Inicio / Protege tu empresa / Blog / ¿Qué sucedió y qué está por venir en seguridad y privacidad? #resumen2011 y #prospectiva2012 – Reflexión final de Dabo (@daboblog)

¿Qué sucedió y qué está por venir en seguridad y privacidad? #resumen2011 y #prospectiva2012 – Reflexión final de Dabo (@daboblog)

Publicado el 09/03/2012, por David Hernández (Dabo)
Imagen_post_resumen

Una vez publicadas las diferentes entrevistas mantenidas con los colaboradores del Blog sobre lo que ha acontecido en seguridad de la información y privacidad durante este último año (#resumen2011) y lo que está por venir en 2012 (#prospectiva2012), David Hernández - Dabo (@daboblog) concluye esta iniciativa realizando un resumen general de todo lo expuesto y presentándolo a modo de relator.

Esta entrada a su vez constituye la primera del recién incorporado colaborador, quien reparte su labor profesional entre varios proyectos: es fundador de Daboweb, co-fundador y responsable de Hacking Ético y Seguridad de la Información de APACHEctl, consultor y formador en diversas materias e intenso bloguero en DaboBlog, y DebianHackers. Sus servicios a nivel profesional están recopilados en DavidHernandez.

Esperamos que sus aportaciones os gusten tanto como a nosotros.

¿Cuáles han sido los principales acontecimientos de seguridad y/o privacidad producidos en 2011?

Primeramente, quería saludar a los lectores en mi primera colaboración aquí y aprovechar la ocasión, para dar las gracias a INTECO por la confianza depositada, además de poder hablar sobre algo que me apasiona, la Seguridad Informática, dentro de una plataforma de comunicación con tanta difusión. Todo ello, junto a grandes profesionales del sector a los que sigo y admiro desde hace muchos años. También, de alguna forma corresponder al gran trato recibido por INTECO-CERT en el pasado 5EBloggers del ENISE.

Sobre mi visión acerca de cómo viví el 2011 desde el punto de vista de la (IN) seguridad, puedo decir que estoy muy de acuerdo con el resto de compañeros del blog en los resúmenes que he estado leyendo desde principios de año. Dudas en el sector más profesional de la seguridad con ejemplos como lo sucedido con RSA, ataques masivos contra grandes corporaciones con la consiguiente pérdida de negocio y daños en su reputación, no ya "online", sino empresarial o bursátil, además de los sufridos por usuarios en medio de un "mar de ataques" donde la "navegación" o "mantenerse a flote", no ha sido algo fácil. Este pasado año, mucha gente supo lo que era un DDoS, se "certificó en pérdida de confianza" (DigiNotar por ej), además de hacer un curso rápido de cómo bajar de la nube y poner los pies en la tierra...

Como podemos ver, el 2012, empieza fuerte. Sirva como ejemplo reciente el ataque sufrido por Panda y todas las consecuencias derivadas del mismo. No sólo ya en cuanto a los daños causados por una intrusión de la que nadie está libre, sino también por la polémica suscitada tanto por la gestión del incidente, como los tiempos de respuesta. Bajo el prisma de mi día a día (los servidores / entornos web), preveo problemas similares, acrecentados por la excesiva necesidad de conectarse y sincronizar desde cualquier dispositivo o lugar, datos contra servidores y aplicaciones web que se ven muy expuestas desde múltiples vectores de ataque. Todo ello acrecentado por la actual moda de la computación en la nube que puede llevar al usuario a utilizar sistemas deficientemente implementados sobre los que su control es mínimo. En resumen, seguiremos viendo con una frecuencia mayor, escenarios en los que un simple usuario con un problema de seguridad común, puede más que nunca comprometer a toda una infraestructura empresarial. Cuando no hace tanto tiempo, quizás esa brecha no traspasaría las barreras "locales", pudiendo afectar quizás a una Intranet (nada menor desde luego), para ahora dejar expuestos datos tanto de la propia empresa, como de sus empleados, proveedores, clientes o usuarios que visiten su sitio web.

Quizás, cuando ves que un troyano alojado en el equipo de ese usuario con un nivel de acceso alto a un sistema web como el que anteriormente cito, sirva como ejemplo el "Gootkit ddos system" que ni es nuevo y se conoce como actúa ,además de ser reconocido en la gran mayoría de firmas de virus de cualquier solución anti-malware, es capaz de inyectar código "Javascript" en una url, capturar usuarios, contraseñas FTP, realizar o sufrir ataques DDoS, tu valoración cambia.

Estos días, podemos ver las consecuencias tanto de una política no muy transparente respecto a las actualizaciones / cambio de versiones por parte del desarrollador, así como los daños colaterales sufridos cuando quien tiene que aplicar los pertinentes parches de seguridad baja la guardia. Me refiero al caso de "Plesk", esa combinación de factores junto a una "industria del malware" cada vez más preparada, ha dejado comprometidos a miles de servidores web con intrusiones de un nivel de acceso "total". Alcanzan su objetivo buscado en la mayor parte de ocasiones de una forma automatizada, subiendo el "exploit" de turno a un servidor y llenando por ejemplo el directorio "/cgi-bin" de ficheros con extensión ".pl" o ".cgi", ejecutados tanto desde el programador de tareas en un sistema GNU/Linux, "cron" o desde el que tiene el propio "Plesk", convirtiendo a esa máquina, al igual que puede suceder en un PC de escritorio (o "combinado con", ese PC y el servidor web) en parte activa de una "Botnet", o pasarela de ataques DDoS, spam o difusión masiva de "malware" hacia otros sistemas, ves las cosas con otra perspectiva, la real y cómo lo vive el sufrido usuario final...

Podría poner muchos ejemplos sobre las pésimas configuraciones "por defecto" que suelo ver en muchos servidores web, la falta de actualizaciones y medidas de protección de sistemas operativos locales, remotos, móviles, además de gestores de contenidos o desarrollos propios que forman un "ecosistema de la seguridad", víctima más a menudo de lo deseable (o esperado) del llamado "factor humano" con un matiz, ahora esos riesgos se multiplican exponencialmente por cada dispositivo que accede a plataformas desde conexiones, dispositivos o protocolos cuya seguridad debe ser cuestionada "por defecto", como esas configuraciones las que aludo.

¿Se pueden apuntar tendencias para el 2012?

Posiblemente, este año 2012 si fuese el responsable de una PYME, me preocuparía más de la formación a mi equipo humano, la gestión integral de la seguridad y preparación frente a incidentes informáticos, que del tiempo consumido en mi empresa navegando por la Red Social de turno. La inversión en seguridad debería ser considerada como un activo en medio de tanto "ROI". Sí, no vende tanto como el Marketing, eso lo sabemos todos, pero te causará menos pérdidas a todos los niveles que "una mala campaña".