"Daría todo lo que sé, por la mitad de lo que ignoro"
[René Descartes - Filósofo y matemático francés - 1596-1650]
Boletín 31 - "Hacker Bueno". Una entrevista a un Profesional de Seguridad - 12/02/2006
PRÓLOGO:
Inauguramos una nueva sección en el sitio: se trata de un listado
de todas las actualizaciones disponibles para entornos Windows desde 2003 hasta el día de la fecha. Las mismas están
categorizadas por cada versión de Windows e IE.
1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (y III)
2. Ataques masivos a sitios dinamarqueses
3. Nuevas actualizaciones de Microsoft
4. Seguridad para niños
5. JA de la semana
1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (y III)
El título de este boletín es una broma que el entrevistado me "prohibió" hacer pero que de todos modos no pude resistir.
Los que deseen saber de que hablo deberán googlear y podrán divertirse
un momento con lo que suele escribir la prensa (des)informada.
Entrando en tema, nos encontramos con Ezequiel Sallis, uno de los pocos certificados CISSP de Argentina, Consultor Senior en Seguridad Informática de I-SEC Information Security Inc., empresa con gran proyección en Latinoamérica.
Final de la entrevista a Ezequiel Sallis, que comenzó en el Boletín 29.
CB: ¿Qué usas para tu protección?
ES: Nada en particular. Sólo un antivirus actualizado, un Firewall.
Periódicamente actualizo mi sistema con los parches correspondientes,
ejecuto un antispyware y realizo la verificación de la integridad de
ciertos archivos.
En cuanto al sistema operativo utilizo Windows y Linux con las medidas
de seguridad propios de cada uno y en lo que se refiere a mi
confidencialidad utilizo encriptación de archivos y mails.
CB: ¿Cuál es el mayor riesgo que se corre?
ES: La creatividad con la cual se realizan ciertos ataques y que nunca
se tiene en cuenta. Esto hace que si se toman ciertas medidas
preventivas para prevenir un ataque, una pequeña modificación creativa
del mismo culmina exitosamente.
Este error produce una falsa sensación de seguridad que termina en una
relajación de las medidas de seguridad adoptadas
CB: ¿Qué es un Ethical Hacking y un Penetration Test?
ES: Si bien hay varias corrientes me voy a basar en la metodología
OSSTMM (Open Source Security Testing Methodology Manual) la cual tiene
una descripción adecuada de los tipos de testing existentes.
El EH es un test muy amplio que no tiene un objetivo determinado. Esta
es la diferencia fundamental con el PT, que sí tiene un objetivo.
CB: ¿Se puede "ser ético" y hablar de "Hacking"?
ES: Si bien no recomiendo discutir sobre este tema, en lo personal
pienso que sí se puede, tomando la definición correcta de "Hacking".
Últimamente se ha tornado un término de marketing que ha involucionado
desde su definición original relacionada con el conocimiento, la
innovación y el desafío.
De hecho yo realizo Ethical Hacking y Penetration Test y mantengo mi ética como forma de vida.
CB: ¿Código Abierto o Código Cerrado?
ES: Desde mi función de consultor prefiero el código abierto, porque
es gratuito y porque sé lo que estoy ejecutado; y en lo personal no
necesito un respaldo o soporte de una empresa, me alcanza con
comunicarme con la comunidad del software que se trate.
En cambio, en las organizaciones, muchas veces es necesario el soporte
de una empresa.
No digo que uno sea mejor que el otro, sino que ambos tienen pro y
contras. Porque conformarse con una si hay dos alternativas.
CB: ¿Seguridad por Oscuridad o Full Disclosure?
ES: Full Disclosure porque no puedo protegerme de algo que no conozco
(oscuridad). Esto lo digo teniendo en cuenta el código de ética para
publicar una vulnerabilidad y el cumplimiento del mismo. Es decir, no
hacer publica una vulnerabilidad por el simple hecho de hacerlo sin
medir las consecuencias, aprovechándose de la misma para luego
publicarla o venderla.
La seguridad por oscuridad no me convence porque generalmente ésta
seguridad, basada en un secreto, no tarda demasiado en descubrirse y
explotarse.
CB: ¿Cambió algo el 9-11?
ES: Ha cambiado mucho en todo lo relacionado con el concepto de ciberterrorismo y el nivel de paranoia generalizado.
CB: ¿Existe el terrorismo informático?
ES: Existe y se ve a diario en dos grandes potencias como China y
EE.UU. con defacement masivo de sitios, posteos de ideologías en uno u
otro sentido y puede evolucionar en ataques más elaborados y poderosos
como "tirar" una red pública de energía.
Esto ha repercutido en el ambiente corporativo y gubernamental en
donde se intenta crear normativas para evitar este tipo de accionar.
CB: ¿Evoluciona la Seguridad de la Información?
ES: Creo que evoluciona pero la gran cantidad de aspectos que hay que cubrir a veces intimida a los responsables de hacerlo. Creo que lo importante es lograr un buen canal de comunicación entre el área de tecnología o seguridad y la alta gerencia en donde generalmente se "hablan distintos idiomas". Es decir ha evolucionado pero aún hay mucho por hacer.
CB: ¿Un consejo?
ES: Uno que una vez me dieron: nunca bajar la guardia y ser sánamente paranoico
GRACIAS EZEQUIEL
Nota del Editor: si copia esta entrevista por favor no saque las frases de contexto.
Más información:
http://www.infosecurityonline.org
http://www.root-secure.com
http://www.isc2.org
2. Ataques masivos a sitios dinamarqueses
Relacionado con lo que nos dice Ezequiel de ciberterrorismo, desde
hace una semana diferentes sitios de Dinamarca están sufriendo
defacement producto de una protesta por la publicación de caricaturas
de Mahoma.
El informé de Mercè Molist lo describe a la perfección:
http://seguinfo.blogspot.com/2006/02/dinamarca-vive-el-peor-ataque.html
3. Nuevas actualizaciones de Microsoft
Microsoft está investigando una vulnerabilidad relacionada con
archivos Windows Metafile (WMF). Esta vulnerabilidad NO está
relacionada con las descriptas en los boletines de seguridad MS05-053 de noviembre de 2005 ni MS06-001 de enero 2006.
Los componentes afectados IE 5.01 e IE 5.5 ya no tienen soporte
oficial de Microsoft por lo que la empresa determinará si es necesaria
la liberación de una actualización.
Mientras tanto se recomienda actualizar a una versión de IE no
vulnerable.
Puede verse un listado de actualizaciones disponibles en:
http://www.segu-info.com.ar/msupdate/
http://www.microsoft.com/technet/security/advisory/913333.mspx
Además Microsoft ha anunciado al menos 7 actualizaciones de seguridad
para el próximo martes 14 de febrero.
Como siempre la recomendación es actualizar. Más vale prevenir...
Puede consultarse el listado de actualizaciones en:
http://www.microsoft.com/technet/security/bulletin/advance.mspx
4. Seguridad para niños
Sin duda la utilización de la computadora y el acceso a Internet es
algo a tener muy en cuenta por todos los padres.
Esto se debe al riesgo que corren los menores al estar sentados frente
al monitor. En los sitios que siguen se da un repaso a las medidas
básicas que se deben tomar para evitar que los niños sean víctimas de
virus y evitar el contacto con extraños que puede llevar al
abuso o incluso a la pornografía infantil.
http://alerta-antivirus.red.es/alerta_infantil/index.html
http://cavaju.blogspot.com/2005/11/nios-e-internet-no-permitas-que-hablen.html
http://cavaju.blogspot.com/2005/09/controles-para-sus-hijos-en-internet.html
http://www.nua.com/surveys/index.cgi?f=VS&art_id=905358558&rel=true
5. JA de la semana
En el boletín anterior les hablé del lanzamiento del NMAP 4.0. Parece
que para la NSA tampoco pasó desapercibido (mirar el fondo de la foto):
http://www.insecure.org/
http://seguridad-de-la-informacion.blogspot.com/2006/02/la-nsa-y-el-software-libre.html
Página que aparece en el fondo de la foto:
http://www.securitywizardry.com/radar.htm
Extras
Virus-Antivirus
Hosting by
Todos los contenidos de este sitio se encuentran bajo Licencia Creative Commons
