Documente Academic
Documente Profesional
Documente Cultură
www.segu-info.com.ar
www.segu-info.com.ar
del trfico poda pasar, de ah viene el nombre de "Permitir por defecto". Esta
forma de configurar situaba al administrador de redes en una carrera continua
contra los hackers. Supongamos que surge una nueva vulnerabilidad en un
servicio que no est bloqueado. Los administradores deben decidir ahora si
permitir o denegar el servicio, a lo mejor antes de que sean hackeados.
Muchas organizaciones adoptaron "Permitir por defecto" a principios de los 90
y se auto-convencieron de que estaba bien ya que "los hackers nunca se
preocuparn de ir a por nosotros". La dcada de los 90, con el advenimiento
de los gusanos de internet debera haber eliminado "Permitir por defecto"
para siempre pero no lo hizo. De hecho, la mayora de las redes de hoy en da
todava estn construidas alrededor de la nocin de un ncleo abierto sin
segmentos; es decir, "Permitir por defecto".
Otro lugar donde surge "Permitir por defecto" es en cmo tratamos la
ejecucin de cdigo en nuestros sistemas. La configuracin por defecto
consiste en permitir ejecutar cualquier programa en tu equipo si pinchas
sobre l, excepto si se deniega la ejecucin por algn programa como un
antivirus o un bloqueador de spyware. Si piensas sobre ello durante un
momento te dars cuenta de lo estpido que suena. En mi equipo ejecuto 15
aplicaciones de forma regular y hay unas 20 o 30 ms instaladas que uso cada
2 meses ms o menos. Todava no entiendo por qu lo sistemas operativos son
tan estpidos que permiten que cualquier virus antiguo o programa de
spyware se ejecute sin ni siquiera preguntarme. Esto es "Permitir por
defecto".
Hace algunos aos trabaj en un proyecto que consista en analizar la
seguridad de un sitio web como parte de un proyecto de seguridad de banca
electrnica. El sistio web tena un balanceador de carga delante que era
capaz de redirigir trfico a partir de la URL y mi cliente quera usar el
balanceador de carga para rechazar gusanos y hackers redirigiendo los
ataques a una direccin especial. Redirigir los ataques habra significado
adoptar la poltica de "Permitir por defecto" (por ejemplo, si no es un ataque
conocido djalo pasar) pero en lugar de ello les convencimos para adoptar una
poltica opuesta. El balanceador de carga fue configurado para redirigir todo
el trfico que no se ajustara a una lista de URLs bien construdas a un servidor
encargado de despachar imgenes y pginas de error 404, que estaba
funcionando bajo una configuracin muy segura. Naturalmente el sitio web ha
pasado el test del paso del tiempo bastante bien.
Un sntoma de que ests ante un caso de "Permitir por defecto" es cuando te
encuentras en una carrera contra las hackers. Eso significa que te has puesto
en una situacin donde lo que no conoces puede herirte y por lo tanto estars
condenado a mantener el ritmo/estar a la cabeza en esa carrera.
Lo opuesto a "Permitir por defecto" es "Denegar por defecto" y realmente es
una muy buena idea. Se requiere dedicacin, pensar y entender para
implementar una poltica de "Denegar por defecto", por eso se usa tan poco.
No es mucho ms difcil que "Permitir por defecto" pero dormirs mucho ms
tranquilo.
2 de 10
www.segu-info.com.ar
Por qu "Cuantificar el mal" es una mala idea? Es una mala idea porque en
algn momento de 1992 la cantidad de Maldad en Internet comenz a
sobrepasar con un amplio margen la cantidad de Bondad. Por cada programa
inofensivo y legtimo hay docenas o cientos de software intrusivo, gusanos,
exploits o cdigo viral. Con echarle un vistazo a un antivirus actual os daris
cuenta de que hay cerca de 75000+ virus que pueden infectar vuestros
equipos. Compara esto con los aproximadamente 30 programas legtimos que
puedas tener instalados en tu equipo y te dars cuenta de la mala idea que es
tratar de seguir 75000 piezas de Maldad cuando incluso una persona de pocas
miras puede gestionar 30 piezas de Bondad. De hecho, si fusemos capaces de
hacer funcionar nicamente los 30 programas habituales y bloquear todo lo
dems habramos eliminado simultneamente los siguientes problemas:
Spyware
Virus
Troyanos
Exploits que necesiten tener cdigo preinstalado que no uses
habitualmente
Gracias a todo el marketing que hay detrs de los anuncios y de cmo hacerlos
hay (de acuerdo a algunos analistas de la industria) cerca de 200 a 700 nuevas
maldades en Internet cada mes. "Cuantificar el Mal" no solo es una mala idea,
es que adems se ha vuelto ms estpida durante el tiempo que habis estado
leyendo este artculo.
Si discutiese esta idea con el tpico ejecutivo TI se levantara y dira: "Eso
suena genial pero nuestra red corporativa es realmente compleja. Tener
3 de 10
www.segu-info.com.ar
4 de 10
www.segu-info.com.ar
Hay un viejo dicho que reza: "No puedes hacer una pulsera de seda a partir de
la oreja de una cerda". Es verdad excepto si acabas usando tanta seda para
parchear la oreja de la cerda que la reemplazas completamente.
Desafortunadamente, cuando un software repleto de errores se corrige casi
siempre se corrige aadiendo nuevo cdigo, en lugar de quitar los antiguos
trozos de la oreja de la cerda.
3. Penetrar y parchear
"Penetrar y parchear" es una idea estpida que se podra expresar
perfectamente en el lenguaje de programacin BASIC:
10 GOSUB BUSCAR_AGUJEROS
20 IF AGUJERO_ENCONTRADO = FALSE THEN GOTO 50
30 GOSUB CORREGIR_AGUJERO
40 GOTO 10
50 GOSUB AUTOCONGRATULARSE
60 GOSUB SER_HACKEADO_EVENTUALMENTE
70 GOTO 10
En otras palabras, atacas tu firewall/software/sitioweb/lo que sea desde
fuera, identificas un fallo en l, lo corriges y luego vuelves a buscar. Haciendo
esto no mejoras la calidad del cdigo a largo plazo aunque Direccin pueda
agradecer la aparente brillantez de dicha estrategia a corto plazo. En otras
palabras, el problema con "Penetrar y parchear" es que no hace mejorar la
arquitectura de tu cdigo/implementacin/sistema; por el contrario lo nico
que hace es conseguir que sea ms duro a base de probar y fallar. El artculo
de Richard Fenyman's "Personal Observations on the Reliability of the Space
Shuttle "era lectura obligada para todos los ingenieros de software que he
contratado. Contena ideas bien explicadas y profundizaba acerca de las
expectaciones sobre dependencia del software y cmo se alcanzaba en
sistemas complejos. En resumen, su significado para los programadores es:
"Excepto en el caso de que tu sistema est pensado para ser hackeado no
debera ser hackeable."
"Penetrar y Parchear" est por todas partes y es la idea estpida que lidera la
moda actual (activa desde hace cerca de 10 aos) de anuncio de
vulnerabilidades y actualizaciones a travs de parches. Segn los
"investigadores de vulnerabilidades" estn ayudando a la comunidad
encontrando agujeros de seguridad en el software y estn corrigindolos antes
de que los hackers los encuentren y los exploten. Segn las empresas estn
haciendo lo correcto publicando lo antes posible parches para adelantarse a
los hackers y a sus intentos de explotar dichos agujeros de seguridad. Ambos
grupos estn comportndose de forma estpida ya que si las empresas
estuvieran escribiendo cdigo que estuviese diseado para ser seguro y
dependiente entonces el trabajo de investigacin de vulnerabilidades sera
una tarea tediosa y poco gratificante!
Permteme decirlo de otra forma: si "Penetrar y Parchear" fuera efectivo ya
habramos dejado de encontrar agujeros de seguridad en Internet Explorer a
5 de 10
www.segu-info.com.ar
4. Hackear es Guay
Una de las mejoras formas de deshacerse de las cucarachas de tu cocina es
esparcir migas de pan debajo de las encimeras, verdad? No! Es una idea
estpida. Una de las mejores formas de desalentar el hacking en Internet es
darles a los hackers acciones, comprar los libros que escriben sobre exploits,
tomar clases sobre "kung fu de hacking extremo" y pagarles decenas de miles
de euros para hacer "tests de penetracin" contra tus sistemas, verdad? No!
"Hackear es guay" es una idea estpida.
En la poca en la que yo estaba aprendiendo a andar, Donn Parker investig
los aspectos de comportamiento de hackear y la seguridad informtica. Nadie
lo podra decir ms claro que l: "La informtica a distancia libera a los
criminales de su requerimiento histrico de estar prximos a sus crmenes. El
anonimato y la libertad de no enfrentarse directamente a su vctima han
incrementado emocionalmente las posibilidades de cometer un crimen; por
ejemplo, la vctima slo fue un ordenador inanimado, no una persona real ni
una empresa. Las personas tmidas podran volverse criminales. La
6 de 10
www.segu-info.com.ar
www.segu-info.com.ar
www.segu-info.com.ar
Sun Tzu no escribi esa frase en "El Arte de la Guerra" pero si le dices a un
ejecutivo TI que lo hizo te tomarn mucho ms en serio. A muchos de mis
clientes les he estado aconsejando: "mantente apartado del outsourcing de
seguridad durante un ao o dos y entonces busca recomendaciones y opiniones
sobre los sangrientos y mutilados supervivientes, si es que queda alguno."
Puedes ver la estpida idea de que "la accin es mejor que la inaccin" a lo
largo y ancho de las redes corporativas y tiende a estar relacionado con
directivos TI que hacen sus decisiones de compra de productos leyendo los
informes de investigacin Gartner y los coloridos folletos publicitarios de las
compaas. Si te encuentras en la cadena de mando de dicho directivo,
sinceramente espero que hayas disfrutado de este artculo porque
probablemente entiendas perfectamente de lo que estoy hablando.
Una til tcnica de kung-fu burocrtico es recordar que si te encuentras
luchando contra un "adaptador temprano" te puedes apoyar en tus
compaeros. Hace varios aos tuve un cliente que estaba planeando gastarse
una importante suma de dinero en una tecnologa sin probarla
operativamente. Recomend extraoficialmente al director de TI al cargo que
enviase a alguien de su equipo a una conferencia relevante donde le fuese
posible encontrar a alguien con experiencia en dicha tecnologa. Recomend
al directivo que su empleado pusiera un mensaje en el boletn de noticias que
dijese:
"Tienes experiencia directa con xyz de la compaa pdq.com? Si es as estoy
autorizado a llevarte a cenar al Hilton si prometes darme toda la informacin
que tengas del funcionamiento del producto. Contctamente, etc."
El director de TI me coment ms tarde que una cena de 200 le evit gastar
ms de 400.000 en un infernal trauma tecnolgico.
Realmente es ms fcil no hacer algo estpido que hacer algo inteligente. La
clave est en que cuando evitas hacer algo estpido te aseguras de que tus
superiores sepan que has navegado a travs de unas arenas particularmente
sucias y de que obtienes el crdito necesario por ser inteligente. No es esta
9 de 10
www.segu-info.com.ar
Estupideces menores
Estas ideas estpidas no merecen el status de "La ms estpida", pero son
suficientemente estpidas como para no mencionarlas, aunque sea de pasada:
10 de 10