martes, 28 de diciembre de 2010 0 comentarios

Prediciones 2011

Aunque soy consciente de que llevo casi un mes desaparecido, diferentes contingencias personales y profesionales me han obligado a dejar en un segundo plano la publicación en el blog. No obstante y como viene siendo tradición un año más por estas fechas, toca jugar a tratar de vaticinar qué nos espera el año que viene y cuales serán las pesadillas contra las que tendremos que seguir luchando.

Como gran titular, creo que el 2011 creo que será el año de "mirar de dentro hacia afuera".  Los que nos dedicamos a esto siempre decimos que el enemigo más peligroso está dentro y no en el exterior pero este año es posible que sea por primera vez, el año en el que empecemos a mirar qué ocurre en la red desde dentro hacia afuera. Este cambio en la orientación de la monitorización del tráfico de red tiene justificada su necesidad por dos motivos principalmente:

  1. La sofisticación del malware y su orientación a pasar desapercibido para infectar y contaminar equipos reclutando así cuantos más PC zombies mejor hace que los firewalls ya no sean una herramienta suficiente para evitar infecciones. La contaminación se produce a través de tráfico legítimo y es necesario saber qué hace nuestro parque de PC para descubrir patrones de tráfico extraños que sean indicios de cosas raras. Conexiones masivas a dominios raros y no justificados por nuestra actividad, uso de puertos extraños, movimientos internos de datos no justificados serán las causas que lleven a empezar a mirar la red como un modelo policial donde la detección de anomalías basadas en sistema de detección/prevención de intrusiones en segmentos internos sean tan cotidianos como los elementos de protección perimetral.
  2. El fenómeno "Wikileaks" puede que lleve también a muchos altos responsables de las empresas a cuestionarse su vulnerabilidad frente a filtraciones internas malintencionadas y la "clasificación y control de la información sensible", esa asignatura pendiente de muchas organizaciones, puede que empiece a verse como una necesidad. Hemos visto sufrir muchísimo más a un Gobierno como el americano por la fuga de unos documentos delicados que por las tan temidas armas de destrucción masiva. Sin embargo este tipo de amenazas puede afectar a toda organización que es vulnerable a revelaciones de información intencionadas que dejen al descubierto sus trapos sucios más íntimos. Por tanto, es posible que este "fenómeno" haga que se tomen más medidas contra esta vulnerabilidad debida a la ausencia de criterio de clasificación de información o bien a la falta de control. Servicios de almacenamiento masivo tan comunes como Dropbox, Evernote o el propio correo Gmail serán vistos en entornos corporativos muy controlados como una amenaza. En cualquier caso, todas estas restricciones de trafico saliente deben ir acompañadas de las medidas de restricciones de conexión de los dispositivos de almacenamiento USB. No tiene sentido cortar la conexión a los servicios de almacenamiento en la nube y no hacerlo sobre los dispositivos cotidianos USB. Igualmente lo reciproco también, si cortas los USB, corta los servicios de almacenamiento masivo en la nube.
También este año 2011 seguirá transformando a Internet en el nuevo campo de batalla del siglo XXI. Las escaramuzas entre Estados y organizaciones seguirá debatiéndose en la Red. Casos como la operación Aurora o las represalias de los grupos como Anonymous contra los medios de pago seguirán encontrando en el anonimato y la dificultad de investigar los delitos tecnológicos el caldo de cultivo ideal para seguir cometiendo sus fechorías. En España la modificación del Código Penal pretende disuadir de ello pero en cualquier caso, la dificultad de perseguir este tipo de delitos seguirá animando a muchos a usar la red como fusil.

Otro sector amenazado debido a la sofisticación del crimen y la facilidad de lucro será el relacionado con el fraude asociado al abuso de los medios de pago. Aunque la modificación del Código Penal también tipifica nuevos delitos en relación a estos hechos.

Por último, otra víctima de la proliferación y extensión del uso de las nuevas tecnologías seguirá siendo la privacidad. Si recordaremos este año 2010 como el año de la explosión de las redes sociales, en este 2011 seguiremos viendo noticias relacionadas con la fuga masiva de datos o el destape de los grandes negocio de infotráfico, ventas de grandes volumenes de datos sobre usuarios, gustos, aficiones que muchas veces no cuentan con la debida autorización de los afectados. Pero no creo que a estas alturas sorprenda a muchos que el incumplimiento de la LOPD sea noticia dado que es la tendencia de todos estos últimos años. A las empresas sigue preocupándoles poco lo que ocurre con sus datos siempre que no genere ningún tipo de daño en imagen o económico por la consecuente sanción de la AEPD. Además, la tendencia de uso y abuso masivo de los dispositivos de videovigilancia y su extensión al ámbito doméstico será en este año 2011 otro de los hechos que acabará proliferando más todavía. La aparición de cosas como la "Barbie VideoGirl"  van a colocar cámaras en los lugares más insospechados con las posibles consecuencias tan negativas que ya anuncia el FBI. Desde luego, entender que una videocamara consultable por Internet es un juguete que puede manejar un niño es algo que los padres debieran considerar muy mucho antes de regalar. Establecer la balanza entre pros y contras pero sobre todo, sopesar los riesgos, debe ser el acto reflexivo consciente que todo padre responsable debe hacer antes de meter semejante cacharro en casa.


Solo queda para terminar, desear un Feliz 2011 y que ninguna de estas predicciones se acabe haciendo realidad.


PD: Lo que no será una predicción sino una realidad es el agotamiento del direccionamiento IP v4 dado que los últimos datos establecen que a principios de año nos quedamos sin más direcciones. En la cuenta Twitter http://twitter.com/IPv4Countdown# van informando de la disponibilidad de direcciones pero ya la gráfica no llega al 2012. Por tanto, esto no parece un vaticinio sino la certeza de un hecho que se consumará finalmente este año 2011.

jueves, 2 de diciembre de 2010 3 comentarios

Wikileaks es el síntoma, no la enfermedad

Mucho se está hablando esta semana de "inseguridad de la información" dado que las fugas de datos están copando las tertulias y las portadas de los periódicos. Los debates más centrados en el fenómeno que en las causas, están cuestionado si este tipo de noticias son o no periodísmo. En cualquier caso, el tratamiento que tengo que dar desde este blog obviamente está más relacionado con la esencia del problema, "el fallo en las medidas de seguridad". Para ello, pongámonos en situación con un supuesto paralelo que puede representar lo que vengo a comentar.
Imaginemos que estamos en el año 670 antes de Cristo y que alguien de repente decide que para gestionar mejor el trueque prefiere crear unas monedas hechas de una aleación de oro y plata. En aquel momento las reglas del juego en materia del comercio cambian y pasamos de tener que intercambiar objetos a realizar intercambios de objetos por estas nuevas "monedas".
Para el comerciante, de repente, surge un nuevo problema a tratar, el control de dichas monedas. Para ello, tiene que crear sistemas que sirvan para registrar cuantas monedas tiene en la caja, cuantas monedas salen de la misma, cual es el balance final de monedas que tiene tras comerciar, etc. Al principio, cuando el sistema no estaba muy extendido, las cosas eran sencillas de controlar y una gestión muy básica resolvía el problema. Sin embargo, cuando el valor de las cosas se negocia en base a esas monedas, los amigos de lo ajeno ven ahora en ese tesoro su botín. Por tanto, surge la necesidad de proteger y custodiar este nuevo elemento de valor y es necesario mejorar los métodos de control y aparecen los libros de cuentas, los balances, las cajas registradoras, las cajas fuertes, los bancos, etc. Todo con un único objetivo: saber cuantas monedas se tienen y cuantas se pierden al producirse compras de objetos o cuantas se recogen al realizar ventas de objetos. Por tanto, en ese momento, las monedas se transforman en un "activo" de la organización y requieren una protección adecuada. Siglos después a nadie se le ocurriría tener estas monedas y estos mecanismos de control desprotegidos. Nadie entra a un banco y se encuentra las monedas almacenadas en estanterías en las zonas donde hay público o sin contabilizar. Cada intercambio de monedas deja un registro y se anotan o bien las que entran o bien las que salen, teniendo siempre claro cual es el saldo que queda en la caja. De esta manera, se logra el control de esos "activos" y se garantiza su seguridad (entendida como la integridad de la información que refleja el estado de situación).
Demos un paso al presente y cambiemos la palabra "monedas" por la palabra "información". Las primeras preguntas que uno se hace son:
  • ¿Es la información un "activo"?.
  • Dada la repercusión de las informaciones que se han visto publicadas en Wikileaks, parece que sí porque su conocimiento ha tenido consecuencias relevantes para los organismos que han sufrido la fuga.
  • ¿Estaba la información protegida proporcionalmente según su valor?.
  • Opinen ustedes mismos. Bradley Manning, un joven militar estadounidense que estaba movilizado en Irak tuvo acceso a la red SIPRNET de la que proceden los cables. Aburrido, con pocos amigos y maltratado por sus compañeros por su homosexualidad, Manning le contó al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de Estado y de las embajadas. “Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos”.
Es obvio que no se pueden controlar todas las cosas y que el factor humano siempre suele ser el origen de todos los problemas, pero no parece muy razonable que en ciertos entornos donde supuestamente hay información tan confidencial existan elementos como grabadoras de CD o dispositivos USB que no permiten controlar si se fuga la información. Si quieres evitar una fuga de agua, debes tener claro cuales son todos los sitios por donde circula y vigilar que el nivel donde se deposita permanece constante. Si quieres controlar la información, las cosas son mucho más complejas pero las estrategias son similares. El quid de la cuestión es si "dicha información" merece o no ese sacrificio. Ya es cuestión de cada organización decidir que hacer en cada caso. Lo que si es verdad que una seguridad a medias no suele funcionar y por pequeño que pueda ser el punto de fuga, finalmente el depósito de agua se queda vacío.Si has llegado hasta aquí y tienes algún tipo de responsabilidad en materia de seguridad de la información, toca ahora preguntarse, ¿Tengo bajo control todos los grifos por donde sale la información (La versión tecnológica podrían ser los dispositivos USB) ?

Humor: Hay quien lo tiene claro y no tiene ningún tipo de contemplación a la hora de tomar medidas de seguridad, sean las que sean.

(Gracias Gregorio por el material y la inspiración)

Aunque siempre hay medios alternativos y no hay que llegar a extremos tan radicales.
miércoles, 1 de diciembre de 2010 2 comentarios

Ya sois 5000 listeners.

Hoy es uno de esos días en que se alcanza una cifra redonda. Aunque no suelo darle mucha importancia al tema de las estadísticas del blog y tampoco publico con ningún objetivo amortizador o lucrativo, hoy he podido comprobar que las suscripciones vía RSS superan ya los 5000 usuarios.

No se si es un número alto o bajo aunque yo personalmente lo que más valoro es la tendencia. El jueves 11 de marzo comentaba que ya eramos 3500 y 9 meses después se alcanzan 1500 más. La mejor y más reconfortante recompensa para un escritor es tener público y generar interés. Parece que este blog por ahora está logrando el objetivo dado que la gráfica y el número sigue creciendo. Como diría una de las leyes de Murphy, "si funciona, no lo toques".


Sin embargo, mi pasión y creencia firme en el ciclo de Demming o la mejora continua debe llevarme a pensar en seguir mejorando, así que habrá que seguir esforzándose por hacerlo mejor que ayer, pero peor que mañana. Gracias a todos los que estáis ahí dedicando un solo segundo a esta url porque en la economía de la atención, para mi eso tiene un valor incalculable.

 
;