Factor Humano: Ingeniería Social

Muchas veces comentado, analizado, etc, ¿pero realmente hay consciencia del riesgo que entraña desatender este aspecto dentro de la seguridad de un sistema?. Muchas compañías de seguridad desdeñan este importante factor a la hora de auditar la seguridad de un sistema, considerándolo fuera de lo estrictamente técnico, dejando un factor clave, y a mi entender el mas débil, dentro de la seguridad informática.

Hace años se le dio un nombre a la tarea de violar la seguridad por medio del factor humano, creando un campo de estudio y acción orientado a la explosión de la inexperiencia, falta de capacitación, sentido común, etc, de los empleados técnicos y no técnicos que trabajan con sistemas informáticos: “Ingeniería Social”.
A pesar de la demostrada existencia de esta técnica de "hacking", muchas empresas (tanto las dedicadas a la seguridad, como aquellas que no) siguen haciendo caso a omiso a este riesgo, sin darle mayor importancia. ¿A que se debe esto?. La respuesta es sencilla: es mas fácil y requiere menos tiempo, correr 100 exploit´s y/o realizar un “test de penetración” con “test de fugas” para corta fuegos, que capacitar a cientos de empleados, sobre como deben actuar ante ciertas situaciones, que puedan poner en peligro la integridad de la seguridad de un sistema.

Como mencioné en el artículo anterior, para hacer frente a la inseguridad, por lo menos de manera efectiva, es necesario hacer un enfoque holístico de los posibles riesgos que entrañan los sistemas, debido a errores en los programas, como así también el riesgo que representa un personal no capacitado al ejercer actividades potencialmente peligrosas, dentro de lo que a seguridad se refiere.
Debido a esto, y a falta de las inversiones necesarias (si!!!, las erogaciones que se realizan en capacitar al personal son inversiones), cualquier atacante con un poco de habilidad para tratar con las personas y un troyano (o sin el) puede obtener acceso total a un sistema informático, ya pertenezca a un banco, una empresa, el estado, etc.
No es por nada, que el “hacker” mas famoso del mundo, Kevin Mitnick, sea reconocido como un experto en el campo de la ingeniería social, sobre el cual escribió el famoso libro "The Art of Deception". Sin duda, además de ser quien seguramente llevo la ing. social a su mayor exponente, es quien logro demostrar de manera irrefutable que el factor humano es el eslabón mas débil, logrando tomar el control de un sistema con tan solo cinco llamadas telefónicas.
La seguridad informática, por el momento sigue siendo una quimera imposible de alcanzar, en tanto y en cuanto se sigan manejando los esquemas actuales sobre seguridad / inseguridad. Es preciso realizar un cambio en la manera de apreciar cada elemento que hace o no seguro a un sistema, teniendo un enfoque totalizante y previsor, sin desdeñar aspectos por pequeños e inofensivos que parezcan. Hasta entonces, seguiremos oyendo de casos escandalosos, donde por culpa de un empleado la seguridad del sistema en su conjunto fue violada.

Avances vs Inversión: Parte II "conclusión"

Retomando los planteos del artículo anterior, me parece oportuno destacar algunas de las tendencias de los gobiernos políticos de la actualidad. Entre las necesidades básicas de una sociedad (tomándola como un ente colectivo), se encuentran la seguridad, orden interno, y defensa exterior. Normalmente los estados cuentan con los mecanismos para hacer frente al delito, la inseguridad, etc, pero el problema surge cuando la criminalidad de una población supera las capacidad de respuesta de los organismos dedicados a mantener el orden. Así, los gobiernos hacen frente a ésta problemática incrementando los poderes y equipos de las fuerzas de seguridad, como así también el personal con que cuenta, sin embargo desdeñan un importante aspecto... el contexto “socio-económico”, es decir el por que del aumento de la criminalidad. En otras palabras, la soluciones en cuanto a seguridad suelen no ser factibles, o solo a muy corto plazo, ya que no atacan al verdadero problema.
Ahora, usted dirá, muy lindo análisis político, ¿pero que relación existe?. Pues mucha, y seguramente mas de lo que se imagina. Las compañías encargadas de crear sistemas mas seguros, nunca han hecho hincapié en los factores socio-económicos que conllevan en la creación del malware, restándole importancia y concentrándose en el ataque del problema, sin tener un verdadero enfoque holístico de la situación. Esto, lleva a que las soluciones no sean reales, si no una estrategia para retrasar la verdadera solución. Para atacar el problema de raíz, se deberían hacer estudios concretos y perfilar a los criminal hackers (conocidos como crackers). Muchos de estos, aunque no todos, son resultado de una mezcla entre injusticias en la posición que ocupan en el mercado informático, y una ideología en pro de superar dichas injusticias, llevando sus ideologías a cabo por medio de prácticas delictivas. Desatender esto, es desatender la realidad en la que vivimos.
Un ejemplo de estas injusticias, es la gran desventaja en cuanto a precios y velocidades de servicio de Internet, con la que cuentan varios países de América Latina, donde se ofrecen velocidades máximas de 128kbp, o 256kbp, por precios similares (dejando fuera el tipo y poder de las monedas de cada país) a los de países del “primer mundo”, donde cuentan con velocidades muy superiores.
Tampoco voy a desestimar totalmente las medidas llevadas a cabo por aquellas empresas dedicadas a la seguridad, ya que un código responsablemente programado y revisado, como un buen plan de seguridad siempre ayudan, si no remarcar que ninguna va a ser del todo efectiva por una simple razón: todos los programas, sistemas operativos y demás software, tiene vulnerabilidades, solo es cuestión de descubrirlas. Esto nos da pie a señalar las tres reglas básicas de la seguridad informática:

1) Todo software tiene huecos de seguridad y errores en su código.
2) Ningún hueco de seguridad es una falencia en la seguridad de un sistema, hasta que alguien la descubre.
3) Los errores se descubren con el uso del software.

Según lo expresado en esas tres reglas, ningún software, por seguro que parezca está exento de contener errores (“...hecha la ley, hecha la trampa...”) que permitan la explosión y posterior aprovechamiento de dicho ataque, por medio de los mismos.
Concluyendo, podríamos decir que no solo hay ausencia de inversiones, si no que aquellas que se realizan, se hacen de la manera incorrecta, dejando de lado factores que influyen de manera directa, ayudando a la inseguridad de todo sistema informático en general. Tiene que lograrse un equilibrio justo entre inversiones destinadas a realizar sistemas mas seguro y satisfacer de forma mas eficiente e igualitaria las necesidades tecnológicas de las personas, evitando la segregación social dentro de Internet.

Avances vs Inversión: Parte I

Hace mucho ha pasado ya el tiempo, en que hablar acerca de seguridad informática era un tema que solo se dejaba para casos realmente particulares, y solo para aquellos gurues versados en dichos temas. La actualidad, el progreso, en definitiva el avance de las diversas tecnologías, ha venido a pegarle duro a este concepto y dejarlo inadmisible, o admisible solo desde una mirada pueril. Hoy en día, la seguridad informática, es un tema que abarca muchos de los aspectos de nuestra vida, y esto se debe a un crecimiento extraordinario en cuanto a lo que tecnologías se refiere. Sin embargo, este crecimiento no vino aparejado de diversas inversiones, entre ellas la que considero mas importante(debido a los temas que aquí nos incumben)la que tiene como objetivo incrementar la seguridad de estas nuevas tecnologías.
Este proceso, mayor y mejores tecnologias en detrimento de la seguridad correspondiente, se ha ido acentuando mas y mas con el paso del tiempo, llegando a momentos críticos, como fue el caso del inconcluso Windows XP (lanzado cuando estaba a mitad hacer, con numerosos errores y huecos de seguridad), convirtiendose en uno de los motivos mas importantes del marketing actual.
Es bien sabido, que muchas compañías han emprendido una campaña de crear un soft novedoso y revestido con "exelentes" medidas de seguridad, de modo de brindar confianza al consumidor. Sin embargo, esto es sola una movida comercial que puede ser adivertida en empresas como Microsoft, que invirtió millones de dolares en realizar publicidad para su nuevo sistema operativo Windows Vista, que se suponía iba a ser seguro. Aunque, como dije anteriormente, la realidad golpeo duro(aunque esto no se reflejo en el mercado...aun), cuando Joanna Rutkowska demosotró diversas falencias de seguridad en una de las versiones del Windows Vista que corría con un kernel de 64b.
Si bien puede sonar alarmista, la batalla de la seguridad está perdida dentro de los esquemas que se manejan actualmente, y esto se debe a que muchos de los problemas escapan a lo puramente relacionado con la seguridad. Aun solo moviendonos dentro de dicho campo, las medidas siguen siendo ineficientes para el contexto actual...

Bienvenidos!!!

Bienvenidos a In the midle of Security Bridge. Luego de un tiempo considerable en el "rubro" de la seguridad, se me ocurrió que sería una buena idea abrir un espacio propio para detallar mis analisis y pensamientos en cuando a todo lo que se refiere a seguridad, dentro de lo que abarca el basto mundo de la informática. Si bien no soy el mejor, aunque tampoco el peor, procuraré actualizar seguido, como así tambien mantener toda la objetividad y seriedad a la hora de tratar cada tema. Si bien habrá muchas opiniones personales acerca de la seguridad al día de hoy, tambien trataré de exponer descubrimientos, reflexiones, noticias, y todo aquel material que considere oportuno, siempre respetando los derechos de autor y privacidad.

Saludos,
Joaquín Armesto.