A Django site.
Mayo 28, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Seguridad Física, ese aspecto que todos descuidan


SeguridadPensando en las actividades del trabajo me encuentro cada día con más problemas de seguridad física, los cuales producen problemas mucho mayores a la hora en que me llaman para resolverlos.

Siendo la mayoría de los cuidados los mismos que se tendrían por ejemplo con el dinero en efectivo, resulta curioso como todavía hay empresas que no toman muy en serio el tema y dejan sus servidores al alcance de cualquier persona que entre en la organización (y que le haga un DoS con un martillo o simplemente le desconecte el cable de red o power) o bien los tienen descuidados en lugares que sufren riesgo de incendio o inundación (un sótano, por ejemplo).

Por ello, elavore un artículo sobre la temática. Algo corto que depertara un poco el interesa para poder atacar el problema. El mismo es una serie de Consejos útiles sobre la seguridad física llamado Seguridad Física, ese aspecto que todos descuidan.

por criadoindomable a la(s) 4:54 PM etiquetas: auditoría , seguridad , seguridad de la información , seguridad física (Comentarios)
Mayo 27, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Recomendaciones para evitar ser victimas del PHISHING


SeguridadLa ArCERT (Coordinación de Emergencias en Redes Teleinformáticas) ha elaborado una lista de recomendaciones muy comprensibles para evitar ser víctimas del phishing. Aunque son originarias del 2006, las mismas son de utilidad aún.

Aún cuando la mayoría de las recomendaciones parezcan de sentido común, es bueno tenerlas presentes ya sea para nosotros mismos o bien para pasarlas a nuestros contactos no tan duchos en la temática de la seguridad de la información.

He volcado las mismas en el blog de AltoSec para compartirlas con todos ustedes.

por criadoindomable a la(s) 1:15 PM etiquetas: altosec , phishing , seguridad , seguridad de la información (Comentarios)
Abril 16, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» El ataque de las passwords


SeguridadRealicé una nota para el blog de AltoSec inaugurando la serie de Tips de seguridad que estamos poniendo disponibles. Un pequeño aporte nada más. A lo mejor redundante por la gran cantidad de información que existe, pero nunca innecesario. En la nota trato un tema que es bastante preocupante y a la vez difícil de manejar para los administradores de seguridad y sistemas de las empresas.

Las Passwords de los usuarios.

Y es que es entendible que a medida que se aumentan las barreras para evitar el ingreso no autorizado a la información los niveles de confort se vean afectados. Pero de allí a pegar las password en los monitores con un Post-It hay un trecho grande.

Una de las cosas que se realizan en una auditoría es mirar el entorno de los usuarios. Existe una alta probabilidad de que el mismo tenga a la vista información que permita el ingreso a su equipo, cuenta de mail, sistema, y hasta los datos para la ingresar al home banking. Si no es directamente mediante un papel pegado en el monitor, será en el escritorio, en la última hoja del talonario del calendario o en otro lugar.

Pero, ¿por que esto que parece tan de sentido común ocurre? y ¿como evitar que ocurra en nuestra organización?.

La primer pregunta puede tener varias respuestas de las cuales doy una lista resumida y no definitiva. Lo mejor sería completarla

Ponga su password aquí

Ponga su password aquí

preguntando al usuario por que ha pegado ese papel allí.

  • El usuario se siente “seguro” y piensa que nadie de la empresa estará interesado en eso
  • El usuario no comprende el nivel de riesgo
  • Las políticas de claves obligan al usuario elegir claves demasiado difíciles de recordar
  • El usuario esgrime que tiene “demasiadas cosas que recordar”.

De aquí viene el como evitar que el usuario ponga en riesgo los activos informáticos de la organización poniendo la clave a disposición de cualquier que se llegue a su escritorio.

La información es una excelente forma para que el usuario esté enterado de los riesgos. El tema ya lo hemos tratado aquí. En la reunión se le podrá informar que él ES responsable por su password y que esa responsabilidad tiene que asumirla. También que no tiene que sentirse tan seguro dentro de la organización por que puede ingresar tranquilamente alguien externos en algún momento y ver las claves. Hay muchos más argumentos y existen otras cosas que informar al usuario al respecto, todo dependiendo de los niveles de maduración en aspectos de seguridad que tenga la organización.

El tema de la dificultad en recordar las claves se puede resolver enseñando un mecanismo que el usuario perciba como útil.
Este mecanismo tiene que ser sencillo y tiene que permitir que los usuarios tengan claves fuertes y no por ello difíciles de recordar.

Ejemplo de mecanismo para generar claves:

  1. Recordar el nombre de una película/libro/tema musical o una frase que tenga por lo menos 4 palabras.
  2. Armar la clave con las primeras 2 letras de cada palabra, poniendo la primera en mayúsculas.
  3. Agregarle luego 2 o 3 números más un símbolo (+,-,*,?,¿,¡,&,etc)

No necesariamente tiene que ser un método definitivo, pero es un método simple que refuerza el mecanismo de contraseña ya que como mínimo se tendrá una clave fuerte con 10 o 11 caracteres con mayúsculas, minúsculas, números y símbolos, lo que es suficiente para cumplir con la gran mayoría de las políticas de seguridad las cuales, por supuesto,  tienen que estar definidas e incorporando un mecanismo de cambio de claves cada cierto tiempo.

Así, el usuario recordará una frase, un número y un símbolo lo cual será muy simple; más que hacer que recuerde una clave que seguramente fue la que “ENTRO” después de intentar varias veces con los nombres de todas sus mascotas, parientes, su nombre, teléfono, fechas de cumpleaños y DNI de diversas formas.

Este mismo método se puede rápidamente reforzar para que sea aun más complicado deducir la clave si se cambian algunas letras por números donde a=4, e=3, s=5, o=0, l=1, t=7, etc.

Llegado el caso de que existan muchas passwords, tantas que hasta el método antes mencionado haga difícil  de recordarlas a todas, (los usuarios en este punto son muy rápidos para indicar que tienen que recordar también la clave del cajero, la casilla de mensajes y las de sus sistema de mensajería personal) se puede utilizar alguna de las herramientas disponibles en Internet para el almacenamiento de claves, los cuales tienen que disponer de mecanismos de encriptación fuertes para que ante el caso de robo de información, no quede las mismas comprometidas.
Estas herramientas permiten que el usuario tenga que recordar solo “UNA” clave para acceder al resto de las que posee.

A muchos usuarios las passwords los atacan. Quisieran vivir en un mundo en el cual no hiciera falta usar password. Nosotros también. Tal ves llegue ese día con mecanismos de acceso biométricos que no requieran que el usuario no tenga que recordar nada. Ya existe la tecnología y de a poco se ira integrando con el común de los sistemas. Pero, por el momento, tenemos que pensar en las passwords como en la llave de nuestro auto o casa y por que no, la reja de la ventana. Todos quisiéramos no tener que tenerlas, pero son necesarias.

por criadoindomable a la(s) 8:47 PM etiquetas: password , seguridad , seguridad de la información , usuarios (Comentarios)
Abril 8, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» Hable con los usuarios sobre seguridad


SeguridadRealicé una nota para el nuevo blog de AltoSec en base a la experiencia que he tenido a lo largo del tiempo y en la cual comento la metodología para brindar “charlas” a los usuarios sobre aspectos de seguridad, tanto en temas específicos como generales. Recomiendo su lectura a todos aquellos que están en el área sistemas y a los tomadores de decisión dentro de la organización.

La simpleza de esta acción, que generalmente se deja de lado por falta de tiempo, generará que se reporten más problemas potenciales y que los usuarios tengan más cuidado a la hora de manejar los sistemas de las organización.

El usuario, como parte del sistema de información de la organización y como destinatario de la información procesada por el mismo, tiene que conocer por lo menos los aspectos fundamentales de la seguridad de sistemas y es por ello que se hace necesario su participación activa. Comencemos por charlar con ellos :D

por criadoindomable a la(s) 4:53 PM etiquetas: administración de sistemas , gestión , seguridad , seguridad de la información (Comentarios)
Abril 7, 2009

Criado Indomable
Sebastian D. Criado
Criado Indomable trata sobre »
» AltoSec Blog abre sus puertas


altosec_blog_tiny2En el día de la fecha hemos puesto oficialmente on-line el blog de AltoSec donde pondremos a disposición del público novedades sobre el ámbito de la seguridad de la información, novedades propias de la empresa y notas originales de sus miembros.

La URL del blog es http://blog.altosec.com.ar y está montado utilizando WordPress

Aunque podríamos usar directamente los blogs personales de cada uno, consideramos importante poder concentrar en el un único lugar información que se produce en la empresa. No el blog de Google, pero brindamos algo de lo nuestro :D

Enjoy!

por criadoindomable a la(s) 7:07 PM etiquetas: altosec , blog , gnu , linux , seguridad , seguridad de la información , software libre , wordpress (Comentarios)