado. Llevo 3g cuando el evento es en España y siempre prefiero utilizarlo frente a la Wifi. Cuando no es posible tirar de 3g me decanto por intentar ser razonablemente prudente: correo con conexión segura y servicios con muy poco riesgo de pérdida de datos (ej, comentario en páginas y similares). En general creo que la conciencia de peligro en estas situaciones del usuario medio es nula.

Enrique Dans: Ninguno. Soy lo menos paranoico del mundo. No me considero un objetivo interesante: no manejo información especialmente sensible, no hago transacciones demasiado importantes, procuro ser totalmente transparente en prácticamente todo lo que hago, y cuando he tenido algún problema de seguridad, el banco se ha encargado de todo con total eficiencia y sin ningún trastorno. No apunto mis contraseñas en un post-it ni las transmito en claro, pero si alguien quiere entrar en mi ordenador o en alguna de mis cuentas, supongo que - como bien sabéis - podría hacerlo sin demasiados esfuerzos, no soy ningún "reto" en ese sentido. ¿Precauciones? Dejando aparte el procurar generar contraseñas razonablemente robustas y el no usar la misma para todo, poquito más.

Fernando Tellado: Miedo me acabas de dar JAJA. En serio, tengo que reconocer que no soy muy paranoico con la seguridad personal cuando utilizo servicios sociales como los que citas, pero no por irresponsabilidad sino porque uso las redes sociales de manera personal, sin compartir nunca información sensible. Si soy bastante más precavido con respecto al uso del e-mail, donde si tengo comunicaciones sensibles. A este respecto nunca abro el correo en redes abiertas, no utilizo Webmails para correos de trabajo y cambio bastante a menudo las contraseñas, procurando que no sean fácilmente detectables. El único servicio que has citado que utilizo de manera laboral, Skype, nunca lo utilizo en redes abiertas tampoco.

Seguramente sean pocas precauciones, y espero que después de la entrevista me des algunos consejos a este respecto, y a todos los lectores claro.
 
3- Todos en mayor o menor medida hemos sufrido la acción de un virus / troyano / robo de contraseña. ¿Cual ha sido vuestra experiencia mas traumática?

Antonio Ortiz: En los tiempos de Windows 98, si no recuerdo mal, aquél tan simpático que te reiniciaba cada minuto. Blaster se llamaba el amigo. Pero vamos, nada que un par de búsquedas en la web no arreglaran.

Enrique Dans: Mi experiencia más traumática vino precisamente de un intento de protegerme ante problemas: me había instalado un software que permitía la recuperación del sistema en caso de problemas. No recuerdo fabricante ni nombre, de esto hace como dieciséis o diecisiete años, pero calculo que sería como un precursor de lo que hoy en día es Time Machine, un backup y un log. Varios meses después, por error, activé el programa y "mágicamente" (o mejor, "estúpidamente") trasladé mi sistema a varios meses antes, con la consiguiente pérdida del trabajo que había hecho durante aquellos meses. Recuerdo con auténticos sudores fríos aquella noche recuperando presentaciones que tenía en otros ordenadores, textos y sobre todo, las hojas de cálculo con los escenarios de una valoración financiera que llevaba mes y pico haciendo con un profesor de finanzas al que le tenía un particular respeto como si fuera una auténtica pesadilla.

Fernando Tellado: Personalmente tengo que reconocer que he tenido mucha suerte (supongo que debe ser suerte) pues nunca he sufrido ninguna experiencia de este tipo. Desde hace ya casi 20 años que no utilizo sistemas de escritorio basados en Windows, sustituyéndolos, primero por Linux y desde hace 8 años por Mac OSX, algo que creo que ha ayudado a evitar bastantes problemas.

En cuanto a los blogs y webs propias procuro alojarlos siempre en hostings que me den garantías en este sentido, aunque cuesten un poco más, y en las de la empresa es una obligación, para con nosotros y para con nuestros clientes. También, al igual que con el e-mail, procuro cambiar bastante a menudo de contraseña y, en concreto en WordPress - software de publicación que uso habitualmente - trato de tener siempre actualizado el sistema e informado de cualquier posible vulnerabilidad. No obstante, y como ya te he comentado en la primera pregunta, a veces no puedes evitar ataques, y lo que toca es apoyarte en un buen equipo técnico que, afortunadamente tenemos.

4- La última pregunta, tipo examen. Sin hacer uso de google / wikipedia, como de familiares os resultan los siguientes términos: 'XSS' 'WAF' 'Format String' 'Ring0'

Antonio Ortiz: ¿De verdad me vais a obligar a recuperar los apuntes de Redes y de seguridad de la información? Tengo que confesar que sólo controlo XSS y que el resto me temo que tendría que pedir ayuda. El camino hacia el tecnicoless es lo que tiene


Enrique Dans: Hombre, familiaridad sí, no es lo mismo que si me hablas en swahili. Sé lo que son, aunque con un nivel mínimo de profundidad. Usaría un XSS o un Format string para atacarte, un WAF para defenderme, y no te tocaría el ring 0 a no ser que tuviésemos ya mucha confianza :-) Decididamente, no aprobaría sin estudiar un examen mínimamente serio que me preguntase sobre sus definiciones. 

Fernando Tellado: Pues si te soy sincero solo conozco el primero, el Cross Site Scripting, pues he publicado algunos artículos en Ayuda WordPress sobre este tipo de ataques en WordPress y como tratar de evitarlos, del resto ni idea. Lo del WAF me suena a un rollo muy "geek", una acepción que se refería a la aceptación de las esposas a que el marido estuviera siempre comprando los últimos cacharritos (por Wife affectance facto) pero seguro que no es eso :D 

---

Muchísimas gracias por vuestro tiempo !

2 comments :

Anónimo dijo...

El Sr. Enrique Dans responde a la segunda pregunta con una gran falta de conciencia. Se olvida que vive de su imagen (de su identidad en Internet) y de las consecuencias que tendría una suplantación de identidad o un robo de credenciales que permitan publicar en su blog, por decir algo. Además expresar opiniones personales siempre genera enemigos aunque no se quiera. Yo creo que sí que es un potencial "reto" para algunos de sus lectores.

Anónimo dijo...

Simplemnte lo que parece es que desconoectan tecnología de seguridad, cosa muy común tanto en ambientes empresariales como 'personales' (si bien en estos últimos puede estar justificado, ya que todos tenemos coche pero no somos mecanicos). Me llama mucho la atención que realmente le dan al aspecto de seguridad (conceptual es una cosa y de bajo fondo técnioo otra) una trascendencia nula, por lo que hablar de tecnología no debe ser solo del que hace sino de como lo hace...

En fin, buen post. Sobre los participantes, dos sí pero el señor Enrique...