"No sé hacia dónde voy pero quiero ser yo quien llegue"

[ Jorge Lanata (Libro Hora 25)- Periodista argentino - 1960- ]

Boletín 130 - Estudios sobre estados globales de la Seguridad de la Información- 14/02/2009

Feliz Día de los Enamorados y esperamos que el mismo no haya sido el motivo de una infección con el gusano Waledac, que ha infectado millones de usuarios a través de postales falsas de San Valentín. Algunos de las "postales" utilizadas pueden ser visualizadas en nuestro Blog.

1. Estudios sobre estados globales de la Seguridad de la Información
2. Información actualizada sobre Conficker (alias Downadup)
3. Apoya a Segu-Kids, Juntos en la Red
4. Desafío de la semana

1. Estudios sobre estados globales de la Seguridad de la Información

Tres de las principales consultoras internaciones especializadas en realizar estudios sobre distintos aspectos de la información han publicado sus informes y conclusiones sobre el estado global de la Seguridad de la Información a finales de 2008 y principios de 2009.

Los informes publicados en inglés estudian diversos aspectos y extraen diversas conclusiones que se pueden resumir en la siguiente frase: "los responsables de seguridad estamos durmiendo"...

Por un lado PricewaterhouseCoopers entrevisto alrededor de 7000 ejecutivos extrayendo los siguientes datos:

• Los niveles de seguridad implementados siguen siendo reactivos, necesitando justamente que los procesos implementados deban ser proactivos y que permitan la prevención de problemas, vulnerabilidades y desastres.
• No se dedican esfuerzos y fondos necesarios para implementar medidas de seguridad, siendo marketing y recursos humanos las áreas a las que se destina mayor cantidad de recursos.
• Se sigue invirtiendo en mayor cantidad de recursos tecnológicos como cifrado, backup, sistemas de detección de intrusos, firewall, etc., sin considerar como parte del proceso al personal, la estrategia y la gestión, siendo estos los principales problemas que se enfrentaron con casos millonarios de fuga de información en empresas del top 50.
• Los medios utilizados para los delincuentes siguen siendo los triviales, muy conocidos pero altamente efectivos en personal sin concientización (ingeniería social, phishing, malware, robo de laptops, etc.).
• Los entrevistados sostienen que crecieron los procesos de concientización (planes de Awarness) dentro de las organizaciones.
• Los regulaciones y políticas internaciones -como Health Insurance Portability and Accountability Act (HIPPA), Sarbanes-Oxley (SOX) o Payment Card Industry (PCI)- empujan a las empresas hacia la gestión de la seguridad de la información.
• Uno de los puntos más preocupantes es aquel que menciona que pocas organizaciones tienen una conciencia sobre las empresas externas que utilizan sus datos y muchas de ellas ni siquiera conoce o le exige cumplir las políticas de privacidad o due diligence a esas otras empresas. El principal motivo que se exhibe en este caso es el costo asociado a verificar esta información.
• Sólo 2 de 10 empresas consideran la clasificación de la información como parte del proceso en la implementación de políticas de seguridad.
• Se comienza a ver un lento proceso por el cual el presupuesto de seguridad es administrado por áreas funcionales en decremento de áreas de tecnología como sucedía hace tiempo.
• Sigue siendo difícil determinar la forma en que se produjo una brecha de seguridad. En este aspecto, la ignorancia es el principal factor a mitigar.

Ernst & Young entrevistó alrededor de 1400 profesionales de seguridad, extrayendo la siguiente información:

• Se ha vuelto fundamental proteger la reputación y la marca de la empresa, ya que las mismas son difíciles de construir y muy fácil de dañar con un sólo hecho desafortunado.
• Los estándares internacionales y las buenas prácticas, como ISO 27001:2005, siguen ganado gran aceptación en el mercado.
• Existe un gran brecha entre la necesidad de la privacidad y las medidas que se toman para mitigar los riesgos asociados.
• Las organizaciones no están dispuestas a realizar los procesos de gestión de seguridad de la información a través del outsourcing, manteniendo estas actividades en areas internas de la empresa, relacionando esta decisión al compromiso de proteger la reputación.
• Pocas compañías aceptan asegurar sus recursos contra ciberataques y este tipo de seguro no ha logrado expandirse a pesar de que hace tiempo de que es ofrecido por las empresas de seguros. Esta podría ser una forma de cubrir muchos de los riegos desconocidos mencionados anteriormente.

Finalmente, Deloitte (en español), durante este mes, publicó su informe que refleja el estado en seguridad de las 250 principales compañías financieras de 32 países de todo el mundo:

• Muchas organizaciones buscan comprometerse con las buenas prácticas internacionales en seguridad, siendo la pérdida de información un punto que comienza a tenerse en cuenta.
• Se nota un incremento importante en la adopción de la figura de CISO (Chief Information Security Officer) como una figura relacionada a la gestión de la seguridad.
• Se comienza a notar una mayor preocupación de las organizaciones para prevenir o bloquear amenazas internas.
• Nuevamente se destaca la importancia de las regulaciones, los procesos definidos y documentados.
• La administración de identidad sigue siendo un factor preocupante debido a la alta cantidad de usuarios móviles.
• Los CISO tienen a cargo áreas diferentes de IT y siguen sin incluirse tareas como administración de identidad, perímetros de seguridad, móviles, gestión de políticas, etc.
• La mayoría opina que la seguridad física no converge con la seguridad lógica.
• El mayor impedimento para implementar medidas de seguridad sigue siendo el presupuesto.
• Los proyectos de seguridad muchas veces fallan porque aparecen mayores desafíos o prioridades dentro de la compañía.
• No existen proyectos que verifiquen la seguridad en el ciclo de vida del software.
• La mayoría de los errores son humanos, de tecnología y de procesos.
• No se conducen estudios de seguridad dentro de las compañías.

Extrapolando los 3 estudios, se pueden extraer algunas conclusiones, que se resumen a continuación:

• Es necesario invertir más concientización y educación en seguridad.
• Se debe comenzar a considerar a los recursos humanos por encima de los tecnológicos.
• Se debe empezar a considerar la moral y la ética en los procesos de las compañías.
• Se deben mantener los procesos mediante el principio KISS ("Keep it Simple, Stupid").
• Las regulaciones, los estándares y las buenas prácticas se han transformado en un gran aliado y ayuda en la gestión.
• La reputación es un activo de gran valor que se debe proteger.
• Se conocen muchos de los riesgos pero se ignoran o aún no se toman las contramedidas necesarias para mitigarlos (incluso los seguros).
• En seguridad todavía no se establecen estrategias que involucren a las areas gerenciales, como sí sucede en otros sectores de las compañías. El porcentaje de CISOs que reportan a un comité de seguridad es extremadamente bajo, reportando la mayoría de ellos al CIO de la compañía.
• La información confidencial, privada y personal todavía no cuenta con las medidas de protección adecuadas.
• El outsourcing de servicios de seguridad todavía debe ser estudiado; sin embargo se utiliza el Penetration Test en muchas compañías.
• Los insiders (atacantes internos) son una preocupación cada vez mayor y las compañías deben trabajar más en este aspecto.
• La seguridad física sigue siendo vista como un proceso aislado del resto de la gestión de seguridad.
• Se siguen incorporando tareas al CISO, sin quedar claro aún el ámbito de sus responsabilidades.
• Se sigue confundiendo las funciones y se sigue invirtiendo en IT.
• El SDLC (Software Development LifeCycle) sigue sin considerar la seguridad.
• Lamentablemente, muchos proyectos de seguridad no se alinean o se alinean poco con los objetivos de la compañía, lo que hace que el proyecto termine fracasando.
• Es necesario un presupuesto disponible para la adecuada gestión de la seguridad.

2. Información actualizada sobre Conficker (alias Downadup)

Me atrevo a responderle a Raúl su pregunta.

No, Realmente no hemos aprendido NADA. Seguimos siendo ANALFABETOS informáticos. La importancia de la información es IRRELEVANTE para nosotros. Las cosas funcionan simplemente porque nadie se empeña en que no lo hagan, a menos que aparezca el/los autor/es de Conficker y todo se vaya al garete. Perdemos miles de horas de trabajo, decenas de años de evolución se olvidan y pedimos recompensas por el delincuente, como en el lejano oeste [3].

DAMOS PENA y LASTIMA, somos INCONSCIENTES, IRRESPONSABLES y NEGLIGENTES.

Hace 21 años el gusano de Morris puso patas para arriba a la Internet de aquella época y hoy un programador, con unas cuantas líneas de código y basándose en nuestra irresponsabilidad hace lo mismo. NOSOTROS somos los culpables de semejante desastre. Los U$S$ 250.000 que se piden por el autor de Conficker, deberían ser por nuestra cabeza y, de todos modos, miles de empresas han pagado eso y mucho más por ser negligentes. Lo tenemos merecido, no me cabe duda.

Miles de reuniones en todos los continentes, miles de horas de trabajo, miles de empresas, miles de profesionales, miles de discusiones... pero ahora nadie es responsable (ICANN, los ISP, los gobiernos, las empresas, los medios de comunicación, aquellos que luchan por el "bienestar" de la red) de no ser proactivos y damos lástima ofreciendo dinero para solucionar el problema.

Nota al margen: por más que se detenga a su autor, Conficker podrá seguir infectando sistemas "para siempre" y cualquier persona en el mundo puede crearse su propia Botnet invirtiendo unos dólares en la compra y registro de un dominio.

¡Nos merecemos esto!

Medios de información de Conficker hay muchos, aunque no se para qué:

• http://news.prnewswire.com/DisplayReleaseContent.aspx?ACCT=104&STORY=/www/story/02-12-2009/0004971471&EDATE
• http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20090212
• http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1347721,00.html
• http://www.marketwatch.com/news/story/microsoft-collaborates-industry-disrupt-conficker/story.aspx?guid=%7BC9767056-1516-4ACC-A866-B0CABDA94056%7D&dist=msr_2
• http://www.itnewsonline.com/showprnstory.php?storyid=34189
• http://www.ddj.com/security/213901112
• http://www.google.com/hostednews/afp/article/ALeqM5gFJjprPdN-xiAc9LirlojjlvN1hA
• http://infosecurity.us/?p=6238
• http://www.icann.org/en/announcements/announcement-2-12feb09-en.htm
• http://www.newsgab.com/forum/current-events/68632-microsoft-offers-250-000-bounty-worm-authors.html
• http://www.secuobs.com/revue/news/61365.shtml
• http://business.newsfactor.com/news/Microsoft-Targets-Worm-Authors/story.xhtml?story_id=030002X7QGNI
• http://www.pcworld.com/article/159506/conficker_worm_draws_a_counterattack.html
• http://technet.microsoft.com/en-us/security/dd452420.aspx
• http://isc.sans.org/diary.html?storyid=5860
• http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx
• http://kingofgng.com/eng/2009/01/23/conficker-the-perfect-storm-worm
• http://asert.arbornetworks.com/2009/02/the-conficker-cabal-announced
• http://www.secureworks.com/research/threats/downadup-removal/?threat=downadup-removal
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.A
• http://www.microsoft.com/security/portal/Entry.aspx?Name=Worm%3aWin32%2fConficker.B
• http://mtc.sri.com/Conficker/
• http://mnin.blogspot.com/2009/01/downatool-for-downadupbconflickerb.html
• http://blog.threatexpert.com/2009/01/confickerdownadup-memory-injection.html
• http://www.cert.at/static/conficker/TR_Conficker_Detection.pdf

Herramientas para remover Conficker (repito, no se para qué):

• http://support.microsoft.com/kb/962007
• http://support.kaspersky.com/faq/
• http://data2.kaspersky-labs.com:8080/special/KidoKiller_v3.1.zip
• http://www.bitdefender.com/VIRUS-1000462-en--Win32.Worm.Downadup.Gen.html
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp
• http://www.sophos.com/support/knowledgebase/article/51416.html
• http://www.microsoft.com/security/malwareremove/default.mspx
• ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip
• http://global.ahnlab.com/global/file_removeal_down.jsp
• http://vil.nai.com/vil/stinger/
• http://download.eset.com/special/EConfickerRemover.exe
• http://www.bitdefender.com/site/Downloads/downloadFile/1584/FreeRemovalTool
• http://www.trendmicro.com/ftp/products/pattern/spyware/fixtool/SysClean-WORM_DOWNAD.zip
• http://secure.sophos.com/support/updates/dp/full/scct_10_sfx.exe

3. Apoya a Segu-Kids, Juntos en la Red

Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.

4. Desafío de la semana

Solución al desafío del Boletín anterior:

Este desafío fue publicado en el cuarto libro de Adrián Paenza "Matemática... ¿estás ahí? Episodio 100" en la página 49 y el desarrollo de la solución se encuentra en la página 184.
El peso de las mujeres es 50, 55, 58, 60 y 61 Kg respectivamente.

Respondieron correctamente:
drawde0123@, pablopag...@, wmeikle@, aldo.sig...@, jssegurac@, gsakuda@, gabrieldear@, dharispe@, edgardo.ran...@, paezjl@, listas.vhs@, pablorighi@, theredia@

Desafío de esta semana:

X X X X | B B B B
8 9 5 1 | R R
2 1 6 9 | R B
3 6 9 4 | R B
4 7 2 1 | R B
1 2 3 7 | R R R

¿Cuál es el número secreto XXXX?
Cada R indica que el número tienen una cifra en común con el número secreto, pero ubicado en una posición distinta. Cada B indica que el número tienen una cifra en común y en la misma posición que el número secreto.