Propósitos para el 2013

 

Esta noche acaba el año 2012 y tenemos que plantear nuevos objetivos para el 2013, pero antes es conveniente realizar una revalorización de todo lo que hemos hecho durante el año 2012, para ver si hemos cumplido las promesas propuestas durante el presente año.

Durante este año he tenido la suerte de conocer a mucha gente interesante y aprovechable, algunas han depositado la confianza en mi, lo que realmente valoro, mientras que otras simplemente no me han dado la oportunidad de hacerme valer. He conocido a personas que me han puesto los pies en la tierra mientras que también he conocido a personas que me han dejado seguir soñando que se puede llegar a conseguir grandes cosas en esta vida.

A nivel formativo he conseguido la certificación FCNSA de Fortinet, la cual certifica que conozco cómo se debe implantar, configurar y mantener equipos Fortinet. He obtenido el certificado de nivel intermedio B1 en Inglés por la Escuela Oficial de Idiomas, lo que permite comunicarme con mayor soltura con personas de habla inglesa. He podido profundizar y conocer con mayor detalle el funcionamiento de los sistemas Windows Server, obteniendo las certificaciones MCTS de Active Directory y Networking. Por último, he conseguido entender en profundidad los protocolos de enrutamiento y cómo funciona las actualizaciones de ruta en la red de redes Internet, superando el examen CCNP Route de Cisco.

A nivel profesional este año he tenido la suerte de participar en muchos proyectos realmente interesantes. He instalado, configurado y dado soporte a varias instalaciones de Alienvault Unified y OSSIM. He realizado varias auditorías de seguridad y redes. He sido el responsable de implantar la certificación de seguridad ISO 27001 en Ariadnex, por supuesto gracias a los compañeros que me han ayudado cada vez que lo he necesitado, también hemos conseguido pasar la auditoría en ISO 20000 la cual valida que damos servicios de calidad desde Ariadnex. He instalado y mantenido cortafuegos, securizando perimetralmente las organizaciones. He participado en proyectos de implantación y securización de entornos Wi-Fi. He dado soporte y optimización de la configuración de equipos balanceadores de carga. Por último, he dado varias charlas y cursos de formación sobre la familia ISO 27000, entornos virtualizados, cortafuegos y concienciación en seguridad.

Para el año 2013 voy a intentar mejorar en los siguientes cinco puntos:

• Voy a intentar ser más proactivo, para evitar apagar fuegos y así centrarme en las cosas realmente importantes y no urgentes.
• Voy a intentar mejorar la confianza con la gente que me rodea, dando muestras de que pueden confiar en mi, además haré todo lo posible por seguir conociendo a gente interesante.
• Daré más importancia a lo realmente importante, por encima de todo estarán las relaciones personales.
• Ayudar a todo aquel que lo necesite e intentando que todas las acciones que realice sean beneficiosas para ambos o para el equipo.
• Escuchar con mayor atención, para entender las situaciones de cada persona u organización intentando proponer la mejor solución posible.

Además de lo comentado anteriormente pondré como objetivos superar los dos exámenes restantes del CCNP, además de superar el último examen para obtener el MCITP, y seguir formándome en la lengua inglesa para pasar con éxito el quinto curso de la Escuela Oficial de Idiomas. También me gustaría comenzar a estudiar la certificación CISA en el año 2013, y por supuesto continuar con el blog. Tan solo me queda deciros...

Felices Fiestas y Próspero Año Nuevo a todos.

CCNP Route

Tras la certificación del CCNA en Junio del 2011 me quedé con las ganas de seguir aprendiendo cómo funciona el maravilloso mundo de las redes que hacen que hoy en día todos estemos interconectados y prácticamente no haya fronteras entre todos nosotros. Por tanto, a partir de Marzo del presente año comencé a prepararme el siguiente nivel para obtener un mayor conocimiento sobre el funcionamiento de las redes, así que comencé a cursar el CCNP en la academia itemformacion teniendo como instructor a Enrique Chulia.

Cisco Certified Network Professional (CCNP) está en el nivel intermedio según los niveles definidos por Cisco, siendo CCIE el nivel avanzado. Además de los niveles, las certificaciones están divididas por campos donde podemos encontrar CCNP, CCNP Security, CCNP Service Provider, CCNP Data Center, CCNP Voice y CCNP Wireless. Actualmente estoy preparándome CCNP cuya certificación está compuesta por los siguientes tres exámenes, donde en este mes de Diciembre he superado el primero de ellos.

• 642-902 ROUTE → Implementing Cisco IP Routing
• 642-813 SWITCH → Implementing Cisco IP Switched Networks
• 642-832 TSHOOT → Troubleshooting and Maintaining Cisco IP Networks

Los recursos utilizados que me han ayudado a adquirir todos los conocimientos para superar el primer examen han sido todos los proporcionados por la academia, desde la asistencia a todas las clases mediante videoconferencia, el libro “Foundation Learning Guide” de ciscopress y la realización de laboratorios utilizando equipamiento Cisco mediante Netlab. Además de todo lo comentado anteriormente, estoy utilizando material extra como los “Quick Reference” de ciscopress y los vídeos de CBT Nuggets.

¿Qué podemos encontrar en el módulo de Route? Pues veremos en profundidad protocolos de enrutamiento, como el protocolo vector-distancia RIP, el protocolo de estado de enlace OSPF, el protocolo propietario EIGRP y el protocolo utilizado por los proveedores de servicio (BGP) para el intercambio de información entre sistemas autónomos. Además veremos mecanismos de Path Control que nos permiten medir y establecer SLAs, se estudian técnicas para propagar y actualizar rutas hacia sistemas autónomos o áreas que nos interesen, y también podrás aprender sobre IPv6 y los métodos utilizados para realizar la transición de IPv4 a IPv6 mediante túneles, Teredo, ISATAP, 6to4, NAT-PT, etc.

Para este primer módulo es importante tener claro los tipos de áreas (Backbone o Transit Área, Stub Área, Totally Stubby Área, NSSA y Totally NSSA) además de conocer qué tipo de LSA se intercambian entre las áreas, también hay que conocer cuándo un router hace de ABR o ASBR, DR y BDR en OSPF, Succesor y Feasible Succesor en EIGRP y qué es una propagación de ruta ínter-área o intra-área.

Para terminar tan sólo me queda recomendar a todo aquel que trabaje diariamente con las redes, estudiar y prepararse certificaciones como esta, ya que no sólo verás cómo se implementa esta tecnología en router Cisco sino que aprenderás conceptos y técnicas que te ayudarán a construir redes escalables mejorando los flujos de tráfico de datos, además de diseñar redes con mayor redundancia, rendimiento y seguridad. Por mi parte seguiré preparándome esta certificación para intentar finalizarla para el verano del 2013.

Feliz Navidad y Felices Fiestas a todos.

¿La seguridad está en el firewall?

Un firewall básicamente es un software capaz de permitir y denegar conexiones basándose en la dirección IP origen, destino y servicio. Inicialmente la mayoría de cortafuegos llegaban hasta la capa cuatro del modelo OSI, con el paso del tiempo y los avances tecnológicos han ido incorporándose nuevas funcionalidades como Stateful Inspection para tener en cuenta la capa cinco del modelo OSI y más tarde Deep Packet Inspection para analizar completamente los paquetes en busca de virus, spam o ataques. A partir de aquí surgió el término UTM o Gestión Unificada de Amenazas donde los cortafuegos incorporan sistemas IDS/IPS para detectar y mitigar ataques, además de filtrar contenidos web, realizar un control de aplicaciones o controlar la fuga de datos (DLP). Por último, podemos ver el control que hacen algunos firewall en la “capa ocho” que nos permiten aplicar políticas basadas en identidad, es decir, políticas por usuario, así ya no es necesario conocer desde qué equipo, sede o red está trabajando el usuario para permitirle o denegarle el acceso a cierto recursos.

Pero … ¿toda la seguridad debemos dejarla en manos del cortafuegos? ¿pensamos que con esto es suficiente? La instalación de un firewall tan solo debería ser el principio si el objetivo es protegernos de los ataques y del robo de la información, por tanto a continuación indicaré algunos controles que se deberían tener en cuenta si realmente nos preocupa la información de la organización:

• Primer punto a tener en cuenta es la elaboración de una política de seguridad. Muchas organizaciones aún no tienen definida la política de seguridad y cuando les pide la política de contraseñas o a qué web deben tener permiso de acceso los usuarios no saben qué responder.
• Hay que asignar roles y responsabilidades relativas a seguridad de la información de la organización para conocer qué funciones y obligaciones tiene cada persona.
• La identificación, clasificación y valoración de los activos es algo a tener en cuenta, además de mantener un inventario de activos actualizado. Es importante tenerlo desde el principio ya que cuando la organización crece es más difícil de realizar y luego no sabemos qué tenemos, quién es el responsable, quién tiene acceso o quién lo tiene.
• El eslabón más débil siempre está en las personas, por tanto no nos olvidemos de ellas y demos cursos de concienciación en seguridad para que sepan a qué riesgos están expuestos y conozcan los problemas de seguridad a los que se pueden enfrentar.
• Cada vez hay más medidores de temperaturas y sistemas contra incendios en los CPD, pero olvidamos cerrar las puertas de los rack, algo muy efectivo y útil cuando varios departamentos o empresas trabajan sobre el mismo CPD.
• La actualización de los sistemas operativos y el cifrado de la información es algo que no debemos olvidar, además hay que actualizar los antivirus y realizar análisis de vulnerabilidades periódicamente para conocer el riesgo al que está expuesto nuestros sistemas.
• Es importante controlar el acceso a la red mediante sistemas NAC, controlar el acceso a los sistemas operativos mediante sistemas de directorio, e incluso controlar los acceso remotos de los ordenadores portátiles y teletrabajadores. Además, es imprescindible tener un inventario de a qué tiene acceso cada persona, para ante una baja o cambio de puesto de trabajo sepamos qué permisos tenía el usuario, para revocarlos o cambiarlos.
• Exigir siempre a los proveedores de servicio que cumplan ciertos niveles de seguridad. También es aconsejable que un tercero realice auditorías de seguridad para contrastar que las cosas se están haciendo como se dice que se hacen.
• Gestionar adecuadamente cada incidente de seguridad, analizando e investigando por qué ha ocurrido e intentando establecer medidas para que no vuelva a ocurrir.
• La mayoría de organizaciones realizan copias de seguridad de sus datos, pero luego nunca comprueban que la restauración se realiza correctamente. Hay que tener presente la necesidad de dar disponibilidad a los servicios críticos para dar continuidad al negocio, y por tanto tener centros de respaldo y, redundancia en los equipos y los datos.
• Por último y no menos importante, conocer qué leyes debemos cumplir como la LOPD, LSSI, etc. Además de tener identificadas todas las licencias de software de la organización para poder renovarlas en tiempo y evitar sanciones o penalizaciones.

Como vemos está todo por hacer, no toda la seguridad de una organización debería recaer en el firewall, hay que tomar muchas más medidas que hoy por hoy muchos responsables aún no prestan atención. Luego siempre veremos casos como el robo de los 200.000 euros al Concello de Cerdedo o el robo de los 36 millones de euros por el troyano Eurograbber a la banca.

Ciclo de vida del malware

Eurograbber es el malware detectado la semana pasada que ha robado 5,8 millones de euros de cuentas bancarias españolas y un total de 36 millones de euros a la banca electrónica de Alemania, Italia, Paises Bajos, además de España. No han sido los 60 millones de euros robados en la denominada “Operación High Roller” pero bueno … han sido afectadas 30.000 cuentas bancarias en toda Europa y 7 bancos españoles, ¿has sido victima de Eurograbber? ¿tu banco te ha comunicado algo? Está claro que muchos bancos asumirán las perdidas para no dañar la imagen de la compañía y perder la confianza de sus clientes, otros no sabrán qué ha sucedido ni cómo han conseguido robar el dinero, pero lo que está claro es que ni los guardas de seguridad ni las cámaras de videovigilancia han podido evitar el robo, por tanto tendrán que comenzar a adaptarse a las nuevas amenazas que surgen a través de Internet.

Según la nota de prensa, los ciberdelincuentes eran capaces de controlar el ordenador y el móvil de las víctimas, por tanto podían leer los SMS de los usuarios que indica el código a ingresar en la banca online para realizar transferencias. Durante este 2012 el malware para dispositivos móviles ha crecido de manera asombrosa y el foco de atención del crimen organizado ha pasado del Windows XP a dispositivos Android, aunque para el 2013 veremos que surgirán nuevos malware que afecten a la BIOS, sistemas SCADA, además de Windows 8.

En esta entrada quiero dar unas pinceladas sobre el ciclo de vida que tiene el malware, para que veáis cuál es el flujo del dinero en operaciones como la comentada anteriormente:

 

Podemos ver que los inversores, es decir, los que ponen el dinero para desarrollar el malware son organizaciones criminales, ciberterroristas, etc. Estos contratan a desarrolladores de malware que junto con los consultores ponen a disposición herramientas y paquetes de exploit que son aprovechados y distribuidos por mensajería instantánea, redes sociales, correos spam, etc. Por último, el malware tiene su efecto en los usuarios finales a los cuales se les roba todo tipo de información como cuentas bancarias y contraseñas, dando unos beneficios que recogen las organizaciones criminales.

Por tanto, esta estructura ha hecho que el uso del malware haya aumentado, ya que genera grandes beneficios por la complejidad que existe en localizar el dinero robado, además como comenté en la entrada “Cibercrimen como servicio”, el malware cada vez es más difícil de detectar y más sencillo de desarrollar y propagar, debido a la gran cantidad de herramientas existentes. Las personas involucradas en el proceso son desde aficionados hasta importantes delincuentes, donde a veces hay motivaciones políticas o ideológicas, en lugar de simplemente económicas.

Así que nada más me queda recomendar lo de siempre, estar atentos, actualizar vuestros equipos, no responder a correos electrónicos no solicitados y usar software anti-malware, además de seguir estas recomendaciones en nuestros smartphone, para evitar la falsa sensación de seguridad que tienen aún muchas personas.

Sexting

No tiene desperdicio el reportaje realizado por el equipo de investigación de Antena3 el pasado 24 de Noviembre donde se expone claramente el problema de reputación que puede llegar a tener una persona al utilizar de forma inadecuada herramientas como correo electrónico o mensajería instantánea. En este caso hacen referencia a los descuidos de la Viceministra de Costa Rica (Karina Bolaños) y la concejal de Los Yébenes (Olvido Hormigos) donde por falta de concienciación en seguridad y vivir en un mundo feliz han visto mermada su reputación al difundirse vídeos eróticos por Internet.

El anglicismo sexting cada vez es más utilizado por casos como este, donde se hace referencia al envío de contenido erótico mediante teléfonos móviles. La señora Hormigos grabó el vídeo desde su teléfono móvil y lo envió a una cuenta de correo electrónico equivocada, tras este error decidió volver a reenviarlo por WhatsApp. Se puede observar varios fallos, primero el envío a una cuenta de correo electrónico equivocada donde el destinatario, fuese quien fuese, ya tiene acceso al vídeo, después el reenvío del vídeo por mensajería instantánea donde el destinatario, fuese quien fuese de nuevo, también tendrá acceso al vídeo, y por tanto por consentimiento del emisor podrá verlo. Por tanto, ya tenemos tres copias del vídeo en dispositivos completamente distintos, como por norma general, vaguería o desconocimiento pocas personas definen patrones de bloqueo a los teléfonos móviles, cifrado de la tarjeta de memoria, instalamos todo tipo de aplicaciones innecesarias y nos conectamos a la primera red Wi-Fi que vemos abierta sin pensárnoslo, pues ya tenemos todos los ingredientes necesarios para que un tema como este explote.

Estamos ante un caso de violación a la intimidad y el derecho al honor donde aún se desconoce si el vídeo fue compartido por el destinatario a modo de venganza o estamos ante un claro ejemplo de robo de información como le pasó a Cristina Aguilera, Rihanna, y otras tantas famosas. Fuese lo que fuere, con un poco de responsabilidad y conciencia en seguridad de la información se podría haber evitado gran parte de este problema, lo primero que se me ocurre y más simple hubiera sido cifrar el vídeo con una contraseña maestra que sólo conozca el emisor y receptor, de esta manera la copia enviada al correo electrónico equivocado no hubiera sido reproducida, además ante un acceso indebido por un tercero a alguno de los dispositivos móviles tampoco hubieran podido ver el vídeo por no conocer la clave de cifrado. Está claro que puede parecer complejo y difícil de utilizar herramientas de cifrado, pero cuando estamos hablando de información privada o confidencial debemos de poner todo los medios necesarios y adecuados para que la información sólo sea recibida y leída (reproducida) por los destinatarios permitidos. Aunque todos sabemos que el eslabón más débil está en las personas, por tanto, la seguridad debe permanecer en todo el ciclo de vida de la información, de nada nos vale tomar medidas de seguridad si luego alguna persona comparte la información por redes P2P.

Como salida de este asunto se ha modificado de forma improvisada el código penal donde se dice que la mera divulgación no autorizada de imágenes o grabaciones intimas pasa a ser objeto de reproche penal en España con un castigo de un año de prisión. Y aquí está el problema de la interpretación de la ley, ¿las fotos realizadas en una fiesta de cumpleaños en un sitio público se considera imágenes íntimas? ¿el vídeo de la celebración de una boda se considera grabaciones íntimas? Porque si es así, para que todos cumplamos la ley deberemos firmar una acreditación para consentir que se nos graben o fotografíen antes de aceptar alguna invitación.

Por desgracia, estos problemas seguirán sucediendo y con la explosión de Internet la información se extenderá con mayor rapidez, por tanto a nivel empresarial para intentar evitar el robo o fuga de información privada o confidencial es importante disponer y cumplir la política de seguridad de la información, donde no olvidemos incluir todos los dispositivos móviles como smartphone o portátiles.