viernes, 31 de mayo de 2013

Como de seguro es tu Windows? Parte 1. Show Me your Curriculum

Frase celebre en el mundo de la seguridad y los sistemas: Tu sistema será tan bueno y/o seguro como las habilidades de administración que poseas sobre esa materia...
Poco más que hablar sobre esto. Atrás queda la época de Windows Xp sp2,sp3, Windows 2003. Atrás quedan los "zero days para cualquier windows version 32bits". Estamos en 2013. Windows Server 2008 tiene 5 años, pero admitimos sus procedimientos relacionados con la seguridad como válidos.
Vamos a empezar por comentar una reglas básicas o leyes que Microsoft publicó en Noviembre de 2000 y aún siguen siendo más que válidas.
Ley # 1: Nadie cree que algo malo le puede suceder a ellos, hasta que lo sucede. 
A no ser que trabajes en una central nuclear, gobierno, educación, sanidad y similares no eres objetivo de un ataque informático ...FALSO. Hoy en día todos podemos sufrir un ataque informático simplemente porque hay gente buscando fallos para comprometer sistemas, For Fun. Pero en las organizaciones hay despidos, empleados descontentos, proveedores descontentos, competencia. Todo lo que se conecta a Internet es susceptible de ser hackeado, y por lo tanto asegurado.


Ley # 2: Seguridad sólo funciona si el modo seguro también pasa a ser la forma más fácil
Cuando buscamos soluciones para proteger los activos en nuestra organización, no debemos pensar como técnicos, e implementar una solución basada en doble firma, con claves de más de 15 caracteres, tarjeta de claves RSA, y solo a unas horas del día.Debemos establecer políticas y mecanismos acordes con la Misión y Visión de la empresa. Poco éxito va a tener una medida de ese tipo, en un ambiente con poco grado de conocimiento informático ( el típico trabajador de la vieja escuela que aún piensa que van a volver las máquinas de escribir, o simplemente no tiene aptitud para las nuevas tecnologías). Hay que facilitar el trabajo a los usuarios.
Ley # 3: Si no se mantienen al día con las actualizaciones de seguridad, la red no será tuyo para siempre
Las actualizaciones de seguridad dan mucho miedo a los administradores de sistemas ( por la cantidad de problemas que creaban en el mundo NT sobre todo en temas de compatibilidad) y a los usuarios ( el vecino te instala el Windows pirata pero te dice que nunca actualices) Cuando compras un pc con S.O. legal, sigues con tus prácticas.
Imagínate que vas al médico, y te detecta una enfermedad la cual no tenía síntomas aparentes. Te prescribe un medicamento para solucionarlo, y te indica que si no lo tomas, en un futuro esa enfermedad te va a matar. ¿qué haces? ¿te tomas las pastillas?
Ley # 4: No sirve de mucho para instalar parches de seguridad en un equipo que nunca se fija, para empezar
Entiendo que se refiere a que no solo basta con parchear nuestros sistemas, en el mejor caso que lo hagas xD.
Ley # 5 La vigilancia eterna es el precio de la seguridad
Vale, correcto, se que parcheas tus sistemas. Se que como eres "perro viejo" pruebas en un laboratorio los parches. Te vas en agosto de vacaciones con la familia a La Manga (Murcia) a desconectar del trabajo. Ese segundo martes de agosto, MS saca un Security RollUp Package (conjunto de parches sin llegar a ser un Services Pack)


Ley # 6: No hay realmente alguien por ahí tratando de adivinar sus contraseñas
Lo primero de todo es saber que algo malo está pasando para intentar solventarlo.Creo que se refiere más al tema contraseñas. Una contraseña es segura mediante una combinación de características como complejidad (mi_clave!) case sensitive (Mi_Clave), longitud ("Mi_Clave_es_muy_larga). El factor clave para proporcionar seguridad mediante contraseñas es la caducidad. Gracias a la capacidad de computo de los sistemas actuales, las claves se sacan. Se tardará más o menos tiempo y más o menos recursos, pero se obtienen. Cambiar la clave cada cierto tiempo es indispensable para fortificar nuestros sistemas.
Ley # 7: La red más segura es un bien administrado una
Lo dicho al empezar !!! la frase !!!
Ley # 8: La dificultad de defender una red es directamente proporcional a su complejidad
No pretendas implementar una solucion de Firewall, IDS/IDP, HoneyPots, Proxys, balaceadores, dispositivos de control de acceso a redes...en una organización de 4 personas trabajando con Office´s. Pero no pongas un antivirus y un firewall pre-configurado en una organización con 200 trabajadores...
Ley # 9: La seguridad no se trata de evitar riesgos, se trata de la gestión de riesgos
Me parece interesante establecer una analogía con la actual LOPD española. No se trata de que no se te pierda un papel o dato, sino de tener controlado el papel/dato, notificar el incidente,establecer medidas de mejora para evitar futuros incidentes de ese tipo, etc. Es muy importante saber que existe ese papel, que se ha perdido, quien ha podido estar cerca de ese papel, se han perdidos más papeles o solo ese...
Ley # 10: La tecnología no es una panacea
La seguridad no es un producto, es un proceso  !!. Otra frase mítica en el mundo de la seguridad. Poner una clave super segura,en el famoso post-it no es seguro !!! Hacer oídos sordos a la advertencia del AntiVirus de que "nominas_agosto_2013.jpg.exe" no es un documento, no es seguro !!

En este artículo de opinión personal voy a meterme con algunos xD.
Instalar un servidor Windows, un sql server, montar un dominio, un dns, un dhcp, un servicio de archivos y una intranet se hace en una jornada de trabajo, y si me apuras, siguiendo unas pocas páginas. Nuestro trabajo como administradores de sistemas NO es ofrecer esos servicios, sino hacerlos de manera segura, duradera y que satisfagan las necesidades concretas de la organización.

Si queréis leer la actualización a estas reglas o consejos podéis verlo aquí.

Como siempre, gracias por leerme. El próximo artículo de esta serie nos meteremos en faena con la fortificación de servidores 2012 y entornos Active Directory. Google +