viernes, 28 de agosto de 2015

La caída de Ashley Madison


Nunca antes el robo de información de un sitio web había causado tanto estremecimiento en el ciudadano del común. No es el asalto mas grave que empresa alguna haya tenido, pero por sus características ha afectado  a muchas personas.

Sobra describir aquí en detalle el principal cliente de Ashley Madison. Usuarios en relaciones aburridas y buscando un poco de aventura, muchos de ellos y ellas casados son el cliente usual de este sitio web de citas clandestinas.

Los hackers publicaron la base de datos, y muchos la han replicado en redes sociales y otros sitios web. Peor aún, los datos hechos públicos incluyen la información de cuanto gastó el usuario. A pesar de que el perfil permitía el anonimato, la base datos hackeada incluye el nombre completo del usuario, la dirección y el dinero gastado. Maridos celosos y mujeres engañadas pueden fácilmente verificar el nombre de su pareja, y saber si su media naranja le ha sido infiel. No se augura un buen futuro a las relaciones de pareja de quienes sean descubiertos.

Aparte del interés personal que muchos puedan tener en la publicación de datos confidenciales de Ashley Madison, hay varias lecciones que los profesionales de seguridad pueden aprender.  La primera lección es que cualquier red que tenga servidores públicos puede ser presa de ataques cibernéticos. Segundo, es importante proteger los sistemas de información y seguir buenas practicas de administración de sistemas. Esto puede sonar a verdad de Perogrullo, pero la realidad es que la mayoría de casos de robos de información son fácilmente prevenibles.

El caso de Ashley Madison tiene otras lecciones. De acuerdo a publicaciones especializadas, la base de datos tenía los datos mas críticos protegidos. Por ejemplo, las tablas con la información de tarjetas de crédito solo muestran los últimos cuatro dígitos de la tarjeta. El resto del número estaba protegido. Es decir que el robo tendrá poco rendimientos financieros.

Adicionalmente la contraseña (o “password”) estaban protegidos porque usaban una número aleatorio inicial (“salt”) para almacenar la clave final en el sistema. Es posible que de haber tenido una base de datos encriptada la información no se hubiera hecho pública tan fácilmente. Debo anotar, que esta última afirmación depende de cómo accedieron la base de datos. Si el acceso fue directo, el cifrado de la base de datos puede ser de alguna protección. Si por el contrario, el acceso a la  información fue a través de la aplicación esta protección no es útil.

Aunque aún se desconocen los detalles de cómo los atacantes penetraron los sistemas de Ashley Madison, si es conocido que hubo acceso a todo tipo de información incluyendo los correos electrónicos de los ejecutivos de la empresa.

A pesar de que los atacantes no pueden usar los números de las tarjetas de crédito, hay alternativas de lucros para los atacantes. En próxima entrega explicaré un poco las posibles nefastas consecuencias para el usuario de este sitio web.

martes, 18 de agosto de 2015

Un estado confuso

Ante la creciente complejidad de nuestra sociedad, y por consecuente de nuestros sistemas de información, me pregunto si nosotros los humanos estamos realmente preparados para lidiar con las consecuencias de esa misma complejidad que nosotros mismos hemos creado. 

Como profesional de las ciencias de información comparto el sentimiento que abruma a colegas y clientes por igual. La tecnología cambia rápidamente y es difícil mantener el ritmo. Sin embargo, hay ciertos aspectos que demoran un poco en cambiar. Esto es lo que algunos llaman los principios básicos. 


En mi línea profesional debo revisar continuamente reportes tales pentests, análisis de vulnerabilidad, análisis de riesgo y auditorias, y al mismo tiempo analizar cómo afecta a mi compañía. Como todo en la vida, se encuentran diferentes calidades de reportes. Desafortunadamente, con la creciente automatización en la generación de reportes el nivel de los mismos tiende a ser más bajo, y podría argüir que es decreciente.  En mi opinión estamos aún lejos de generar contenido valioso de manera automática. Tal vez si ese día llega, ya no habrá lugar para nosotros los humanos. 


Pocas veces se encuentra un verdadero análisis de la situación que se ha contratado. Aunque es difícil generalizar, podría decirse que las recomendaciones, tecnológicas y de procesos, siguen una línea de menor esfuerzo que poco valor agregado generan a quien contrata los servicios.  En ese aspecto las herramientas de generación de contenido automático reflejan su origen, una robotización de contenido que parece inteligente pero de evidente pobreza a la primera lectura atenta. 


Solo  en pocas oportunidades encuentro verdadera joyas. El común denominador de estos buenos documentos es la verdadera comprensión del proceso que el profesional ha plasmado en sus recomendaciones, pero sobretodo es el verdadero entendimiento de los principios básicos de la tecnología que se está manejando. Esto puede sonar poco lógico para los profesionales de sistemas de información, pero solamente entendiendo el proceso o el negocio de su cliente el profesional podrá recomendar las adecuadas herramientas tecnológicas.  


El objetivo de este blog, para aquel lector desprevenido que se lo encuentre, es presentar algunos conceptos básicos de tecnología, específicamente de redes y seguridad informática. También de vez en cuando presentare algunas de mis opiniones de situaciones que en ocasiones rayan en lo cómico. Bienvenido lector.