Fortinet XTreme Team - LATAM

La guerra del UTM en el Enterprise

2009-11-21T11:51:00.006-06:00

Por: Martín Hoz (Fortinet) - Noviembre de 2009

En las semanas pasadas, hubo una "guerra de posts" a favor y en contra de si UTM tenía o no lugar en las empresas. Aquí la lista de posts por orden cronológico:
* Enterprise UTM is not a myth - 28 de septiembre
http://blog.fortinet.com/enterprise-utm-is-not-a-myth/

* Unicorns, Pixies, and Enterprise UTM - 29 de septiembre de 2009
http://blogs.gartner.com/greg_young/2009/09/29/unicorns-pixies-and-enterprise-utm

* Gartner calls the Xie brothers Pixies and Fortinet a Unicorn - 29 de septiembre
http://www.stillsecureafteralltheseyears.com/ashimmy/2009/09/gartner-calls-the-xie-brothers-pixies-and-fortinet-a-unicorn.html

* Enterprise UTM - 4 de Octubre
http://threatchaos.com/2009/10/enterprise-utm/

* Enterprise UTM: When Bigfoot Videographers Attack! - 5 de octubre
http://blogs.gartner.com/adam-hils/2009/10/05/enterprise-utm-when-bigfoot-videographers-attack/

* Does religion blind our technology decisions? - 21 de octubre
http://blog.fortinet.com/does-religion-blind-our-technology-decisions/

Todos ellos ofrecen puntos de vista respetables. Todos ellos ofrecen (por supuesto) puntos a favor o en contra de un alcance convergente e integrado a la seguridad.

Las siguientes lineas van a expresar mi opinión personal. Claro, debo aclarar que como empleado de la compañía que inventó la seguridad integrada y convergente (Que en 2004 IDC llamó UTM, y se ha llamado así desde entonces) tengo mi opinión sesgada. Sin embargo, prometo ser claro y objetivo en mis siguientes puntos:

- La seguridad no ha parado de hacerse mas barata. Y esto mas que algo exclusivo del mercado de seguridad, es parte de lo que ocurre cuando un mercado madura y existen mas competidores, propuestas y una gama de clientes mas amplia. Cada vez es mayor la exigencia por ofrecer productos mejores a un precio menor. Los clientes lo piden y los fabricantes tienen que poner como parte de su ciclo de innovación, estrategias que les permitan ofrecer mayor valor ante economías que no tienen el presupuesto que existía años atras. Cuando estoy en conferencias, siempre pregunto "¿A quién de ustedes le subieron substancialmente el presupuesto este año?" Nadie levanta las manos...

- La seguridad no ha parado de evolucionar. Have 25 años no había virus en las PCs. Es mas, no había PCs. Sin mercado, no había antivirus. Hace 10 años no había un problema de SPAM acuciante. Sin mercado, no había AntiSpams. Hace 5 años la preocupación por fuga de información era poca. Sin mercado, no había DLPs. Cuando ha habido una necesidad, ha habido una respuesta también. Ante un mercado, hay un producto que atiende una necesidad. Y ese producto evoluciona para poder atender las demandas de los clientes o muere. La seguridad pues, ha tenido que evolucionar...

- La seguridad no ha parado de converger. Si volteamos la vista a 1999 (hace 10 años), teníamos compañías que hacían firewalls, vpns, calidad de servicio, antivirus, detección de intrusos, filtraje de contenido web, autenticación... muchas de ellas (si no es que todas) especializadas en solo una de esas cosas. Veamos el panorama actual: ¿Cuántas compañías al día de hoy tienen un portafolio de productos que solo cubre *uno* de los rubros arriba mencionados? - Las compañías de firewalls ofrecen VPN, QoS y otras cosas. Las de detección de intrusos ofrecen web content filters, las de antivirus ofrecen firewalls. Todo mundo quiere integrar (en una o muchas cajas, es lo de menos). "Hace mas con menos" es una exigencia en estos tiempos. Cuando pregunto en conferencias "¿A quién le pidieron hacer menos cosas este año con respecto al año pasado?" - Nadie levanta la mano.

- La seguridad no ha parado de mejorar en desempeño. Vean el portafolio de productos de los fabricantes de seguridad en red de hace 10 años. ¿Cuántos ofrecían productos con desempeños que no llegaban al Gigabit por segundo de throughput? - pocas. Hoy, ¿Cuántas compañías ofrecen un producto (o mas) con desmpeño de 10Gbps o mas? - hay que hacerlo, porque la seguridad no puede ser un cuello de botella. Cada nueva versiòn o producto, independientemente del fabricante, regularmente siempre trae una etiqueta con una mejora de desempeño.

Dadlo lo anterior, ¿Por qué el UTM ha tenido éxito y ha crecido tanto su mercado? - porque atiende a los puntos arriba mencionados: ha permitido a la seguridad hacerse mas económica, evolucionar mas rápido, converger (hacer mas con menos) e incrementar el desempeño.

¿Son las empresas de mediano o grande porte (el famoso "Enterprise"), organizaciones que no requieren mayor seguridad, ahorros en dinero, mejor desempeño o mayores capacidades con menos recursos? ¡En lo absoluto! - Organizaciones de todos tamaños han sido igualmente alcanzadas por el oleaje de la tan multicitada crisis, y en definitiva no han sido inmunes al impacto de ella. Ahorrar, consolidar y eficientarse son mensaje muy poderosos para el enterprise y es importante que entendamos estos drivers al momento que se piensa adoptar o renovar tecnología de seguridad.

¿Què hay de la tecnología "Best-of-Breed" ("Mejor en su clase") entonces? - Para mí es simple: En estos tiempos no hay tal cosa como "Tecnología mejor en su clase", sino mas bien tecnología que satisface mis necesidades mientras me permite alcanzar mis metas de negocio, cumpliendo con los objetivos de tiempo y costo en los proyectos. Si una tecnología me permite resolver mis problemas, mientras me hace mas eficiente, y además esto es algo que ya ha sido probado ¿Por qué no dar la oportunidad de evaluarlo?

Por las razones anteriores, el UTM no solo ha llegado para quedarse, sino que está aquí ofreciendo ya una propuesta de valor para organizaciones de todos los tamaños: desde un pequeño negocio familiar hasta multinacionales con alcance mundial.

¡Claro! - como todo, también en el UTM hay diferentes sabores y colores, y una vez que hemos decidido que la seguridad consolidada y convergente tiene sentido para nosotros, vale la pena que analicemos las diferentes propuestas con cuidado, pero esto ya es material para otro artículo.

Morbo, Ingenuidad e Ingeniería Social

2009-11-21T10:45:00.007-06:00

Por: Martín Hoz (Fortinet) - Noviembre de 2009

Hace al rededor de 10 años, me tocó dar una pequeña charla dentro del marco del Día Internacional de la Seguridad en Cómputo (DISC) sobre ingenería social. Para prepararme, recuerdo haber leído lo que pude encontrar sobre el tema, pero una de las cosas que no pude localizar fué una definición clara y a falta de algo mejor, usé una lámina donde definía a la Ingeniería Social como la "Inducción a la comisión de actos que favorecen un ataque. Que la víctima haga algo, diga algo o deje de hacer algo", definición que fué inclusive citada un par de años mas tarde en un artículo de Mercé Molist, una periodista española que se ha dedicado ya por años a seguir el movimiento de hackers, crackers, similares y conexos en el mundo de habla hispana.

En aquellos años, el SPAM no era el problema que hoy es, la Web estaba relativamente poco extendida, la gente no se conocía en foros abiertos, "en el chat" o "el messenger", y por tanto, para hacer ingeniería social se necesitaba algo de ingenio, tanto para tramarla como para ejecutarla. Por ejemplo, si uno accedía a Internet vía un sistema Unix, VMS o similar, uno podría usar el protocolo "Talk" para entablar conversaciones con alguien de otro servidor, pero se sabía que ese "alguien" del otro lado de la lìnea realmente existía (en el ambiente académico, prevaleciente en los inicios de la expansión de Internet, tener una cuenta en un servidor involucraba demostrar la pertenencia a la institución dueña del servidor). Entrar a un foro tipo BBS involucraba cierta "autenticación" hacia el mundo real...

Hoy las cosas han cambiado: cualquiera puede tener uno o varios servidores del servicio que sea usando PCs en su casa, con anchos de banda y poder de cómputo que hace 10 o 15 años solo podían soñar organizaciones con presupuestos millonarios (en dólares americanos). La masificación ha sido buena porque ha acercado la tecnología a la gente y nos ha facilitado la vida, pero debemos recordar que algunas cosas no son en el mundo digital como lo son en el mundo real. Abajo algunas cosas

1) No todo lo escrito necesariamente es cierto. Muchos de nosotros crecimos con la idea de que si algo estaba escrito era verdad. "Papelito habla" reza un conocido refrán. Sin embargo, en la Internet no es así: el hecho de que alguien asevere algo (en un foro, en una página web, o en algun otro lado) no necesariamente implica que sea verdad, especialmente si no hay manera de validar que quien puso eso es una persona que en realidad existe. No todo lo escrito es necesariamente cierto.

2) El morbo es caro. ¿Cuántas veces ha sucedido una desgracia o un incidente en la localidad, y hemos recibido un mensaje que dice "haz click para ver el video exclusivo" de dicho incidente o desgracia? ¿Cuántas veces nos ha llegado un mensaje (por correo, messenger o en alguna red social como Facebook) diciendo que hagamos click para ver una fotografía chistosa, amarillista o hasta pornográfica de un amigo nuestro o de una celebridad? ¿Cuántas veces hemos recibido mensajes con "teorías de complot" para tal o cual suceso y nos mandan ir a algun lugar? - dar click en algun sitio así , puede se todo lo que necesita un atacante para instalar código que después nos haga la vida difícil: desde mas lenta la PC hasta el robo de nuestros datos... Caro es el morbo.

3) Nadie da cosas gratis. Nunca. Esto es verdad en el mundo real, pero por alguna razón hay gente que cree que en el mundo de Internet las cosas son diferentes. ¿Por qué seguimos recibiendo, aunque sea esporadicamente, mensajes diciendo que ganaremos dinero si reenviamos un correo a alguna dirección, o si hacemos click en algun lado...? - Ni las grandes compañías, ni los personajes famosos dan un beneficio a nadie sin promocionarlo en las vias "regulares" (noticieros, radio, televisión o sus páginas en Internet) puesto que la ganancia de ellos está en la cobertura y en dejar su marca en nuestras cabezas, esperando sean favorecidos con nuestra decisión de compra alguna vez. Pero no hay "ofertas secretas de dinero" porque eso no genera la masa crítica que se necesita para "recuperar" la inversión en publicidad. Pero hay gente que lo sigue creyendo. Cosas de gratis nadie da.

4) La ingenuidad cuesta. Si recibí un mensaje de una chica rusa que no tenía por qué haber conocido, muy guapa, diciendo que me conoció pero no me quiere decir dónde, me dice que está enamorada de mi y solo de mi, y le creo, estoy en problemas. Si recibí un mensaje de un abogado/banquero o el hijo/viuda/amigo de un dictador/empresario/presidente/líder de otro país, donde dejó una millonaria suma de dinero, y necesita de mi ayuda para poder tener ese dinero y yo me quedo con un buen porcentaje, y le creo, estoy en problemas. Cuando algo parece demasiado bueno para ser verdad, vale la pena cuestionarse ¿Cómo dieron conmigo? ¿Por qué a mí? ¿Qué garantías tengo de que sea verdad? y la mas importante ¿Cuánto arriesgo? - Que nos pidan datos personales o dinero, para después chantajearnos o defraudarnos, no es descabellado. Especialmente cuando hay gente que lucra con esto. Cuesta la ingenuidad.

5) La amistad virtual es peligrosa. Hace años, la gente no tenía redes sociales para comunicarse con sus amigos, pero conocías gente vía el IRC y vía sistemas tipo BBS. Con el auge de las redes sociales los messengers y demás, tener "2,000 amigos" es cosa de 2,000 clicks. Pero, ¿Conozco de alguna forma o de otra a la gente con la que tengo contacto? ¿Son amigos de alguien que conozco? ¿Puedo "autenticarlos" hacia la vida real? - Hay gente que es popular y efectivamente puede conocer 2,000 (o mas) personas en algun momento de su vida, pero conocer a alguien en línea, y hacerlos parte de mi vida sin las precauciones debidas, puede tener repercusiones no deseables. Peligrosa es la amistad virtual.

La Ingeniería Social, por desgracia, seguirá surtiendo efecto por mucho tiempo todavía. Mientras haya gente de buena voluntad que quiera ayudar sin cuestionar, mientras haya gente ingenua que no se pregunte el por qué de las cosas, mientras exista el morbo de ver algo que quizá sabemos no debíamos. La ingeniería social ataca el eslabón mas débil de toda la cadena: La gente. Y ataca de la gente la parte que nos hace humanos: nuestros sentimientos. Es una pelea difícil y por un buen rato quizá estemos mas del lado de perder, pero esperemos que la educación (propia, y de nosotros hacia nuestro círculo social) pueda ayudar a que nuestra estancia y convivencia en línea sea mas provechosa que peligrosa. A final de cuentas, estamos en este mundo solo de paso, no hay segundas partes, y mas vale que lo disfrutemos.

¡Solo el cambio permanece!

2009-11-21T10:44:00.000-06:00

Por: Fernando Navarro (STITelco) - Mayo de 2009

El titulo de este artículo es referente a palabras de Heráclito, mejor conocido como “El Oscuro de Éfeso”, filosofo griego.

Hago referencia a lo anterior derivado de que en algunas ocasiones me he encontrado con personas que reclaman y reniegan, ya que creen que cuando compran un sistema de seguridad, éste va a ser eterno tan solo por haber hecho una gran inversión; por lo que en su mayoría NO quieren renovarse a las nuevas tecnologías.

¡Que horror GASTAR!, pero pongámonos a filosofar como Heráclito y remontémonos a esas fechas entre los últimos años del siglo VI y primeros del siglo V A.C.… ¡Uffff! ya llovió, se seco y de nuevo llovió: fíjense que desde entonces sabían que el cambio es INEVITABLE.

Bueno pues pensando en esto deberemos pensar en adoptar la visión optimista y consentir que cualquier cambio por pequeño que sea, es benéfico.

En TI siempre encontraremos una nueva versión ya sea por que se mejoró, se arregló, etc. y esto también sucede con la electrónica y si juntamos los dos; hardware y software encontraremos que de verdad ese cambio es INEVITABLE.

Recordemos también el artículo de Martín Hoz de Abril 2009 “Rápido y Furioso” eso también es un cambio y para este cambio se requiere otro cambio y eso implica adoptar las medidas de seguridad y crecerlas constantemente con nuevas medidas y funciones.

Así que INEVITABLE tan solo el cambio es permanente

“Rápido y Furioso”… con la nueva generación de ciudadanos de la red

2009-04-01T17:59:00.003-06:00

Por: Martín Hoz (Fortinet) - Abril de 2009

El título de este post podría ser el apodo para los nuevos tipos de gusanos de Internet que atacan nuestras redes hoy día. Cada nuevo gusano o virus encuentra una manera mas astuta para diseminarse mas rápido que sus predecesores. Pero también el daño programado dentro de ese malware es potencialmente mas destructivo, innovando en ese sentido también.

¿Tiene esto una relación directa con la mayor potencia y rapidez de las computadoras en los escritorios y mayor ancho de banda disponible? ¡Ciertamente! Nosotros no estamos reinventando la rueda aquí. Pero hay otro factor que a veces no es tenido en cuenta: el crecimiento de la población de personas con acceso a Internet carentes de formación técnica. Personas que, sin saberlo, ayudan a la propagación del malware.

Tuve mi primera cuenta de Internet mas o menos en octubre de 1993. El ancho de banda era escaso, el poder de cómputo muy preciado, pero sobre todo; había que saber y comprender cómo hacer manualmente cosas que hoy se hacen con clicks: Codificar archivos binarios con UUCODE para pasarlos a archivos ASCII que pudieran ser enviados como datos adjuntos de correo electrónico. Hoy basta con hacer clic en él arhivo y ¡voilá! Está hecho. Usted tenía que saber cómo usar un cliente FTP para descargar archivos, usar Archie a buscarlo, y habría tenido que aprender a utilizar Veronica y Gopher para transferir los documentos.

Más tarde, cuando la Internet penetró en las organizaciones empresariales, hubo siempre algún tipo de políticas y o directrices que regulaban el uso adecuado de los recursos de cómputo y también educación hacia personal con acceso a Internet con respecto a lo que debía tener cuidado, a fin de mantener en buen funcionamiento de la operación de negocio(e incluso entonces, había infecciones de virus). Y luego tuvimos el acceso a Internet en casa: donde no se tiene ningún tipo de restricciones. Para bien y para mal ...

Personas que desconocen los detalles técnicos confían lo que se publica en una página web, no sabiendo que puede ser “phishing". La gente que desconoce los detalles técnicos confía en el contenido enviado (aparentemente) por un amigo via correo electrónico o vía messenger, sin darse cuenta que puede ser un viros propagándose o SPAM enviado por alguna otra persona personificando el amigo. A la gente le encanta el programa de árbol de Navidad que recibió de un amigo, sin saber que podría ser un programa de malware para convertir su PC en un zombie bajo el control de otra persona que puede estar a mil kilómetros de distancia. La gente obtiene un mensaje de correo electrónico que promete 10 millones de dólares de lo que parece ser una persona importante en África, o prometiendo establecer contacto con una persona atractiva (según foto anexa en el mensaje) del otro lado del mundo, y cuando la oferta se ve bien y parece legítima, las personas tienden a creer que sin preguntarse mas, sin preguntar, "¿hay algo escondido detrás de esto? "

Aún peor, hay personas con la experiencia técnica debida que a veces no toman las medidas adecuadas para protegerse a sí mismos. Cuando pregunto en foros, a colegas profesionales de la tecnología, si se echa un vistazo a los logs y hacen revisión de parches con frecuencia en sus equipos de casa , a menudo la respuesta es no. Se parchan los equipos de negocios, el laptop de la compañía, pero el de casa. Y sólo unos pocos leen los logs del sistema operativo de ese equipo...

Hoy tenemos la tecnología proactiva y correctiva para evitar y / o limpiar la mayoría de los daños tecnológicos que pueden producir los programas maliciosos. La velocidad es cada vez mayor para la captura de más (tanto en cantidad como en cobertura) malware en menos tiempo. Pero la tecnología no puede resolver todo por sí mismo, mientras sigamos olvidando la interacción humana.

Todos nosotros en la industria de seguridad de Internet estamos tratando de hacer algo al respecto. Necesitamos a todos en la comunidad de Internet para ayudar a lograr esto. Al igual que en el caso del calentamiento global, una persona puede hacer una gran diferencia

Entre colisiones

2009-02-12T08:12:00.007-06:00

Por: Marcelo Mayorga (Fortinet) - Febrero de 2009

Leyendo un artículo sobre el concurso que se está llevando a cabo en busca de un nuevo algoritmo de hashing (An Algorithm with No Secrets) llamó mi atención la frase “… es imposible evitar las colisiones”. Algo muy cierto, pero que no siempre es expresado correctamente. En varias ocasiones he leído que un algoritmo de hashing para ser seguro no debe conducir a colisiones. Incluso, en un libro de redes muy reconocido podemos encontrar la frase “Nadie puede generar dos mensajes que den como resultado un mismo valor hash” y añade “…para que se cumpla esto, el resultado de la operación (el valor hash) debe ser de 128 bits, preferentemente mayor.” (¿?).

Lo cierto es que las colisiones son inherentes a todas las funciones de hashing. Esta afirmación, que puede parecer obvia para muchos, no lo fue para mi, y les propongo que intentemos demostrarla aunque más no sea de una forma un tanto informal.

Empecemos por definir qué es una función hashing y qué es una colisión.

Función hashing: Es una función que de forma eficiente procesa una cadena de cantidad arbitraria de bits, dando como resultado otra cadena de bits de tamaño fijo (llamado valor hash, fingerprint, message digest, etc.). Algunas acotaciones a esta definición:

Tienen la particularidad que el más mínimo cambioen la cadena de origen, incluso un bit, produce un cambio “radical” en la cadena de salida.
La función es de una vía, es decir irreversible por definición. No se puede calcular el mensaje original a partir del valor hash.

Colisión: Colisión se llama cuando dos cadenas de tamaño arbitrario distintas dan como resultado un mismo valor hash al ser procesados por una misma función de hashing.

De acuerdo a estas definiciones, estamos en presencia de dos conjuntos y una relación entre ellos;

El conjunto de los mensajes planos posibles
El conjunto de los valores hash posibles
La relación que es la función de hashing en si.

Sabemos en principio que la cantidad de elementos del conjunto de mensajes planos es infinita ya que es imposible cuantificar la cantidad de mensajes planos posibles.

Por otro lado sabemos que la cantidad de elementos del conjunto de valores hash es finito por naturaleza. Los hashes son de tamaño fijo, es decir que si hablamos de MD5, nuestro conjunto de hashes tendrá un cardinal de 2¹²⁸, para SHA-1 será de 2¹⁶⁰, etc.

En cuánto a la relación entre los conjuntos, conocemos de forma tácita datos muy importante. Sabemos que todo mensaje plano al ser procesado por una función de hashing da como resultado un único valor hash. Pareciera una obviedad, ¿no?. Expresado de otra forma; no existen mensajes planos que al ser procesador por una función de hashing no den como resultado un valor hash o den como resultado más de uno.

Con esto hemos demostrado (muy informalmente) que toda función de hashing producirá eventualmente colisiones. Va de nuevo: Si todos los mensajes planos tienen como resultado un único valor hash (al ser procesados por una función de hashing) y el cardinal del conjunto de valores hash es menor al cardinal del conjunto de mensajes planos, entonces inevitablemente habrá casos en que asignaremos más de un mensaje plano a un mismo valor hash… o sea una colisión. Es más, puede parecer extraño, pero tendremos a lo sumo 2ⁿ elementos que no colisionan e infinitos que sí lo hacen. Esto es cierto para todos las funciones hashing existentes.

Ahora, sabiendo que para todas las funciones de hashing existen infinitas colisiones, sería bueno saber qué determina que una función de este tipo sea considerada robusta. De nuevo con bastante informalidad, podemos decir que las funciones de hashing deben:

Ser resistente a pre-imagen: Dado un valor hash, es computacionalmente impracticable encontrar el mensaje en texto plano que lo produce. Esto es; conocer el valor hash no ayuda a inferir qué lo produjo (no se puede utilizar ingeniería inversa).
Ser resistente a segunda pre-imagen: Dado un valor hash y su correspondiente mensaje en texto plano, es computacionalmente impracticable encontrar un segundo mensaje que dé como resultado el mismo valor hash. Es decir, conocer el valor hash y conocer el mensaje que lo produjo no aporta nada para encontrar un segundo mensaje que lleve al mismo resultado.
Resistencia a colisiones: Es computacionalmente impracticable encontrar dos textos planos cuales quiera que den como resultado un mismo hash. Es decir, que incluso teniendo la posibilidad de elegir los textos planos, no es tarea sencilla elegir dos que produzcan un mismo resultado.

En fin, en no mucho tiempo tendremos un nuevo algoritmo para funciones hashing como resultado de un concurso (lo mismo que sucediera con AES). De antemano sabemos que esa función seguramente no estará exenta de colisiones, pero también sabemos que no por eso será insegura.

El costo de migración...

2008-06-16T20:20:00.006-05:00

Por: Martín Hoz (Fortinet) - Junio de 2008

Hace unos días me fué solicitado para un proyecto particular, que apoyara generando un plan de trabajo para llevar a cabo la migración a grandes rasgos, de una tecnología existente por tecnología de Fortinet. Dado que no era la primera vez que me lo pedían, decidí dejar el proceso documentado y así quedó.

Entre los puntos obvios que decidí incluír en el plan fué la parte donde se revisa que la tecnología actual cumpla o no con las espectativas de la organización, así como las ventajas que la nueva tecnología (en este caso Fortinet) llevaba a la organización para poder dejar estas características activas. No podían falta por supuesto un análisis de redundancias, un análisis de vulnerabilidades sobre la infraestructura protegida, así como una matriz de pruebas en funcionalidad y capacidad.

Después de escribir el documento, me quedé pensando en cómo Fortinet fué un innovador en muchos de los aspectos, pero no solo tecnológicos, sino también de mercado. Fortinet propuso UTM justo cuando algunos grandeshabían encontrado problemas tratando de hacerlo realidad. Y sin embargo funcionó: al día de hoy la caja hace muy buen Firewall mas Antivirus mas IPS, mas otras cosas. Hubo innovación cuando las mismas características son soportadas exactamente en todas las cajas sin importar el tamaño: no todo mundo puede hacer esto, aun al día de hoy. También innovó con licenciamientos unificados: el UTM llevado de la tecnología al bolsillo, lo cual tiene mucho sentido al momento de la adquisición de tecnlogía. Virtualización unificada: Fortinet el único en ofrecer todas las tecnologías Virtualizadas como parte de la oferta estándar, sin costo adicional a través de VDOMs. Pero hay otro aspecto del cual se habla poco: la compatibilidad y facilidad de migración.

Hoy Fortinet dispone de una de las pocas cajas en el mercado que puede operar en modo transparente (en modo bridge) con prácticamente todas las funcionalidades: esto es algo que no todas las cajas del mercado pueden hacer y es sumamente importante al momento que se va a reemplazar una tecnología ¿por qué? - pues porque simplemente permite que la tecnología a reemplazar, sea cual sea, continúe operando y que poco a poco su funcionalidad vaya siendo migrada a la nueva caja, hasta que paulatinamente la caja original no tiene mayor sentido en la red. Otra de las cosas es que no todas las características tienen que ser activadas inicialmente y se puede ir selectivamente activando funcionalidad: igualmente de importante al momento de migraciones, puesto que permite ir activando las cosas punto a punto, dando lugar para pruebas y una paulatina puesta en operación del producto.

¿Y por qué esto de las migraciones es importante? - Sencillo: porque estamos en un momento donde muchas de las funcionalidades de seguridad se comienzan a volver commodity: ¿Cuántos tipos de dispositivo conocen que pueden ser firewall? ¿Cuántos hacen VPN? ¿Cuántos antivirus? - ¿Quién no tiene ya al menos un firewall y un antivirus en su organización? - y cuando la diferencia no está en el producto, la diferencia viene por el respaldo o el servicio. Y cuando la diferencia tampoco está en el servicio o el respaldo, viene por la satisfacción del mercado. Y un punto importante de la satisfacción del mercado es el costo. Desafortunadamente para el consumidor, la hacer una inversión en un cierto producto (especialmente si la inversión es grande) automáticamente está poniéndose también un candado a sí mismo, puesto que invierte no solo lo que cuesta el producto en sí, sino en capacitación de personal y desarrollo de procesos alrededor de ese producto, de tal manera que lo vuelve parte de su medio ambiente operativo y después se vuelve difícil de reemplazar: es por esto que las grandes organizaciones evalúan no solo la tecnología como tal, sino el tipo de relación a largo plazo que pueden construir con sus proveedores, puesto que se vuelven parte necesaria de su existencia en el largo plazo. Por eso tenemos compañías que siguen usando tecnologías de hace 10 y 15 años al día de hoy: no es fácil (y no es barato) hacer migraciones al último grito de la moda, aunque se quiera...

Entonces, cuando tenemos un producto que por sus eficiencias tecnológicas (como el hecho de que Fortinet pueda aglutinar en un solo equipo múltiples funcionalidades) es funcional y operativamente igual o superior a lo existente, pero mas barato en su licenciamiento; se vuelve atractivo. Pero para que sea completamente atractivo, tiene que ser fácil (entiéndase barato también) el poder ponerlo en lugar de lo que se tiene... Y cuando hoy tenemos marcas que son dominantes en cuanto a instalaciones que existían antes de que Fortinet naciera, el tener un producto que haga la vida mas fácil al momento de sustituir lo que sea que se tiene por Fortinet, hace mucho mas simple el que los potenciales compradores se decidan por él. Por esto digo que Fortinet fué innovador también en esto.

Todo lo anterior es sin mencionar las herramientas de conversión de configuraciones, pero de FortiConverter quizá hablemos en otra ocasión...

¿Bueno o Malo?

2008-05-26T12:49:00.004-05:00

Por: Fernando Navarro (STI Telco) - Mayo de 2008

La mayoría de las empresas latinoamericanas aun no toman en serio la seguridad de sus comunicaciones e Internet.

En muchos lugares escuchamos de lo inseguro que es el Internet, que es igual de inseguro salir a la calle: uno nunca sabe cuándo pueda ocurrir una situación desagradable; pero es importante mencionar que debemos estar preparados y es parte de la experiencia y crecimiento del día a día.

¿A qué me refiero con estar preparado? Bueno pues a que desde pequeños nos enseñaron a que si nos acercamos al fuego nos podemos quemar, si jugamos con éste estamos más propensos a quemarnos. También nos enseñaron a que usáramos los cuchillos con cuidado y sólo hasta alcanzar una edad donde tuviésemos más habilidades. Otro ejemplo es el que nos dan al ayudarnos a cruzar la calle y nos obligan a voltear para revisar que no vengan carros, o qué mejor ejemplo cuando nos llevan a lavar los dientes para evitar las caries.

Bueno si no fuera por todos estos ejemplos del día a día y de nuestro crecimiento, no tendríamos las habilidades de protegernos.

Estas conductas deberíamos aplicarlas al uso del Internet, Y es que al entrar al mundo del Cyber-espacio o a la Cyber-carretera, deberemos estar preparados para afrontar los problemas que en ella se presentan.

La afirmación al referir que las empresas latinoamericanas no toman en serio la seguridad de las comunicaciones del Internet, está basada en que no conocen los problemas que esto representa y no toman en cuenta las sugerencias de protegerse antes de sufrir el problema, pero es de notar que sí saben que el Internet es y será una muy buena herramienta para crecer sus negocios y conseguir ofrecer sus servicios a más gente y empresas que lo requieran.

En el tiempo que tengo instalando y configurando redes para empresas de todo tipo, me he encontrado con diferentes estilos de pensar, y también con que los responsables no han profundizado en los diferentes temas que representa la seguridad. Como ejemplo les platico de algunos casos…

En una ocasión platicando con la gente de administración de una empresa me solicitaban la unificación de sus conexiones de Internet y para ellos esa era la prioridad más grande, dado que mucho de su negocio se realiza por este medio y una de sus quejas era la lentitud del mismo. Al plantearle al cliente un análisis de su utilización para saber si los usuarios utilizaban su red en algo mas que no fuera su negocio, me comentaron que era imposible que hiciesen mal uso de ésta. ya que sus usuarios se encontraban tan inmersos en su trabajo diario que era imposible y no era necesario. Después de insistir y de jugar una pequeña apuesta, el cliente accedió a que realizáramos este análisis, los resultados fueron 0 a 1 a favor de este escritor: En resumen, los usuarios se encontraban escuchando música y bajando la misma mientras trabajaban, cabe mencionar que los sistemas que se usan para bajar información son consumidores totales del acceso de Internet. También encontramos usuarios que mantenían conversaciones por largo tiempo y aquellos que en lugar de hacer su trabajo se encontraban viajando por páginas con triple X de reputación.

La pregunta surge, ¿Qué tiene que ver esto con la seguridad, si es más bien un caso de productividad…? bueno, la respuesta es muy sencilla: ¿Quién está seguro de que cuando bajas una canción por estos sistemas no estas bajando información que pueda apoderarse de tu computadora y en consecuencia de la red?, es importante señalar que los ciber criminales usan en particular las páginas de mala reputación así como los sitios mas visitados para implantar sus códigos que puedan apoderarse de sus computadoras.

Así como este caso se presentan muchos como los de correo electrónico, donde un servidor de correo mal instalado y mal protegido, queda vulnerable para que alguien más mande publicidad o propague sus correos con código malicioso o Virus, y que al poner seguridad bien planeada se empieza a rechazar a los que no tienen bien construidos sus sistemas, y al no recibir esos correos empiezan a relajar la seguridad de la misma para poder recibir al que no realizan su correcta configuración y por consecuencia empieza a ocurrir lo esperado.. ¡¡¡PROBLEMAS!!!

Otro caso más es el individuo que por ahorro, compra o instala software antivirus pirata y cree que esa será la solución a su problema sin pensar que esas soluciones no tendrán toda la capacidad o bien dejaran de funcionar y entonces… ¡¡¡PROBLEMAS!!!!

A final de cuentas, no se tiene la costumbre de contratar a personal especializado y con función especifica para atender la seguridad de la empresa en cuestión de las redes o TI y mucho menos están acostumbrados en contratar y pagar los servicios de empresas y consultores en seguridad. De hecho, en la experiencia propia, de 100% de empresas visitadas solo 1 tiene contratado a personal y del 100% de estas el 99% no cuentan con políticas especificas de seguridad, amen de que sea instalar el antivirus en sus maquinas.

Un punto que se les debe aclarar es que para asegurar la navegación en Internet, se deben de conocer los diferentes puntos de vulnerabilidad ya que los ataques cambiaron y entonces debemos de aplicar un COCKTAIL de seguridad que cumpla por lo menos con:

Anti Vírus
Anti Malware
Filtrado de páginas de Internet
Protección y detección de intrusión
Filtrado de correo SPAM

¡Aah! y el viejo y muy importante mecanismo al que la mayoría no le pone atención: el RESPALDO.

Y lo nuevo e importante, es el que los usuarios entiendan como cruzar la carretera del Internet vigilando que no vengan problemas a atropellarlos.

Algo de lo que me he dado cuenta constantemente, y hablo del 100% de las empresas a las que he visitado, es que si tienen una problemática siempre buscan quién fue para despedirlo, y nunca buscan primero concienciar al personal de las diferentes amenazas en el Internet o bien qué necesitan para prevenir estas conductas o vulnerabilidades. Ante este panorama, la pregunta crucial es ¿será por dinero?, ¿será por tiempo?, ¿será por desconocimiento?, En la inmensa mayoría de los casos a los que me he enfrentado es que el encargado de sistemas, administrador o cualquier nombre de puesto que tenga, minimiza el caso y trata de ahorrar con otras soluciones, sin evaluar el costo que tiene el perder información o dinero por no realizar las mejores prácticas de seguridad o por no reconocer que necesita ayuda ó soporte de un especialista. De todos modos estos puntos deberán de evaluarlos las empresas. Pero de lo que sí estoy seguro es de que Zapatero a sus Zapatos y es que si existen personas y empresas especializadas o especializándose constantemente en este tema debiese de recurrirse a estas. Y es que es fácil pensar en que si tenemos que pagar impuestos recurrimos a un contador, si nos duele la muela recurrimos a un dentista y etc., etc.

Hablando de casos reales nos enteramos en los periódicos de los fraudes que existen a cuenta habientes bancarios por robo de dinero, ¿de cuántos casos no nos enteramos por que no se denuncian?, Esto no es para que adopten al Internet como algo malo, es para que busquen informarse de los ataques estructurados y se prevengan.

Si bien sabemos que tener sexo seguro es cuando usamos un preservativo de la manera correcta o no tenemos sexo; de la misma manera debiéramos usar el Internet, con lo necesario para navegar seguros y saberlo utilizar, porque como el preservativo: si lo rompemos, fallamos. Si lo guardamos en el zapato, fallamos. O si lo reutilizamos, fallamos. De la misma manera deberemos utilizar los sistemas de seguridad para el Internet y qué mejor que usar los sistemas especializados llamados UTM.

También, no nos dejemos engañar o mal aconsejar con el amigo que dice “no pasa nada”. Tomemos en serio el tiempo para asesorarnos y sobre todo con la empresa que se comprometa a entender su operación y de esa manera aplicar la seguridad.

Un asunto que me gustara platicar en otra ocasión es como los ciber criminales se apoderan de nuestras infraestructuras para vender sus productos o atacar a otros sin que les cueste, y mientras nosotros perdemos ya que no podemos usar los servicios que compramos o rentamos.

¡Que tengan un seguro y feliz viaje por la Internet!

Verde

2008-05-07T09:53:00.000-05:00

Por: Leandro Werder (Fortinet) - Maio de 2008

Como um bom brasileiro que ama futebol, fiquei entusiasmado com a conquista do Campeonato Paulista pelo meu “Verd ão” domingo passado e hoje resolvi falar algo diferente neste blog de segurança, gostaria de falar sobre o VERDE.

Vocês devem estar se perguntando qual a relação da cor verde com segurança da informação, na verdade quando disse que iria comentar sobre o verde não quis falar sobre a cor nem mesmo sobre o grande time do Palmeiras ;) quis dizer que queria comentar sobre nosso meio ambiente e ele realmente tem haver com segurança. (Uma descoberta que tive recentemente ao acaso...).

Meus companheiros engenheiros da Fortinet esses dias entraram em uma breve discussão sadia, por e-mail, sobre como nossos produtos podem ajudar a proteger o meio ambiente, fiquei super feliz com discussão já que particularmente considero-me uma pessoa que está sempre tentando ajudar a manter o “verde vivo” (tento pelo menos fazer o mínimo como conservar água, reciclagem de lixo em minha residência, de maneira nenhuma jogar lixo nas ruas entre outras contribuições bem minúsculas, mas que todos deveriam estar habituados a fazer).

Voltando ao mundo de segurança, eu achei interessante alguns pontos observados por um de nossos engenheiros do Japão e sua discussão com nosso pessoal de desenvolvimento de produtos, onde ao final da mesma a conclusão foi que nunca a Fortinet quis se posicionar como a empresa “mais amiga do meio ambiente”, mas chegamos a uma simples equação onde utilizar UTM e também as propriedades de virtualização dos nossos appliances significa menos “caixas” no datacenter e conseqüentemente mais eficiente o uso do hardware com menor consumo de energia (tanto para as caixas como ares-condicionados, entre outros...) e com isso temos em geral a redução de p egadas de carbono.

Realmente interessante o pensamento e a discussão, chegando até mesmo a ser comentado que essa redução no impacto ambiental já é feito durante a manufatura, pois produzimos menos “caixas” para atender um enorme número de soluções de segurança.

Deixa-me feliz saber que hoje as empresas americanas têm essa preocupação sim, e gostaria que cada vez mais os consumidores (nós) utilizassem o impacto ambiental como um fator de escolha de nossos produtos consumidos.

Software, piratería y sociedad.

2008-05-06T18:08:00.000-05:00

Por: Francisco del Río (Cero Uno Software) - Mayo de 2008

La cada vez más común costumbre de eliminar lo más posible los artefactos físicos de las soluciones de software, desde manuales de usuario hasta cajas, candados y certificados de autenticidad, en aras de los “bajos costos de producción”; ha contribuido a la fácil reproducción de todos lo elementos que componen las soluciones. Esto ha provocando en el usuario una cada vez más débil sensación de pertenencia e identificación hacia su adquisición, acompañadas de una casi inexistente sensación de culpabilidad ante la copia, compra, venta y distribución de las soluciones de manera ilegítima.

Ante la disminución de los componentes materiales debido a las supuestas ventajas de lo “virtual”, vemos la rematerialización del software reencarnando en “Appliances” de todos tipos, que se adaptan de manera mas exacta a las expectativas de los consumidores de adquirir algo que los haga sentirse “dueños” de algo que se siente y toca, al mas puro estilo de las mas primitivas transacciones comerciales. La dificultad de hurto de componentes físicos hace mas atractiva su adquisición por parte de los consumidores y hace remarcables sus ventajas respecto soluciones “bajadas” de sitios WEB con características similares, fácilmente crackeables y distribuibles.

Como efecto colateral de sus propias acciones al eliminar componentes físicos, el fabricante de software se convierte en victima de si mismo; influyendo e impulsando a la sociedad a la aparente destrucción de su industria, promoviendo la piratería al hacerla mas fácil de realizar.

Lo que destruye a algunos hace crecer a otros, los gigantes crecen y los pequeños se empequeñecen más. Ante la facilidad de reproducción y la baja sensación de culpabilidad, la base instalada de software “gratuito” de gigantes es cada vez mas alta. De esta enorme base instalada un porcentaje es “forzado” por las autoridades a regularizarse, otros por miedo a represalias deciden hacerlo y algunos pocos mas por convicción propia se ponen “al corriente”, representado ingresos de cantidades obscenas anuales, dando entrada en el planeta a algunos de los millonarios del “top ten” de Forbes.

El efecto general resumido es que los nuevos emprendedores de software casi de manera inevitablemente serán víctimas de la piratería, disminuyendo sus ingresos de manera alarmante, es muy probable en un periodo corto de tiempo sus aires emprendedores de vean coartados por los malos hábitos de su mercado meta.

Solo algunos pocos más vivos subsisten al reto “materializando” las soluciones y evitando los efectos colaterales de la “virtualización”.

Mis novias Rusas y los Spammers

2008-04-18T17:44:00.000-05:00

Por: Martín Hoz (Fortinet) - Abril de 2008

Esta es la historia de dos mensajes recibidos en el buzón de correo electrónico de un usuario cualquiera de Internet...

*** Primer Mensaje (Febrero 23 de 2008) recibido por el usuario:
"My name is Oksana. To me of 31 years. . I saw your structure on a site, and you interested me. And I have decided to write only to you!"
(el mensaje es mas largo y continúa...)

Ahora la traducción: "Mi nombre es Oksana. A mi de 31 años (¿?). Vi tu estructura en un site (¿?) y me interesaste. He decidido escribirte solo a tí!".

Anexa la foto de una chica luciendo una blusa verde, abrazando a un oso rosado y con una gorra de baseball color rosa también.

*** Segundo Mensaje (Abril 16 de 2008)

"Me llamo Alena! - Mi amiga ha conocido el hombre con la ayuda de un sitio. Aquello el hombre ha dicho que hay un hombre que quiere conocer también la mujer rusa y ha dado a mi amiga tu dirección del e-mail. Pero aquello el hombre, que ha dado tu dirección del e-mail pidió que diga nunca su nombre, como llaman y donde él vive. Por eso no diré a tí el nombre de esto del hombre. No sé había esto la verdad o no, puedes ser no sabes esto el hombre. Pero ahora escribimos uno a otro y este principal. Quero conocer siempre con extranjero por el hombre, porque fui desengañada por los hombres rusos."
(el mensaje es mas largo y continúa...)

Anexa la foto de una chica rubia, con vestido rosa. Podría ser rusa o no, pero eso no importa... parece bonita.

*** Posible conclusión rápida de usuario que recibe estos mensajes...
¡Qué suertudo soy! - ¡Me escriben chicas rusas guapas y solo a mí! Creo que soy irresistible para las mujeres rusas, dado que se interesaron por un mexicanote como yo (morenito, feo y panzón)... debería ir a Rusia a levantar mi autoestima... :-)

*** Análisis a profundidad
Pero, un momento. Veamos...

¿Por qué me eligen a mí?
¿Por qué el mismo mensaje me llega varias veces casi al mismo tiempo?
¿Por qué si la chica se llama "Oksana" o "Alena" el correo electrónico del remitente no dice "Oksana" o "Alena"?
¿Por qué me piden todos los correos responder a "medssestra@gmail.com" en el caso de Alena y a "oksanagirl1977@gmail.com" en el caso de Oksana?
¿Por qué todos los correos que me llegan con el mismo texto, tienen diferentes cosas marcadas en el "subject" o "asunto" del mensaje electrónico?
Una vez mas ¿por qué yo?

*** Las respuestas
No hay realmente una chica rusa detrás de estos mensajes. No hay chica. Es mas quizá ni haya humano. Es simplemente "alguien" haciendo "algo", usando ingeniería social, sabiendo que "algun internauta" que esté legítimamente interesado y que sea lo suficientemente ingenuo responda... y entonces alguien se quede con mi dirección de correo, sabiendo que pertenece a un usuario legítimo.

Esta es una vez mas una mezcla de ingeniería social con un desesperado intento por obtener direcciones de correo legítimas, para poder vender bases de datos a gente que desee enviar publicidad...es decir, mas SPAM. O al menos, eso es lo que veo yo en primera instancia. ¿Qué mas podría ser? Vía los encabezados del mensaje (donde está la información de quién y cómo envía el mensaje, por dónde ha pasado y a quién va dirigido) capturar direcciones IP e investigar potenciales servidores de correo sin protección, para poder ser utilizarlos como fuentes de mas ataques. Quizá investigar direcciones IP para intentar un ataque mas dirigido. ¿Qué mas puede ser? - Quizá las imágenes en sí contenían algun tipo de ataque dirigido contra el usuario para explotar alguna vulnerabilidad en el browser o en el visor de imágenes de las estaciones de trabajo sin protección perimetral y sin parches. ¿Alguna otra cosa? - Quizá enviar información oculta mediante esteganografía... y ahí pueden sumarle mas cosas, desde las completamente coherentes hasta las completamente descabelladas, pero técnicamente viables o al menos potencialmente posibles.

¿La cura? - Lo de siempre: educación. Usar un poco el sentido común (aunque dicen por ahí que éste es el menos comun de los sentidos) y preguntarnos ¿qué tan factible es que sea esto verdad? - Usar la lógica ante estas situaciones, y como ocurre en la vida real, simplemente no quedarnos callados y "denunciar" platicando de esto con amigos y conocidos (sobre todo aquellos que usan una computadora pero no son versados en seguridad en cómputo), escribiendo sobre esto, alertando cuando sea posible hacerlo... En resumen: Educando...

Internet está metido en nuestra cotidianeidad, querámoslo o no. Desde el trabajo y la escuela hasta el hogar. Mientras mas educados sean los usuarios y mas gente esté trabajando en tener un mejor Internet, y nos comportemos todos como buenos "ciudadanos de la red", mejor será el futuro para todos en este medio, tan necesario en nuestros días para tantas cosas. ...

Ataques dirigidos y personalizados: Ya están aquí...

2008-03-08T15:14:00.001-06:00

Por: Martín Hoz (Fortinet) - Marzo de 2008

Cuando comencé a usar Internet, por ahí de Octubre de 1993, el contenido que tenía que leer yo como hispanoparlante era invariablemente en inglés. El contenido en español era escaso, y todavía valía la frase aquella que decían por ahí que si querías usar bien la computadora, el inglés era super indispensable. MS-DOS 3.30 estaba solo en inglés (creo que fué MS-DOS 4.01 o 5.0 , no recuerdo, quien trajo por primera vez mensajes en español), el VMS que corría el sistema DEC MicroVAX con el que accedía a Internet estaba solo en inglés, y lo que había en los sitios Gopher y FTP (el WWW estaba naciendo) era en inglés.

Al día de hoy para ser un profesional del cómputo el inglés sigue siendo indispensable (por colaboración especialmente). Pero para poder ser usuario de una computadora, tenemos desde sistemas operativos en español, a navegadores en español, suites de productividad (o suites de oficina) en español, asistencia técnica en español. En fin. Todo en español... Hasta los ataques.

Hace algunos años, algunos virus que se replicaban por correoe electrónico se popularizaron porque eran capaces de diferenciar el idioma del cliente de correo que usaba la víctima, para ajustar su mensaje en el idioma local. Esta tendencia se siguió por un tiempo y posteriormente, la moda se pasó a los messengers: mensajes que nos pedían hacer click para ver una fotografía, descargar una canción o ver una postal electrónica, en un principio eran solo en inglés (lo que daba para dudar que mi amigo lo estuviera enviando) a pasar a se en idioma local, inclusive con "localismos" (slang, caló) para hacerlo mas creíble...

Cuando llegaron los estafadores africanos al mercado de SCAMs (esos que decían que le regalaban a uno 10 o 12 millones de dólares por decir que uno era el pariente único sobreviviente de un supuesto muerto que había dejado muchos millones en el banco, o bien que uno recibía unos milloncitos por ayudar a algun desesperado familiar de un dictador o rey en desgracias) los mensajes sin embargo eran en inglés. Pero hoy la cosa es bien diferente...

Desde hace algunos meses, he recibido mensajes que van dirigidos específicamente a una audiencia particular: recibí mensajes que me daban una "exclusiva" para ver los videos sobre el reciente "bombazo" que sucedió en Ciudad de México, aparentando venir de una fuente de buena reputación como es el Diario "El Universal". Luego recibí mensajes que parecían venir de Telcel, prometiendo minutos gratis como promoción por el día de del amor y la amistad (14 de febrero). Después mensajes que parecían venir de la PROFECO (Procuraduría Federal del Consumidor, instancia del Gobierno Mexicano para vigilar abusos en comercios y precios) advirtiéndome sobre posibles gasolineras fraudulentas. Mensajes todos en español. Mensajes todos dirigidos a un público específico (usuarios de Telcel, mexicanos interesados en saber mas del "bombazo", mexicanos que tienen auto y quieren enterarse de las gasolineras que despachan litros de menos). Todos a una cuenta que tengo con dominio "mx". Todos en español. Todos con evidencia de que eran falsos a los ojos de alguien que está acostumbrado a detectar mensajes falsos: venían de dominios diferentes del supuesto remitente (por ejemplo, de "microsoft.com" un mensaje que se supone viene de PROFECO, de "ejecutivo.com" un mensaje que viene del Universal y de "tuxtla.com" un mensaje de Telcel), la descarga se hacía de dominios completamente disímbolos (el promo de Telcel descargaba un programa de "huipi.com) o el video del Universal se descargaba desde un dominio ".gr" que es Grecia). Pero para detectar esto había que tener cierto cuidado... pues ante un usuario sin la preparación para revisar estos detalles, todos los mensajes eran en apariencia inocuos, benignos, originales e incluso bien intencionados, para quienes no sabían que detrás de estos mensajes estaba la descarga a un malware que vulneraba la seguridad de sus equipos...

Inclusive los "SCAMs" africanos, esos que prometían millones gratis si uno se prestaba a apoyarlos en alguna operación (tal como trasnferir fondos, o decir que uno era el último pariente vivo de algun individuo teóricamente ya finado) están ahora en español. Sus traducciones son malas. Perdón: pésimas. Se nota que usan traductores automáticos (quizá traductores en línea), inclusive el contenido de los mensajes en inglés está mal redactado; pero bueno... lo interesante es que ya lo están intentando, y que mientras caigan incautos lo seguirán haciendo. Por cierto, si alguna vez se preguntaron ¿Cómo funcionan estos fraudes? la respuesta está siguiendo el URL http://potifos.com/fraud/
Hay también una versión en español aquí http://www.enplenitud.com/nota.asp?articuloID=4128

Anticipo que cada día será mucho mas comun este tipo de ataques: por medios comunes de mensajería (mensajería instantánea o correo electrónico) con contenido en aparencia benigno, de fuentes de buena reputación en apariencia, pero que en realidad enmascaran ataques...

Ante esta realidad, mecanismos mas fuertes de control de identidad, mecanismos a nivel red que sean capaces de distinguir mas eficazmente y con mayor rapidez el contenido "bueno" para bloquear el "malo", pero sobre todo usuarios mejor educados (preparados para repeler la ingeniería social en la que se basa estos ataques), que se preocupen por su seguridad en línea tanto como se preocupan por su seguridad en el mundo físico, será lo que detenga o por lo menos mitigue esta tendencia...

Seguridad en Cómputo para Gente de Negocios...

2008-02-06T05:50:00.000-06:00

Por: Martín Hoz (Fortinet) - Diciembre de 2007

Introducción – Un día normal en la vida de un gerente de sistemas…

Es una tarde lluviosa en la ciudad mientras el Ingeniero Enrique Villalpando conduce de regreso a su casa después de un día de campo con su familia. Casi llega a su destino, cuando de pronto un insistente sonido y un movimiento vibratorio en su cinturón le indican que ha recibido un mensaje en su teléfono móvil. Despreocupado, piensa que es uno mas de los mensajes que regularmente recibe alertándolo sobre posibles problemas de seguridad en la red de la cual es responsable. Mensajes que con frecuencia, son inocuos. Enrique, Director de Tecnología e Informática de una importante empresa, esta acostumbrado-quizá un poco más de lo debido- a recibir estos mensajes cotidianamente.

Desafortunadamente para Enrique, este último mensaje que ha recibido se refería efectivamente a una intrusión que en ese momento estaba ocurriendo en su red cuando un gusano informático aprovechó una vulnerabilidad desatendida en uno de sus equipos y se coló. Se percató de esto cuando 10 minutos más tarde después de haber recibido el primer mensaje, recibió una llamada telefónica de uno de los operadores del centro de monitoreo responsables de vigilar que los parámetros de operación de la red, tales como porcentaje de utilización, cantidad de usuarios registrados, tiempos de respuesta o actividad de las aplicaciones, estuvieran siempre dentro de los rangos normales.. Desafortunadamente al tiempo de recibir la llamada era un poco tarde, pues los diferentes indicadores mostraban que había una utilización excesiva en dos de los servidores aplicativos colocados en la granja de servidores donde se alojaba los sistemas con los cuales se atiende regularmente los pedidos electrónicos colocados por los clientes mas importantes de la empresa, la red estaba al 100% de utilización, los servidores al 100% de carga en CPU, y en definitiva algo no estaba bien para una tarde tranquila de fin de semana.

En ese momento Enrique comenta a su esposa que tiene que ir de emergencia a la oficina pues un problema “de esos que no pueden esperar”, se había presentado. “¿Qué pasó?” pensaba Enrique mientras su familia descendía del vehiculo y él emprendía el camino a la oficina. “Hemos invertido en Firewalls, IDPs, antivirus, y cuanto mecanismo de seguridad en red nuestros consultores nos han ofrecido. La gente que nos asesora tiene las más altas certificaciones. Tenemos procedimientos y métricas que nos ayudan a determinar riesgos y minimizarlos. Estamos alineados con estándares. ¿Qué hicimos mal? O mejor dicho ¿Qué estamos haciendo mal? Esta es la tercera vez que pasa algo similar en lo que va del año…”

Tecnología y negocios: La pareja incomprendida…

Por desgracia de las organizaciones que confían en la tecnología para llevar a cabo de una manera más eficiente, efectiva en costos y flexible sus procesos de negocio, el escenario anterior puede ser algo relativamente común. En algunos casos más frecuentemente, en otros menos , pero todo mundo ha escuchado de alguien cercano –si es que no lo ha vivido en carne propia- los indeseables casos en los que de pronto, en el momento menos esperado, los sistemas de información y las redes que los interconectan se niegan a trabajar como se espera, producto del fallo de algún componente de la infraestructura , o –en el peor de los casos – de un ataque de seguridad , el cual no siempre tiene como autor a algún malévolo individuo que se fijo como blanco de sus ataques a la organización presa del problema, sino que inclusive ataques genéricos automáticos liberados por genios con creatividad mal enfocada, liberan para simplemente probar que es posible hacerse, o buscar fama o inclusive algún tipo de provecho.

Mas y mas la conciencia de que los activos informáticos son importantes para las organizaciones, se hace evidente cuando una interrupción no planeada de la operación, afecta el ciclo de negocio que descansa precisamente sobre la tecnología. Hecho que en sí mismo es malo, pues habla de que la Seguridad Informática –que puede entenderse como el lograr que los sistemas se comporten como el usuario espera que lo haga – se contempla como una medida reactiva cuando los problemas ya están tocando la puerta . Lo ideal sería que esos problemas que pudieron evitarse hubiesen suido contemplados con antelación en las etapas de planeación y diseño de la infraestructura. ¿Qué se puede hacer entonces proactivamente para evitar caer en una situación como la del pobre Enrique?. Veamos…

La seguridad como un asunto de negocios

Al estar la seguridad informática empapada de términos rimbombantes como Spyware (programas espías), Adware (programas de publicidad no deseados), phishing (fraudes en páginas web impostoras), SPAM (correo electrónico no deseado) que se han escuchado con mas frecuencia en últimas fechas, y siempre asociados a las computadoras, la Internet y en general a la tecnología, se suele pensar que esto es relevante solo al mundo tecnológico.

Debido a lo anterior, uno de los errores que las organizaciones con frecuencia comenten, es el de considerar a la seguridad informática como un problema tecnológico, en lugar de contemplarlo y como lo que es: un problema de negocios. Cuando los inversionistas, los directores de finanzas, los CEOs y los CFOs hacen un análisis de negocio, siempre contemplan el potencial riesgo que existe intrínseco a la operación a realizar. Cuando se trata de tecnología es responsabilidad del director de informática o CTO de evaluar los potenciales riesgos intrínsecos a la infraestructura tecnológica. Pero dado que las disciplinas tecnológicas pocas veces incluían en su formación conocimiento de negocios y las disciplinas de negocios no incluían en su formación conocimientos sobre tecnología, no ha sido hasta recientes fechas – quizá pudiéramos hablar de la ultima década – que sea generalizado en organizaciones de todos los tamaños, que los responsables de áreas de tecnología comiencen a hablar términos de negocio como retorno de inversión, costo total de propiedad , gasto de capital; que los responsables de área de negocio podían entender, y con esto ganar conocimiento estos últimos sobre la importancia y el impacto que la tecnología tiene sobre el negocio en sí.

Y es que los gastos en seguridad en computo dejan de verse como tales en el momento en que se explica que una pieza tecnológica como un Web Content Filter (mecanismo para evitar que usuarios vean categorías de páginas web indebidas, como pornografía, música o juegos) puede evitar la perdida de productividad en la que incurren los empleados al utilizar recursos y tiempos de la empresa para navegar en paginas que no tienen nada que ver con su función. Y esto puede traducirse en dinero si se multiplica el costo salarial por hora hombre por la cantidad de horas perdidas en promedio por empleado (así sea solo una hora) por la cantidad de empleados por organización. Un antivirus (detector y limpiador de códigos maliciosos) puede ser justificado a través del costo que tendría la organización en caso de que sus equipos fueran infectados por virus, y tuvieran que detener la operación para realizar la desinfección. En caso de infección de virus, cuesta la productividad perdida de los empleados, cuestan los clientes insatisfechos que dejan cierta ganancia a la organización por hora, cuestan los ingenieros que deben hacer la desinfección y cuestan las horas necesarias para recuperarse a un estado de integridad de la información que se tenía antes del problema. Similarmente un Firewall (control de acceso a recursos) y un IPS (protectores contra ataques) puede justificarse por la cantidad de horas (y dinero) que ahorran por detener ataques y mantener a los atacantes fuera de la organización. Un AntiSpam (filtro contra correo no deseado) puede justificarse puede justificarse por la productividad ganada de nuevo por no tener que leer correo basura. Y podríamos continuar con un listado de los como justificar los diferentes mecanismos de de seguridad, pero creo que la idea general se entiende: Cuando no es posible asignar un valor directo sobre los activos que se pueden perder a causa de un problema de seguridad, siempre será posible medir el esfuerzo en horas hombre que toma cierta actividad. Y una vez mas, tiempo es dinero.

Ahora, tener los valores que justifican una inversión en seguridad no significa que tenemos la vida resuelta. En realidad, esto es solo el principio la parte mas difícil, en realidad aun esta por venir , pues muchas organizaciones a pesar de cuantiosas inversiones en seguridad siguen teniendo problemas. ¿Qué hacer entonces para minimizar el riesgo?. Lo primero es reconocer que no existe 100% de seguridad y que por tanto tenemos que vivir con cierto riesgo. El riesgo en informática, al igual que en otras disciplinas, puede asumirse (sabiendo que el costo de que el riesgo ocurra es menor al costo de las posibles contramedidas para mitigarlo) se puede mitigar(a sabiendas que el costo de las salvaguardas es menor al costo de que el riesgo se presente) o se transfiere, como ocurre cuando se adquieren seguros contra robo, desastres físicos y similares. En todos estos casos, el valor de la información que esta bajo análisis debe conocerse de forma cualitativa o cuantitativa para poder tomar las decisiones adecuadas.

¿Dónde enfocar la inversión?

La seguridad, al igual que la calidad, es un ciclo. De hecho, de cierto modo puede verse a la seguridad como una extensión de los esfuerzos de calidad en la organización, y del mismo modo requiere cierto esfuerzo y cierta asignación de recursos en áreas estratégicas para poder llevarse a cabo con efectividad. Cuando se ha decidido minimizar el riesgo (versus aceptarlo o transferirlo), existen tres grandes áreas para las cuales debiera existir presupuesto cuando se habla de seguridad en computo: Gente, Tecnología y Procesos.

Gente. Sin lugar a dudas el eslabón mas débil en la cadena de la seguridad. Hay poco que puede hacerse cuando una persona esta determinada a cometer algún tipo de ilícito contra la organización , especialmente si se trata de una individuo que cuenta conocimientos sobre la operación, y aun mas si esa persona ha recibido la confianza de la organización y es un usuario valido de los recursos de la misma; como puede ser el caso de un empleado, un cliente, un contratista o un socio de negocios.

Por ejemplo, cuando un empleado esta determinado a sacar ilegalmente información de la organización, de poco sirve tecnologías de control de acceso o monitoreo en la red o en las estaciones de trabajo de los usuarios: puede ser suficiente con que vía una memoria USB se extraiga información sin que nadie lo note, o aun mas creativo: que se utilice la cámara fotográfica del teléfono celular para sustraer los datos que se quieren sin que ningún sistema de monitoreo lo detecte.

Por todo ello es de suma importancia realizar acciones como la revisión del historial de las personas a quienes se les confía la custodia y el manejo de información sensible e importante para el negocio: Un historial de deudas puede hacer más proclive a una persona a aceptar sobornos, por ejemplo. Es importante también establecer controles administrativos, procedurales y en su caso legales, tales como la rotación de personal, el evitar el acceso dispositivos que podrían permitir sacar información (Desde una memoria USB hasta un teléfono celular) o los contratos de confidencialidad para el personal.

Especial relevancia recibe la capacitación que pueda darse a los oficiales de seguridad, ingenieros y demás personal que atiende directamente los mecanismos de seguridad. De nada sirve tener la mejor tecnología, si el personal encargado de operarla no obtiene el máximo beneficio posible, o bien su falta de entrenamiento facilita una mala operación, lo cual hace vulnerable el ambiente a ataques.

Adicional a lo anterior, cualquier esfuerzo orientado a proveer educación continua para los miembros de la organización, con la finalidad de incrementar el nivel de conciencia sobre la importancia de la seguridad en las labores cotidianas, será siempre recompensado. Con el simple hecho de hacer al personal menos vulnerables a ataques de ingeniería social (desde el engaño de los correos cadena hasta la entrega voluntaria de contraseñas por impostores que se hacen pasar por personal de sistemas) o bien incrementar el nivel de participación en campañas de seguridad (“Haga mas seguro su password sin ponerlo en un post-it en su PC”) harán a la larga que la organización sea mas resistente en este eslabón.

Tecnología. Cuando la seguridad se volvió un asunto del cual mucha gente comenzó a hablar, surgieron de la noche a la mañana empresas “Especialistas y con amplia experiencia” en todos los niveles, desde fabricantes hasta integradores y consultores .Esto dio como resultado, por un lado , que la conciencia sobre la necesidad de seguridad se incrementara; lo cual es extremadamente positivo. Por otro lado, las organizaciones que confiaron en aquellos que se decían expertos (oportunistas que aprovecharon el boom), pero que en realidad no lo eran tanto, se toparon con la desagradable sorpresa de que la calidad de los productos, soluciones o metodologías propuestas no era el prometido originalmente, dejando un mal sabor de boca.

En cuanto a fabricantes, mas allá de platicar de los mecanismos tecnológicos que deben adquirirse para proteger una infraestructura, quisiera referir algunos criterios de evaluación que ayudaran a determinar la seriedad de algún oferente tecnológico:

Foco: Debe ser una empresa para la cual la seguridad sea el único o el más importante fuente de ingresos. Esto garantiza que los recursos de la empresa serán invertidos en investigación y desarrollo, soporte, y otros rubros que soporten el aumento en el ingreso de capital a la empresa. Además garantiza un mayor conocimiento sobre un área. Es la misma razón por la que se elige a un médico especialista sobre un médico brujo.

Innovación. Cualquier empresa que no innove constantemente, está condenada al atraso en un mercado donde la evolución es constante. Así pues, compañías de seguridad que hayan mantenido una línea de productos con características bastante constantes, sin evolución, deben ser observadas con mucha cautela. Hoy nadie usa celulares que solo sirvan para ser teléfonos, ni Walkmans con cassettes.

Relación costo/beneficio: En el mercado de la tecnología, como en otros mercados, ocurre que pasado el tiempo de introducción al mercado, tiende a hacerse commodity cierto tipo de funcionalidad o dispositivo. Entonces, surgen otros participantes que emulan la funcionalidad o el dispositivo y ante una mayor oferta, los precios tienden a disminuir. Hay que buscar compañías que nos ofrezcan una buena relación de prestaciones (beneficios) por el precio que se paga por su producto. Especial mención deben recibir aquellos fabricantes que han logrado simplificar los complejos modelos de licenciamiento para reducirlos a simplemente una cuota por todas las prestaciones de seguridad que se reciben, ya sea por medio de arrendamiento o adquisición.

Liderazgo. Esto puede medirse en cuanto a participación de mercado de la empresa, pero también puede medirse en base a la capacidad de crear mercado, lo cual de algún modo va ligado a la innovación,

Convergencia. Al día de hoy, al igual que muchas otras ramas de la tecnología, la seguridad va muy enfocada a la convergencia: la unificación de varias funciones en la menor cantidad de dispositivos posibles. La integración de la red con la seguridad, además de la intergración de las funciones en sí mismas (lo que se conoce como Gerencia Unificada de Amenazas o Unified Threat Management) es una tendencia de mercado que debe contemplarse al momento de echar un vistazo al tipo de empresa que debe ser proveedor de la tecnología.

Procesos. La última parte donde tiene que invertirse como parte de la Triada básica para tener buena seguridad, es la parte de los procesos. Dado que todos los procesos de tecnología son relevantes a procesos de negocio, deben ser revisados como tales y hacer evaluaciones del impacto que puede tener cualquier adicion en seguridad sobre las tareas cotidianas realizadas en la organización.

La parte de procesos es un área muy sensible, pues con frecuencia toca no solo la parte operativa “fría”, sino que también tiene que lidiarse con la resistencia al cambio de las personas que tenían la “costumbre” de realizar las cosas de tal o cual forma. Sin embargo, así como en calidad los procesos forman parte activa para llegar a las metas establecidas por el programa, en seguridad ocurre lo mismo. Esperanzadoramente hay estándares como el ISO 17799, ITIL, COBIT y otros, que pueden ayudarnos a alinear los procesos (desde la adquisición de bienes hasta la entrega de servicio a clientes, desde la operación regular hasta la planeación para operación en caso de desastre) de los diferentes departamentos que puedan esta involucrados con tecnología, ya sea como custodios o usuarios, para asegurarnos que se están cubriendo los requisitos mínimos necesarios para llegar a nuestras metas.

Procesos y políticas van de la mano, y por tanto, es necesario ver que los procesos que se hayan modificado o establecido, reciban el respaldo adecuado de políticas, normas y procedimientos que los regulen y permitan una medición de éxito o fracaso, muestren avance con respecto al tiempo, y en general permitan controles que faciliten auditarlos.

Este tema, como cada uno de los anteriores, podría servir como fuente de material para todo un artículo, pero dado que este en particular es mas dependiente a la naturaleza de la organización que esté haciendo la implantación, lo dejaré en las generalidades ya mencionadas, con la conciencia que es un área igual de importante que la tecnología o la gente, y como tal merece atención y asignación de recursos.

Conclusiones

La seguridad en cómputo o seguridad informática, debe considerarse hoy desde las etapas tempranas de cualquier proyecto que involucre tecnología, y debe ser abordado como un problema de negocios que puede darnos en algunos casos ventajas competitivas (como puede ser el caso de la posibilidad de ofrecer nuevos productos o servicios) o bien simplemente a ayudarnos a mantenernos dentro de un mercado donde la eficiencia operativa pueda marcar diferencias.

En tiempos donde la tecnología está inmiscuida en cada rincón de la organización soportando procesos críticos de negocio en algunos casos, vale la pena detenernos un poco para revisar cómo es que estamos parados, y si estamos realizando las acciones adecuadas en los puntos adecuados para garantizar que la organización opere como haya sido diseñada. No hay que esperar a saber que un ataque informático o una mala operación de un componente en la infraestructura nos ha tomado por sorpresa, pues en ese momento puede ser ya demasiado tarde…