tag:blogger.com,1999:blog-5399811056563385935.post504395238714776557..comments2023-09-21T14:48:16.670+02:00Comments on Security By Default: Algo falla en seguridadYago Jesushttp://www.blogger.com/profile/16830228750771246202noreply@blogger.comBlogger16125tag:blogger.com,1999:blog-5399811056563385935.post-71452265983657722922012-09-22T20:00:15.283+02:002012-09-22T20:00:15.283+02:00Es trabajo basura. En vez de dedicarnos a cosas má...Es trabajo basura. En vez de dedicarnos a cosas más importantes como puede ser Inteligencia de Seguridad, perdemos el tiempo en chorradas por las que muchos deberían recibir condenadas por responsabilidad.<br /><br /><br />Vamos, que no quiero que mi carrera profesional gire alrededor de discusiones (siempre iguales) de "por qué no has parcheado este problema que expone a mi organización".<br /><br /><br />Más seriedad, por favor.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10281666309363183802012-09-22T19:58:37.384+02:002012-09-22T19:58:37.384+02:00Una excelente idea, necesaria absolutamente. Sanci...Una excelente idea, necesaria absolutamente. Sanciones.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-72561950730870803622012-09-22T19:57:45.045+02:002012-09-22T19:57:45.045+02:00Creo que aquí está el quid de la cuestión. La segu...Creo que aquí está el quid de la cuestión. La seguridad, por mucho que haya evolucionado, se asume como un elemento molesto.<br /><br /><br />Y como elemento molesto se trata de que moleste lo menos posible.<br /><br /><br />Así nacen las excusas de "estar alineado con el negocio" (causarle pocos problemas a los que solamente entienden de excel para que ellos no te causen muchos problemas a ti) o "la gestión de riesgos".<br /><br /><br />Yo cuando veo a los "expertos" en gestión de riesgos que circulan por el mundo no dejo de alucinar. Esta gente, sin entender cómo funcionan los controles de seguridad, se permite el lujo de determinar que la organización está en un nivel de control del 85%. Toma ya. <br /><br /><br />Pero es que, sinceramente, tampoco les dejan muchos opciones puesto que presentar sistemáticamente informes con todo rojo y "Crítico" escrito en cada casilla es, como poco, garantía de que te pongan en la calle.<br /><br /><br />¿Cómo hacer que la seguridad mejore? MÁS REGULACIÓN y unas sanciones salvajes.<br /><br /><br />Que es lo que se hizo con las normativas de incendios o las de seguridad laboral... de otra manera, los genios de la "excel" seguirán "alineados con el negocio" y el ecosistema cada vez más inseguro.Román Ramíreznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-33042636987939724552012-09-21T10:21:40.368+02:002012-09-21T10:21:40.368+02:00es fácil, el malware genera ingresos, la defensa g...es fácil, el malware genera ingresos, la defensa gastos.... así no se llega a ningún sitio, hasta que pase algo realmente gordo, algún sistema de electricidad, gas etc.... o algo en el que realmente se pierda dinero de verdad, no se darán cuenta que la defensa no es sólo gasto también es algo que te puede hacer NO perder dinero.debajanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-17635442544461893212012-09-20T15:32:12.615+02:002012-09-20T15:32:12.615+02:00Buenos días Alex.
Creo que muchos aun no hemos in...Buenos días Alex.<br /><br />Creo que muchos aun no hemos interiorizado el rol que juega la seguridad en la eterna lucha tanque/misil.<br /><br />Creerse misil cuando sólo se es tanque lleva, la mayoría de los días, a sentir un alto grado de frustración.<br /><br />La historia nos demuestra que sólo hay una cosa más bonita que proteger algo... sitiarlo y conquistarlo. Pero mientras cae la plaza se sigue aprendiendo para proteger la siguiente. Es cansado, sí, pero alguien tiene que hacerlo. Lo importante de todo esto es no cambiar de sombrero. No dejarse llevar por el miedo y la ira ya que, como seguramente sabrás, El Miedo lleva a la Ira, la Ira lleva al... ;)<br /><br />Para estos días de bajón lo mejor es acordarse de cuando uno no llegaba a los 20 años de edad. Visualizar esa energía y ser capaz de cargarse un poco de ella.<br /><br />Y sí, la seguridad parece el primo tonto de la familia, apartada de la mesa y comiendo las sobras del día anterior. Pero que se le va a hacer, es un "derivado" del modelo de negocio.SiDnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-24047120722968777122012-09-20T15:12:23.316+02:002012-09-20T15:12:23.316+02:00Quizas habria que cambiar el enfoque, un planteami...Quizas habria que cambiar el enfoque, un planteamiento nuevo porque en la constante carrera exploit/parche llevamos las de perder un enfoque como el que sugeria Sergio de los Santos en su libro y desarrollar herramientas en esa linea seria mas practico.<br />Muy buen post Alejandro XDAngel Alvarez Nuñeznoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-43247644119626628012012-09-20T13:21:51.694+02:002012-09-20T13:21:51.694+02:00Sí, se ven casos muy ridículos (El caso de F5 por ...Sí, se ven casos muy ridículos (El caso de F5 por ejemplo). <br /><br /><br />Pero siendo realistas, también se ven casos muy muy trabados. Casos en los que algunas personas del lado "oscuro" trabajan muy duro para sacarle los colores a la compañía objetivo. Es imposible que una empresa pueda invertir Un Gritón de Dólares en Seguridad de la aplicación o el servicio, ya que, o no saldría en la vida a producción (y no podrían ganar pasta con esto). Al fin y al cabo, el mercado y el cliente es el que manda y si haces algo el segundo ya no vale una mierda tu producto. <br /><br /><br />Una empresa seria llegará a un compromiso entre seguridad y el "Time to Market" (como les gusta a los comerciales los nombrecitos en inglés...) o simplemente, no será rentable.<br /><br /><br />Bajo mi punto de vista, si que es motivo de mofa si una empresa cae en ridiculeces como las de F5 o las cagada de MySQL CVE-2012-2122. Pero es comprensible que los productos salgan al mercado para ganar dinero y, al igual que una cámara de seguridad se puede romper de una pedrada, las web de paypal y demás seguirán siendo víctimas de trucos no muy técnicos como phishing.<br /><br /><br />En resumen, sieeeempre hay alguna forma de romper lo que otros construyen. Y si se quiere vivir seguro al 110% no tenemos que ir al campo a vivir en pelotas con nuestras ovejas.<br /><br /><br />PD: Buen post. Nunca había escrito tanto en un comentario...Felipe Jarenaunoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-39197121870419471802012-09-20T10:12:03.763+02:002012-09-20T10:12:03.763+02:00Es muy simple: cambiar las leyes y que los fabrica...Es muy simple: cambiar las leyes y que los fabricantes de código asuman las consecuencias de su mal funcionamiento. Como en los automóviles.Josebanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-10806903367186116812012-09-20T10:11:29.923+02:002012-09-20T10:11:29.923+02:00Lo has contado con la dosis de realidad correcta! ...Lo has contado con la dosis de realidad correcta! El problema empieza en las empresas, tanto las empresas clientes como las que venden soluciones de seguridad o servicios de auditoría (está mal generalizar, pero es así...), todos los días vemos casos muy ridículos. casos que hacen que nos sulfuremos pero aún así no se consigue nada, es una sensación de impotencia, trabajadores que ofrecen soluciones a medida a la empresa en la que trabajan, soluciones realizadas fuera de su cometido o fuera de horas laborales, a coste cero y soluciones muchísimo mejor que la que comprarán a algún fabricante, a esa persona altruista que suele disfrutatar haciendo estas cosas, se le conoce como "el friki", de nada sirve lo que haga, nadie en la empresa se dará cuenta de que su solución no solo es a coste cero sino que es mejor que la que van a comprar. Casos de empleados que sea su función o no, intentan día a día mejorar la seguridad, reportando vulnerabilidades o intentando implicar a otros departamentos para subsanar errores, esos empleados que reportan a sus superiores vulnerabilidades por las que están muy preocupados, porque ellos si conocen el riesgo real y todo lo que podría pasar, con nuevamente considerados como "frikis" y o bien las vulnerabilidades que esa persona afirma que existen no se le da credibilidad o nadie comprueba que realmente sea así o lo que todavía es más alucinante, "se asumen los riesgos", la típica frase de un jefe con nulos conocimientos de seguridad aunque dice trabajar en seguridad desde hace 30 años, frase que muchos de ellos no pronunciarían si en lugar de ir a charlas de F5, Cisco, etc, asistiesen a congresos como la RootedCon (ya no digo congresos internacionales como la Defcon, BlackHat, CCC, etc), pues eso que Alejandro está enfadado y yo creo que multiplico su enfado x4 :D<br /><br />Un saludo "frikis".Simplicius (Not real Nick)noreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-56355801396605774222012-09-20T10:02:04.713+02:002012-09-20T10:02:04.713+02:00que pensais sobre la reocmendacion alemana??
http:...que pensais sobre la reocmendacion alemana??<br />http://www.europapress.es/portaltic/software/seguridad-00646/noticia-gobierno-aleman-aconseja-ciudadanos-evitar-uso-internet-explorer-20120919144333.htmlsddsgsdnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-42456230616026777112012-09-20T10:01:28.736+02:002012-09-20T10:01:28.736+02:00jajaj cuando no interesa poneis captcha y moderaci...jajaj cuando no interesa poneis captcha y moderacion a segun que IP eh??? que profesionales sois!!!!sddsgsdnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-54461089310732900412012-09-20T10:00:09.485+02:002012-09-20T10:00:09.485+02:00Hola!!!! porque no hablais del mega fallo de IE???...Hola!!!! porque no hablais del mega fallo de IE??? Que opinais de la recomendacion alemana???? Es como vuestra recomendacion sobre el fallo de Java!!<br /><br />http://www.europapress.es/portaltic/software/seguridad-00646/noticia-gobierno-aleman-aconseja-ciudadanos-evitar-uso-internet-explorer-20120919144333.htmlsddsgsdnoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-88725241004950066682012-09-20T09:44:28.734+02:002012-09-20T09:44:28.734+02:00¿Puedo resumir tu artículo en una frase? "Apl...¿Puedo resumir tu artículo en una frase? "Aplicaciones ofertadas >> aplicaciones con mantenimiento decente de seguridad". <br />Ya que estamos en ello, ¿qué sería un "mantenimiento decente de seguridad"? Pues en mi opinión sería aquélla mítica frase de "10 fucking days" (10 jodidos días) para remediar cada vulnerabilidad descubierta. Despidieron al que la dijo, pero tenía toda la razón; a lo mejor el motivo del despido fue la palabrota.<br />Por eso vamos a seguir necesitando SecurityByDefault y demás sitos de seguridad, para estar informados de la clase de mantenimiento de seguridad que tienen las aplicaciones. Este mantenimiento es la línea que separa los productos de primera línea del resto.Ignacio Agulló Sousanoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-61943456293773905342012-09-20T09:05:48.541+02:002012-09-20T09:05:48.541+02:00Al contrario, deberíamos alegrarnos de que la cosa...Al contrario, deberíamos alegrarnos de que la cosa este así, sobre todo para los que nos dedicamos al mundo de seguridad. Menos lirirli y más lerele. Ya está bien de realizar implementaciones por las pinzas o de gastar el doble en marketing de productos que en el desarrollo del propio producto.<br />Si las empresas necesitan gastarse más en seguridad (desde el fabricante hasta el cliente) que se lo gasten. Hasta que la seguridad no tome la importancia que se merece y se siga viendo como algo "secundario" para la mayoría de las empresas, seguiremos viendo este tipo de incididentes.Oscar Calvonoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-57204500675863579772012-09-20T08:46:39.889+02:002012-09-20T08:46:39.889+02:00Totalmente de acuerdo contigo, el ciclo de la
Vuln...Totalmente de acuerdo contigo, el ciclo de la<br />Vulnerabilidad se ha vuelto un lucrativo negocio donde ya no es claro si las compañias de seguridad realmente quieren resolver los problemas de fondo, o simplemente prefieren mitigar los sintomas! Parecido a lo que hacen las farmaceuticas con la salud de las personas.Luis Alejandronoreply@blogger.comtag:blogger.com,1999:blog-5399811056563385935.post-27966238813959679582012-09-20T08:37:16.969+02:002012-09-20T08:37:16.969+02:00Yo estoy pensando en hacer una mini-auditoría de u...Yo estoy pensando en hacer una mini-auditoría de unas aplicaciones internas que han hecho mi compis (si me dejan, claro!, esa es otra) y me da palo, por que no quier saber los fallos que me puedo encontrar, solo con deciros, que la pagina de acceso donde metes el usuario y contraseña, también tienes el botón para cambiarla.....os digo todo (el día que vi ese botón, me sangraron los ojos) y se supone que estoy en un sitio grande donde se deberían preocupar de estas cosas....pero a la gente, solo le importa mas la seguridad de imagen, que la real.<br />Y nada, algún día nos llevaremos un susto!Madrikekahttp://monimandarina.blogspot.comnoreply@blogger.com