lunes, 15 de junio de 2015

Inforiesgo 2015


Comparto mis impresiones acerca del evento del 2015-06-10 [1].

La señora de la puerta se dió cuenta que estaba leyendo la lista de asistentes buscando conocidos y tomó las precauciones apropiadas pero no suficientes y llegué a ver que la tasa de asistencia fue de 2/3, muy buena.

La primera presentación, a cargo del polifacético profesional y docente de seguridad informática de la UdeMM[2] y alguna otra institución Pablo Romanos[3] trató sobre SGSI, en particular con iso27k. Por un lado dió la explicación teórica de rigor regada de muy buenos ejemplos y por otro presentó una interesante herramienta, que en sus palabras consiste en hacer lo mismo que venían haciendo en una hoja de cálculo. Pese a la modestia, la herramienta se veía bastante interesante.

Luego, Santiago Cavanna hizo algo muy interesante, que fue adaptar su presentación a ciertas ideas que había tirado Pablo.

Según los datos que mostró, la regulación sirve. O sea, si se pena que hagas las cosas mal, no las hacés tan mal, ¡qué primitivo! Tambien que hay terribles falencias de correlación de eventos, gestión de cuentas de administradores y de servicio, se comparten cuentas privilegiadas. Se calcula que hay un 5% de personal "desleal" que de tener oportunidad ataca a su organización.

Tuvo un par de reflexiones muy interesantes como que en cuatro mil años no ha cambiado el core de la seguridad de la información, con lo que no puedo menos que estar de acuerdo. La otra es algo que he expuesto en algunas capacitaciones internas y paso a explicar en mis palabras, me parece que su concepto es el mismo:

Cuando hablamos de probabilidad de ataque no es lo mismo que probabilidad de un accidente, pues en el primer caso hay una voluntad de por medio. Ponete en el lugar de atacante, que hace un relevamiento y encuentra que cerraste todas las que tienen más de 7 puntos de cvss[4]. Si estaba decidido o motivado, te va a atacar por las de menos puntos que estén abiertas, asi que si tenías una de 1 punto, para vos en realidad se hizo de 10 puntos.

Esto hace que decir: por mis vulnerabilidades tengo un XX% de probabilidades de ser atacado y cuanto más la cierre menos probable es, no tenga tanto sentido como que digas que hay un YY% de que TENGA ÉXITO. Entonces decir "esta vulnerabilidad no la cierro pues es muy difícil de explotar y nadie lo está haciendo" es perfecto para el atacante, que va a ver cuales vulnerabilidades tenés, se va a especializar y te las va a explotar.

Pero que quede claro que estos dos últimos párrafo son míos, no le estoy atribuyendo a Santiago mis palabras, no lo conversé con él, ni siquiera lo conozco. Es algo que venía pensando y que debería agregar a [5].

Otro concepto, que me preocupó es que como que estamos tomando demasiado estrictamente lo de "los datos de argentinos deben estar en Argentina" cuando en realidad parece que es "los datos de argentinos deben estar duplicados en Argentina y se pueden procesar afuera". Cuando alguien le dijo con los bancos no es asi, él dijo, hablen con la señora plin plin plin y verán...

Tras la pausa, hubieron dos presentaciones a las que lamentablemente no les pude sacar mucho más provecho que usar como abono para lo que sigue:

Hace como quince años había una docente en la facultad que leía las presentaciones, algo absolutamente insoportable e inútil. Me dije "no se pueden dar tan mal las clases" y me ofrecí como ayudante ad honorem y esa experiencia y los contactos resultantes han hecho que yo sea quien soy hoy, asi que quizás no está tan mal OTRA PERSONA lea las slides, está bueno el error pero no ser recordado sólo por ello.

Como le dijo Mathis a Bond, "estar muerto no significa que no puedas ser útil" [5].

Como en alguna otra entrada he manifestado [6], pero no recuerdo cual, tiendo a estar más del lado de RTFM que de STFW y del papel que de la pantalla, aunque no dudo en servirme de stackoverflow[7] cuando no necesito comprender o no comprendo pese a RTFM.

Si yo te leo un texo, podés prescindir de mi. De todos modos no podés prescindir de mi, por que lo que te estoy leyendo no te aporta nada que no hubieras tomado por vos mismo. Otra cosa es que haya un texto y alguien que lo desmenuce.

Esto vale tanto cuando aprendo como cuando enseño. Por ejemplo, andaba con ganas de dar capacitación mas formal y por fuera del trabajo y alguien me sugirió que para mejorar "la venta", era conveniente que subiera algún minicurso filmado.

Lo que no me gusta es que yo no aprendo nada cuando alguien ve mi video. No hay pair-programming en solitario.

Si yo leyera una presentación, lo único que aprendería sería a no volverla a leer y vos a no volver, punto.

Pero me fuí por las ramas, todo esto debió haber sido una entrada aparte

En la cuarta presentación se dijo que en términos militares el ciberespacio ha pasado a tomar el lugar protagónico que tenía lo naval. Mmh, si en la misma charla se dijo que se estaban considerando tomar "represalias físicas" en casos de ciberataques, ya me empieza a hacer ruido.

Hubieron datos del tamaño actual y proyectado de los "ciberejércitos", de pocos miles, minúsculos si comparamos con los convencionales. Tienen la ventaja de que no los matan, por ahora.

Se mencionó que hubo una importante denegación de servicio en Georgia antes de la invasión, que hubo sabotaje contra las centrifugadoras iraníe. Es verdad, pero Georgia luego fué invadida FÍSICAMENTE. Irán se atrasó un par de años y siguió en marcha su programa nuclear. Tirar un virus es tan sólo otro recurso como haber tirado unas bombas en un reactor experimental[8].

El problema es que se está confundiendo C3 con Internet. Leé un un poco de C3[9] antes de seguir.

¿Listo? Aburrido, ¿no?

C3 usa Internet, por que en parte Internet es resultado de C3 y por otro Internet es más barato. Fijate, que paradójico que Internet existe para tener comunicaciones reduntantes descentralizadas pero cada que el ancla de un barco arranca una fibra óptica del lecho marino, alguien se queda sin comunicaciones, jeje.

Mencioné esto de C3 no porque la tenga reclara, si no por que me parece algo muy importante para que profundices y reflexiones, prestá atención a C3I, no sé para qué le dicen C4I.

Volviendo a los ejemplos, en Siria se ve como la guerra civil tambien transcurre en Internet, pero no en los sitios atacados, si no en la manipulación de las noticias.

Se dice que EEUU perdió la guerra en Vietnam cuando la opinión pública se puso en contra, cuando comenzaron a volver los muertos. Pero alguien tuvo que matar a esos muertos primero.

Soy un completo convencido de que en última instancia, el ciberespacio no es más que una ilusión como el dinero y la ley, que nos rigen en el día a día y que cuando no lo pueden hacer, se respaldan en la violencia. En términos menos poéticos, en última instancia si no te colás para entrar a la cancha es por que la policia te apalea.

Otra vez por las ramas. Volviendo...


Hay algunas otras ideas que no recuerdo quien las expuso o siquiera si fueron expuesta o me surgieron como reflexiones del momento, como que dado que sigue habiendo muchísimo win9x en sistemas de control, los fabricantes que se benefician por hacer los upgrades bien pueden tener una actitud un tanto negligente en relación a su seguridad.

En síntesis, el evento estuvo ok. Pese a la "baja calidad" de dos presentaciones que igual aportaron algo de conocimiento. Ah, y la puntualidad falló, pero he visto peores...

[1] http://www.cpci.org.ar/index.php/pago-de-la-cuota-social/34-novedades/novedades/264-jornadas-info-riesgo-2015-en-udemm-8-edicion
[2] http://www.udemm.edu.ar/
[3] pabloromanos@green40.com
[4] https://nvd.nist.gov/cvss.cfm?calculator&version=2
[5] http://seguridad-agile.blogspot.com/2013/09/dos-dimensiones-extra-en-la-evaluacion.html
[5] http://www.imdb.com/title/tt0381061/quotes?item=qt0433391
[6] http://seguridad-agile.blogspot.com/2012/07/layer-8-csrf-protection.html
[7] http://stackoverflow.com/
[8] http://www.spiegel.de/international/world/the-story-of-operation-orchard-how-israel-destroyed-syria-s-al-kibar-nuclear-reactor-a-658663.html
[9] http://www.globalsecurity.org/military/systems/ground/c3.htm



No hay comentarios:

Publicar un comentario