"El fanatismo consiste en redoblar el esfuerzo cuando has olvidado el fin"
[Jorge Santayana - España - 1863-1952]

Boletín 30 - "Hacker Bueno". Una entrevista a un Profesional de Seguridad - 06/02/2006



PRÓLOGO: FELICES 80 AL MEJOR VIEJO DEL MUNDO !!!


El SO de Google existe... ahora habrá que ver el objetivo del mismo:

http://www.genbeta.com/archivos/2006/02/01-goobuntu-el-sistema-operativo.php


OJO: Las invitaciones de GMail para Google Hosting son una estafa:

http://seguinfo.blogspot.com/2006/02/phising-para-robar-claves-de-gmail.html



1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (II)
2. Kamasutra, el delirio de los medios
3. Lo que he estado leyendo
4. Actualizaciones de todos los colores
5. JA de la semana x 2



1. "Hacker Bueno": Entrevista a un Profesional de Seguridad (II)


El título de este boletín es una broma que el entrevistado me "prohibió" hacer pero que de todos modos no pude resistir.
Los que deseen saber de que hablo deberán googlear y podrán divertirse un momento con lo que suele escribir la prensa (des)informada.


Entrando en tema, nos encontramos con Ezequiel Sallis, uno de los pocos certificados CISSP de Argentina, Consultor Senior en Seguridad Informática de I-SEC Information Security Inc., empresa con gran proyección en Latinoamérica.


Señores, pasen y disfruten de una pasión (segunda parte).


CB:¿Cuál es el principal riesgo para las organizaciones?

ES: Las organizaciones son una motivación para que los atacantes intenten vulnerar la seguridad y beneficiarse.
Hoy la mayoría de los ataques son al azar realizado por jóvenes probando herramientas automáticas y que no necesariamente tienen fines delictivos.
De todos modos el crimen se esta organizando y está haciendo uso de grupos con medios y conocimientos para perpetuar delitos informáticos (fraudes, estafas, etc.).

Otro riesgo importante que existe es que muchas veces el área de Seguridad de la Información no está definido en las organizaciones y generalmente el responsable termina siendo el área de sistemas; faltando la separación de tareas necesarias para un correcto control de la seguridad.


CB:¿Cuál sería el principal cambio a realizar en las organizaciones para hablar de un entorno seguro?

ES: Sacar a los usuarios (risas).

Generar el marco y el entorno para que un área de Seguridad de la Información sea formado y que la misma se mantenga mediante un esquema de actualización continuo como la ISO.


CB: ¿El gobierno debería desempeñar algún papel en estos cambios?

ES: Seguro, sin dudas. Sin llegar a los extremos de algunos gobiernos que terminan invadiendo la privacidad de sus ciudadanos y siendo dictatoriales, el gobierno tiene una responsabilidad muy grande en cuanto a la protección del área estatal, privado y del usuario final.

Por ejemplo el gobierno de EE.UU. está muy avanzado en cuanto a legislación, estándares, regulaciones y exigencias a proveedores.

Por ejemplo Common Criteria, FIST y distintos planes de apoyo al usuario final.

Si trasladamos esto a Latinoamérica, lamentablemente los gobiernos dan una prioridad mínima a la seguridad y esto se nota en la legislación, en los sitios públicos y también en el usuario doméstico.

De todos modos queda claro que se necesita el apoyo gubernamental para difundir y/o financiar emprendimientos de este tipo.


CB: ¿Las empresas deberían contratar más personal de seguridad?

ES: Muchas empresas ni siquiera tienen un área de SI cuando está claroque debería existir. Lo que se debe analizar en cada caso es el tamaño de este área, de forma tal que la misma acompañe al negocio y que la inversión en seguridad no termine impactando negativamente en el mismo (convirtiéndose en gasto).

Es fundamental hacer un análisis de riesgo de los activos de la compañía y luego analizar si se debe contratar más personal, en base al personal existente y sus conocimientos.


CB: ¿Existe legislación que trate los temas de SI?

ES: No me gusta hablar de vacío pero la realidad es que hay muy poco legislado, algunos leyes no llevadas a la práctica y muchos proyectos que sólo son eso: proyectos, a los cuales le falta mucho crecimiento.


CB: ¿Es seguro Internet?

ES: No. Si bien es un medio de comunicación ampliamente extendido, el nivel de información que se puede obtener es no confiable. Es un "gran caos ordenado" y nadie puede conectarse a esta red sin algún dispositivo de control.
Además el contenido al que se está expuesto sirve de base para poder cometer cualquier tipo de ilícitos (engaño, robo de identidad, fraude, pornografía infantil, etc.) y todo esto acompañado de los agujeros legales mencionados.


CONTINUARÁ...


Anterior - Siguiente


Nota del Editor: si copia esta entrevista por favor no saque las frases de contexto.


Más información:

http://www.infosecurityonline.org
http://www.root-secure.com
http://www.isc2.org



2. Kamasutra, el delirio de los medios


La semana pasada muchos medios (des)informativos se lanzaron a anunciar el fin de nuestros documentos por obra y gracia del virus "Kamasutra" el 3 de febrero. En realidad "Kamasutra" fue unos de los tantos nombres que ha recibido el gusano Nyxem, Blackworm, MyWife o, para ser aún más específicos, "CME 24" según la nueva nomenclatura internacional de nombres de virus.

Si bien estos comentarios pueden producir cierta curiosidad en el público que lo lleve a investigar y conocer el tema más profundamente, no comparto la tendencia de informar hechos incorrectos siendo alarmistas con el sólo objetivo de vender o no pasar desapercibidos.


Aquí están los detalles y los números de infecciones que, como pueden verse, no han significado el fin de nadie:

http://www.caida.org/analysis/security/blackworm/


Habrá quien me diga que el magnificar el hecho sirvió de advertencia y pudo disminuir la cantidad de casos. Quizás eso sea cierto pero sigo abogando por la información correcta, precisa, a tiempo y en forma.



3. Lo que he estado leyendo


OWASP, una excelente guía que no debería dejar de leer ningún administrador, desarrollador o analista de seguridad web.


Según reza su sitio oficial, The Open Web Application Security Project (OWASP) está dedicada a encontrar y luchar contra el software inseguro.


Es un proyecto abierto y libre de documentación, herramientas y estándares para desarrollar y depurar Software Web seguro.


Disponible en http://www.owasp.org/ y en nuestra sección de Políticas de Seguridad.

En español: http://www.owasp.org/local/spain.html



4. Actualizaciones de todos los colores

Para comenzar ya se encuentra disponible la nueva y tan esperada versión 7.0 de Internet Explorer. Me guardaré los comentarios para cuando lo haya probado.

http://www.microsoft.com/windows/ie/ie7/default.mspx


Por supuesto aquí está su primer bug:

http://www.kriptopolis.org/node/1780


Además, y para aquellos que dicen que no me simpatiza IE, en este enlace están disponibles todas las versiones anteriores, listas para usar:

http://downloads.skyzyx.com/index.php?fpp=20&did=8&fid=11


Como no podía ser de otra forma FireFox ha lanzado una versión lista para ser utilizada desde CD o desde memorias USB y sin instalación previa. Lo mejor de todo es que la navegación es absolutamente ANÓNIMA gracias a la utilización de TOR (que ya comentaré en futuras entregas):

http://www.kriptopolis.org/node/1778


Más importante aún es que FireFox a actualizado a su versión 1.5.0.1 debido a que han sido halladas y corregidas ocho vulnerabilidades en las versiones anteriores:

http://www.kriptopolis.org/node/1782

http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.1


Si FireFox aún no lo ha hecho automáticamente, recomiendo actualizar en forma manual.

Además, ya está en la calle el heredero de Mozilla. Su nombre es SeaMonkey y en sus versiones Alpha promete bastante:

http://www.genbeta.com/archivos/2006/02/01-seamonkey-10-lanzado.php


El 1 de febrero fue lanzado ISA Server 2004 Service Pack 2:

http://www.microsoft.com/isaserver/evaluation/sp2/default.mspx

Por supuesto recomiendo la instalación de este potente Firewall/Proxy a todos los administradores.


Y lo más sabroso para el final: después de muchas idas y vueltas ha visto la luz NMAP 4, el excelente scanner de Fyodor.

En este enlace Fyodor cuenta todo del nuevo Nmap:

http://www.securityfocus.com/columnists/384


... y en este la herramienta lista para usar sin costo como siempre:

http://www.insecure.org/nmap/



5. JA de la semana x 2


Al tío no le alcanzan los números:

http://www.entrebits.com/noticias/Noticias_Curiosas/articulos/n_117928_1.html


Aptitud para tener una computadora:

http://www.enplenitud.com/nota.asp?id=8327&uid=10844917&env=28


Actualidad

Virus-Antivirus