knowdler

Acabo de ver en CNN+ un reportaje sobre una simulación de un ataque ciberterrorista a USA y el resultado de la simulacion ha sido un desastre... las mayoría de las instalaciones de telecomunicaciones, energia y demás están en manos de empresas privadas y son muy vulnerables...

Si lo ponen en la web os informaré pero a mi no me sorprende nada las lsita de vulnerabilidades que encuentro y la poco importancia que se leda en las empresas sea banca, sea electrica o sea telco... es impresionante... yo siempre digo que jugamos a la ruleta rusa con la seguridad...

No os imaginais lo que se puede lograr en cualquier empresa con un mono de trabajo de endesa, de telefonica (o subcontrata) y una tarjeta con una foto que diga lo que quiera... podría demostraros la cantidad de datafonos que podría sustituir en Mallorca con un mono de la empresa de instalaciones o de cualquier otra parecida... no os riais por que es para llorar.

PD. Acabo de encontrarlo: "El ´juego de la guerra´en CNN+"

"En Estados Unidos han recreado uno de esos ciberataques a empresas de comunicaciones y de energía. Una manera de saber como actuar en caso de crisis. Es lo que se conoce como juego de guerra, y el resultado ha sido desolador."

En el mundo un artículo nos revela algo que muchos sabemos y en la línea de lo que he comentado estos días: "Los ciberataques, un peligro en la sombra".

"De los miles de casos que hemos investigado, el público sólo conoce unos pocos", dijo Shawn Henry, subdirector de la División Cibernética del Federal Bureau of Investigation (FBI). "Hay casos de millones de dólares que nadie conoce", agregó en una entrevista con Reuters."

La ciberdelincuencia es en todos los sentidos un iceberg del que sólo vemos una infima parte. Pero a veces es que sufrimos una miopía terrible, o no hay más ciego que el que no quiere ver. Los Hackers que "hackeaban" al Pentagono por simple divertimento u orgullo mal entendido han pasado a la historia. Ahora cobran mucho dinero de mafias organizadas.

Pero no sólo creo que el problema es el gastar más en defendernos, ese es un error bastante difundido y empleado por muchas empresas de la industria de la seguridad en TIC. Tenemos que saber qué defendemos y de qué nos defendemos y empezar a valorar nuestras activos y tener claro qué recursos TIC utilizamos y de qué forma.

La mayoría utiliza muy mal su correo electrónico. A partir de ello, no te quiero ni contar el resto. Los estudios sobre copias de seguridad de las empresas o sencillamente de los ayuntamientos pone los pelos de punta.

Somos temerarios y confiados por naturaleza, y el Banco de España ni se inmuta. Hace un par de años envié una consulta al Banco de España y alguien, no digo su nombre, me contestó con muchos argumentos legales que eso de la seguridad online de los Bancos no era cosa suya, y me lo envió en word y con su firma en jpeg...

Discrepo profundamente de que el BdE no deba preocuparse y ocuparse de las vulnerabilidades de la banca online como se ocupa de pruebas de stress, vamos diría que el riesgo en la banca online es mayor si cabe que en cómo se han gestionado los riesgos crediticios. Llevo años diciendolo...

Llevo muchos años "evangelizando" sobre las bondades de Internet. Pero tambien sobre los riesgos, los graves riesgos. Y no por que esos riesgos no sean controlables o la tecnología no pueda minimizarlos. Simple y llanamente por que los desconocemos. O lo que es mucho peor, los ignoramos.

Quiero hacer hincapie en que el problema no es la inseguridad de la tecnología. El riesgo radica en el mal uso que hacemos de ella. O lo que es peor, que no la usamos adecuadamente.

Uno de los mayores problemas radica en la falta de identificación y autenticación de nuestra identidad digital. Muchos lo justifican en pos de la libertad de internet, del anonimato... pero, como quiero explicar, el absoluta ignorancia e insensatez acerca del riesgo que corremos.

Veamos facebook y la mayoría de los sistemas SaaS, sean redes sociales o no. Te das de alta. Dices ser fulano de tal y pones un email, a partir de eso, como a lo sumo lo que te piden es validar mediante la recepción del email que quien dice ser fulanito de tal y ese supuesto su email coinciden.

La realidad es mucho mas preocupante dado que yo, falso fulanito de tal, puedo abrirme una cuenta en gmail, si, fulanitodetal@gmail, ya está, sin más validación posible. Despúes voy a facebook, busco una foto, la modifico o un simple avatar o muñeco, y relleno un perfil y lo asocio a dicho email. Por supuesto, el email de reconocimiento y validación me llega a esa cuenta de email y facebook se cree que soy quien digo ser.

A parti de eso, puedo hacer amigos, infinitos amigos y acceder a infinitas identidades...

Es el principio de millones de problemas. Supongamos que un exmarido o exesposa vengativos desean hacer daño a una nueva relación de sus exconyuges. Imaginaros que hacen toda una labor de buscar sus datos, sus fotos y crearles una cuenta ficticia a nombre de esa persona en una web de citas, una web de engaños o una web de sexo... durante un tiempo esa persona crea citas y desarrolla relaciones online de esa persona creando contenidos ilícitos de los cuales la otra persona desconoce su existencia.

Y cuando la trama ya está urdida la destapa y crea un daño irreparable a esa persona y a su relación... un ejemplo , pudiera ser igual con una relación laboral, con un cliente, con infinitas posibilidades...

Me temo que no nos hemos tomado en serio lo que supone el cómo desarrollamos las aplicaciones, lo cual se produce en general en sistemas que se basan en el todo gratis y que no precisan de un contrato. Ojo, tampoco lo del contrato es del todo válido. En este país se dan de alta contratos de luz y teléfono con una simplicidad que a mi personalmente me parece inadecuada en derecho. Afortunadamente los problemas aún son pocos, pero yo diría que eso es suerte, no seguridad ni confianza.

Lo de las identidades, autenticidad y certificaciones deberiamos tomarlo más en serio en Internet. Yo sería aprtidario de utilizar más los certificados digitales y el eDNI, pues reducen enormemente el riesgo, y la posibilidad de eliminar problemas de falsedad, o de no repudio, pues vale para ambos casos.

Me quedaría mas tranquilo si pudiera, al menos opcionalmente, firmar digitalmente mis cuentas en facebook, twitter y demás... pensarlo bien por que daños económicos, directos o indirectos, podrían empezar a ser relevantes.

Ya algún juez en USA ha empezadoa aplicar a la Banca parte de la culpa por los incidentes derivados de la falta de robusted y seguridad en los sistemas online. O nunca pasa nada o son tan pocos los incidentes que preferimos pagar no es una excusa válida. Hay un riesgo ignorado ampliamente derivado del hecho de que en nuestra banca online tenemos todos nuestros recibos y las mafias saben dónde vivimos por el recibo de la luz, del teléfono, del colegio de los niños... si quizá nos devuelvan 100 euros si nos hackean la cuenta o la visa, pero y si secuestran a nuestros hijos o roban nuestra casa pues saben cuando nos vamos de vacaciones por que el recibo baja cada año en agosto o el puente de la constitución... no son simples hackers, son mafias... y el peligro es más amplio que utlizar nuestras cuentas... monitorizan nuestras vidas. Y lo peor es que o desconocesmos este riesgo o lo ignoramos...

Con eso no me escuchará nadie decir que dejemos de usar internet, igual que por mucho riesgo que tengamos no dejamos de comprar y conducir el coche... pero tomamos medidas, damos clases, prestamos atención al volante, evitamos distraciones y tenemos seguros de todo tipo.

Pues en internet igual. No me cansaré de decir qu en Internet no tenemos más que hacer lo que hacemos en el resto de nuestras actividades... por ejemplo, los niños y los móviles o las redes sociales. Es curioso, no dejamos ir a nuestros hijos con niños desconocidos o a cines y peliculas de las que estamos informados. Con los moviles o con internet, nos descuidamos, les dejamos ante un precipio sin inmutarnos.

Hay un claro problema de relajación de etención, formación y cuidados en temas de internet, y es tal, que el email, se usa masivamente sin las precauciones adecuadas.

El mercado quiere email gratuito... y no usamos certificados para firmar los emails ni sistemas de autenticación de identidades... nos sentimos seguros poniendo la coletilla de confidencialidad que copaimos a cualquiera que nos gusta... "Por favor, si le llega el email y no va dirigido a usted descartelo". Bien, suficiente...

Tenemos que tomarnos en serio las infinitas bondades de la tecnología pero tambien los infinitos riesgos. Es importante empezar a conocerlos y a asumirlos... y en la medida que podamos ir cubriéndonos y protegiendonos de los mismos.

Hace unos minutos leo : "El sector de la seguridad encuentra en la 'nube' un pilar de expansión" y especialmente me congratulo al escuchar de Enrique Polanco, director de Seguridad Corporativa del Grupo Prisa:

El directivo recomendó la implantación de un Sistema Integral de la Seguridad, basado en el denominado Futuro Ambiente de Seguridad en cada país, para medir los riesgos existentes y los futuros. Esta integración provendría de unificar la gestión de la seguridad de la información, física, laboral y medioambiental. "El nuevo director de seguridad corporativa es un gestor de riesgos".

En junio de 2006, el Govern Balear y la Fundació IBIT, nos concedió dos premios, a la mejor idea y al mejor proyecto empresarial, a un proyecto de seguridad Internet de ultima generación en el que incluíamos la VaR (valoración de activos sujetos a riesgos) como uno de los hitos diferenciales de la seguridad del futuro. Yo creo que nunca supieron muy bien si aquello era de verdad o era de otra galaxia, pero nos dieron dos premios a pesar de ser foraster.

Desde entonces, y con David Rios, como experto, hemos seguido trabajando y progresando en el tema. Vamos bien, sin duda, hemos alcanzado niveles como los mejores en el mundo, aunque el I+D+i nacional no esté nunca de verdad valorado y tengamos que dedicar solo nuestro esfuerzo con la enorme dificultad de que inversores españoles nos den la financiación que precisamos. Pero no desesperamos, seguimos adelante. El CDTI nos concedió un NEOTEC pero los inversores aún no han llegado.

En fín, lo que está claro es que hay un desajuste enorme entre la calidad del I+D+i nacional y la capacidad de inversión en dicha calidad. El ladrillo lo sigue entendiendo todo el mundo pero la gestión de riesgos y el I+D+i seguimos dejandolo a los demás. Pero, seguiré predicando que algún día, quizá ya en el Silicon Valley, encontremos quien responda a nuestras "plegarias" ;-D

Según el artículo "Un 'hacker' de 16 años ataca más de 75.000 ordenadores". El hecho en sí, que no tiene mucha trascendencia ni por la edad ni por el ataque de DoS (denengación de servicio), me llama la atención para reclamar la misma a los usuarios sobre cómo un chico de 16 años, que puede que sea un "crack" en potencia o un simple "espabilado del copy&paste" habiendo aprendido de webs de hackers y otros foros, quiero hacer hincapie en dos cosas:

1. Utiliza youtube como señuelo

2. Utiliza un sistema de DDoS

Y lo que quiero decir, es lo sencillo que es este tipo de acciones y mucha gente no es ni consciente de ello.

Empezando por la banca.

Me explico. CUando en el año de amricastaña monté la red de Retevisión, pronto Auna, ahora ya no sé muy bien quien, creo que Ono, contrate a CISCO-SATEC para montarla con la mejor tecnología posible. Incluyendo la posibilidad de crear canales especificos de alta velocidad y ancho de banda garantizado, para evitar ataques inevitables de DoS. La verdad es que creo nunca lo utilizaron, pero lo que me sirve es para reflejar que los Bancos Online no lo usan por que no quieren y la tecnología es de hace más de 10 años.

Eso además, que ahora Vodafone creo que anuncia algo parecido, sirve para crear autopistas de información de varias clases y velocidades.

Y muchas empresas podrían usarlo y no lo usan, pero la mayor parte de los operadores estoy convencido de que tienen la tecnología.

Y luego está elñ tema de la "confianza" aún poco extendido, pero somos tan torpes que nos bajamos cualquier cosa de internet... sin tener en cuenta qué puede tener, incluido un video, y dejamos nuestro ordenador para que lo disfrute cualquiera... recordar, el 50% de los ordenadores de nuestro país son Zombies... ¿habeis mirado el vuestro?

Que la banca por internet no se toma la seguridad en serio es un hecho pero que el Banco de España se lo permita es una falta se seriedad y respeto hacia los consumidores. Eso sí ratios de solvencia, seguridad física, cámaras y vídeos grabados... eso sí, pero exigir seguridad a la banco por internet nada de nada.

Ejemplo 1: La mayor parte de los bancos online tiene fallos de seguridad desde la home page, donde palabras como identificación o código secreto o PIN aparecen en letra, es decir, texto, que si ves el código de la página en html pueden localizarlo con un simple buscador sintactico.

Qué quiere decir esto, pues muy sencillo que ofrecen un nivel de seguridad ridículo para un hacker, que aunque la home estuviera cifrada, que no lo está, podría mediante un simple spyware detectar la secuencia de caracteres para captar el identificador y el PIN de entrada del usuario de forma sencilla, aunque no se visualiza, lo peor es que ademas suelen usar nuestro DNI como código de acceso... algo que no debería permitirse nunca sin el permiso del cliente y desde luego no es una práctica de seguridad muy recomendable.

En el caso de algunos bancos ya han incorporado la posibilidad de usar el eDNI pero la caixa ni eso.

Y por que es importante esta cuestión por que además de utilizar esto para capturar información sensible nuestra, son palabras muy sencillas para utilizar como activadores de otro tipo de spyware que nos graba en vídeo la sesión bancaria online.

Y eso nos lleva al "invento" del teclado mágico que hace retroceder los canones de seguridad 35 años, por mucho que aleatoriamente se distribuyan los numeritos permite la visualización directa del código, algo a lo que ya jugabamos en la uni cuando queríamos en un curso capturar la clave de administrador del profe...

Este maléfico invento de no se qué "incompetente" abunda en que, por mucha tarjeta de claves que se tenga, más tarde o mas temprano tengan toda tu tarjeta completita, solo es cuestión de tiempo y del número de operaciones que hagas para que la completen, dado que te graban en AVI las sesiones sin que ni siquiera te enteres. En silencio, sin hacer daño al sistema, pero acumulando pacientemente información.

Pero, no hay problema, se han inventado productos "tapadera" como "caixa protect" para que creamos que nuestras operaciones están aseguradas... ¡vaya patraña! Lo verdaderamente importante ahora no es que nos sustraigan 12.000€ de nuestra cuenta, es una faena, pero vamos, sprotestas mucho acaban devolviendotelo, aunque siempre tratan de demostrar que la culpa es tuya por que no mantienes la seguridad en tu PC y tenías un troyano o spyware, y asi no te pagan, dado que la negligencia era tuya. A la porra los 12.000€, el grave problema, es que hoy en dia, ya pueden ver tu vida y milagros en el banco, el recibo de la luz, cuanot gastas al mes, ergo, cuando no estas en casa por vacaciones por que baja tu factura, el colegio de los niños... ¿cuanto vale la seguridad de tus hijos ante un rapto express? Como dicen en el anuncio.... eso, no tiene precio. Saben a que colegio lo llevas o a que club de judo... lo saben todo de tí con solo ver lso recibos domiciliados... eso, no lo cubre su seguro.

Y asi so podría poner cientos de ejemplos, reales. Pero lo que especialmente me molesta es que los responsables de seguridad y auditoría de la caixa y de casi cualquier banco lo saben y no les dan medios pro que, los grandes "jefes" y "responsables" les dicen: para los pocos incidentes que tenemos. Eso señoras y señores es suerte no es profesionalidad ni decencia.

Por cierto, soy Auditor CISA certificado, si alguien cree que esto es un invento mio, que se vayan a jugar con su dinero al casino es igual que usar la banca por internet, y tampoco digo que no se pueda securizar más y que yo no la use, pero deberíamos exigir más seriedad, más responsabilidad y mas medios para evitar todo esto, que nos cobran ya bastante por usarla y hacer el trabajo que es gratis por ventanilla. Y deberíamos exigir al Banco de España que se lo tome en serio y les audite también en esto, y ponga reglas. Esto no es más que la cabeza del iceberg... y como el conejito de duracell, tragamos, tragamos, tragamos....

Algún dia, cada vez mas cercano, las bandas mafiosas acabaran sacando mucho partido a esto, de hecho ya han empezado, y como suele ocurrir en el resto de la vida, pagan mejor, tienen mejores medios y se aprovechan de nuestra incompetencia... por que ganan mucho, muchísimo dinero con esto.

Como usuario y maltratado por la caixa creo que tengo derecho a exigir, como experto y auditor, tengo la obligación ética de comunicarlo, y ya estoy cansado de que las obligaciones sólo caigan de un lado, que el perjuicio caiga solo de un lado... y siempre del mismo, del pobre usuario.

Que es la primera vez que lo explico, ni mucho menos, hasta hace unos años que envié una carta al Banco de España y conservo una gloriosa contextación en un fichero word con la firma en formato jpeg de la persona responsable que me contexto, en dos palabras: IM PRESIONANTE. Pero siguen sin tomarselo en serio.

Curioso que tras mi post anterior leo el artículo "sincronizados en la red para el golpe perfecto" dónde sin duda vemos como los criminales no sólo saben manejar perfectamente las redes sociales sino que utilizan lo último en tecnología y organización:

"Hemos detectado un incremento de organizaciones criminales compuestas por personas que se conocen on line, no se han visto físicamente, son incluso de distintos países pero cada uno tiene una habilidad" que encaja en el engranaje de la operación, dijo el subdirector del departamento, Shawn Henry.

Seguro que no han leido mi post anterior pero la realidad es que entiende a la perfección conceptos que los empresarios son incapaces de asimilar.

Me temo que el crimen y los "malos" nos ganan la batalla en todos los frentes. Son distribuidos y utilizan lo mejor del conocimiento de cada uno, vamos, 4.0, sin duda. Yo siempre he dicho que no hay como aprender del enemigo, por muy malo que éste pueda ser o parecer.

Hoy leí un articulo sobre un problema de seguridad en la web social del partido popular. Y una frase no puedo de dejar de remarcar:

Desde el departamento de prensa del Partido Popular aseguran que esto sucedió durante el lunes, pero no en la mañana del martes. Aunque son muchas las capturas de pantalla que se reproducen en diferentes blogs no terminan de tomarlas como válidas "no decimos que las hayan hecho con PhotoShop, pero es fácil de hacer". Este tipo de errores pueden acarrear consecuencias de tipo legal, hecho que desde el Partido Popular aseguran que no sucederá: "No es un error de seguridad, sino de programación. Anoche se solucionó".

Estupendo, como si todos los errores de seguridad no fueran por problemas de programación y la programación lo más segura posible no fuera una de las bases de las metodologías de programación. La capacidad de decir estupideces sin tener ni idea que tiene la gente. ¿Por que no preguntan antes de abrir la boquita?

Yo personalmente tengo la teoría que hasta los problemas de seguridad debidos a los errores de los usuarios es derivada de un modelo de programación que obvia las cuestiones de seguridad y de que aquí programa cualquiera, y los que contratan miran el precio sin pensar en las consecuencias.

Pues nada, aquí un claro ejemplo de las malas prácticas del sector y de los clientes en nuestro país.

100% de seguridad en programación no existe por definición pero los niveles de este país son inadmisibles y nos encanta jugar con la suerte, que es lo que estamos teniendo en general con estos temas... penoso.