Campus Party 2009

Protegiéndonos de las soluciones de seguridad

"Acabo de recibir un mensaje de una gran consultora, de esas que hacen
estudios basándose en estadísticas tras recopilar la opinión de terceros
supuestamente expertos. Muy amables, solicitan corrija una errata en una
de las respuestas que rellené en su cuestionario. La pregunta pedía que,
según mi criterio, enumerara el top 10 de amenazas de seguridad a las
que se deberían enfrentar las empresas a corto y medio plazo. La
respuesta que suponen una errata es: las soluciones de seguridad.

Supongo que la mayoría estamos de acuerdo en que, en casos puntuales,
una solución de seguridad puede introducir nuevas amenazas, bien por
mal funcionamiento en sus funciones de protección, bien por nuevas
vulnerabilidades que se derivan del propio producto o servicio de
seguridad. No obstante, incluir esa remota y puntual posibilidad en un
top 10 de amenazas no es muy acertado. Así que entono el mea culpa por
una mala descripción de lo que quería decir (tampoco había mucho espacio
en el campo de texto libre del cuestionario), y les voy a enviar la
rectificación: marketing falso en soluciones de seguridad.

En su día me molestaba mucho leer el eslogan de "100% de protección
contra virus", una herencia de aquella molestia se puede encontrar aun
hoy día en el aviso que escribí hace 5 años en la web de VirusTotal: "No
existe solución en el mundo que pueda ofrecer un 100% de efectividad en
el reconocimiento de virus y malware en general. Si le ofrecen un
producto con el 100% de efectividad, está siendo víctima de publicidad
falsa.". Afortunadamente el marketing de los antivirus ha evolucionado
y ya nadie se atreve a decir nada parecido.

Sin embargo, en términos generales, el marketing en las soluciones de
seguridad sigue siendo poco honesto, tanto con el usuario final como con
el cliente corporativo. Un buen momento que tengo para afianzar esa
sensación es cuando presento los resultados de auditorías y test de
penetración a clientes corporativos. Es entonces cuando escucho frases
como: "pero el vendedor nos dijo que este sistema de prevención de
intrusiones evitaba cualquier tipo de inyección", "no puede ser, el
portátil tiene un sistema de cifrado y nos dijeron que era imposible
extraer ninguna información", etc.

Ya sabemos que cualquier solución de seguridad que nos ofrezcan, u
ofrezcamos, no es perfecta. Así que el vender las soluciones de
seguridad exagerando sus virtudes y omitiendo sus debilidades podría
entenderse como picaresca, parte del juego entre vendedor-comprador.
Pero los efectos en realidad son mucho más perniciosos que el del
anuncio del detergente que nos asegura que lava más blanco que ninguno,
porque puede llegar a crear una falsa sensación de seguridad en el
comprador y las consecuencias pueden ser desastrosas para la empresa.

No se trata simplemente de que el comprador haya adquirido una solución
que no es la mejor de su categoría, como ocurre en el caso del
detergente, sino que probablemente no le hayan explicado las
limitaciones de esa tecnología y de la que adolece cualquier otro
producto de la misma categoría. El resultado es que el comprador no
entenderá la necesidad de añadir capas adicionales de seguridad para
proteger sus activos, una verdad que en el mejor de los casos descubrirá
durante una auditoría o test de penetración, y en el peor de los
escenarios ya sería demasiado tarde.

Mi humilde consejo: cuando intenten venderle una tecnología o solución
de seguridad, desconfíe de cualquier presentación que no incluya
explícitamente una descripción de sus debilidades o limitaciones."

Bernardo Quintero

Fuente Original:
http://www.hispasec.com/unaaldia/3893/comentar

--
Crislato

Saludos a Jenny Administradora!

Aprovecho este espacio para saludar a Jenny Bayona, quien ha tenido a bien interesarse por el proyecto SOC Colombia. En su blog

http://jennyadministradora.blogspot.com/2009/05/seguridad-informatica.html

comenta sobre "el reto al que se enfrentó el grupo de investigación I2T de la Universidad Icesi, en conjunto con la empresa TGR, y para lo cual desarrolló SOC Colombia, una herramienta basada en OSSIM".

Saludos a Jenny, agradeciendo su labor de difusión sobre OSSIM.

--
Crislato

Estudios académicos sobre la adaptación de OSSIM a entornos locales.

Hasta hace unos meses tuve la oportunidad de participar activamente en el proyecto "Adaptación y mejoras al motor de correlación y sistema de sensores remotos de OSSIM para un centro de operaciones de seguridad informática". Dicho proyecto tuvo diversas implicaciones y una nutrida producción documental, de la cual quiero compartir el artículo publicado en las memorias de EvencoCCC, un importante evento académico promovido en Colombia.
En dicho artículo, titulado "Implementación y mejora de la consola de seguridad informática OSSIM en el entorno colombiano" se expone de forma sencilla, breve y legible el esfuerzo conjunto del grupo de investigación i2T durante el proyecto. Textualmente, en el artículo se exponen "mejoras que incluyen la interconexión con dispositivos de
seguridad física, la creación automática de directivas de correlación para el motor de la herramienta y la mejora significativa de la confiabilidad de captura de información en redes con alto tráfico". Espero lo disfruten.

http://www.soccolombia.com/documentos/documento3.pdf

--
Crislato

como monitorear redes--TAPS o SPAN ?

Les comparto un link a un documento que explica las diferencias entre los taps y los puertos span.
http://www.lovemytool.com/blog/2007/08/span-ports-or-t.html

Speed Test requires at least version 7 of Flash. Please update your client.

MONITORIZACION DE SEGURIDAD EN REDES

CAPTURAS DE PAQUETES EN AMBIENTES DE ALTO TRAFICO.

Algunos escritores se refieren a lo que en mi consideración es un nuevo arte, la monitorización de seguridad en redes, dirigiéndose a este tema con la sigla NSM (Network Security Monitoring), por lo cual seguiré mencionando sus siglas cada que me refiera al tema.

Algunos administradores de seguridad en redes, considera que la captura de trafico se debe hacer de manera total, quizá basado en sus estudios de la lógica binaria 1/0, se toma todo o nada, sin antes haber medido de una manera aterrizada que es “TODO”, o quizá basados en otro concepto erróneo, en que la monitorización de seguridad en redes ejercida por un analista, es la detección de intrusiones (IDS), algunos comerciantes más avispados actualmente cambiaron la “D” por una “P”, llamados ahora (IPS), ( me imagino que se hicieron un razonamiento como este , Si los podemos detectar! ¿Por qué no prevenir? ), Generando así, el último dilema ideológico de la informática, aun discutido pero suena muy convincente, y es de eso precisamente que se han valido los grandes comerciantes en mi punto de vista, para distorsionar un poco el concepto de la monitorización de Seguridad en Redes, o si no hagámonos algunas de estas preguntas:

· ¿Si la gran mayoría de tráfico en mi red va cifrada para que un IDS? si mi servidor web utiliza SSL que me impide ver el contenido de la sesión, ¿vale la pena monitorizarlo?

· Si el puerto SPAN no me permite monitorizar redes por debajo de la capa 3, siempre habrán implícitas perdidas de paquetes a monitorizar, entonces ¿para qué monitorizar solo una parte?, o si el trafico de mi red supera la capacidad de los puertos SPAN, ¿de qué me sirve adquirir la solución más robusta para monitorizar si tengo estas limitantes?

Si a estas alturas se pregunta si la intención es convencerlo de no adquirir o tomar medidas preventivas para la seguridad informática está equivocado, porque existen modelos de detección, que en este documento, pretendo ligeramente cubrir, El modelo de detección por muestreo, que se utiliza en aquellos ambientes donde no es posible ver “TODO” es definitivamente el modelo más utilizado, partiendo de la base que la perdida de paquetes en la captura de datos en ambientes de alto trafico es inevitable, aunque existen muchos modelos como el PFRing, streamline con napi activado que pretenden dar un acercamiento a esta problemática, hasta el momento se puede decir que son tendencias no estables en un tema que otros fabricantes han fracasado.