"Lo que sabemos es una gota de agua; lo que ignoramos es el océano"
[Isaac Newton - Inglaterra - 1642-1727]

Boletín 29 - "Hacker Bueno". Una entrevista a un Profesional de Seguridad - 28/01/2006

1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (I)
2. Google: Angel y Demonio
3. Paseo por Microsoft y Google
4. Test para tus popups y varios
5. Creative Commons para principiantes
6. JA de la semana

1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (I)

El título de este boletín es una broma que el entrevistado me "prohibió" hacer pero que de todos modos no pude resistir.
Los que deseen saber de que hablo deberán googlear y podrán divertirse un momento con lo que suele escribir la prensa (des)informada.

Entrando en tema, nos encontramos con Ezequiel Sallis, uno de los pocos certificados CISSP de Argentina, Consultor Senior en Seguridad Informática de I-SEC Information Security Inc., empresa con gran proyección en Latinoamérica.

Señores, pasen y disfruten de una pasión (Primera parte).

CB: ¿Te consideras paranóico?

ES: Si, en el buen sentido de la palabra... soy paranóico sanamente y precavido en muchos aspectos de la vida porque estoy permanentemente en contacto con todas las cosas que suceden y pueden suceder.

CB: ¿por qué trabajas en Seguridad Informática?

ES: Por pasión. Lo hago mucho más tiempo del requerido porque me gusta. No hay otra explicación.

CB: ¿Qué diferencia hay entre seguridad informática (si) y Seguridad de la Información (SI)?
ES: La diferencia fundamental es la amplitud que tiene una y que tiene otra. Si bien hoy, el término "si" es el más utilizado y en el que se notan mayores cambios, la "SI" es más amplia y abarca al primero.
Por ejemplo la norma ISO habla de la "SI", cualquiera sea el medio de soporte en que se encuentre la información: papel, magnético, digital, conocimiento de las personas, etc. Es decir que la "SI" va mucho más allá de los sistemas informáticos y abarca el factor humano.

CB: ¿Existe conciencia de SI en las organizaciones?

ES: La seguridad en las organizaciones ha evolucionado pero, si bien hoy hay mucha oferta y demanda en el mercado, creo que esto va a quedar estático y sin demasiada continuidad. La conciencia que existe es reactiva y es el efecto de algún hecho que le ocurrió a la organización.
Lamentablemente son muy pocas las organizaciones que realizan una tarea proactiva a nivel humano, con un política permanente a través del tiempo que incluya capacitación y concientización.

CB: ¿Existe conciencia de SI en el usuario final?

ES: Lamentablemente no, y lo razón es la falta de educación en lo referente a SI, si bien existen empresas que se preocupan por hacer algo al respecto, la gran mayoría, espera que el usuario tome conciencia solo, pensando además que la SI no tiene que ver con el
factor humano.
El concepto de "firewall humano" aun no esta maduro.

CB: Entonces, ¿Cuál es el principal riesgo para los usuarios?

ES: El principal problema es la ignorancia. La ignorancia definida como la falta de conocimiento a lo que está expuesto y la falta de concientización de los problemas existentes. Esto termina
impactando en que la mayoría de los recursos utilizados para engañar a los usuarios suele surtir efecto.

CB: ¿Existe la seguridad total?

ES: NO. La seguridad total no existe. En seguridad los absolutos están prohibidos: ya sea el conocimiento que uno tiene como las cosas que pueden suceder.
Está demostrado que un ataque con creatividad puede resultar efectivo por más que se hayan tomado las precauciones y contramedidas adecuadas.
¿Por qué? porque nadie se esperaba el ataque o la forma particular en que fue realizado.
De hecho existen vulnerabilidades 0-day que se terminan explotando in-the-wild cuando aún no existe la solución.
Lo que se puede lograr es un cierto nivel de seguridad comparado con algún patrón, pero nunca lograrás la seguridad en un 100%.

CB: ¿Cuáles son los principales problemas relacionados con la SI?

ES: Los principales problemas son la falta de concientización, el descanso total de la seguridad sobre lo tecnológico (firewall, antivirus, IDS, SO) y el exceso de confianza; que resultan en una falsa sensación de seguridad.
Debemos recordar que el factor humano cubre el 99% de la seguridad y el 1% es el aspecto tecnológico.

CB: ¿Cuál es la situación internacional y nacional?

ES: Hay mercados que se destacan. Por ejemplo en la Unión Europea y Norteamérica el tema está mucho más maduro y evolucionado, existe investigación, la oferta es mayor y más exigente. El nivel académico también es mayor y existe concientización sobre la problemática, y tanto las soluciones como la capacitación no están orientadas a un producto particular como aún sucede aquí.
En el ámbito nacional hoy por hoy existe una especie de "boom". Se están escribiendo estándares, manuales y políticas que están a disposición y que las organizaciones están teniendo en consideración.

CB: ¿Cómo influye el Software Libre en la SI?

ES: Esto se puede encarar desde dos aspectos.
Primero; el Software Libre para el desarrollo de tareas de SI es muy utilizado ya que la mayoría de las herramientas para "vulnerability scan" y "penetration tests" son de código abierto. Esto para una profesional de seguridad es fundamental porque da la tranquilidad de
poder revisar el código y saber exactamente que se está ejecutando.
Además la comunidad de software libre está investigando y desarrollando permanentemente, lo que nos permiten tener una gran variedad de herramientas sin costo y de muy buena calidad.
Segundo; la posibilidad de uso del software libre dentro de una organización. Creo que aquí deben aprovecharse las ventajas de los dos enfoquES: en el software libre se tiene la posibilidad de auditar el código y en el software propietario se tiene el respaldo de una corporación por lo que se compra.

Siguiente...

Nota del Editor: si copia esta entrevista por favor no saque las frases de contexto.

Más información:
http://www.infosecurityonline.org
http://www.root-secure.com
http://www.isc2.org

2. Google: Angel y Demonio

Por un lado Google se niega a dar información a su gobierno argumentando "la protección a la intimidad".
http://barrapunto.com/article.pl?sid=06/01/20/022239
http://laflecha.net/canales/blackhats/200601202/
http://www.lavozdegalicia.es/inicio/noticia.jsp?CAT=126&TEXTO=100000085361
http://www.malditainternet.com/node/1307
http://www2.noticiasdot.com/publicaciones/2006/0106/2301/noticias/noticias_230106-03.htm

Pero por otro lado realiza censura en China argumentando que "debe someterse a las leyes locales".
http://tiempolibre.eluniversal.com/2006/01/25/cyt_ava_25A661277.shtml
http://www.mercado.com.ar/mercado/vercanal_nota.asp?id=346188
http://www.abc.es/abc/pg060126/prensa/noticias/Sociedad/Sociedad/200601/26/NAC-SOC-108.asp

¿Como es el tema?... ¿en el mercado local (EE.UU.) del cual somos dueños hacemos lo que nos place pero para entrar en nuevos mercados (China) bajamos la cabeza ?

3. Paseo por Microsoft y Google

Visita a Microsoft:
http://www.elpais.es/articulo.html?xref=20060122elpepspor_4&type=Tes&anchor=elpepspor

Visita a Google:
http://abcnews.go.com/Video/playerIndex?id=1528162
http://google.dirson.com/noticias.new/2059

4. Test para tus popups y varios

Todos estamos familiarizados con estas molestas ventanas que nos prometen el cielo a cambio de un click. Este sitio testea los tipos de popups conocidos en tu explorador.
FireFox logró bloquearme 12 de los 13 tests disponibles y sin preguntar nada en el proceso.

¿No te gustaría lograr lo mismo con tu navegador?

Aprovecho para remarcar que nunca deben hacer click en una de estas ventanas sea lo sea que esta prometa.

Popup Tester: http://www.popuptest.com

Como extra y para seguir alimentando esta sana competencia:
Según David Hammond, "Internet Explorer es peligroso": http://nanobox.chipx86.com/ie_is_dangerous.php

NN nos cuenta "los mitos de FireFox": http://mywebpages.comcast.net/SupportCD/FirefoxMyths.html

...y por supuesto ambos tienen cosas que decirse: http://nanobox.chipx86.com/blog/2005/12/re-firefox-myths.php

Yo digo: "Todo sea en beneficio del usuario" ya que gracias a proyectos como Mozilla, el monstruo de Redmond se comenzó a mover: http://www.uberbin.net/archivos/internet/internet-explorer-7-build5299.php http://es.wikipedia.org/wiki/Windows_%22Vienna%22

5. Creative Commons para principiantes

Una excelente presentación explicando el nacimiento y fundamentos de "Creative Commons" o "Bienes Comunes" en castellano:
http://media-cyber.law.harvard.edu/blogs/gems/ion/secreativo.swf

6. JA de la semana

Siempre quise saber lo que me deparaba el futuro:
http://articulo.mercadolibre.com.ar/MLA-19723687-condensador-de-flujo-_JM

Rápido llega, rápido se va:
http://www.microsiervos.com/archivo/internet/problemas-para-million-dollar-homepage.html