Hablando de TI

Para celebrar las primeras 170.000 páginas servidas en hablandodeti.com –y en vista del gran centimetraje y atención obtenidas por el tema de seguridad en estos días—estaré llevando a cabo una serie de entrevistas a expertos de seguridad que nos permitan forjarnos una mejor idea del panorama tan complejo que representa la seguridad en la actualidad. En este primer tema Christian Linacre, experto de seguridad de Microsoft trata el tema de los ataques a los sitios web.

Después de los ataques a twitter y facebook de las semanas pasadas, he tropezado con dos dueños de páginas web que me han confiado lo agradecidos que están de no tener un sitio web de gran alcance para no ser víctima de este tipo de ataques.

Y es que los ataques de denegación de servicios –que ahora se realizan de manera distribuida—son de los más sencillos, pero al mismo tiempo más efectivos. Digamos que el gran punto aquí es conseguir una gran red de computadoras que permita ejecutar el ataque. Los métodos para enfrentar un ataque de este tipo tampoco han variado mucho: determinar las direcciones de las máquinas que están realizando el ataque y bloquear el tráfico que desde allí proviene.

Para conocer más de cómo un sitio web puede protegerse de estos ataques, charlamos con Christian Linacre, Gerente de las Iniciativas de Seguridad y Privacidad de Microsoft Latinoamérica, a quien pregunte sobre la forma en que Microsoft defiende sus sitios. Linacre destaca dos piezas fundamentales en la estrategia de Microsoft para protegerse de este tipo de ataques y que pueden servir de guía a las corporaciones que quieran aumentar la seguridad de sus propios sitios web. La primera estrategia es contar con una plataforma altamente virtualizada para optimizar de manera sencilla el manejo de cargas. Esta estrategia le permite a Microsoft contar con “miles” de servidores virtuales entre los cuales repartir la carga minimizando los efectos del ataque. La segunda estrategia pasa por tener una red inteligente, dotada de filtros y controles, en cortafuegos inteligentes, capaces de detectar este tipo de anomalías y aislarlas de manera automática.

Linacre está seguro de que esto no es una solución perfecta, pero destaca que hasta ahora ha resultado muy efectiva.

Respuestas a la crisis

Pero si un sitio web –a pesar de las medidas preventivas que pueda haber tomado—cae en un ataque de este estilo lo primero que debe hacer es analizar el tráfico para intentar determinar las direcciones IP de donde proviene el mayor tráfico y rechazar toda comunicación que provenga de ellas, sin siquiera analizar si el contenido es válido. Muchos sistemas de seguridad –conocidos como sistemas de detección de intrusos—tienen esta funcionalidad implementado según señala Linacre

A pesar de que muchos usuarios puedan pensar que mientras se está en un ataque las empresas proceden a buscar al culpable para anularlo, generalmente este es un pso que ocurre después, en una investigación forense digital, que busca determinar el origen de los ataques, para desde allí determinar el posible culpable. Con las grandes redes de computadoras zombie que existen –las botnet—esto es cada vez más complicado de realizar.
Los computadores infectados que son usados para estos ataques, pueden llegar a ser aislados del resto de la Internet en acuerdos con los proveedores de acceso, así que resulta conveniente evitar que los computadores se infecten. Linacre señala que además de las medidas comúnmente divulgadas de mantener actualizado y protegido el PC, hay ciertos hábitos que pueden ayudar a las empresas y los individuos a mantener a sus PC s fuera de estos ataques. Mantener actualizada la PC y contar con una solución de seguridad actualizada genera un entorno seguro, que puede ser optimizado con medidas tan simples como mantener apagados los PC mientras no se usen, ya que en horas no laborables suelen suceder muchos de los intentos de intrusión. Además si el PC se encuentra infectado y no se ha detectado la infección, este hábito ayudará a disminuir el efecto de los criminales.

Por supuesto que las acciones a tomar con los proveedores de acceso, dependen de cada país, su legislación y los acuerdos existentes, pero en caso de que la red de una empresa esté infectada y participe en un ataque, las consecuencias podrían ser quedar totalmente desconectado, lo que puede implicar un gran costo.

Por último Linacre recomienda a las empresas que tienen iniciativas en la web susceptibles de ser atacadas, que cuenten con un hosting seguro. Si lo hacen con terceros, el recomienda exigir ver los planes de contingencia del mismo, para saber que harán en caso de un ataque de este estilo y si estarán en capacidad de enfrentarlo. Si hospedan su sitio web en computadoras internas, deben tener más precauciones, incluyendo versiones estáticas del sitio que se puedan colocar en línea y software de detección de intrusos que les permita reaccionar en caso de estar bajo ataque, y seguir entonces hablandodeti con sus clientes.

Otros

“Los cibercriminales están felices programando en Windows.” Que me perdonen mis amigos de Microsoft, pero esta frase se la escuche directamente a Eugene Kaspersky mientras lo entrevistaba hace apenas unos días. Aunque también he de decir que el mismo Eugene y el resto de los voceros de su compañía, reconocen que Microsoft ha logrado un gran avance en lo que a seguridad se refiere, y que han obligado a los hackers a orientarse más hacia el browser y otras aplicaciones –como Quicktime o Acrobat.
Pero por muy fuerte que parezca, es así. A pesar del auge de Linux y Mac OS, la economía de escala se impone. La mayoría de los que programan virus y otras amenazas, empezaron con un PC y por eso allí siguen. Al contrario de lo que ocurre con los smartphones, donde la existencia de tantos sistemas operativos importantes –Symbian, Windos Mobile 5 y 6, Android, PalmOS, Blackberry OS, OS X, etc– ha dificultado el surgimiento de virus, salvo unas pocas excepciones en Java, el monopolio de facto de MS en el área de sistemas es lo que los hace tan apetecibles para los criminales.
Eugene también conversó conmigo sobre el uso de software malicioso para realizar ciber guerras. Ante la pregunta de qué tan probable es que pueda ocurrir él dijo que el riesgo está muy lejos de no existir. Le insistí sobre si algún Estado usaba esta tecnología y conteto que era imposible de saber aún.
Los pocos ejemplos de ciber guerras que se han visto permiten predecir un escenario de terror. De hecho, el mismo prefirió autocensurarse y no hablar más de ello, ya que le resulta preocupante –e incómodo—tocar estos temas frente a la prensa. Por más que insistí no logre que dijera más, el silencio fue absoluto y puso tensión en la entrevista.
Y es que a veces, al tocar temas que pueden tener consecuencias tan graves para todos, hasta a mí se me hace difícil estar hablandodeti.

Otros

Sin duda alguna para todos los ejecutivos de TI, pensar en llevar algunos procesos de su corporación hacia nubes externas, es una promesa de reducción de costos sin sacrificar escalabilidad. Y es que entre las premisas base de la nube están la optimización de costos al utilizar un esquema de uso en demanda donde sólo se paga por lo que se usa.

Para Christian Linacre, Gerente de Seguridad de Microsoft para Latinoamérica, el mercado de software como servicios en Latinoamérica tiene un potencial enorme, pero aún hay que desmontar algunas preocupaciones en las mentes de los ejecutivos de TI, como puede ser la seguridad en la nube. Por eso en su “llamada mensual de seguridad” Linacre y su grupo se enfocaron en este tema.

Lo primero que tiene que quedar claro es que al buscar economías de escala usando nubes de cómputo, el usuario cede parte del control sobre sus datos y procesos. Esto no necesariamente es inconveniente o inadecuado. Microsoft plantea un esquema para ejecutar aplicaciones en la Nube que garantiza niveles de seguridad basados en niveles de servicio, ya sea en la nube de Microsoft, o en Nubes de terceros –en especial de socios de negocios—con tecnología Microsoft. Si se recuerda que la base de la plataforma de Nube de Microsoft es el llamado Windows Azure, y las tecnologías montadas sobre este (SQL services, .Net srvices, etc.) se puede ver claramente la posición privilegiada de la empresa de Redmond para cerrar este sistema y garantizar la seguridad.

Linacre señala en una lámina de su presentación los cuatro retos más importantes que ve Microsoft para la seguridad en las Nubes:

1. Requerimientos regulatorios globales y complejos. En un mundo de Datos y servicios distribuidos globalmente, estos están sujetos a numerosas regulaciones, estatutos y estándares de la industria que suelen ir en varias direcciones (son exigidos por países, acuerdos comerciales entre países, gremios empresariales, bolsas internacionales, etc.

2. Mayor interdependencia entre las entidades del sector público y privado y sus clientes que obliga a la existencia de una infraestructura y servicios confiables

3. Ambiente de alojamiento dinámico que exige constantes revisiones de la infraestructura

4. Ataques cada vez más sofisticados que afectan a todos los niveles de software y aplicaciones aumentando la complejidad para brindar seguridad

Estos retos son superados, a decir de Linacre con una estrategia de defensa contundente, basada en seguridad de aplicaciones, administración de identidad y acceso, seguridad de alojamiento, auditoría y reporte, protección de datos, protección de red y seguridad física.

La verdad es que este tema es realmente clave para que la adopción de las Nubes realmente se extienda. Microsoft cuenta con 400 socios de negocios habilitados para ofrecer aplicaciones basadas en el esquema de software como servicio y si quiere desarrollar al máximo este potencial deberá enfocarse en educar a los clientes y socios sobre las ventajas de este esquema, sin descuidar nunca la disponibilidad, escalabilidad y fiabilidad de estos servicios.

En fin, la labor es ardua pero no imposible. Y eso sí, cuando vea a un asesor –de Microsoft o de un socio de negocios- que se le acerca para plantearle usar un esquema de software como servicio, piense que también le estará hablandodeti.

Otros

Microsoft lanzará la próxima semana un servidor de Windows de gama baja para compañías con hasta 15 usuarios bajo el nombre de Windows Server 2008 Foundation.

Aunque de Microsoft no me han querido adelantar detalles del lanzamiento –al que fui invitado pero no puedo ir por encontrarme asistiendo al Wireless Enterprise Solutions de BlackBerry—por aquí les dejo lo que he averiguado.

El servidor permitirá ejecutar aplicaciones empresariales de correo electrónico, servidor de archivo y otros. Algunas cifras sugieren que en este sector solamente cerca de un tercio de las compañías cuentan con un servidor, algo que Microsoft quiere cambiar.

La idea es ofrecer configuraciones sencillas a bajo costo, y se les proveerá a los fabricantes principales para que estos puedan ofrecer directamente los servidores. Además de HP, otras compañías como Acer, Dell, IBM y Lenovo podrán ofrecer esta nueva solución.

El lanzamiento mundial se realizará la próxima semana y Microsoft está organizando una serie de eventos en cada país de la región, así como un evento principal en Chile, para dar a conocer el producto.

Este servidor será una versión de Windows Server 2008, limitada sólo en el número de usuarios que pueden accederle. Según nos dijera hace ya un tiempo Bill Laing de Microsoft, se venderán distintas versiones ya entonadas para las aplicaciones respectivas: bases de datos, correo electrónico, archivos e identificación de usuarios, etc.

En lo que sea oficial el lanzamiento les daré más información y seguiremos hablandodeti.

Otros

Microsoft liberó recientemente un reporte de inteligencia sobre amenazas en la red y tuve la oportunidad de conversar con Christian Linacre –el Big Boss de seguridad de Microsoft en América Latina—sobre las diferentes amenazas.

La primera cosa que llama la atención es que Brasil y México figuran entre los primeros diez países en número de infecciones. Brasil ocupa el tercer lugar y México un notable noveno lugar.

En Brasil el software dañino representó el 83.8% de todas las amenazas, diseñadas principalmente para el robo de contraseñas de los usuarios de la banca en línea.

Mientras en México abundo el software dañino, que representó el 77% de todas las amenazas en el segundo semestre del 2008. Los gusanos representaron el 28.4% de todas las computadoras infectadas muy por encima del promedio mundial que es sólo el 11.3%.

Linacre destaca que la estrategia de Microsoft para mejorar la seguridad en la Internet –donde se conectan más de un millardo de personas y circulan más de 200 millardos de mensajes diariamente—se basa en tres áreas clave: tecnología, educación de los usuarios y acuerdos con gobiernos y entidades de ley.

Ahora bien, no hay estadísticas exactas acerca de cuantas de estas amenazas afectan a los menores de edad, pero existe una percepción creciente de que cada vez ellos están en un riesgo mayor. Y es allí donde entra Ricky Martin, o mejor dicho su fundación. Y es que en alianza con Microsoft han desarrollado un portal que sirve para informar a padres, maestros y jóvenes acerca de los peligros de la red y cómo evitarlos.

www.navegaprotegido.com es un sitio sencillo que sirve por el momento a 10 países de la región y que cuenta con el apoyo de más de 40 socios de negocios de Microsoft. Tan solo en el 2008 la iniciativa ayudó a más de 15.000 personas a crea ambientes de navegación más seguros. En el sitio los usuarios encuentran consejos, herramientas, cursos en línea y otro tipo de material de apoyo, incluyendo alertas de seguridad.

Contrario a su canción más emblemática, Ricky Martin no invita a los usuarios a que “vivan la vida loca” en la Internet. Sino más bien a que naveguen seguros y que estén hablandodeti cuando naveguen de forma segura.

Otros

Hoy mientras escuchaba a alguien hablando del virus del Cornflakes(¡!), con dificultad contenía la risa pensado en todo lo que se había construido acerca de la temible epidemia del Conflicker. Como pocas veces se levantó una expectativa de una crisis de fin de mundo (la última que recuerdo fue la del famoso año 2000 o Y2K). Pero realmente con un poco de sentido común se hubiera podido vaticinar que no debería pasar gran cosa con este ataque. Y es que la época de las grandes epidemias de virus parece haber quedado en el pasado –y sólo revivirá en caso de un ataque terrorista o algo similar.

Los fabricantes de virus tienen en sus manos una industria con más fondos para el ataque, que los que cuenta su contraparte de seguridad para contrarrestarlos. Los ataques han cambiado y ya no ocurren sólo por el “orgullo” de poder ejecutarlos. Cada PC infectada –y que permanezca así—es una fuente de ingresos para el hacker, que más tarde la usará para robar datos secretos o para enrolarla en un ejercito virtual que ataque algún sitio Web o busque infectar otras PCs.

Desde que se hizo publico el posible ataque de Conflicker en el 1ro de Abril, la contrainteligencia ganó la guerra. El creador de Conflicker habrá hecho lo posible por cambiar la fecha del ataque y la forma, ya que al atacar el día que todos están esperando, lo único que haría es dejar expuesto su ejército. Es más, gracias a la publicidad recibida por el virus, miles de máquinas habrán sido dadas de baja del ejercito maligno, gracias a los dueños que preocupados por el holocausto del 1ro de Abril habrán revisado sus PCs y al encontrarlos infectados se habrán apurado a desinfectarlos.

Pero un día estoy seguro que habrá una excepción a la regla. Ese día lo marcará el primer ataque terrorista a la Internet (léase bien, “a la Internet”, no “desde la Internet.”) Las razones podrán ser muchas, pero todas se resumirán en demostrar que la Web no es el lugar seguro que muchos creen. Ese día está hasta en las pesadillas de algunos de los genios de la seguridad, como pude comprobar al hablar con Eugene Kaspersky, allá en sus oficinas durante el año pasado (ver http://www.hablandodeti.com/blog/2008/06/backup-2008-i-hablando-de-ti-en-rusia-seguridad/).

Ese día, todo el mundo estará hablandodeti.

Otros