sábado, 21 de noviembre de 2009

La guerra del UTM en el Enterprise

Por: Martín Hoz (Fortinet) - Noviembre de 2009

En las semanas pasadas, hubo una "guerra de posts" a favor y en contra de si UTM tenía o no lugar en las empresas. Aquí la lista de posts por orden cronológico:
* Enterprise UTM is not a myth - 28 de septiembre
http://blog.fortinet.com/enterprise-utm-is-not-a-myth/

* Unicorns, Pixies, and Enterprise UTM - 29 de septiembre de 2009
http://blogs.gartner.com/greg_young/2009/09/29/unicorns-pixies-and-enterprise-utm

* Gartner calls the Xie brothers Pixies and Fortinet a Unicorn - 29 de septiembre
http://www.stillsecureafteralltheseyears.com/ashimmy/2009/09/gartner-calls-the-xie-brothers-pixies-and-fortinet-a-unicorn.html

* Enterprise UTM - 4 de Octubre
http://threatchaos.com/2009/10/enterprise-utm/

* Enterprise UTM: When Bigfoot Videographers Attack! - 5 de octubre
http://blogs.gartner.com/adam-hils/2009/10/05/enterprise-utm-when-bigfoot-videographers-attack/

* Does religion blind our technology decisions? - 21 de octubre
http://blog.fortinet.com/does-religion-blind-our-technology-decisions/

Todos ellos ofrecen puntos de vista respetables. Todos ellos ofrecen (por supuesto) puntos a favor o en contra de un alcance convergente e integrado a la seguridad.

Las siguientes lineas van a expresar mi opinión personal. Claro, debo aclarar que como empleado de la compañía que inventó la seguridad integrada y convergente (Que en 2004 IDC llamó UTM, y se ha llamado así desde entonces) tengo mi opinión sesgada. Sin embargo, prometo ser claro y objetivo en mis siguientes puntos:

- La seguridad no ha parado de hacerse mas barata. Y esto mas que algo exclusivo del mercado de seguridad, es parte de lo que ocurre cuando un mercado madura y existen mas competidores, propuestas y una gama de clientes mas amplia. Cada vez es mayor la exigencia por ofrecer productos mejores a un precio menor. Los clientes lo piden y los fabricantes tienen que poner como parte de su ciclo de innovación, estrategias que les permitan ofrecer mayor valor ante economías que no tienen el presupuesto que existía años atras. Cuando estoy en conferencias, siempre pregunto "¿A quién de ustedes le subieron substancialmente el presupuesto este año?" Nadie levanta las manos...

- La seguridad no ha parado de evolucionar. Have 25 años no había virus en las PCs. Es mas, no había PCs. Sin mercado, no había antivirus. Hace 10 años no había un problema de SPAM acuciante. Sin mercado, no había AntiSpams. Hace 5 años la preocupación por fuga de información era poca. Sin mercado, no había DLPs. Cuando ha habido una necesidad, ha habido una respuesta también. Ante un mercado, hay un producto que atiende una necesidad. Y ese producto evoluciona para poder atender las demandas de los clientes o muere. La seguridad pues, ha tenido que evolucionar...

- La seguridad no ha parado de converger. Si volteamos la vista a 1999 (hace 10 años), teníamos compañías que hacían firewalls, vpns, calidad de servicio, antivirus, detección de intrusos, filtraje de contenido web, autenticación... muchas de ellas (si no es que todas) especializadas en solo una de esas cosas. Veamos el panorama actual: ¿Cuántas compañías al día de hoy tienen un portafolio de productos que solo cubre *uno* de los rubros arriba mencionados? - Las compañías de firewalls ofrecen VPN, QoS y otras cosas. Las de detección de intrusos ofrecen web content filters, las de antivirus ofrecen firewalls. Todo mundo quiere integrar (en una o muchas cajas, es lo de menos). "Hace mas con menos" es una exigencia en estos tiempos. Cuando pregunto en conferencias "¿A quién le pidieron hacer menos cosas este año con respecto al año pasado?" - Nadie levanta la mano.

- La seguridad no ha parado de mejorar en desempeño. Vean el portafolio de productos de los fabricantes de seguridad en red de hace 10 años. ¿Cuántos ofrecían productos con desempeños que no llegaban al Gigabit por segundo de throughput? - pocas. Hoy, ¿Cuántas compañías ofrecen un producto (o mas) con desmpeño de 10Gbps o mas? - hay que hacerlo, porque la seguridad no puede ser un cuello de botella. Cada nueva versiòn o producto, independientemente del fabricante, regularmente siempre trae una etiqueta con una mejora de desempeño.

Dadlo lo anterior, ¿Por qué el UTM ha tenido éxito y ha crecido tanto su mercado? - porque atiende a los puntos arriba mencionados: ha permitido a la seguridad hacerse mas económica, evolucionar mas rápido, converger (hacer mas con menos) e incrementar el desempeño.

¿Son las empresas de mediano o grande porte (el famoso "Enterprise"), organizaciones que no requieren mayor seguridad, ahorros en dinero, mejor desempeño o mayores capacidades con menos recursos? ¡En lo absoluto! - Organizaciones de todos tamaños han sido igualmente alcanzadas por el oleaje de la tan multicitada crisis, y en definitiva no han sido inmunes al impacto de ella. Ahorrar, consolidar y eficientarse son mensaje muy poderosos para el enterprise y es importante que entendamos estos drivers al momento que se piensa adoptar o renovar tecnología de seguridad.

¿Què hay de la tecnología "Best-of-Breed" ("Mejor en su clase") entonces? - Para mí es simple: En estos tiempos no hay tal cosa como "Tecnología mejor en su clase", sino mas bien tecnología que satisface mis necesidades mientras me permite alcanzar mis metas de negocio, cumpliendo con los objetivos de tiempo y costo en los proyectos. Si una tecnología me permite resolver mis problemas, mientras me hace mas eficiente, y además esto es algo que ya ha sido probado ¿Por qué no dar la oportunidad de evaluarlo?

Por las razones anteriores, el UTM no solo ha llegado para quedarse, sino que está aquí ofreciendo ya una propuesta de valor para organizaciones de todos los tamaños: desde un pequeño negocio familiar hasta multinacionales con alcance mundial.

¡Claro! - como todo, también en el UTM hay diferentes sabores y colores, y una vez que hemos decidido que la seguridad consolidada y convergente tiene sentido para nosotros, vale la pena que analicemos las diferentes propuestas con cuidado, pero esto ya es material para otro artículo.

Morbo, Ingenuidad e Ingeniería Social

Por: Martín Hoz (Fortinet) - Noviembre de 2009

Hace al rededor de 10 años, me tocó dar una pequeña charla dentro del marco del Día Internacional de la Seguridad en Cómputo (DISC) sobre ingenería social. Para prepararme, recuerdo haber leído lo que pude encontrar sobre el tema, pero una de las cosas que no pude localizar fué una definición clara y a falta de algo mejor, usé una lámina donde definía a la Ingeniería Social como la "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo", definición que fué inclusive citada un par de años mas tarde en un artículo de Mercé Molist, una periodista española que se ha dedicado ya por años a seguir el movimiento de hackers, crackers, similares y conexos en el mundo de habla hispana.

En aquellos años, el SPAM no era el problema que hoy es, la Web estaba relativamente poco extendida, la gente no se conocía en foros abiertos, "en el chat" o "el messenger", y por tanto, para hacer ingeniería social se necesitaba algo de ingenio, tanto para tramarla como para ejecutarla. Por ejemplo, si uno accedía a Internet vía un sistema Unix, VMS o similar, uno podría usar el protocolo "Talk" para entablar conversaciones con alguien de otro servidor, pero se sabía que ese "alguien" del otro lado de la lìnea realmente existía (en el ambiente académico, prevaleciente en los inicios de la expansión de Internet, tener una cuenta en un servidor involucraba demostrar la pertenencia a la institución dueña del servidor). Entrar a un foro tipo BBS involucraba cierta "autenticación" hacia el mundo real...

Hoy las cosas han cambiado: cualquiera puede tener uno o varios servidores del servicio que sea usando PCs en su casa, con anchos de banda y poder de cómputo que hace 10 o 15 años solo podían soñar organizaciones con presupuestos millonarios (en dólares americanos). La masificación ha sido buena porque ha acercado la tecnología a la gente y nos ha facilitado la vida, pero debemos recordar que algunas cosas no son en el mundo digital como lo son en el mundo real. Abajo algunas cosas

1) No todo lo escrito necesariamente es cierto. Muchos de nosotros crecimos con la idea de que si algo estaba escrito era verdad. "Papelito habla" reza un conocido refrán. Sin embargo, en la Internet no es así: el hecho de que alguien asevere algo (en un foro, en una página web, o en algun otro lado) no necesariamente implica que sea verdad, especialmente si no hay manera de validar que quien puso eso es una persona que en realidad existe. No todo lo escrito es necesariamente cierto.

2) El morbo es caro. ¿Cuántas veces ha sucedido una desgracia o un incidente en la localidad, y hemos recibido un mensaje que dice "haz click para ver el video exclusivo" de dicho incidente o desgracia? ¿Cuántas veces nos ha llegado un mensaje (por correo, messenger o en alguna red social como Facebook) diciendo que hagamos click para ver una fotografía chistosa, amarillista o hasta pornográfica de un amigo nuestro o de una celebridad? ¿Cuántas veces hemos recibido mensajes con "teorías de complot" para tal o cual suceso y nos mandan ir a algun lugar? - dar click en algun sitio así , puede se todo lo que necesita un atacante para instalar código que después nos haga la vida difícil: desde mas lenta la PC hasta el robo de nuestros datos... Caro es el morbo.

3) Nadie da cosas gratis. Nunca. Esto es verdad en el mundo real, pero por alguna razón hay gente que cree que en el mundo de Internet las cosas son diferentes. ¿Por qué seguimos recibiendo, aunque sea esporadicamente, mensajes diciendo que ganaremos dinero si reenviamos un correo a alguna dirección, o si hacemos click en algun lado...? - Ni las grandes compañías, ni los personajes famosos dan un beneficio a nadie sin promocionarlo en las vias "regulares" (noticieros, radio, televisión o sus páginas en Internet) puesto que la ganancia de ellos está en la cobertura y en dejar su marca en nuestras cabezas, esperando sean favorecidos con nuestra decisión de compra alguna vez. Pero no hay "ofertas secretas de dinero" porque eso no genera la masa crítica que se necesita para "recuperar" la inversión en publicidad. Pero hay gente que lo sigue creyendo. Cosas de gratis nadie da.

4) La ingenuidad cuesta. Si recibí un mensaje de una chica rusa que no tenía por qué haber conocido, muy guapa, diciendo que me conoció pero no me quiere decir dónde, me dice que está enamorada de mi y solo de mi, y le creo, estoy en problemas. Si recibí un mensaje de un abogado/banquero o el hijo/viuda/amigo de un dictador/empresario/presidente/líder de otro país, donde dejó una millonaria suma de dinero, y necesita de mi ayuda para poder tener ese dinero y yo me quedo con un buen porcentaje, y le creo, estoy en problemas. Cuando algo parece demasiado bueno para ser verdad, vale la pena cuestionarse ¿Cómo dieron conmigo? ¿Por qué a mí? ¿Qué garantías tengo de que sea verdad? y la mas importante ¿Cuánto arriesgo? - Que nos pidan datos personales o dinero, para después chantajearnos o defraudarnos, no es descabellado. Especialmente cuando hay gente que lucra con esto. Cuesta la ingenuidad.

5) La amistad virtual es peligrosa. Hace años, la gente no tenía redes sociales para comunicarse con sus amigos, pero conocías gente vía el IRC y vía sistemas tipo BBS. Con el auge de las redes sociales los messengers y demás, tener "2,000 amigos" es cosa de 2,000 clicks. Pero, ¿Conozco de alguna forma o de otra a la gente con la que tengo contacto? ¿Son amigos de alguien que conozco? ¿Puedo "autenticarlos" hacia la vida real? - Hay gente que es popular y efectivamente puede conocer 2,000 (o mas) personas en algun momento de su vida, pero conocer a alguien en línea, y hacerlos parte de mi vida sin las precauciones debidas, puede tener repercusiones no deseables. Peligrosa es la amistad virtual.

La Ingeniería Social, por desgracia, seguirá surtiendo efecto por mucho tiempo todavía. Mientras haya gente de buena voluntad que quiera ayudar sin cuestionar, mientras haya gente ingenua que no se pregunte el por qué de las cosas, mientras exista el morbo de ver algo que quizá sabemos no debíamos. La ingeniería social ataca el eslabón mas débil de toda la cadena: La gente. Y ataca de la gente la parte que nos hace humanos: nuestros sentimientos. Es una pelea difícil y por un buen rato quizá estemos mas del lado de perder, pero esperemos que la educación (propia, y de nosotros hacia nuestro círculo social) pueda ayudar a que nuestra estancia y convivencia en línea sea mas provechosa que peligrosa. A final de cuentas, estamos en este mundo solo de paso, no hay segundas partes, y mas vale que lo disfrutemos.

¡Solo el cambio permanece!

Por: Fernando Navarro (STITelco) - Mayo de 2009

El titulo de este artículo es referente a palabras de Heráclito, mejor conocido como “El Oscuro de Éfeso”, filosofo griego.

Hago referencia a lo anterior derivado de que en algunas ocasiones me he encontrado con personas que reclaman y reniegan, ya que creen que cuando compran un sistema de seguridad, éste va a ser eterno tan solo por haber hecho una gran inversión; por lo que en su mayoría NO quieren renovarse a las nuevas tecnologías.

¡Que horror GASTAR!, pero pongámonos a filosofar como Heráclito y remontémonos a esas fechas entre los últimos años del siglo VI y primeros del siglo V A.C.… ¡Uffff! ya llovió, se seco y de nuevo llovió: fíjense que desde entonces sabían que el cambio es INEVITABLE.

Bueno pues pensando en esto deberemos pensar en adoptar la visión optimista y consentir que cualquier cambio por pequeño que sea, es benéfico.

En TI siempre encontraremos una nueva versión ya sea por que se mejoró, se arregló, etc. y esto también sucede con la electrónica y si juntamos los dos; hardware y software encontraremos que de verdad ese cambio es INEVITABLE.

Recordemos también el artículo de Martín Hoz de Abril 2009 “Rápido y Furioso” eso también es un cambio y para este cambio se requiere otro cambio y eso implica adoptar las medidas de seguridad y crecerlas constantemente con nuevas medidas y funciones.

Así que INEVITABLE tan solo el cambio es permanente

miércoles, 1 de abril de 2009

“Rápido y Furioso”… con la nueva generación de ciudadanos de la red

Por: Martín Hoz (Fortinet) - Abril de 2009

El título de este post podría ser el apodo para los nuevos tipos de gusanos de Internet que atacan nuestras redes hoy día. Cada nuevo gusano o virus encuentra una manera mas astuta para diseminarse mas rápido que sus predecesores. Pero también el daño programado dentro de ese malware es potencialmente mas destructivo, innovando en ese sentido también.

¿Tiene esto una relación directa con la mayor potencia y rapidez de las computadoras en los escritorios y mayor ancho de banda disponible? ¡Ciertamente! Nosotros no estamos reinventando la rueda aquí. Pero hay otro factor que a veces no es tenido en cuenta: el crecimiento de la población de personas con acceso a Internet carentes de formación técnica. Personas que, sin saberlo, ayudan a la propagación del malware.

Tuve mi primera cuenta de Internet mas o menos en octubre de 1993. El ancho de banda era escaso, el poder de cómputo muy preciado, pero sobre todo; había que saber y comprender cómo hacer manualmente cosas que hoy se hacen con clicks: Codificar archivos binarios con UUCODE para pasarlos a archivos ASCII que pudieran ser enviados como datos adjuntos de correo electrónico. Hoy basta con hacer clic en él arhivo y ¡voilá! Está hecho. Usted tenía que saber cómo usar un cliente FTP para descargar archivos, usar Archie a buscarlo, y habría tenido que aprender a utilizar Veronica y Gopher para transferir los documentos.

Más tarde, cuando la Internet penetró en las organizaciones empresariales, hubo siempre algún tipo de políticas y o directrices que regulaban el uso adecuado de los recursos de cómputo y también educación hacia personal con acceso a Internet con respecto a lo que debía tener cuidado, a fin de mantener en buen funcionamiento de la operación de negocio(e incluso entonces, había infecciones de virus). Y luego tuvimos el acceso a Internet en casa: donde no se tiene ningún tipo de restricciones. Para bien y para mal ...

Personas que desconocen los detalles técnicos confían lo que se publica en una página web, no sabiendo que puede ser “phishing". La gente que desconoce los detalles técnicos confía en el contenido enviado (aparentemente) por un amigo via correo electrónico o vía messenger, sin darse cuenta que puede ser un viros propagándose o SPAM enviado por alguna otra persona personificando el amigo. A la gente le encanta el programa de árbol de Navidad que recibió de un amigo, sin saber que podría ser un programa de malware para convertir su PC en un zombie bajo el control de otra persona que puede estar a mil kilómetros de distancia. La gente obtiene un mensaje de correo electrónico que promete 10 millones de dólares de lo que parece ser una persona importante en África, o prometiendo establecer contacto con una persona atractiva (según foto anexa en el mensaje) del otro lado del mundo, y cuando la oferta se ve bien y parece legítima, las personas tienden a creer que sin preguntarse mas, sin preguntar, "¿hay algo escondido detrás de esto? "

Aún peor, hay personas con la experiencia técnica debida que a veces no toman las medidas adecuadas para protegerse a sí mismos. Cuando pregunto en foros, a colegas profesionales de la tecnología, si se echa un vistazo a los logs y hacen revisión de parches con frecuencia en sus equipos de casa , a menudo la respuesta es no. Se parchan los equipos de negocios, el laptop de la compañía, pero el de casa. Y sólo unos pocos leen los logs del sistema operativo de ese equipo...

Hoy tenemos la tecnología proactiva y correctiva para evitar y / o limpiar la mayoría de los daños tecnológicos que pueden producir los programas maliciosos. La velocidad es cada vez mayor para la captura de más (tanto en cantidad como en cobertura) malware en menos tiempo. Pero la tecnología no puede resolver todo por sí mismo, mientras sigamos olvidando la interacción humana.

Todos nosotros en la industria de seguridad de Internet estamos tratando de hacer algo al respecto. Necesitamos a todos en la comunidad de Internet para ayudar a lograr esto. Al igual que en el caso del calentamiento global, una persona puede hacer una gran diferencia

jueves, 12 de febrero de 2009

Entre colisiones

Por: Marcelo Mayorga (Fortinet) - Febrero de 2009

Leyendo un artículo sobre el concurso que se está llevando a cabo en busca de un nuevo algoritmo de hashing (An Algorithm with No Secrets) llamó mi atención la frase “… es imposible evitar las colisiones”. Algo muy cierto, pero que no siempre es expresado correctamente. En varias ocasiones he leído que un algoritmo de hashing para ser seguro no debe conducir a colisiones. Incluso, en un libro de redes muy reconocido podemos encontrar la frase “Nadie puede generar dos mensajes que den como resultado un mismo valor hash” y añade “…para que se cumpla esto, el resultado de la operación (el valor hash) debe ser de 128 bits, preferentemente mayor.” (¿?).

Lo cierto es que las colisiones son inherentes a todas las funciones de hashing. Esta afirmación, que puede parecer obvia para muchos, no lo fue para mi, y les propongo que intentemos demostrarla aunque más no sea de una forma un tanto informal.

Empecemos por definir qué es una función hashing y qué es una colisión.

Función hashing: Es una función que de forma eficiente procesa una cadena de cantidad arbitraria de bits, dando como resultado otra cadena de bits de tamaño fijo (llamado valor hash, fingerprint, message digest, etc.). Algunas acotaciones a esta definición:

  • Tienen la particularidad que el más mínimo cambioen la cadena de origen, incluso un bit,  produce un cambio “radical” en la cadena de salida.
  • La función es de una vía, es decir irreversible por definición. No se puede calcular el mensaje original a partir del valor hash.

Colisión: Colisión se llama cuando dos cadenas de tamaño arbitrario distintas dan como resultado un mismo valor hash al ser procesados por una misma función de hashing.

De acuerdo a estas definiciones, estamos en presencia de dos conjuntos y una relación entre ellos; 

  1. El conjunto de los mensajes planos posibles
  2. El conjunto de los valores hash posibles 
  3. La relación que es la función de hashing en si.

Sabemos en principio que la cantidad de elementos del conjunto de mensajes planos es infinita ya que es imposible cuantificar la cantidad de mensajes planos posibles. 

Por otro lado sabemos que la cantidad de elementos del conjunto de valores hash es finito por naturaleza. Los hashes son de tamaño fijo, es decir que si hablamos de MD5, nuestro conjunto de hashes tendrá un cardinal de 2128, para SHA-1 será de 2160, etc. 

En cuánto a la relación entre los conjuntos, conocemos de forma tácita datos muy importante. Sabemos que todo mensaje plano al ser procesado por una función de hashing da como resultado un único valor hash. Pareciera una obviedad, ¿no?. Expresado de otra forma; no existen mensajes planos que al ser procesador por una función de hashing no den como resultado un valor hash o den como resultado más de uno. 

Con esto hemos demostrado (muy informalmente) que toda función de hashing producirá eventualmente colisiones. Va de nuevo: Si todos los mensajes planos tienen como resultado un único valor hash (al ser procesados por una función de hashing) y el cardinal del conjunto de valores hash es menor al cardinal del conjunto de mensajes planos, entonces inevitablemente habrá casos en que asignaremos más de un mensaje plano a un mismo valor hash… o sea una colisión. Es más, puede parecer extraño, pero tendremos a lo sumo 2n elementos que no colisionan e infinitos que sí lo hacen. Esto es cierto para todos las funciones hashing existentes.

Ahora, sabiendo que para todas las funciones de hashing existen infinitas colisiones, sería bueno saber qué determina que una función de este tipo sea considerada robusta. De nuevo con bastante informalidad, podemos decir que las funciones de hashing deben:

  • Ser resistente a pre-imagen: Dado un valor hash, es computacionalmente impracticable encontrar el mensaje en texto plano que lo produce. Esto es; conocer el valor hash no ayuda a inferir qué lo produjo (no se puede utilizar ingeniería inversa).
  • Ser resistente a segunda pre-imagen: Dado un valor hash y su correspondiente mensaje en texto plano, es computacionalmente impracticable encontrar un segundo mensaje que dé como resultado el mismo valor hash. Es decir, conocer el valor hash y conocer el mensaje que lo produjo no aporta nada para encontrar un segundo mensaje que lleve al mismo resultado.
  • Resistencia a colisiones: Es computacionalmente impracticable encontrar dos textos planos cuales quiera que den como resultado un mismo hash. Es decir, que incluso teniendo la posibilidad de elegir los textos planos, no es tarea sencilla elegir dos que produzcan un mismo resultado.

En fin, en no mucho tiempo tendremos un nuevo algoritmo para funciones hashing como resultado de un concurso (lo mismo que sucediera con AES). De antemano sabemos que esa función seguramente no estará exenta de colisiones, pero también sabemos que no por eso será insegura.

lunes, 16 de junio de 2008

El costo de migración...

Por: Martín Hoz (Fortinet) - Junio de 2008

Hace unos días me fué solicitado para un proyecto particular, que apoyara generando un plan de trabajo para llevar a cabo la migración a grandes rasgos, de una tecnología existente por tecnología de Fortinet. Dado que no era la primera vez que me lo pedían, decidí dejar el proceso documentado y así quedó.

Entre los puntos obvios que decidí incluír en el plan fué la parte donde se revisa que la tecnología actual cumpla o no con las espectativas de la organización, así como las ventajas que la nueva tecnología (en este caso Fortinet) llevaba a la organización para poder dejar estas características activas. No podían falta por supuesto un análisis de redundancias, un análisis de vulnerabilidades sobre la infraestructura protegida, así como una matriz de pruebas en funcionalidad y capacidad.

Después de escribir el documento, me quedé pensando en cómo Fortinet fué un innovador en muchos de los aspectos, pero no solo tecnológicos, sino también de mercado. Fortinet propuso UTM justo cuando algunos grandeshabían encontrado problemas tratando de hacerlo realidad. Y sin embargo funcionó: al día de hoy la caja hace muy buen Firewall mas Antivirus mas IPS, mas otras cosas. Hubo innovación cuando las mismas características son soportadas exactamente en todas las cajas sin importar el tamaño: no todo mundo puede hacer esto, aun al día de hoy. También innovó con licenciamientos unificados: el UTM llevado de la tecnología al bolsillo, lo cual tiene mucho sentido al momento de la adquisición de tecnlogía. Virtualización unificada: Fortinet el único en ofrecer todas las tecnologías Virtualizadas como parte de la oferta estándar, sin costo adicional a través de VDOMs. Pero hay otro aspecto del cual se habla poco: la compatibilidad y facilidad de migración.

Hoy Fortinet dispone de una de las pocas cajas en el mercado que puede operar en modo transparente (en modo bridge) con prácticamente todas las funcionalidades: esto es algo que no todas las cajas del mercado pueden hacer y es sumamente importante al momento que se va a reemplazar una tecnología ¿por qué? - pues porque simplemente permite que la tecnología a reemplazar, sea cual sea, continúe operando y que poco a poco su funcionalidad vaya siendo migrada a la nueva caja, hasta que paulatinamente la caja original no tiene mayor sentido en la red. Otra de las cosas es que no todas las características tienen que ser activadas inicialmente y se puede ir selectivamente activando funcionalidad: igualmente de importante al momento de migraciones, puesto que permite ir activando las cosas punto a punto, dando lugar para pruebas y una paulatina puesta en operación del producto.

¿Y por qué esto de las migraciones es importante? - Sencillo: porque estamos en un momento donde muchas de las funcionalidades de seguridad se comienzan a volver commodity: ¿Cuántos tipos de dispositivo conocen que pueden ser firewall? ¿Cuántos hacen VPN? ¿Cuántos antivirus? - ¿Quién no tiene ya al menos un firewall y un antivirus en su organización? - y cuando la diferencia no está en el producto, la diferencia viene por el respaldo o el servicio. Y cuando la diferencia tampoco está en el servicio o el respaldo, viene por la satisfacción del mercado. Y un punto importante de la satisfacción del mercado es el costo. Desafortunadamente para el consumidor, la hacer una inversión en un cierto producto (especialmente si la inversión es grande) automáticamente está poniéndose también un candado a sí mismo, puesto que invierte no solo lo que cuesta el producto en sí, sino en capacitación de personal y desarrollo de procesos alrededor de ese producto, de tal manera que lo vuelve parte de su medio ambiente operativo y después se vuelve difícil de reemplazar: es por esto que las grandes organizaciones evalúan no solo la tecnología como tal, sino el tipo de relación a largo plazo que pueden construir con sus proveedores, puesto que se vuelven parte necesaria de su existencia en el largo plazo. Por eso tenemos compañías que siguen usando tecnologías de hace 10 y 15 años al día de hoy: no es fácil (y no es barato) hacer migraciones al último grito de la moda, aunque se quiera...

Entonces, cuando tenemos un producto que por sus eficiencias tecnológicas (como el hecho de que Fortinet pueda aglutinar en un solo equipo múltiples funcionalidades) es funcional y operativamente igual o superior a lo existente, pero mas barato en su licenciamiento; se vuelve atractivo. Pero para que sea completamente atractivo, tiene que ser fácil (entiéndase barato también) el poder ponerlo en lugar de lo que se tiene... Y cuando hoy tenemos marcas que son dominantes en cuanto a instalaciones que existían antes de que Fortinet naciera, el tener un producto que haga la vida mas fácil al momento de sustituir lo que sea que se tiene por Fortinet, hace mucho mas simple el que los potenciales compradores se decidan por él. Por esto digo que Fortinet fué innovador también en esto.

Todo lo anterior es sin mencionar las herramientas de conversión de configuraciones, pero de FortiConverter quizá hablemos en otra ocasión...

lunes, 26 de mayo de 2008

¿Bueno o Malo?

Por: Fernando Navarro (STI Telco) - Mayo de 2008

La mayoría de las empresas latinoamericanas aun no toman en serio la seguridad de sus comunicaciones e Internet.

En muchos lugares escuchamos de lo inseguro que es el Internet, que es igual de inseguro salir a la calle: uno nunca sabe cuándo pueda ocurrir una situación desagradable; pero es importante mencionar que debemos estar preparados y es parte de la experiencia y crecimiento del día a día.

¿A qué me refiero con estar preparado? Bueno pues a que desde pequeños nos enseñaron a que si nos acercamos al fuego nos podemos quemar, si jugamos con éste estamos más propensos a quemarnos. También nos enseñaron a que usáramos los cuchillos con cuidado y sólo hasta alcanzar una edad donde tuviésemos más habilidades. Otro ejemplo es el que nos dan al ayudarnos a cruzar la calle y nos obligan a voltear para revisar que no vengan carros, o qué mejor ejemplo cuando nos llevan a lavar los dientes para evitar las caries.

Bueno si no fuera por todos estos ejemplos del día a día y de nuestro crecimiento, no tendríamos las habilidades de protegernos.

Estas conductas deberíamos aplicarlas al uso del Internet, Y es que al entrar al mundo del Cyber-espacio o a la Cyber-carretera, deberemos estar preparados para afrontar los problemas que en ella se presentan.

La afirmación al referir que las empresas latinoamericanas no toman en serio la seguridad de las comunicaciones del Internet, está basada en que no conocen los problemas que esto representa y no toman en cuenta las sugerencias de protegerse antes de sufrir el problema, pero es de notar que sí saben que el Internet es y será una muy buena herramienta para crecer sus negocios y conseguir ofrecer sus servicios a más gente y empresas que lo requieran.

En el tiempo que tengo instalando y configurando redes para empresas de todo tipo, me he encontrado con diferentes estilos de pensar, y también con que los responsables no han profundizado en los diferentes temas que representa la seguridad. Como ejemplo les platico de algunos casos…

En una ocasión platicando con la gente de administración de una empresa me solicitaban la unificación de sus conexiones de Internet y para ellos esa era la prioridad más grande, dado que mucho de su negocio se realiza por este medio y una de sus quejas era la lentitud del mismo. Al plantearle al cliente un análisis de su utilización para saber si los usuarios utilizaban su red en algo mas que no fuera su negocio, me comentaron que era imposible que hiciesen mal uso de ésta. ya que sus usuarios se encontraban tan inmersos en su trabajo diario que era imposible y no era necesario. Después de insistir y de jugar una pequeña apuesta, el cliente accedió a que realizáramos este análisis, los resultados fueron 0 a 1 a favor de este escritor: En resumen, los usuarios se encontraban escuchando música y bajando la misma mientras trabajaban, cabe mencionar que los sistemas que se usan para bajar información son consumidores totales del acceso de Internet. También encontramos usuarios que mantenían conversaciones por largo tiempo y aquellos que en lugar de hacer su trabajo se encontraban viajando por páginas con triple X de reputación.

La pregunta surge, ¿Qué tiene que ver esto con la seguridad, si es más bien un caso de productividad…? bueno, la respuesta es muy sencilla: ¿Quién está seguro de que cuando bajas una canción por estos sistemas no estas bajando información que pueda apoderarse de tu computadora y en consecuencia de la red?, es importante señalar que los ciber criminales usan en particular las páginas de mala reputación así como los sitios mas visitados para implantar sus códigos que puedan apoderarse de sus computadoras.

Así como este caso se presentan muchos como los de correo electrónico, donde un servidor de correo mal instalado y mal protegido, queda vulnerable para que alguien más mande publicidad o propague sus correos con código malicioso o Virus, y que al poner seguridad bien planeada se empieza a rechazar a los que no tienen bien construidos sus sistemas, y al no recibir esos correos empiezan a relajar la seguridad de la misma para poder recibir al que no realizan su correcta configuración y por consecuencia empieza a ocurrir lo esperado.. ¡¡¡PROBLEMAS!!!

Otro caso más es el individuo que por ahorro, compra o instala software antivirus pirata y cree que esa será la solución a su problema sin pensar que esas soluciones no tendrán toda la capacidad o bien dejaran de funcionar y entonces… ¡¡¡PROBLEMAS!!!!

A final de cuentas, no se tiene la costumbre de contratar a personal especializado y con función especifica para atender la seguridad de la empresa en cuestión de las redes o TI y mucho menos están acostumbrados en contratar y pagar los servicios de empresas y consultores en seguridad. De hecho, en la experiencia propia, de 100% de empresas visitadas solo 1 tiene contratado a personal y del 100% de estas el 99% no cuentan con políticas especificas de seguridad, amen de que sea instalar el antivirus en sus maquinas.

Un punto que se les debe aclarar es que para asegurar la navegación en Internet, se deben de conocer los diferentes puntos de vulnerabilidad ya que los ataques cambiaron y entonces debemos de aplicar un COCKTAIL de seguridad que cumpla por lo menos con:

Anti Vírus
Anti Malware
Filtrado de páginas de Internet
Protección y detección de intrusión
Filtrado de correo SPAM

¡Aah! y el viejo y muy importante mecanismo al que la mayoría no le pone atención: el RESPALDO.

Y lo nuevo e importante, es el que los usuarios entiendan como cruzar la carretera del Internet vigilando que no vengan problemas a atropellarlos.

Algo de lo que me he dado cuenta constantemente, y hablo del 100% de las empresas a las que he visitado, es que si tienen una problemática siempre buscan quién fue para despedirlo, y nunca buscan primero concienciar al personal de las diferentes amenazas en el Internet o bien qué necesitan para prevenir estas conductas o vulnerabilidades. Ante este panorama, la pregunta crucial es ¿será por dinero?, ¿será por tiempo?, ¿será por desconocimiento?, En la inmensa mayoría de los casos a los que me he enfrentado es que el encargado de sistemas, administrador o cualquier nombre de puesto que tenga, minimiza el caso y trata de ahorrar con otras soluciones, sin evaluar el costo que tiene el perder información o dinero por no realizar las mejores prácticas de seguridad o por no reconocer que necesita ayuda ó soporte de un especialista. De todos modos estos puntos deberán de evaluarlos las empresas. Pero de lo que sí estoy seguro es de que Zapatero a sus Zapatos y es que si existen personas y empresas especializadas o especializándose constantemente en este tema debiese de recurrirse a estas. Y es que es fácil pensar en que si tenemos que pagar impuestos recurrimos a un contador, si nos duele la muela recurrimos a un dentista y etc., etc.

Hablando de casos reales nos enteramos en los periódicos de los fraudes que existen a cuenta habientes bancarios por robo de dinero, ¿de cuántos casos no nos enteramos por que no se denuncian?, Esto no es para que adopten al Internet como algo malo, es para que busquen informarse de los ataques estructurados y se prevengan.

Si bien sabemos que tener sexo seguro es cuando usamos un preservativo de la manera correcta o no tenemos sexo; de la misma manera debiéramos usar el Internet, con lo necesario para navegar seguros y saberlo utilizar, porque como el preservativo: si lo rompemos, fallamos. Si lo guardamos en el zapato, fallamos. O si lo reutilizamos, fallamos. De la misma manera deberemos utilizar los sistemas de seguridad para el Internet y qué mejor que usar los sistemas especializados llamados UTM.

También, no nos dejemos engañar o mal aconsejar con el amigo que dice “no pasa nada”. Tomemos en serio el tiempo para asesorarnos y sobre todo con la empresa que se comprometa a entender su operación y de esa manera aplicar la seguridad.

Un asunto que me gustara platicar en otra ocasión es como los ciber criminales se apoderan de nuestras infraestructuras para vender sus productos o atacar a otros sin que les cueste, y mientras nosotros perdemos ya que no podemos usar los servicios que compramos o rentamos.

¡Que tengan un seguro y feliz viaje por la Internet!

miércoles, 7 de mayo de 2008

Verde

Por: Leandro Werder (Fortinet) - Maio de 2008

Como um bom brasileiro que ama futebol, fiquei entusiasmado com a conquista do Campeonato Paulista pelo meu “Verdão” domingo passado e hoje resolvi falar algo diferente neste blog de segurança, gostaria de falar sobre o VERDE.




Vocês devem estar se perguntando qual a relação da cor verde com segurança da informação, na verdade quando disse que iria comentar sobre o verde não quis falar sobre a cor nem mesmo sobre o grande time do Palmeiras ;) quis dizer que queria comentar sobre nosso meio ambiente e ele realmente tem haver com segurança. (Uma descoberta que tive recentemente ao acaso...).

Meus companheiros engenheiros da Fortinet esses dias entraram em uma breve discussão sadia, por e-mail, sobre como nossos produtos podem ajudar a proteger o meio ambiente, fiquei super feliz com discussão já que particularmente considero-me uma pessoa que está sempre tentando ajudar a manter o “verde vivo” (tento pelo menos fazer o mínimo como conservar água, reciclagem de lixo em minha residência, de maneira nenhuma jogar lixo nas ruas entre outras contribuições bem minúsculas, mas que todos deveriam estar habituados a fazer).


Voltando ao mundo de segurança, eu achei interessante alguns pontos observados por um de nossos engenheiros do Japão e sua discussão com nosso pessoal de desenvolvimento de produtos, onde ao final da mesma a conclusão foi que nunca a Fortinet quis se posicionar como a empresa “mais amiga do meio ambiente”, mas chegamos a uma simples equação onde utilizar UTM e também as propriedades de virtualização dos nossos appliances significa menos “caixas” no datacenter e conseqüentemente mais eficiente o uso do hardware com menor consumo de energia (tanto para as caixas como ares-condicionados, entre outros...) e com isso temos em geral a redução de pegadas de carbono.

Realmente interessante o pensamento e a discussão, chegando até mesmo a ser comentado que essa redução no impacto ambiental já é feito durante a manufatura, pois produzimos menos “caixas” para atender um enorme número de soluções de segurança.

Deixa-me feliz saber que hoje as empresas americanas têm essa preocupação sim, e gostaria que cada vez mais os consumidores (nós) utilizassem o impacto ambiental como um fator de escolha de nossos produtos consumidos.


martes, 6 de mayo de 2008

Software, piratería y sociedad.

Por: Francisco del Río (Cero Uno Software) - Mayo de 2008

La cada vez más común costumbre de eliminar lo más posible los artefactos físicos de las soluciones de software, desde manuales de usuario hasta cajas, candados y certificados de autenticidad, en aras de los “bajos costos de producción”; ha contribuido a la fácil reproducción de todos lo elementos que componen las soluciones. Esto ha provocando en el usuario una cada vez más débil sensación de pertenencia e identificación hacia su adquisición, acompañadas de una casi inexistente sensación de culpabilidad ante la copia, compra, venta y distribución de las soluciones de manera ilegítima.

Ante la disminución de los componentes materiales debido a las supuestas ventajas de lo “virtual”, vemos la rematerialización del software reencarnando en “Appliances” de todos tipos, que se adaptan de manera mas exacta a las expectativas de los consumidores de adquirir algo que los haga sentirse “dueños” de algo que se siente y toca, al mas puro estilo de las mas primitivas transacciones comerciales. La dificultad de hurto de componentes físicos hace mas atractiva su adquisición por parte de los consumidores y hace remarcables sus ventajas respecto soluciones “bajadas” de sitios WEB con características similares, fácilmente crackeables y distribuibles.

Como efecto colateral de sus propias acciones al eliminar componentes físicos, el fabricante de software se convierte en victima de si mismo; influyendo e impulsando a la sociedad a la aparente destrucción de su industria, promoviendo la piratería al hacerla mas fácil de realizar.

Lo que destruye a algunos hace crecer a otros, los gigantes crecen y los pequeños se empequeñecen más. Ante la facilidad de reproducción y la baja sensación de culpabilidad, la base instalada de software “gratuito” de gigantes es cada vez mas alta. De esta enorme base instalada un porcentaje es “forzado” por las autoridades a regularizarse, otros por miedo a represalias deciden hacerlo y algunos pocos mas por convicción propia se ponen “al corriente”, representado ingresos de cantidades obscenas anuales, dando entrada en el planeta a algunos de los millonarios del “top ten” de Forbes.

El efecto general resumido es que los nuevos emprendedores de software casi de manera inevitablemente serán víctimas de la piratería, disminuyendo sus ingresos de manera alarmante, es muy probable en un periodo corto de tiempo sus aires emprendedores de vean coartados por los malos hábitos de su mercado meta.

Solo algunos pocos más vivos subsisten al reto “materializando” las soluciones y evitando los efectos colaterales de la “virtualización”.

viernes, 18 de abril de 2008

Mis novias Rusas y los Spammers

Por: Martín Hoz (Fortinet) - Abril de 2008


Esta es la historia de dos mensajes recibidos en el buzón de correo electrónico de un usuario cualquiera de Internet...


*** Primer Mensaje (Febrero 23 de 2008) recibido por el usuario:
"My name is Oksana. To me of 31 years. . I saw your structure on a site, and you interested me. And I have decided to write only to you!"
(el mensaje es mas largo y continúa...)

Ahora la traducción: "Mi nombre es Oksana. A mi de 31 años (¿?). Vi tu estructura en un site (¿?) y me interesaste. He decidido escribirte solo a tí!".

Anexa la foto de una chica luciendo una blusa verde, abrazando a un oso rosado y con una gorra de baseball color rosa también.





*** Segundo Mensaje (Abril 16 de 2008)

"Me llamo Alena! - Mi amiga ha conocido el hombre con la ayuda de un sitio. Aquello el hombre ha dicho que hay un hombre que quiere conocer también la mujer rusa y ha dado a mi amiga tu dirección del e-mail. Pero aquello el hombre, que ha dado tu dirección del e-mail pidió que diga nunca su nombre, como llaman y donde él vive. Por eso no diré a tí el nombre de esto del hombre. No sé había esto la verdad o no, puedes ser no sabes esto el hombre. Pero ahora escribimos uno a otro y este principal. Quero conocer siempre con extranjero por el hombre, porque fui desengañada por los hombres rusos."
(el mensaje es mas largo y continúa...)

Anexa la foto de una chica rubia, con vestido rosa. Podría ser rusa o no, pero eso no importa... parece bonita.




*** Posible conclusión rápida de usuario que recibe estos mensajes...
¡Qué suertudo soy! - ¡Me escriben chicas rusas guapas y solo a mí! Creo que soy irresistible para las mujeres rusas, dado que se interesaron por un mexicanote como yo (morenito, feo y panzón)... debería ir a Rusia a levantar mi autoestima... :-)

*** Análisis a profundidad
Pero, un momento. Veamos...
  • ¿Por qué me eligen a mí?
  • ¿Por qué el mismo mensaje me llega varias veces casi al mismo tiempo?
  • ¿Por qué si la chica se llama "Oksana" o "Alena" el correo electrónico del remitente no dice "Oksana" o "Alena"?
  • ¿Por qué me piden todos los correos responder a "medssestra@gmail.com" en el caso de Alena y a "oksanagirl1977@gmail.com" en el caso de Oksana?
  • ¿Por qué todos los correos que me llegan con el mismo texto, tienen diferentes cosas marcadas en el "subject" o "asunto" del mensaje electrónico?
  • Una vez mas ¿por qué yo?

*** Las respuestas
No hay realmente una chica rusa detrás de estos mensajes. No hay chica. Es mas quizá ni haya humano. Es simplemente "alguien" haciendo "algo", usando ingeniería social, sabiendo que "algun internauta" que esté legítimamente interesado y que sea lo suficientemente ingenuo responda... y entonces alguien se quede con mi dirección de correo, sabiendo que pertenece a un usuario legítimo.

Esta es una vez mas una mezcla de ingeniería social con un desesperado intento por obtener direcciones de correo legítimas, para poder vender bases de datos a gente que desee enviar publicidad...es decir, mas SPAM. O al menos, eso es lo que veo yo en primera instancia. ¿Qué mas podría ser? Vía los encabezados del mensaje (donde está la información de quién y cómo envía el mensaje, por dónde ha pasado y a quién va dirigido) capturar direcciones IP e investigar potenciales servidores de correo sin protección, para poder ser utilizarlos como fuentes de mas ataques. Quizá investigar direcciones IP para intentar un ataque mas dirigido. ¿Qué mas puede ser? - Quizá las imágenes en sí contenían algun tipo de ataque dirigido contra el usuario para explotar alguna vulnerabilidad en el browser o en el visor de imágenes de las estaciones de trabajo sin protección perimetral y sin parches. ¿Alguna otra cosa? - Quizá enviar información oculta mediante esteganografía... y ahí pueden sumarle mas cosas, desde las completamente coherentes hasta las completamente descabelladas, pero técnicamente viables o al menos potencialmente posibles.

¿La cura? - Lo de siempre: educación. Usar un poco el sentido común (aunque dicen por ahí que éste es el menos comun de los sentidos) y preguntarnos ¿qué tan factible es que sea esto verdad? - Usar la lógica ante estas situaciones, y como ocurre en la vida real, simplemente no quedarnos callados y "denunciar" platicando de esto con amigos y conocidos (sobre todo aquellos que usan una computadora pero no son versados en seguridad en cómputo), escribiendo sobre esto, alertando cuando sea posible hacerlo... En resumen: Educando...

Internet está metido en nuestra cotidianeidad, querámoslo o no. Desde el trabajo y la escuela hasta el hogar. Mientras mas educados sean los usuarios y mas gente esté trabajando en tener un mejor Internet, y nos comportemos todos como buenos "ciudadanos de la red", mejor será el futuro para todos en este medio, tan necesario en nuestros días para tantas cosas. ...