jueves, 30 de diciembre de 2021

Terminamos el 2021... seguimos creciendo

 Estimados amigos de Inseguros !!! 


El año 2021 llega a su fin. Un año marcado otra vez por el Covid, un año para mi algo descafeinado. Ni me ha ido muy bien ni muy mal. No se si por la edad, por la vida, pero no he tenido grandes altibajos. 

Quizás mantenerme en donde estoy es suficiente, ya que tengo la suerte de tener a toda mi familia Sana conmigo. En el apartado laboral es cierto que ha ido a mejor, el año pasado por circunstancias no fue el mejor para mi. Lo que si se ha permanecido estable es mi crecimiento técnico.

Esta parte que lees, que me conoces, creo que la he seguido potenciando, más que nada porque me sale solo. Eso de que la ciberseguridad y la informática es mi pasión no es un eslogan, que a veces empleo como tal, pero realmente es algo que me sale solo.

He escrito 25 artículos este año, en un panorama en el que otras redes sociales han tomado más protagonismo. Soy defensor de lo escrito, de las webs, de los post, en castellano, y reivindicar nuestra lengua, al igual que hago con mi "regionalismo" Marciano...

Soy partidario de leer, de comprar algún que otro libro físico, pero sobre todo de devolver lo que la comunidad me da. La comunidad muchas veces es nuestro mayor enemigo, porque hay gente que no entiende que se puede multiplicar sin dividir, pero tontos hay en todos lados.

Hoy en día hay tanta información que se le resta importancia a las personas que escriben. Cuando tienes un problema y buscas en "internet", alguien se ha molestado en escribir lo que le pasó y como lo solucionó. No es gratis, sin este conocimiento no podríamos crecer, pero sin embargo el mundo web cae en picado. Las visitas de ahora no son las de hace años, no las mías que nunca han sido importantes, sino las de todo el mundo, me consta.

Ahora vivimos de un Tweet, de un post en Linkedin, pero muchas veces son "noticias" o meras frases, no está el trabajo detrás de haber estudiaro a fondo la materia.

La tendendia en la ciberseguridad es seguir los WriteUp de los Ctf´s, en donde se aprende una barbaridad sobre hacking ético y seguridad, pero ofensiva... Muchos de los que estamos aquí luchamos contra los malos, y es igual de importante o mas saber defenderse de esos fallos que aparecen en los Pentest de manera correcta.

El mundo "yotube" en esta u otras plataformas ha tomado cierta relevancia, pero me niego. Me niego a que mi trabajo se mida en base a lo simpático que soy, lo carismático, popular, guay o no. Cuando doy una charla presencial si que intento mezclar algunas habilidades para llegar al público, para hacerlo más ameno, pero con el fin de la divulgación. No para ganar visitas, seguidores, ego ni dinero, eso lo hago trabajando.

Aunque parezca mentira, me expreso mucho mejor escribiendo, y mi acento marciano se esconde un poco más :-) pero realmente creo que aparta valor el mundo texto son los enlaces, el no quedarte con el planteamiento del autor, sino trabajar los enlaces, y sobre todo, trabajar el documento.

Tu puedes ver 100 veces usar algo, que hasta que no te peleas y lo pones en práctica no lo aprendes, y ver videos para mi es un poco eso, quedarte con la "copla" por encima, y no profundizar.

Cuantos manuales has seguido en tu vida que no eran tal y como estaban escritos? pues imagina si sigues un video en un contexto dado. Luego la realidad cambia.

Aparte, no me interesan los videos del "laboratorio perfecto" "como armar tu linux para el ataque" cosas así son más para atraer público que para dar conocimiento. Que al final toda divulgación es buena... pero yo soy tradicional, viejo, boomer, y me gusta lo escrito.

Quiero acabar el año y empezar el siguiente acordándome de la gente que me hizo empezar en esto, y me animó a escribir las 4 cosas que he ido aprendiendo. Gracias a Microsoft por renovar otra vez el MVP.  Quizás este es mi mayor refugio cuando las cosas no me van bien, pensar que al menos hay gente que me valora. 

Esa gente es Microsoft, pero realmente eres tu, quien ha leido este post, quien me apoya con mis comentarios, quien participa de los debates, vosotros sois MUCHO más importantes de lo que os creeis.

Vivimos en un mundo en el que lo tenemos todo, y de vez en cuando tenemos que agradecerselo a los demás. Llama a tu abuela y dile que la quieres. Empieza a escribir un blog contando tus películas, y apoya a los creadores de contenido que consideres oportunos, pero tenemos que hacer una comunidad fuerte, compartir el conocimiento es mayor espíritu hacker que podemos tener.

Felices fiestas, y espero que este 2022 sea tan "mediocre" como este al menos.

lunes, 13 de diciembre de 2021

LOG4J... la crisis del 2021? APRENDE !!!

 Estimados amigos de Inseguros !!!

Los que vivimos en el sur sabemos que los incendios se apagan en invierno, no en verano. Preparando el monte con cortafuegos, limpiando el matorral, preparando los recursos humanos, de detección... En verano con 45 grados, si no has hecho los deberes...

Este fin de semana está dando duro la vulnerabilidad del componente LOG4J. No voy a entrar en el fundamento técnico porque para eso está el buscador, pero si que me gustaría sacar varias reflexiones.

La primera es que hay sospechas de que hacía mucho tiempo que se conocía el vector de ataque... https://twitter.com/an0n_r0/status/1469643986403008515

La segunda es que como grandes Vendor de la industris emplean componente de software libre, sin interesarse en la seguridad de los mismos, y por supuesto, en el Q&A, financiación del proyecto etc. El software libre mola... pero en parte porque es gratis. SI, quiero pelea !! xD. 

Pero el propósito de este post es lo que tiene que ver con las empresas, con nuestros clientes, nuestros proveedores, con nosotros mismos...

Es VITAL aprender de nuestros errores. En ciberseguridad es muy raro, porque si suele perpretarse un incidente, estamos por decirlo fino... en problemas...


Hablo con mis colegas y tenemos problemas de inventario... saber qué tenemos en nuestros sistemas es la primera parte de la ciber. Después del inventario es el inventario de componentes, es decir, no solo saber si tengo 2000 windows 10, sino saber que tengo java noseque, o pdf nosecuantos... cualquier herramienta de ITSM gestiona esto... pero claro... en máquinas Windows... en los linux ni se instalan estas tools... ni antivirus... ni se despliegan plantillas...

Por otro lado los dichosos logs. Tenemos un SIEM, tenemos incluso un SOC de lo más caro, pero no tenemos logs. No tenemos logs porque la ingesta desmesurada de estos en el SIEM se paga a precio de oro, pero tenemos que tener visibilidad de lo que pasa. Si no lo quieres meter en un SIEM, metelo en un ELK para tareas forenses, o para casos como estos y auditar conexiones pasadas para descubrir donde tenemos el dicho Log4j, pero logs que hay que tener. El datawarehouse de la ciber no debe ser el SIEM, porque es caro, pero tenemos que tenerlo !!!

Al final seguro que en tu empresa has tenido más o menos facilidades para detectar tu exposición al riesgo, pero lo importante es APRENDER de la lección. Igual que con el Ransomware, tenemos que tener planes, en la ciberseguridad hay muchos más riesgos, y parece que nos hemos quedado con la solución del Ransomware, el parcheo de los equipos de infraestructura importantes, pero hay una importante cantidad de vectores de entrada que debemos cubrir, y aprender en fase "test" es mejor que hacerlo con el fuego calentando.

Espero que no hayas tenido muchos problemas con el componente, y si necesitas algo ya sabes !!!


jueves, 9 de diciembre de 2021

Doble check cuando envias correo VBA Outlook: No enviar correos de madrugada al ex ni al jefe...

 Estimados amigos de Inseguros !!!

De todos es sabido que se acercan fechas de celebración, en la que en muchos casos se incluyen juergas con el alcohol, y se nos puede ir un poco la mano.

De todos es sabido que cuando uno va pedo, seamos claros, mejor no hacer algunas cosas: No conducir, no poner en peligro tu integridad física... cosas evidentes, y otras no tantas, como no enviar correos a tu ex-pareja recien... o mucho menos a tu jefe/compañero que tanto aprecias :-)


Más allá de nuestro problema laboral o con el alcoholismo, un amiguete me plantea el siguiente problema en su empresa que la verdad me parece curioso de comentar.


Este amiguete tiene todo tipo de seguridad en su despliegue, pero me indica que tiene MUCHOS problemas con correos que sus usarios envian, de una lista de contactos o no, pero que no era el destinatario deseadao...

Es decir, que tu estás escribiendo a jmolina... y mi correo es jmolinab... o un jgarcia@empresa1.com y tu querías enviarlo a jgarcia@empresa2.com.

La solución es humana, como el problema, si te has equivocado poco se puede hacer. En outlook tenemos opciones para delimitar si el destinatario es conocido o no, o es de la empresa o no, o si queremos hacer un delay en el envio... pero nada de esto cumple con lo que esta empresa necesita: Un doble Check que indique algo así: SEGURO QUE QUIERES ENVIAR ESTE CORREO A ESTA PERSONA... que al final estas cosas se automatizan y el usuario aprende a decir siempre que si... pero es lo que este amigo necesitaba, un doble check.

Para ello podemos hacer uso de VisualBasic y pasar una función al enviar un correo, que haga eso, muestre un MSGBOX con la advertencia, y permita dar marcha atrás o no a ese correo... sea una equivocación por el destinatario... o porque mejor reconsideras tu postura ante tu jefe xDDD 

El código base de la función lo tienes aquí. 

Espero que te sirva de ayuda !!!


Roles o dirección de la ciber... ProtAAPP version...

 Estimados amigos de Inseguros !!!

Voy a empezar este post, haciendo algo que no suelo hacer, y es hablar con propiedad :-) y por supuesto no me refiero a la intelectual :-) :-). El otro día la gente de @ProtAAPP Abrió un hilo muy interesante 
reflexionando junto a un equipo de cracks sobre la estructura de la organización de un departamento 
Ciber. 


Por la brevedad de Twitter no quise entrar al trapo, pero me apunté el tema para explicar mi visión. Pero cuando decía lo de hablar en propiedad, me refería a comentaros quienes son ProtAAPP y cuales son sus proyectos. En primer lugar, decir que es un grupo de amigos que desinteresadamente están fomentando la cultura de la ciberseguridad en las administraciones públicas, pero que se extiende a todo el ecosistema empresarial, mediante varias acciones. Dede su magnífica WIKI, su canal de Twitter, hasta todas las iniciativas divulgativas que ya ni recuerdo ( concursos incluidos xD) 

Volvamos al inicio, al asunto, cual sería la estructura del departamento. debería colgar todo del CISO? del CIO? tendría que haber una rama para una cosa y para otra...

Como siempre, me gusta empezar con algún símil. Pongamos el ejemplo del entrenador de futbol. Si en su vida fue un jugador de velocidad, de sprint, de desmarque, quizás tenga un estilo de entrenamiento diferente al que fue jugador de "tiki taka", o fue un jugador mas defensivo que ofensivo en campo medio... hay muchos estilos de gobernanza, y la impronta personal del entrenador sin duda marcara muy mucho el rumbo del equipo, o al menos el camino.

En la informática, sin entrar en la ciber, ocurre lo mismo. A diario hablo con CIO, pero que tambien los llamo "jefes de informática" o a veces " CTO"... y me doy cuenta de que según su pasado, su trayectoria, tienen más o menos interés en unos aspecto u otros. El tema de los nombres lo voy a dejar para otro momento.

Si el responsable viene del mundo consultora SAP, posiblemente esa sea la parte que mejor esté en la compañía, al igual que si viene de la "ciber" tendrá más o menos bien esto. Según su evolución profesional el departmento tiende a tener sus benevolencias/carencias en un sentido u otro.

Ahora vamos al "submundo" de la ciber. Hay que entender que estas reflexiones hay que adaptarlas al volumen de la organización. Un CISO para mi tiene que ser el lider de la parte de gestión y cumplimiento normativo. Si sabe de tecnología mejor, pero podría ser perfectamente un Abogado. Un CSO debe ser el responsable de la parte técnica de la ciberseguridad. No encuentro ningún sentido a que en una organización compleja, con personal y recursos, no estén los dos componentes en la misma línea jerárquica, y por encima el CIO.

Creo que la cuestión más importante no están tanto entre quien está debajo/encima entre el CISO y no, sino en la figura del CIO. Personalmente, conozco MUY pocos CIO buenos.

Para mi, un CIO debe ser capaz de tener en su equipo a los mejores expertos en su área, y ser la persona que se dedique a la gestión, y a participar en el comite ejecutivo, diseñando los planes de futuro, la prestación de servicios y la continuidad del departamento. Alinear las necesidades de la empresa con la tecnología, y "viceversa".

Imaginemos un mal CIO, alguien como yo :-). que vengo de la ciber, de productos Microsoft... voy a tomar las mejores decisiones a la hora de un entorno CLOUD para X propósito? quizás mis preferencias marque mis decisiones. El CIO debe ser agnóstico a la tecnología en la manera que sea posible, y debe dirigir el departamento con conocimiento.

SLA y KPI deben ser el trabajo del CIO. Definir la estrategia y luego cumplirla y medirla.

En el hilo de Twitter se bromeaba con que si, que todo esto está muy bien, pero quien actualiza el equipo xD. Tiene que haber un KPI claro definido desde el CIO, desde la dirección informática, y bien sea operaciones de seguridad, operaciones de sistemas, quien sea, según el organigrama, pero hay que cumplor el objetivo y medirlo, y creo que no tiene sentido definir si es cosas de sistemas, de seguridad... porque cada empresa es un mundo, pero si que tiene que estar en la estrategia del CIO y tiene que tener los elementos de control.

Atribuimos un departamento de operaciones y dentro ciber, sistemas, redes, o al revés, tenemos un departamento ciber y dentro tenemos operaciones, cumplimiento, monitorización...

El CISO aportará su conocimiento para implementar una guía de seguridad base en referencia a la norma, a la ley, por ejemplo al ENS, y trasladará los controles necesarios al CIO, y este debe ser garante de su cumplimiento. Pero ojo, el CSO igual !!! quizás en un compliance no aparezca un detalle técnico pero si desde Seguridad se exije, debe ser igual de válido, pero hay que medirlo !!!.

Tener un cuadro de mando de TIC es necesario al igual que en otras direcciones. Por lo general, veo esos cuadros de mando orientados a las finanzas del departamento, o asociados a alguna herramienta ITSM en la que puedo ver el SLA de un helpdesk, con suerte podré ver lo mismo de un SIEM, pero ese es el verdadero trabajo de un buen CIO, preparar ese cuadro de mando con la información útil que le permita tomar buenas decisiones.

Pongo otro ejemplo parecido al de la cuestión del CISO, desarollo. tiene que haber un jefe de desarrollo que esté por encima de Despliegue? para mi son dos entidades con suficiente peso que por supuesto, tienen que estar alineadas entre si, pero con la supervisión del CIO.

Sigo con ejemplos, un fallo de sqli de quien es reponsabilidad? de ciber que no tenía un waf? del programador que cometió el fallo? del despliegue que no lo testeo? del admin. de la base de datos que no controló las opciones del motor? de sistemas que no cofiguró bien el host?
Sin embargo el CIO debería tener el control del estado de todos estos elementos, a través de sus mandos intermedios. Delimitar la responsabilidad concreta? siempre pienso que la culpa es del jefe, siempre, el empleado puede y está para fallar, y su jefe para detectarlo y corregirlo. Todo esto entrecomillas...

Vamos al caso del SOC, quien debe ser el lider del SOC? reporta a tecnología o cumplimiento? ambas perspectivas son válidas. Depende de la misión del SOC, es más, es habitual tener un SOC técnico con "eventos de Windows" y un SOC de cumplimiento con otro tipo de métricas.

En entornos grandes grandes grandes, puede que entre el CIO y el CISO/CSO haya un "CIO de Ciberseguridad" al igual que un CIO de Desarrollo, porque ambas disciplinas son enormes, al igual que debería haber un CIO de sistemas y redes, o separado... 

Un resumen muy muy somero podría ser que ni CISO por encima del CSO, ni al revés, que lo importante es el eslabón superior.

Al final vuelvo a lo mismo de que hay muchos estilos de gobernanza y gestión, y depende muy mucho de la misión y visión de la compañía y sus líderes, pero la gestión basada en indicadores creo que es VITAL.