La especialización nueva tendencia

La intrusión de la que fue objeto Adobe en días pasados y que según los medios afecta la información de cerca de 3 millones de sus clientes y el código fuente de varios de sus productos estrella, entre ellos el popular Adobe Acrobat, ha levantado las alarmas acerca de las consecuencias que puede tener, algunos analistas de seguridad recomiendan la cancelación de las tarjetas de crédito que se usaron para realizar negocios con Adobe, ante la posibilidad de que se vean comprometidas, y alertan sobre las posibilidades de que se presenten múltiples ataques de 0 Day, aprovechando el análisis que del código fuente pueden hacer los hackers, dado que este tipo de ataques es muy exitoso y de que son pocas las contramedidas disponibles, es un panorama bastante oscuro para Adobe.

Aunque según las estadísticas del sitio http://datalossdb.org que registra las brechas de seguridad de las compañías con el número de registros afectados, está lejos de ser una de las más grandes en número de registros comprometidos, en estas estadísticas hay tres compañías con más de 100 millones de registros comprometidos, el hecho de que se puedan presentar ataques de 0 Day en un producto tan popular como adobe Acrobat es altamente sensible y aumenta el número de posibles atacados a cientos de millones de usuarios que usan el producto como el lector y generador por default de archivos en formato PDF, las consecuencias de este tipo de ataques solo se pueden suponer y habrá que esperar cómo evoluciona el incidente.

En este punto las soluciones de DLP (Data Loss Prevention) toman relevancia, su implementación y configuración son dispendiosas pero en ambientes hetereogeneos en donde controlar el flujo puede ser complejo, una buena solución da una visibilidad indispensable para saber quien, como y donde se accede a nuestros datos criticos y poder evaluar si los accesos son correctos desde el punto de vista del negocio

Pueden surdir en este punto varias preguntas adicionales acerca de las consecuencias del incidente de Adobe ¿ Si por el contrario el conocimiento del código fuente se utiliza para diseñar Advanced Persitent Threat (APT) enfocados como parte de un ataque más dirigido en donde el incidente de Adobe no es el final de la amenaza sino un eslabón más ?.

¿ Si en un par de años se descubre que luego de todo el humo mediático a raíz de este incidente, que al final quedará relegado como una noticia más acerca de fallas de seguridad y nadie se percata de que hacia parte de un plan más complejo y elaborado para hacerse a la información de alguna compañía o gobierno ?

¿ Que pueden hacer por la seguridad las compañías que no tienen los recursos financieros y tecnológicos con los que cuentan compañías como Adobe ?

Los ataques son cada vez más especializados y dirigidos, los ataques generalizados siguen sobre las plataformas con mayor número de usuarios como las tiendas de aplicaciones y el correo electrónico, en donde se hacen evidentes economías de escala, pero las APT y los ataques dirigidos son más comunes de lo que parece y los intentos de pasar las barreras de seguridad de objetivos claramente identificados con cada vez más usuales, ¿ nuestras empresas estarán preparadas para este nuevo foco de ataques…?

Las fallas de seguridad son cada vez más comunes y más críticas y las nuevas regulaciones de seguridad, como las que están proponiendo en la Unión Europea exige que las compañía las reporten, con ello los usuarios comunes pueden saber en cual compañía su información fue comprometida y tomas las medidas del caso para disminuir el efecto del compromiso sufrido, mientras que las personas que trabajamos en seguridad vemos como se incrementan las regulaciones y con ellas los controles necesarios para atenderlas, y se incrementan así mismo las inversiones, la infraestructura necesaria, las capacitaciones en nuevas herramientas, la colaboración con los órganos de control y  se incrementa también la especialización necesaria para poder comprender y contener las nuevas amenazas de este mundo globalizado.

Prism, PUMA o Ambos...?

En una entrada anterior, en donde realizábamos algunas reflexiones acerca de la perdida de la privacidad en Internet, titulada ¿El fin de la Privacidad? Nos cuestionábamos hacia donde se dirigía la privacidad de nuestros datos publicados en línea (lamentablemente la mayoría de los datos publicados de manera consciente por nosotros mismos), las respuestas a algunos de estos cuestionamientos no se han hecho esperar, han varias noticias recientes que nos muestra el camino que está tomando nuestra privacidad, para el caso de los estados unidos las filtración del programa llamado “PRISM” de la agencia nacional de seguridad de los Estados Unidos (NSA) realizada por Edward Snowden que trabajo como contratista para la CIA, en donde revelo que con este programa se realizan operaciones de vigilancia sobre los principales servicios de internet

http://www.enter.co/vida-digital/el-escandalo-por-prism-sigue-su-curso-mientras-la-indignacion-crece-en-internet/

Hasta el programa Colombiano llamado “PUMA” que es una evolución de un sistema que ya está en uso y que se llama “Esperanza” que funciona dentro del búnker de la fiscalía en Bogotá

http://www.enter.co/colombiadigital/puma-el-prism-colombiano/

En donde el gobierno utilizara recursos del orden de los 100.000 Millones de pesos para implementar controles a información que viaja por internet, apoyados en parte por decretos como el 1704 del 15 de Agosto de 2012 expedido por el ministerio de las tecnologías de la información y las comunicaciones, en donde palabras más, palabras menos autorizan la interceptación legal de las comunicaciones como un mecanismo de seguridad pública y definen en esta línea los deberes de los diferentes proveedores de redes y servicios de telecomunicaciones. A estos hechos recientes donde queda claro que lo que hagamos en internet no es privado se suman las ya conocidas fallas de seguridad de los mismos sitios en donde de manera inocente acude la mayoría de la gente a dejar su información personal (para el uso de los gobiernos respectivos, sin cuestionar si sus intenciones son altruistas o no), la más reciente de la red social FaceBook en donde el fallo de seguridad expuso la información de 6 millones de personas (que comparados con los más de mil millos de usuarios puede ser una cifra no muy significativa)

http://www.elespectador.com/tecnologia/articulo-429560-brecha-de-seguridad-facebook-expuso-informacion-de-6-millones-de

En algunos foros especializados en donde se discuten este tipo de temas, se ha llegado a predecir incluso que en un futuro, vamos a tener que pagar un impuesto para poder garantizar la privacidad de alguna de nuestra propia información, mientras el centro de datos “espionaje” de la NSA queda en medio de un desierto en Utah con lo mejor de la tecnología e infraestructura necesaria para gestionar un Yottabytes de datos  http://www.wired.com/threatlevel/2012/03/ff_nsadatacenter/

Estas noticias que son del conocimiento general, nos dan una buena idea de cuál va a ser la evolución de la privacidad en internet, las perspectivas no son halagadores desde el punto de vista de la privacidad y las opciones de los usuarios de los servicios son cada vez muy limitadas, y últimamente se restringen básicamente a aceptar las condiciones de uso de los servicios en donde queda implícito que el gobierno puede interceptar y utilizar nuestra información con el propósito de protegernos o negarse a aceptar las condiciones y simplemente no usar los servicios. Las asociaciones de protección de la privacidad tienen amplias campañas solicitando apoyo para detener estas loables iniciativas del gobierno (caso PRIM) y tocara esperar la reacción de los colombianos (que al parecer somos menos preocupados por las implicaciones de estas leyes).

 Un poco al margen de esta discusión acerca de la conveniencia de que los gobiernos nos protejan de nosotros mismos, desde el punto de vista de la tecnología surgen también algunas inquietudes, quien supervisa que el uso de la información sea el correcto, y como ya conocemos la idiosincrasia de  nuestra querida patria, quien va a supervisar al que supervisa…?, como se garantizara que esas herramientas que permiten monitorear en tiempo real las telecomunicaciones y que cada vez son más comunes, no terminen en manos de la delincuencia organizada y sirvan para acabar de oscurecer el panorama de la ya precaria seguridad de las comunicaciones electrónicas (nuevamente aquí sin entrar en las reflexiones de quien tiene la culpa de estas condiciones). Las reflexiones son muchas, las condiciones cambiantes de la tecnología deberían facilitar la seguridad de nuestra información en la red y no facilitar que la información se exponga (con motivos validos o no).

Dispositivos Moviles y Smartphones, algunas reflexiones

En un artículo anterior hablamos de la convergencia como una tendencia natural en el mundo de la tecnología, y de los móviles como el gadge por excelencia, y la evolución de las tecnologías nos ha mostrado de manera más clara este camino, los pronósticos son fáciles de hacer, smartphones cada vez más potentes en hardware, pantallas más grandes (no demasiado en lo personal creo que el límite de 5 pulgadas es el adecuado, para las pantallas más grandes son incomodas de utilizar), procesadores con más core y más memoria RAM para la utilización de las diferentes plataformas, por el lado de los sistemas operativos las tendencias están claras (por el momento) y los nuevos jugadores llegan a un mercado saturado y con ecosistemas muy fuertes, los líderes indiscutibles son Android y IOS, los nuevos jugadores como Ubuntu y otros antiguos como BlackBerry y Windows Phone, siguen en la lucha (windows phone tiene mucho potencial de mercadeo y un ecosistema desde la PC que está intentando llevar a Windows Phone y los usuarios de BB son muy fieles a la marca).

Lo que nos depara el futuro será mucho malware para móviles de las plataformas más populares (cualesquiera que están sean y con lógica por dedicación de recursos), la plataforma más popular será la que tenga más malware diseñado para ella, con un panorama tan complejo puede perderse fácilmente el norte, pero hay un fenómeno detrás de esto que no es muy claro para la mayoría de los usuarios, pero que ha surgido desde las empresas en donde las políticas de traiga su propio dispositivo (Bring Youy Own Device BYOD) ha generado para las empresas un escenario más complejo que el de los usuarios individuales, los dispositivos móviles, empezando por los teléfonos inteligentes se empezaron a colar en los escenarios corporativos con bastante rapidez, de mano de los gerentes y presidentes que dadas sus necesidades de movilidad vieron en ellos unos excelentes aliados de sus jornadas de trabajo, pero para las áreas de IT se empezaron a volver una piedra en el zapato, a sus ya complejos escenarios de infraestructura y telecomunicaciones hubo que sumarles el soporte, mantenimiento y requerimientos especiales de estos dispositivos, muchas áreas de IT, tuvieron que usar su sentido común para soportar dispositivos que no tenían para su trabajo diario, y a los cuales debían dar soporte de manera eficiente.

Cuando el número de dispositivos paso de ser un par, a ser varias docenas el problema se expandió de manera exponencial, y las soluciones de administración de dispositivos móviles (MDM Mobile Device Management) se empezaron a popularizar, estas soluciones que permiten registrar (o enrolar para usar el anglicismo que están popularizando sus creadores) dispositivos de diferentes sistemas operativos y administrarlos de manera centralizada y remota (gracias a los necesarios planes de datos que requieren las funcionalidades de la mayoría de estos dispositivos para un uso eficiente), lo que permite autorizar o no, el uso de determinados aplicativos a determinadas horas y en determinados lugares, ya hay más de cien fabricantes de soluciones de este estilo, pero las soluciones lideres serán las que administraran en un futuro no muy lejano la mayoría de los dispositivos de nuestras compañías y mucho más importante aún, facilitaran la administración de la seguridad de los dispositivos en si mismos y de la información que se genere, almacene y transmita  a través de ellos.

Movil Device Management

Las consideraciones de seguridad en estos dispositivos están surgiendo y evolucionando a la par de la madures de los sistemas operativos que las manejan, y es allí en donde debemos hacer seguimiento e interesarnos en la manera en que la seguridad evoluciona, el malware para las plataformas móviles es muy alto, y en un futuro cuando muchas de nuestras aplicaciones corporativas se muevan completamente al mundo móvil, apalancados en las necesidades de movilidad de los usuarios y en la anywhere computing, allí es donde la seguridad dejara de ser en su mayoría perimetral y en menor proporción móvil y esta tendencia se revertirá por completo, esto acarreara el rompimiento de viejos paradigmas y nuevos e interesantes retos para las herramientas con las que se realizan las labores de seguridad en nuestras compañías, el flujo de la información confidencial de nuestras compañías dejara de reposar en el file server y la mayoría de datos reposaran en los teléfonos de nuestros funcionarios , al lado de los archivos de música y de las fotos del último paseo, allí, en donde es más complejo llevar el control tendremos que librar las batallas por conservar la seguridad de los datos corporativos sin impactar ni la disponibilidad, ni la integridad ni la confidencialidad de la información personal que estará almacena en ellos.

Las herramientas que facilitan este tipo de administraciones, se integraran con las demás de nuestra plataforma y empezaran a crecer (mientras la otras herramientas de administración empezaran a decrecer proporcionalmente en la medida que los dispositivos móviles se tomen el protagonismo y se conviertan en el gadget por excelencia), estos jugadores se afianzaran en el mercado y maduraran junto con esta tendencia, lo que supondría que serán soluciones perfectamente integradas y maduras que facilitan las labores de administración y soporte de esta creciente capa de nuestra infraestructura

 Los retos para la industria son grandes, y para las compañías aún más grandes, al fin que los usuarios comunes y ajenos a estos detalles técnicos lo que están pidiendo es "la posibilidad de trabajar cuando y desde donde quieran con uno o varios dispositivos de la empresa o personales y con la seguridad garantizada" que al fin de cuentas no es mucho pedir o sí...?

¿El fin de la Privacidad?

Luego de algunas semanas sin poder publicar retomo las reflexiones del blog con un tema de mucha importancia como es la privacidad, y aunque ya habíamos mencionado el termino en algunas de las reflexiones hechas en artículos anteriores del blog, el tema de la privacidad esta por fin llamando la atención no solo de los expertos sino de la gente del común, los cambios en las políticas de la privacidad realizados en las redes sociales y en el buscador de Google el año pasado, llamaron la atención de todo el mundo, los recientes cambios de las políticas de la red Instagram consiguieron que esta perdiera un  número importante de usuarios cuando anuncio que legalmente podía vender las imágenes que los usuarios habían subido a la red

http://enter.co/tag/polemica-de-instagram/

https://www.eff.org/search/site/instagram

Las organizaciones de defensa de la privacidad se pronunciaron ampliamente, el fracaso de las leyes SOPA/PIPA y sumado al suicidio de Aaron Swartz activista de Internet quien a los 14 años ya era coautor de las especificaciones de RSS, han enmarcado una lucha más abierta por la defensa de la libertad de Internet y la privacidad como base de la misma, sin embargo los desarrollo de las nuevas tecnologías que buscan prestar mejores servicios basados en el conocimiento de nuestros gustos y preferencias invaden nuevamente "de buena voluntad" nuestra ya mermada privacidad, en la feria de Electrónica de Consumo (CES) que se llevo a cabo en la ciudad de las Vegas hace unos días nos mostraban los últimos televisores inteligentes que no solo reaccionan a las señales realizadas por el usuario utilizando para ello una cámara sino que con esta misma cámara pueden vernos...los propósitos iniciales de este nuevo uso de los televisores son mercadeo selectivo, pero el uso final de esta nueva funcionalidad puede empezar a difundirse entre las pocas regulaciones que protegen nuestra privacidad y los contratos legales que nadie lee, pero que todos aceptamos en el uso de estas nuevos dispositivos y aplicaciones tecnológicas.

Ya hace algunos meses existe un malware llamado PlaceRaider que de manera inadvertida para el usuario a través de su celular toma fotografías y las sube a la nube con otra información como fechas, horas y localización (ayudados por el infaltable GPS) para luego generar imágenes en tres dimensiones de los sitios en donde está el usuario víctima del malware, el desarrollo fue de un equipo de la universidad de Indiana en Estados Unidos en conjunto con el Naval Surface Warfare Center en Crane, Indiana, pero se especula que puede terminar en el  mercado negro y terminar destinada al espionaje (industrial, militar o individual) de hecho ya se consigue en Internet.

http://www.infosecisland.com/blogview/22505-PlaceRaider-3D-Visual-Malware-from-Military-Research.html

http://grupogeek.com/2012/10/02/placeraider-un-malware-para-android-que-toma-y-sube-fotografias-sin-tu-permiso/

El gadget tecnológico por excelencia puede ser ya nuestro peor enemigo en temas de privacidad, si a esto le sumamos que nuestro televisor (y  muy seguramente le seguirán los demás electrodomésticos como la nevera o el horno microondas) pueda espiarnos  cuando estamos en la intimidad de nuestro hogar, y que las redes sociales en las que muchos suben las fotos de su vida diaria y pasan horas compartiendo con sus "amigos" aspectos de su vida familiar, social, laboral y sentimental puedan dispones de nuestra información a su antojo, oscurece del todo el panorama, las leyes son y serán siempre muy lazas y la jurisprudencia nunca avanzara a la par de los avances tecnológicos, lo que nos dejara siempre desprotegidos.

En la medida que la tecnología se tome partes más cotidianas de nuestra vida y nos ayude con las tareas que realizamos a diario, las mismas funcionalidades que la hacen atractiva para su uso, la hacen a la vez peligrosa para nuestra privacidad, sin una legislación clara sobre el uso de la información que se recoge de nosotros y con los claros riesgos de seguridad que son implícitos en la implementación de estas nuevas tecnologías, nuestra privacidad está ahora más que nunca en riesgo. La pregunta es ¿que vamos a hacer para proteger nuestra privacidad?, las respuestas pueden ser muchas; desde no hacer nada… total puede que no me importe que me vean sentado en pijama  en el sofá de mi casa con mi familia viendo televisión, o la posición más extrema que es aislarse de estas nuevas funcionalidades, que no solo es demasiado radical sino que perderíamos funcionalidades que pueden ayudarnos en nuestra vida diaria, la respuesta está en medio y puede tener muchos matices, sin embargo es nuestra responsabilidad estar consciente de los riesgos que nuestra privacidad tiene en el mundo moderno.

Aunados a estos esfuerzos hay que ser muy precavidos con la información que de nosotros mismos publicamos en linea, puede que no se necesite investigar mucho de nuestra vida, si ya nosostros mismos nos encargamos de revelarlo todo.. como se puede ver en el siguiente video
http://www.youtube.com/watch?v=rtZuErkLH50