Por: Martín Hoz (Fortinet) - Noviembre de 2009
En las semanas pasadas, hubo una "guerra de posts" a favor y en contra de si UTM tenía o no lugar en las empresas. Aquí la lista de posts por orden cronológico:
* Enterprise UTM is not a myth - 28 de septiembre
http://blog.fortinet.com/enterprise-utm-is-not-a-myth/
* Unicorns, Pixies, and Enterprise UTM - 29 de septiembre de 2009
http://blogs.gartner.com/greg_young/2009/09/29/unicorns-pixies-and-enterprise-utm
* Gartner calls the Xie brothers Pixies and Fortinet a Unicorn - 29 de septiembre
http://www.stillsecureafteralltheseyears.com/ashimmy/2009/09/gartner-calls-the-xie-brothers-pixies-and-fortinet-a-unicorn.html
* Enterprise UTM - 4 de Octubre
http://threatchaos.com/2009/10/enterprise-utm/
* Enterprise UTM: When Bigfoot Videographers Attack! - 5 de octubre
http://blogs.gartner.com/adam-hils/2009/10/05/enterprise-utm-when-bigfoot-videographers-attack/
* Does religion blind our technology decisions? - 21 de octubre
http://blog.fortinet.com/does-religion-blind-our-technology-decisions/
Todos ellos ofrecen puntos de vista respetables. Todos ellos ofrecen (por supuesto) puntos a favor o en contra de un alcance convergente e integrado a la seguridad.
Las siguientes lineas van a expresar mi opinión personal. Claro, debo aclarar que como empleado de la compañía que inventó la seguridad integrada y convergente (Que en 2004 IDC llamó UTM, y se ha llamado así desde entonces) tengo mi opinión sesgada. Sin embargo, prometo ser claro y objetivo en mis siguientes puntos:
- La seguridad no ha parado de hacerse mas barata. Y esto mas que algo exclusivo del mercado de seguridad, es parte de lo que ocurre cuando un mercado madura y existen mas competidores, propuestas y una gama de clientes mas amplia. Cada vez es mayor la exigencia por ofrecer productos mejores a un precio menor. Los clientes lo piden y los fabricantes tienen que poner como parte de su ciclo de innovación, estrategias que les permitan ofrecer mayor valor ante economías que no tienen el presupuesto que existía años atras. Cuando estoy en conferencias, siempre pregunto "¿A quién de ustedes le subieron substancialmente el presupuesto este año?" Nadie levanta las manos...
- La seguridad no ha parado de evolucionar. Have 25 años no había virus en las PCs. Es mas, no había PCs. Sin mercado, no había antivirus. Hace 10 años no había un problema de SPAM acuciante. Sin mercado, no había AntiSpams. Hace 5 años la preocupación por fuga de información era poca. Sin mercado, no había DLPs. Cuando ha habido una necesidad, ha habido una respuesta también. Ante un mercado, hay un producto que atiende una necesidad. Y ese producto evoluciona para poder atender las demandas de los clientes o muere. La seguridad pues, ha tenido que evolucionar...
- La seguridad no ha parado de converger. Si volteamos la vista a 1999 (hace 10 años), teníamos compañías que hacían firewalls, vpns, calidad de servicio, antivirus, detección de intrusos, filtraje de contenido web, autenticación... muchas de ellas (si no es que todas) especializadas en solo una de esas cosas. Veamos el panorama actual: ¿Cuántas compañías al día de hoy tienen un portafolio de productos que solo cubre *uno* de los rubros arriba mencionados? - Las compañías de firewalls ofrecen VPN, QoS y otras cosas. Las de detección de intrusos ofrecen web content filters, las de antivirus ofrecen firewalls. Todo mundo quiere integrar (en una o muchas cajas, es lo de menos). "Hace mas con menos" es una exigencia en estos tiempos. Cuando pregunto en conferencias "¿A quién le pidieron hacer menos cosas este año con respecto al año pasado?" - Nadie levanta la mano.
- La seguridad no ha parado de mejorar en desempeño. Vean el portafolio de productos de los fabricantes de seguridad en red de hace 10 años. ¿Cuántos ofrecían productos con desempeños que no llegaban al Gigabit por segundo de throughput? - pocas. Hoy, ¿Cuántas compañías ofrecen un producto (o mas) con desmpeño de 10Gbps o mas? - hay que hacerlo, porque la seguridad no puede ser un cuello de botella. Cada nueva versiòn o producto, independientemente del fabricante, regularmente siempre trae una etiqueta con una mejora de desempeño.
Dadlo lo anterior, ¿Por qué el UTM ha tenido éxito y ha crecido tanto su mercado? - porque atiende a los puntos arriba mencionados: ha permitido a la seguridad hacerse mas económica, evolucionar mas rápido, converger (hacer mas con menos) e incrementar el desempeño.
¿Son las empresas de mediano o grande porte (el famoso "Enterprise"), organizaciones que no requieren mayor seguridad, ahorros en dinero, mejor desempeño o mayores capacidades con menos recursos? ¡En lo absoluto! - Organizaciones de todos tamaños han sido igualmente alcanzadas por el oleaje de la tan multicitada crisis, y en definitiva no han sido inmunes al impacto de ella. Ahorrar, consolidar y eficientarse son mensaje muy poderosos para el enterprise y es importante que entendamos estos drivers al momento que se piensa adoptar o renovar tecnología de seguridad.
¿Què hay de la tecnología "Best-of-Breed" ("Mejor en su clase") entonces? - Para mí es simple: En estos tiempos no hay tal cosa como "Tecnología mejor en su clase", sino mas bien tecnología que satisface mis necesidades mientras me permite alcanzar mis metas de negocio, cumpliendo con los objetivos de tiempo y costo en los proyectos. Si una tecnología me permite resolver mis problemas, mientras me hace mas eficiente, y además esto es algo que ya ha sido probado ¿Por qué no dar la oportunidad de evaluarlo?
Por las razones anteriores, el UTM no solo ha llegado para quedarse, sino que está aquí ofreciendo ya una propuesta de valor para organizaciones de todos los tamaños: desde un pequeño negocio familiar hasta multinacionales con alcance mundial.
¡Claro! - como todo, también en el UTM hay diferentes sabores y colores, y una vez que hemos decidido que la seguridad consolidada y convergente tiene sentido para nosotros, vale la pena que analicemos las diferentes propuestas con cuidado, pero esto ya es material para otro artículo.
sábado, 21 de noviembre de 2009
Morbo, Ingenuidad e Ingeniería Social
Por: Martín Hoz (Fortinet) - Noviembre de 2009
Hace al rededor de 10 años, me tocó dar una pequeña charla dentro del marco del Día Internacional de la Seguridad en Cómputo (DISC) sobre ingenería social. Para prepararme, recuerdo haber leído lo que pude encontrar sobre el tema, pero una de las cosas que no pude localizar fué una definición clara y a falta de algo mejor, usé una lámina donde definía a la Ingeniería Social como la "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo", definición que fué inclusive citada un par de años mas tarde en un artículo de Mercé Molist, una periodista española que se ha dedicado ya por años a seguir el movimiento de hackers, crackers, similares y conexos en el mundo de habla hispana.
En aquellos años, el SPAM no era el problema que hoy es, la Web estaba relativamente poco extendida, la gente no se conocía en foros abiertos, "en el chat" o "el messenger", y por tanto, para hacer ingeniería social se necesitaba algo de ingenio, tanto para tramarla como para ejecutarla. Por ejemplo, si uno accedía a Internet vía un sistema Unix, VMS o similar, uno podría usar el protocolo "Talk" para entablar conversaciones con alguien de otro servidor, pero se sabía que ese "alguien" del otro lado de la lìnea realmente existía (en el ambiente académico, prevaleciente en los inicios de la expansión de Internet, tener una cuenta en un servidor involucraba demostrar la pertenencia a la institución dueña del servidor). Entrar a un foro tipo BBS involucraba cierta "autenticación" hacia el mundo real...
Hoy las cosas han cambiado: cualquiera puede tener uno o varios servidores del servicio que sea usando PCs en su casa, con anchos de banda y poder de cómputo que hace 10 o 15 años solo podían soñar organizaciones con presupuestos millonarios (en dólares americanos). La masificación ha sido buena porque ha acercado la tecnología a la gente y nos ha facilitado la vida, pero debemos recordar que algunas cosas no son en el mundo digital como lo son en el mundo real. Abajo algunas cosas
1) No todo lo escrito necesariamente es cierto. Muchos de nosotros crecimos con la idea de que si algo estaba escrito era verdad. "Papelito habla" reza un conocido refrán. Sin embargo, en la Internet no es así: el hecho de que alguien asevere algo (en un foro, en una página web, o en algun otro lado) no necesariamente implica que sea verdad, especialmente si no hay manera de validar que quien puso eso es una persona que en realidad existe. No todo lo escrito es necesariamente cierto.
2) El morbo es caro. ¿Cuántas veces ha sucedido una desgracia o un incidente en la localidad, y hemos recibido un mensaje que dice "haz click para ver el video exclusivo" de dicho incidente o desgracia? ¿Cuántas veces nos ha llegado un mensaje (por correo, messenger o en alguna red social como Facebook) diciendo que hagamos click para ver una fotografía chistosa, amarillista o hasta pornográfica de un amigo nuestro o de una celebridad? ¿Cuántas veces hemos recibido mensajes con "teorías de complot" para tal o cual suceso y nos mandan ir a algun lugar? - dar click en algun sitio así , puede se todo lo que necesita un atacante para instalar código que después nos haga la vida difícil: desde mas lenta la PC hasta el robo de nuestros datos... Caro es el morbo.
3) Nadie da cosas gratis. Nunca. Esto es verdad en el mundo real, pero por alguna razón hay gente que cree que en el mundo de Internet las cosas son diferentes. ¿Por qué seguimos recibiendo, aunque sea esporadicamente, mensajes diciendo que ganaremos dinero si reenviamos un correo a alguna dirección, o si hacemos click en algun lado...? - Ni las grandes compañías, ni los personajes famosos dan un beneficio a nadie sin promocionarlo en las vias "regulares" (noticieros, radio, televisión o sus páginas en Internet) puesto que la ganancia de ellos está en la cobertura y en dejar su marca en nuestras cabezas, esperando sean favorecidos con nuestra decisión de compra alguna vez. Pero no hay "ofertas secretas de dinero" porque eso no genera la masa crítica que se necesita para "recuperar" la inversión en publicidad. Pero hay gente que lo sigue creyendo. Cosas de gratis nadie da.
4) La ingenuidad cuesta. Si recibí un mensaje de una chica rusa que no tenía por qué haber conocido, muy guapa, diciendo que me conoció pero no me quiere decir dónde, me dice que está enamorada de mi y solo de mi, y le creo, estoy en problemas. Si recibí un mensaje de un abogado/banquero o el hijo/viuda/amigo de un dictador/empresario/presidente/líder de otro país, donde dejó una millonaria suma de dinero, y necesita de mi ayuda para poder tener ese dinero y yo me quedo con un buen porcentaje, y le creo, estoy en problemas. Cuando algo parece demasiado bueno para ser verdad, vale la pena cuestionarse ¿Cómo dieron conmigo? ¿Por qué a mí? ¿Qué garantías tengo de que sea verdad? y la mas importante ¿Cuánto arriesgo? - Que nos pidan datos personales o dinero, para después chantajearnos o defraudarnos, no es descabellado. Especialmente cuando hay gente que lucra con esto. Cuesta la ingenuidad.
5) La amistad virtual es peligrosa. Hace años, la gente no tenía redes sociales para comunicarse con sus amigos, pero conocías gente vía el IRC y vía sistemas tipo BBS. Con el auge de las redes sociales los messengers y demás, tener "2,000 amigos" es cosa de 2,000 clicks. Pero, ¿Conozco de alguna forma o de otra a la gente con la que tengo contacto? ¿Son amigos de alguien que conozco? ¿Puedo "autenticarlos" hacia la vida real? - Hay gente que es popular y efectivamente puede conocer 2,000 (o mas) personas en algun momento de su vida, pero conocer a alguien en línea, y hacerlos parte de mi vida sin las precauciones debidas, puede tener repercusiones no deseables. Peligrosa es la amistad virtual.
La Ingeniería Social, por desgracia, seguirá surtiendo efecto por mucho tiempo todavía. Mientras haya gente de buena voluntad que quiera ayudar sin cuestionar, mientras haya gente ingenua que no se pregunte el por qué de las cosas, mientras exista el morbo de ver algo que quizá sabemos no debíamos. La ingeniería social ataca el eslabón mas débil de toda la cadena: La gente. Y ataca de la gente la parte que nos hace humanos: nuestros sentimientos. Es una pelea difícil y por un buen rato quizá estemos mas del lado de perder, pero esperemos que la educación (propia, y de nosotros hacia nuestro círculo social) pueda ayudar a que nuestra estancia y convivencia en línea sea mas provechosa que peligrosa. A final de cuentas, estamos en este mundo solo de paso, no hay segundas partes, y mas vale que lo disfrutemos.
Hace al rededor de 10 años, me tocó dar una pequeña charla dentro del marco del Día Internacional de la Seguridad en Cómputo (DISC) sobre ingenería social. Para prepararme, recuerdo haber leído lo que pude encontrar sobre el tema, pero una de las cosas que no pude localizar fué una definición clara y a falta de algo mejor, usé una lámina donde definía a la Ingeniería Social como la "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo", definición que fué inclusive citada un par de años mas tarde en un artículo de Mercé Molist, una periodista española que se ha dedicado ya por años a seguir el movimiento de hackers, crackers, similares y conexos en el mundo de habla hispana.
En aquellos años, el SPAM no era el problema que hoy es, la Web estaba relativamente poco extendida, la gente no se conocía en foros abiertos, "en el chat" o "el messenger", y por tanto, para hacer ingeniería social se necesitaba algo de ingenio, tanto para tramarla como para ejecutarla. Por ejemplo, si uno accedía a Internet vía un sistema Unix, VMS o similar, uno podría usar el protocolo "Talk" para entablar conversaciones con alguien de otro servidor, pero se sabía que ese "alguien" del otro lado de la lìnea realmente existía (en el ambiente académico, prevaleciente en los inicios de la expansión de Internet, tener una cuenta en un servidor involucraba demostrar la pertenencia a la institución dueña del servidor). Entrar a un foro tipo BBS involucraba cierta "autenticación" hacia el mundo real...
Hoy las cosas han cambiado: cualquiera puede tener uno o varios servidores del servicio que sea usando PCs en su casa, con anchos de banda y poder de cómputo que hace 10 o 15 años solo podían soñar organizaciones con presupuestos millonarios (en dólares americanos). La masificación ha sido buena porque ha acercado la tecnología a la gente y nos ha facilitado la vida, pero debemos recordar que algunas cosas no son en el mundo digital como lo son en el mundo real. Abajo algunas cosas
1) No todo lo escrito necesariamente es cierto. Muchos de nosotros crecimos con la idea de que si algo estaba escrito era verdad. "Papelito habla" reza un conocido refrán. Sin embargo, en la Internet no es así: el hecho de que alguien asevere algo (en un foro, en una página web, o en algun otro lado) no necesariamente implica que sea verdad, especialmente si no hay manera de validar que quien puso eso es una persona que en realidad existe. No todo lo escrito es necesariamente cierto.
2) El morbo es caro. ¿Cuántas veces ha sucedido una desgracia o un incidente en la localidad, y hemos recibido un mensaje que dice "haz click para ver el video exclusivo" de dicho incidente o desgracia? ¿Cuántas veces nos ha llegado un mensaje (por correo, messenger o en alguna red social como Facebook) diciendo que hagamos click para ver una fotografía chistosa, amarillista o hasta pornográfica de un amigo nuestro o de una celebridad? ¿Cuántas veces hemos recibido mensajes con "teorías de complot" para tal o cual suceso y nos mandan ir a algun lugar? - dar click en algun sitio así , puede se todo lo que necesita un atacante para instalar código que después nos haga la vida difícil: desde mas lenta la PC hasta el robo de nuestros datos... Caro es el morbo.
3) Nadie da cosas gratis. Nunca. Esto es verdad en el mundo real, pero por alguna razón hay gente que cree que en el mundo de Internet las cosas son diferentes. ¿Por qué seguimos recibiendo, aunque sea esporadicamente, mensajes diciendo que ganaremos dinero si reenviamos un correo a alguna dirección, o si hacemos click en algun lado...? - Ni las grandes compañías, ni los personajes famosos dan un beneficio a nadie sin promocionarlo en las vias "regulares" (noticieros, radio, televisión o sus páginas en Internet) puesto que la ganancia de ellos está en la cobertura y en dejar su marca en nuestras cabezas, esperando sean favorecidos con nuestra decisión de compra alguna vez. Pero no hay "ofertas secretas de dinero" porque eso no genera la masa crítica que se necesita para "recuperar" la inversión en publicidad. Pero hay gente que lo sigue creyendo. Cosas de gratis nadie da.
4) La ingenuidad cuesta. Si recibí un mensaje de una chica rusa que no tenía por qué haber conocido, muy guapa, diciendo que me conoció pero no me quiere decir dónde, me dice que está enamorada de mi y solo de mi, y le creo, estoy en problemas. Si recibí un mensaje de un abogado/banquero o el hijo/viuda/amigo de un dictador/empresario/presidente/líder de otro país, donde dejó una millonaria suma de dinero, y necesita de mi ayuda para poder tener ese dinero y yo me quedo con un buen porcentaje, y le creo, estoy en problemas. Cuando algo parece demasiado bueno para ser verdad, vale la pena cuestionarse ¿Cómo dieron conmigo? ¿Por qué a mí? ¿Qué garantías tengo de que sea verdad? y la mas importante ¿Cuánto arriesgo? - Que nos pidan datos personales o dinero, para después chantajearnos o defraudarnos, no es descabellado. Especialmente cuando hay gente que lucra con esto. Cuesta la ingenuidad.
5) La amistad virtual es peligrosa. Hace años, la gente no tenía redes sociales para comunicarse con sus amigos, pero conocías gente vía el IRC y vía sistemas tipo BBS. Con el auge de las redes sociales los messengers y demás, tener "2,000 amigos" es cosa de 2,000 clicks. Pero, ¿Conozco de alguna forma o de otra a la gente con la que tengo contacto? ¿Son amigos de alguien que conozco? ¿Puedo "autenticarlos" hacia la vida real? - Hay gente que es popular y efectivamente puede conocer 2,000 (o mas) personas en algun momento de su vida, pero conocer a alguien en línea, y hacerlos parte de mi vida sin las precauciones debidas, puede tener repercusiones no deseables. Peligrosa es la amistad virtual.
La Ingeniería Social, por desgracia, seguirá surtiendo efecto por mucho tiempo todavía. Mientras haya gente de buena voluntad que quiera ayudar sin cuestionar, mientras haya gente ingenua que no se pregunte el por qué de las cosas, mientras exista el morbo de ver algo que quizá sabemos no debíamos. La ingeniería social ataca el eslabón mas débil de toda la cadena: La gente. Y ataca de la gente la parte que nos hace humanos: nuestros sentimientos. Es una pelea difícil y por un buen rato quizá estemos mas del lado de perder, pero esperemos que la educación (propia, y de nosotros hacia nuestro círculo social) pueda ayudar a que nuestra estancia y convivencia en línea sea mas provechosa que peligrosa. A final de cuentas, estamos en este mundo solo de paso, no hay segundas partes, y mas vale que lo disfrutemos.
¡Solo el cambio permanece!
Por: Fernando Navarro (STITelco) - Mayo de 2009
El titulo de este artículo es referente a palabras de Heráclito, mejor conocido como “El Oscuro de Éfeso”, filosofo griego.
Hago referencia a lo anterior derivado de que en algunas ocasiones me he encontrado con personas que reclaman y reniegan, ya que creen que cuando compran un sistema de seguridad, éste va a ser eterno tan solo por haber hecho una gran inversión; por lo que en su mayoría NO quieren renovarse a las nuevas tecnologías.
¡Que horror GASTAR!, pero pongámonos a filosofar como Heráclito y remontémonos a esas fechas entre los últimos años del siglo VI y primeros del siglo V A.C.… ¡Uffff! ya llovió, se seco y de nuevo llovió: fíjense que desde entonces sabían que el cambio es INEVITABLE.
Bueno pues pensando en esto deberemos pensar en adoptar la visión optimista y consentir que cualquier cambio por pequeño que sea, es benéfico.
En TI siempre encontraremos una nueva versión ya sea por que se mejoró, se arregló, etc. y esto también sucede con la electrónica y si juntamos los dos; hardware y software encontraremos que de verdad ese cambio es INEVITABLE.
Recordemos también el artículo de Martín Hoz de Abril 2009 “Rápido y Furioso” eso también es un cambio y para este cambio se requiere otro cambio y eso implica adoptar las medidas de seguridad y crecerlas constantemente con nuevas medidas y funciones.
Así que INEVITABLE tan solo el cambio es permanente
El titulo de este artículo es referente a palabras de Heráclito, mejor conocido como “El Oscuro de Éfeso”, filosofo griego.
Hago referencia a lo anterior derivado de que en algunas ocasiones me he encontrado con personas que reclaman y reniegan, ya que creen que cuando compran un sistema de seguridad, éste va a ser eterno tan solo por haber hecho una gran inversión; por lo que en su mayoría NO quieren renovarse a las nuevas tecnologías.
¡Que horror GASTAR!, pero pongámonos a filosofar como Heráclito y remontémonos a esas fechas entre los últimos años del siglo VI y primeros del siglo V A.C.… ¡Uffff! ya llovió, se seco y de nuevo llovió: fíjense que desde entonces sabían que el cambio es INEVITABLE.
Bueno pues pensando en esto deberemos pensar en adoptar la visión optimista y consentir que cualquier cambio por pequeño que sea, es benéfico.
En TI siempre encontraremos una nueva versión ya sea por que se mejoró, se arregló, etc. y esto también sucede con la electrónica y si juntamos los dos; hardware y software encontraremos que de verdad ese cambio es INEVITABLE.
Recordemos también el artículo de Martín Hoz de Abril 2009 “Rápido y Furioso” eso también es un cambio y para este cambio se requiere otro cambio y eso implica adoptar las medidas de seguridad y crecerlas constantemente con nuevas medidas y funciones.
Así que INEVITABLE tan solo el cambio es permanente
miércoles, 1 de abril de 2009
“Rápido y Furioso”… con la nueva generación de ciudadanos de la red
Por: Martín Hoz (Fortinet) - Abril de 2009
El título de este post podría ser el apodo para los nuevos tipos de gusanos de Internet que atacan nuestras redes hoy día. Cada nuevo gusano o virus encuentra una manera mas astuta para diseminarse mas rápido que sus predecesores. Pero también el daño programado dentro de ese malware es potencialmente mas destructivo, innovando en ese sentido también.
¿Tiene esto una relación directa con la mayor potencia y rapidez de las computadoras en los escritorios y mayor ancho de banda disponible? ¡Ciertamente! Nosotros no estamos reinventando la rueda aquí. Pero hay otro factor que a veces no es tenido en cuenta: el crecimiento de la población de personas con acceso a Internet carentes de formación técnica. Personas que, sin saberlo, ayudan a la propagación del malware.
Tuve mi primera cuenta de Internet mas o menos en octubre de 1993. El ancho de banda era escaso, el poder de cómputo muy preciado, pero sobre todo; había que saber y comprender cómo hacer manualmente cosas que hoy se hacen con clicks: Codificar archivos binarios con UUCODE para pasarlos a archivos ASCII que pudieran ser enviados como datos adjuntos de correo electrónico. Hoy basta con hacer clic en él arhivo y ¡voilá! Está hecho. Usted tenía que saber cómo usar un cliente FTP para descargar archivos, usar Archie a buscarlo, y habría tenido que aprender a utilizar Veronica y Gopher para transferir los documentos.
Más tarde, cuando la Internet penetró en las organizaciones empresariales, hubo siempre algún tipo de políticas y o directrices que regulaban el uso adecuado de los recursos de cómputo y también educación hacia personal con acceso a Internet con respecto a lo que debía tener cuidado, a fin de mantener en buen funcionamiento de la operación de negocio(e incluso entonces, había infecciones de virus). Y luego tuvimos el acceso a Internet en casa: donde no se tiene ningún tipo de restricciones. Para bien y para mal ...
Personas que desconocen los detalles técnicos confían lo que se publica en una página web, no sabiendo que puede ser “phishing". La gente que desconoce los detalles técnicos confía en el contenido enviado (aparentemente) por un amigo via correo electrónico o vía messenger, sin darse cuenta que puede ser un viros propagándose o SPAM enviado por alguna otra persona personificando el amigo. A la gente le encanta el programa de árbol de Navidad que recibió de un amigo, sin saber que podría ser un programa de malware para convertir su PC en un zombie bajo el control de otra persona que puede estar a mil kilómetros de distancia. La gente obtiene un mensaje de correo electrónico que promete 10 millones de dólares de lo que parece ser una persona importante en África, o prometiendo establecer contacto con una persona atractiva (según foto anexa en el mensaje) del otro lado del mundo, y cuando la oferta se ve bien y parece legítima, las personas tienden a creer que sin preguntarse mas, sin preguntar, "¿hay algo escondido detrás de esto? "
Aún peor, hay personas con la experiencia técnica debida que a veces no toman las medidas adecuadas para protegerse a sí mismos. Cuando pregunto en foros, a colegas profesionales de la tecnología, si se echa un vistazo a los logs y hacen revisión de parches con frecuencia en sus equipos de casa , a menudo la respuesta es no. Se parchan los equipos de negocios, el laptop de la compañía, pero el de casa. Y sólo unos pocos leen los logs del sistema operativo de ese equipo...
Hoy tenemos la tecnología proactiva y correctiva para evitar y / o limpiar la mayoría de los daños tecnológicos que pueden producir los programas maliciosos. La velocidad es cada vez mayor para la captura de más (tanto en cantidad como en cobertura) malware en menos tiempo. Pero la tecnología no puede resolver todo por sí mismo, mientras sigamos olvidando la interacción humana.
Todos nosotros en la industria de seguridad de Internet estamos tratando de hacer algo al respecto. Necesitamos a todos en la comunidad de Internet para ayudar a lograr esto. Al igual que en el caso del calentamiento global, una persona puede hacer una gran diferencia
El título de este post podría ser el apodo para los nuevos tipos de gusanos de Internet que atacan nuestras redes hoy día. Cada nuevo gusano o virus encuentra una manera mas astuta para diseminarse mas rápido que sus predecesores. Pero también el daño programado dentro de ese malware es potencialmente mas destructivo, innovando en ese sentido también.
¿Tiene esto una relación directa con la mayor potencia y rapidez de las computadoras en los escritorios y mayor ancho de banda disponible? ¡Ciertamente! Nosotros no estamos reinventando la rueda aquí. Pero hay otro factor que a veces no es tenido en cuenta: el crecimiento de la población de personas con acceso a Internet carentes de formación técnica. Personas que, sin saberlo, ayudan a la propagación del malware.
Tuve mi primera cuenta de Internet mas o menos en octubre de 1993. El ancho de banda era escaso, el poder de cómputo muy preciado, pero sobre todo; había que saber y comprender cómo hacer manualmente cosas que hoy se hacen con clicks: Codificar archivos binarios con UUCODE para pasarlos a archivos ASCII que pudieran ser enviados como datos adjuntos de correo electrónico. Hoy basta con hacer clic en él arhivo y ¡voilá! Está hecho. Usted tenía que saber cómo usar un cliente FTP para descargar archivos, usar Archie a buscarlo, y habría tenido que aprender a utilizar Veronica y Gopher para transferir los documentos.
Más tarde, cuando la Internet penetró en las organizaciones empresariales, hubo siempre algún tipo de políticas y o directrices que regulaban el uso adecuado de los recursos de cómputo y también educación hacia personal con acceso a Internet con respecto a lo que debía tener cuidado, a fin de mantener en buen funcionamiento de la operación de negocio(e incluso entonces, había infecciones de virus). Y luego tuvimos el acceso a Internet en casa: donde no se tiene ningún tipo de restricciones. Para bien y para mal ...
Personas que desconocen los detalles técnicos confían lo que se publica en una página web, no sabiendo que puede ser “phishing". La gente que desconoce los detalles técnicos confía en el contenido enviado (aparentemente) por un amigo via correo electrónico o vía messenger, sin darse cuenta que puede ser un viros propagándose o SPAM enviado por alguna otra persona personificando el amigo. A la gente le encanta el programa de árbol de Navidad que recibió de un amigo, sin saber que podría ser un programa de malware para convertir su PC en un zombie bajo el control de otra persona que puede estar a mil kilómetros de distancia. La gente obtiene un mensaje de correo electrónico que promete 10 millones de dólares de lo que parece ser una persona importante en África, o prometiendo establecer contacto con una persona atractiva (según foto anexa en el mensaje) del otro lado del mundo, y cuando la oferta se ve bien y parece legítima, las personas tienden a creer que sin preguntarse mas, sin preguntar, "¿hay algo escondido detrás de esto? "
Aún peor, hay personas con la experiencia técnica debida que a veces no toman las medidas adecuadas para protegerse a sí mismos. Cuando pregunto en foros, a colegas profesionales de la tecnología, si se echa un vistazo a los logs y hacen revisión de parches con frecuencia en sus equipos de casa , a menudo la respuesta es no. Se parchan los equipos de negocios, el laptop de la compañía, pero el de casa. Y sólo unos pocos leen los logs del sistema operativo de ese equipo...
Hoy tenemos la tecnología proactiva y correctiva para evitar y / o limpiar la mayoría de los daños tecnológicos que pueden producir los programas maliciosos. La velocidad es cada vez mayor para la captura de más (tanto en cantidad como en cobertura) malware en menos tiempo. Pero la tecnología no puede resolver todo por sí mismo, mientras sigamos olvidando la interacción humana.
Todos nosotros en la industria de seguridad de Internet estamos tratando de hacer algo al respecto. Necesitamos a todos en la comunidad de Internet para ayudar a lograr esto. Al igual que en el caso del calentamiento global, una persona puede hacer una gran diferencia
jueves, 12 de febrero de 2009
Entre colisiones
Por: Marcelo Mayorga (Fortinet) - Febrero de 2009
Leyendo un artículo sobre el concurso que se está llevando a cabo en busca de un nuevo algoritmo de hashing (An Algorithm with No Secrets) llamó mi atención la frase “… es imposible evitar las colisiones”. Algo muy cierto, pero que no siempre es expresado correctamente. En varias ocasiones he leído que un algoritmo de hashing para ser seguro no debe conducir a colisiones. Incluso, en un libro de redes muy reconocido podemos encontrar la frase “Nadie puede generar dos mensajes que den como resultado un mismo valor hash” y añade “…para que se cumpla esto, el resultado de la operación (el valor hash) debe ser de 128 bits, preferentemente mayor.” (¿?).
Lo cierto es que las colisiones son inherentes a todas las funciones de hashing. Esta afirmación, que puede parecer obvia para muchos, no lo fue para mi, y les propongo que intentemos demostrarla aunque más no sea de una forma un tanto informal.
Empecemos por definir qué es una función hashing y qué es una colisión.
Función hashing: Es una función que de forma eficiente procesa una cadena de cantidad arbitraria de bits, dando como resultado otra cadena de bits de tamaño fijo (llamado valor hash, fingerprint, message digest, etc.). Algunas acotaciones a esta definición:
- Tienen la particularidad que el más mínimo cambioen la cadena de origen, incluso un bit, produce un cambio “radical” en la cadena de salida.
- La función es de una vía, es decir irreversible por definición. No se puede calcular el mensaje original a partir del valor hash.
Colisión: Colisión se llama cuando dos cadenas de tamaño arbitrario distintas dan como resultado un mismo valor hash al ser procesados por una misma función de hashing.
De acuerdo a estas definiciones, estamos en presencia de dos conjuntos y una relación entre ellos;
- El conjunto de los mensajes planos posibles
- El conjunto de los valores hash posibles
- La relación que es la función de hashing en si.
Sabemos en principio que la cantidad de elementos del conjunto de mensajes planos es infinita ya que es imposible cuantificar la cantidad de mensajes planos posibles.
Por otro lado sabemos que la cantidad de elementos del conjunto de valores hash es finito por naturaleza. Los hashes son de tamaño fijo, es decir que si hablamos de MD5, nuestro conjunto de hashes tendrá un cardinal de 2128, para SHA-1 será de 2160, etc.
En cuánto a la relación entre los conjuntos, conocemos de forma tácita datos muy importante. Sabemos que todo mensaje plano al ser procesado por una función de hashing da como resultado un único valor hash. Pareciera una obviedad, ¿no?. Expresado de otra forma; no existen mensajes planos que al ser procesador por una función de hashing no den como resultado un valor hash o den como resultado más de uno.
Con esto hemos demostrado (muy informalmente) que toda función de hashing producirá eventualmente colisiones. Va de nuevo: Si todos los mensajes planos tienen como resultado un único valor hash (al ser procesados por una función de hashing) y el cardinal del conjunto de valores hash es menor al cardinal del conjunto de mensajes planos, entonces inevitablemente habrá casos en que asignaremos más de un mensaje plano a un mismo valor hash… o sea una colisión. Es más, puede parecer extraño, pero tendremos a lo sumo 2n elementos que no colisionan e infinitos que sí lo hacen. Esto es cierto para todos las funciones hashing existentes.
Ahora, sabiendo que para todas las funciones de hashing existen infinitas colisiones, sería bueno saber qué determina que una función de este tipo sea considerada robusta. De nuevo con bastante informalidad, podemos decir que las funciones de hashing deben:
- Ser resistente a pre-imagen: Dado un valor hash, es computacionalmente impracticable encontrar el mensaje en texto plano que lo produce. Esto es; conocer el valor hash no ayuda a inferir qué lo produjo (no se puede utilizar ingeniería inversa).
- Ser resistente a segunda pre-imagen: Dado un valor hash y su correspondiente mensaje en texto plano, es computacionalmente impracticable encontrar un segundo mensaje que dé como resultado el mismo valor hash. Es decir, conocer el valor hash y conocer el mensaje que lo produjo no aporta nada para encontrar un segundo mensaje que lleve al mismo resultado.
- Resistencia a colisiones: Es computacionalmente impracticable encontrar dos textos planos cuales quiera que den como resultado un mismo hash. Es decir, que incluso teniendo la posibilidad de elegir los textos planos, no es tarea sencilla elegir dos que produzcan un mismo resultado.
En fin, en no mucho tiempo tendremos un nuevo algoritmo para funciones hashing como resultado de un concurso (lo mismo que sucediera con AES). De antemano sabemos que esa función seguramente no estará exenta de colisiones, pero también sabemos que no por eso será insegura.
Suscribirse a:
Entradas (Atom)
