#BSidesPR 2013 time passes by quick!


Posted in Conference, IT by with comments disabled.

Información, Seguridad y Practica Profesional: ¿Qué debo saber hoy?

 

Con motivo de la celebración del Mes de la Seguridad de la Información, Las Organizaciones sin fines de lucro Obsidis Consortia (www.obsidisconsortia.org<http://www.obsidisconsortia.org/>) y la Internet Society , Capítulo de Puerto Rico (http://isocpr.org/) han unido esfuerzos para llevar a cabo la actividad “Información, Seguridad y Practica Profesional: ¿Qué debo saber hoy?”, el viernes 24 de octubre de 8:30am a 3:00pm, en la Universidad del Turabo, libre de costos.

La actividad será una dirigida a los profesionales que se desempeñan en los sectores privado, público y sin fines de lucro, que les interesa conocer sobre asuntos de Seguridad de Informática en Internet, como herramienta también dentro de sus ambientes de trabajo.

Cualquier profesional, o persona que maneje su propio negocio podrá beneficiarse de las charlas y presentaciones que se estarán llevando a cabo ese día. Estas incluyen, entre otros, los temas siguientes:

* – Asegurando mi Negocio/Oficina (José L. Quiñones)
* – La Privacidad en el Internet (Panel)
* – Panorama de los crímenes cibernéticos en PR y cambios en el Código Penal 2012 (Lcdo. Rafael Sosa-Arvelo)
* – Redes sociales y espionaje corporativo (José A. Arroyo)
* – Otros

Los esperamos …

Registro: http://bit.ly/1yHqHMU

El Nuevo Día Nos Habla del Evento


Posted in Conference, IT and tagged , , , , by with no comments yet.

Crimen silencioso

Untitled1

La criminalidad no solo arropa nuestras calles, sino que también va en crecimiento en su representación cibernética. Por el momento, los crímenes cibernéticos no le han costado la vida a nadie en Puerto Rico “que sepamos” , pero sí le hace la vida imposible a muchos. Robo de identidad, espionaje corporativo, robo de propiedad intelectual, acoso, asecho, violación a la privacidad e impostura, entre muchas otras.

 

Estos son algunos de los crímenes más silenciosos.Nadie se entera, las noticias no los investigas y la policía no da abasto con tan pocos especialistas. Para colmo es muy nuevo para los jueces de este país, y más aún para todos los que trabajan combatiendo el crimen día a día. Pero existe la luz al final del camino, la organización sin fines de lucro Obsidis Consortia Inc. (OC) se a dedicado a buscar la manera de ayudar a Puerto Rico y contribuir con el país de forma positiva.

 

OC a preparado un documento de entrenamiento basado en el nuevo Código Penal 2012 que cubre todas las áreas adaptadas a crímenes cibernéticos. El fin de este documento es interpretar los aspectos técnicos detrás de un crimen cibernético. De esta manera se podrá preparar al profesional que se dedica a combatir el crimen de tal forma que pueda entender las tendencias cibernéticas y como investigarlas. Es prioridad que está actualización en el trabajo del agente público se de y las víctimas sientan respiro en su situación.

 

IMG_9085Grupo de Trabajo: OC Inc. y Dept. Justicia

 

OC estará brindando estos conocimientos al Departamento de Justicia y toda su infraestructura de profesionales desde agentes del negociado de investigaciones especiales, fiscales y agentes del ley y orden. Esperamos que el impacto sea uno positivo y esperamos poder contribuir con muchas cosas más en un futuro.

Imágenes de Evento

 


Posted in IT and tagged , by with no comments yet.

La desinformación

images

Existe una plaga en Puerto Rico peor que el alto nivel de incidencia en crímenes de origen Cibernéticos.  Se llama la desinformación. Uno de los problemas más malos que puede existir cuando se toma cualquier dato por cierto, sin ningún tipo de investigación. En Puerto Rico alguien habla de Hackers y rápido todo el mundo tiembla, o sea, los medios se han encargado de crear dicha histeria.

Vamos hacer una disección del artículo de El Nuevo Día por Marian Díaz:

http://www.elnuevodia.com/eviteservictimadeloshackers-1623030.html

Primer Punto:

“Contrario a lo que algunos piensan, el “hacker” cibernético es alguien muy normal, que solo necesita tres o cuatro datos personales para generar un perfil falso sobre su persona.”

No se tiene que ser hacker para generar un perfil falso, cualquiera con la mala intención puede hacerlo sin ninguna capacitación técnica de alto nivel como la de un Hacker. Día a día las personas utilizan redes sociales como LinkedIN, Twitter y Facebook para personalizar a alguien y hacer daño sin tener que ser un Hacker Cibernético. Entonces: ¿estas personas con mala intención y sin experiencia técnica se le clasifican como Hackers? Si esto es así, eso demuestra la poca capacidad de investigación que tienes los encargados de los medios para orientar de manera correcta.

Definamos alguien normal…

Los médicos Wildo Vargas, Rafael Miguez Balseiro, y Erica Rivera Castro eran ciudadanos normales, de alta educación, ayudaban a las personas a mejorar de sus condiciones físicas gracias a su capacidades como médicos. Jefes de familia, personas con licencia y responsables en sus impuestos. Lamentablemente estos médicos decidieron utilizar sus conocimientos para cometer fraude y engañar al sistema de seguro social con reclamos de incapacidad fraudulentos.

Estos médicos son los “expertos en la materia” (Hackers) que decidieron utilizar sus conocimientos para hacer el mal (Crackers). Eran personas normales, entonces la pregunta es ¿qué son personas normales?

Artículo FBI:

http://www.fbi.gov/sanjuan/press-releases/2013/seventy-five-individuals-arrested-and-indicted-in-puerto-rico-for-social-security-fraud

 Segundo Punto:

“Las pymes son las más dulces para los “hackers”, aunque ninguna empresa, sin importar el tamaño, está exenta de ataques cibernéticos.”

En honor a la verdad existen varios puntos en el mundo de las PYMES.  La queja de la gran mayoría de los consultores de sistemas de información en Puerto Rico es que  las llamadas pequeñas y medianas empresas (PYMES) no le gusta invertir en seguridad por costos. No por falta de conocimiento.

El otro punto de las PYMES es el concepto que mucha gente falla en observar, “Zapatero para su zapato”. Los dueños de PYMES le pagan “40 pesos” al hijo del vecino que “sabe de computadoras” que a un profesional con experiencia que le saldrá un poco mas alta la inversión por los conocimientos del mismo.  No estoy diciendo que todos lo hacen, pero una gran parte de ellos si. En términos técnicos esto seria igual que tener problemas de corazón y visitar un mecánico para tratar de resolver el problema. También mucho de ellos buscan información en Google y proceden hacer la gestión por su cuenta.

Ejemplo clásico: Cliente me llama que compró 3 máquinas en Costco para que se las prepare a trabajar en la red de la compañía. Las máquinas que compró el cliente tenían licencias “Home” que viene con unas limitaciones que dificultan la incorporación a una empresa.  Pecamos de hacer y después preguntar. Ahora el cliente debe comprar licencias adecuadas para las máquinas que compró o devolverlas y comprar máquinas aptas para que funcionen en la red de la compañía.

 Tercer Punto

“La encriptación de información es otra alternativa que tienen las compañías para protegerse de que la información sensitiva caiga en manos inescrupulosas. “Es como ponerle una doble capa de seguridad a la data, como encapsularla”, dijo la experta.”

Aunque entiendo que los anglicismos están aceptados en los periódicos, “encriptación” no es la palabra correcta cuando hablamos de este término. Si queremos proteger información en una segunda capa se le llama cifrar la información. Claro, acepto que la real academia ya a incorporado varios anglicismos al diccionario, pero ese no es el caso.

En lo técnico si le doy la razón, aplicar una segunda capa de protección nunca esta demás y definitivamente ayuda a retrasar el proceso de recuperación de datos. Digo atrasar, ya que algoritmos matemáticos se puede descifrar, lo que no lo hace cifrar una solución 100% segura.

Licencias de Microsoft como “Pro y Ultimate” ya incluyen programas como Bit Locker para cifrar discos duros, y todas las MAC  tienen Filevault para lo mismo. Distribuciones Linux como Ubuntu y Federa incluyen también la capacidad de cifrar discos duros completos con TrueCrypt.  En esta ocasión nos quedamos con las máquinas con licencia “Home” de MS que sí necesitarían instalar una aplicación.

Cuarto Punto:

 “Si por mala suerte o descuido le roban el equipo y la información contenida en él no estaba encriptada, usted podría borrarla a distancia para evitar que los “hackers” se apropien de ella. Para eso, necesitará adquirir una aplicación, cuyo precio comienza en $30 y está disponible para Android y iPhone.”

Existen muchas alternativas libre de costos para borrar sus equipos remotos. Por ejemplo para iPhone esta FindMy  iPhone que permite hacer “remote wipe” ósea borrar su teléfono remoto. Mi crítica siempre es “la seguridad no tiene que necesariamente costar mas”

Aquí un reportaje de TechRepublic con varias alternativas para Andriod.

http://www.techrepublic.com/blog/five-apps/five-apps-to-wipe-data-from-your-android-phone/

Quinto Punto

“Si pese a las medidas que ha tomado para evitar la fuga de información, usted o un empleado es víctima de algún “hacker”, entonces siga los pasos que establece el protocolo de la compañía. Usualmente, esa tarea la realiza la gente de Recursos Humanos, en caso de que la compañía sea pequeña o mediana; y si es una empresa grande, la responsabilidad recae en la gente de sistemas de información.”

Vamos a poner las cosas en justa perspectiva, un empleado molesto es una persona que no esta conforme con su empresa, este empleado conoce cómo trabaja la empresa de arriba a bajo y sabe dónde podría hacerle daño a la misma. En el 2011 los empleados molestos representaban $640 millones en pérdidas para las empresas en el 2013 ese número se a duplicado.  Entonces no necesariamente la fuga de información se debe a los medios sociales de red o a que algún “hacker” tenga como tarjeta su compañía. Es un poco mas complejo que eso. Claro eso no resta que dar información de más en las redes sociales no ayuda.

La seguridad es responsabilidad de todos dentro de una empresa, no solo de recursos humanos, o de los técnicos de sistemas de información. Lo que si es cierto es que el dueño de la información es quien establece los controles. O sea, el dueño de la empresa, el vicepresidente o lo que se le conoce en inglés como “upper level management” son los responsables de establecer los controles para dicha información.  ¿Cómo lo hacen? Bueno a trevés del Director de Informática. Decir que   “la responsabilidad recae en la gente de sistemas de información” es lo mismo que decir que la criminalidad recae sobre la Policía.

Es sumamente importante que empecemos a evaluar a nuestros expertos.  En el mundo de la informática se a prostituido esto de tener un certificado y engancharse un título rápido.

Ejemplo CompTIA S+ es una certificación de nivel de entrada al mundo de seguridad, de las más simples y sencillas de pasar. En el internet se pueden conseguir las contestaciones para este examen y pasarlo sin ningún problema. Entonces, ¿Le decimos experto a cualquiera que tenga esta certificación? ¿Qué pasó con años de experiencia en el tema? ¿Qué paso con estudios académicos en el tema?

Para decir más, existen centro de educación que tienen certificaciones de Hacker Ético que ni requieren examinación y ni tienen relevancia real en el mundo de informática ya que este mundo esta en constante movimiento y evolución.  Debemos empezar  a tener mas curiosidad, preguntar y educarse realmente antes de decirle a cualquiera experto.

Posdata:

 

Si has llegado hasta aquí es por que el tema te interesa. Quiero que sepas que la definición del reportero de Ingeniería Social llora ante los ojos de Dios.

“A esa práctica se le conoce como ataques de ingeniería social, que es la disciplina de extraer información confidencial y sensitiva de una empresa mediante la persuasión, haciéndose pasar por otra persona, que no es la que dice ser, para sacar información al empleado.”

La disciplina de extraer información sensitiva no es la mejor definición de Ingeniería Social.  Ingeniería Social es un arte, es la capacidad de manipular situaciones sociales a tu ventaja; es engañar a la gente y provocar que el resultado sea favorable para el atacante. Es la parte menos técnica del mundo de la seguridad de información, ya que la tarjeta principal en la Ingenieria Social es el eslabón más débil de la cadena: el ser humano.  Por este mismo problema de desinformación es que el ser humano representa el acceso más vulnerable en el flujo de la información. Su debilidad ante la persuasión causa muy poca resistencia ante un ataque elaborado de una persona con mala intención. La única defensa ante dichos ataques es la información correcta, la prevención, el cuidado y el constante entrenamiento de personal en todos los niveles dentro de una organización o compañía.


Posted in IT and tagged , by with no comments yet.

6th Annual Conference ISSA PR Chapter

ISSA Puerto Rico

 

Our friends at ISSA PR are having their 6th Annual Conference November 15, 2014. The are having a call for speakers and have extended the deadline until the end of August. The InfoSec Community of Puerto Rico should step up and present interesting topics to share with the ISSA members.  For More Information go to Call For Speakers Site 

Due to feedback from our members and popular demand, we are pleased to announce that we have extended the deadline to submit your presentations until the end of the month!

Visit our web site to download the application form!

New Dates and Deadlines:
Speaker submissions are due August 31st, 2013
Confirmations will be sent by September 6th, 2013
Conference Date: November 15, 2013
Visit our web site for more info:
puertorico.issa.org


Posted in Conference, IT and tagged , , by with no comments yet.

No queremos invertir en seguridad

money2

En Puerto Rico damos por sentado muchas cosas en cuanto a seguridad de informática se refiere. Creemos que los doctores protegen sus datas en sistemas, los abogados mantienen sus archivos seguros, las tiendas por departamento tienen mecanismos para proteger su data y las grandes corporaciones hacen lo propio para asegurar sus sistemas de información. Pero la realidad es que “dar algo por sentado” no necesariamente significa lo mismo se esté llevando a la práctica. La realidad en Puerto Rico tiende a ser muy diferente.

La queja más repetida entre los consultores y administradores de sistemas es que las compañías para las que trabajan, o sus clientes particulares, no desean invertir en seguridad. Dicen que los costos son altos y que el riesgo no es tanto. Es lamentable pensar sobre el asunto y llegar a la conclusión que en parte el problema es la falta de información, la falta de análisis de riesgos y la actitud desentendida de los dueños de negocios que está causando que la tendencia sea “seguridad a través de obscuridad”.

Uno de los posibles problemas es la falta de relación entre la educación como profesional y la práctica profesional. Las universidades nos preparan para ser profesionales dentro de un campo específico, pero no nos preparan para la realidad a ser enfrentada en la práctica. La realidad es que nos graduamos y tenemos que complementar nuestros estudios ya sea, montando un negocio, trabajando por nuestras cuentas, trabajando para otros ya sea gobierno o empresa privada. El problema de esto es que cuando necesitamos administrar una oficina, coordinar el desempeño de otras personas o trabajar nuestros propios proyectos nos topamos con la crudeza del campo; y es que carecemos de otros requisitos básicos para poder ejecutar de una manera correcta.

Esto en parte es lo que está sucediendo en las oficinas de nuestros doctores, abogados, tiendas por departamento,  y todos los lugares donde la informática es necesaria. ¿Cómo podemos cambiar eso? Debemos empezar con la educación, conocimiento básico de computadoras, interés en saber ¿Cómo funciona eso? Esa falta de interés de nuestros profesionales se traduce en posibles fallos en la seguridad de los sistemas de información. Estas fallas causan lo que se entiende como pérdidas monetarias, pérdida de reputación, daños a terceros entre otros. Debemos empezar hacer caso a lo que se nos recomienda por personas especialistas en la materia, y como siempre, todos debemos poner nuestro grano de arena. La seguridad y el proteger un cliente y/o su información no recae sobre un individuo. Es una cadena de fallas que caen como filas de dominó. Lo importante es la actualización de información para evitar a toda costa que el primer eslabón en la fila no ceda a ningún movimiento.


Posted in IT by with no comments yet.

Cambiemos las cosas!

 

Los eventos de seguridad de informática en Puerto Rico han llegado a la monotonía. Siempre son los corresponsales de los diferentes auspicios los que hablan de temas, que aunque bien disfrazados terminan siendo sobre los productos que los mismos ofrecen. Mucho de nosotros en este campo vamos o porque, somos CISSP y necesitamos los créditos de educación continua, o porque queremos salir de la oficina un día y simplemente charlar con compañeros y hacer amistades nuevas. Me atrevo a escribir que el 99% de los asistentes a estos eventos no le sacan nada de provecho intelectual, quizás los estudiantes y tengo mis dudas.

Con esto en mente, junto a algunos compañeros, decidimos fundar una organización sin fines de lucro y poder alcanzar metas reales, como elevar la calidad de los eventos llevados a cabo en Puerto Rico sobre la informática. Mi última experiencia en una conferencia de seguridad uno de los conferenciantes habló de la aplicación móvil del banco que él mismo representaba, me sentí un poco insultado. El conferenciante habló de la historia del banco y cómo llegó hasta el desarrollo de la aplicación móvil. El tema estaba interesante de por sí, ¿pero en una conferencia de seguridad de informática ? ¿qué lugar tiene este tipo de charlas? El conferenciante ni tan siquiera tocó el tema de autenticación y seguridad dentro de la aplicación.

La organización Obsidis Consortia está dedicada al tema de seguridad y por eso creó la unidad init6. El cual no es un club social, no requiere membrecía, no necesitas tener mil certificaciones, no tienes que ser experto en ningún tema, sólo tener ganas de aprender y compartir conocimientos. Con esta idea en mente decidimos organizar un evento de “Security B Sides” en Puerto Rico. Security B Sides en su nivel matriz es un evento creado por la comunidad para la comunidad. El mismo tiene sus reglas a seguir y una de ellas es, no tener conferenciantes que sean vendedores de productos.  Gracias a esta iniciativa es que ahora existe Security B Sides Puerto Rico.

Security B Sides Puerto Rico como ya he mencionado tendrá conferenciantes al mismo nivel que DEFCON = conferencia de hackers en Estados Unidos, por eso decidimos llamarle la primera conferencia de Hackers en Puerto Rico. Para el que no entienda lo que esto significa me explico. DEFCON es uno de los eventos más respetado en el mundo de la seguridad de informática. El mismo tiene más de 20 años de historia y sus conferenciantes están a un nivel por encima de lo normal cuando se refiere a experiencia, interés y relevancia en el mundo de la seguridad de informática. Si la charla de X conferenciante fue aceptada en DEFCON quiere decir que su tema es de alto interés y nivel de relevancia, no todo el mundo presenta en DEFCON.

No todos los conferenciantes que tendremos en BSidesPR han presentado en DEFCON pero tenemos un surtido de ellos que sí. Temas desde análisis forense en artefactos iOS, hasta implementación de estafas utilizando correos electrónicos vía Phishing, por expertos en la materia muy respetados en la industria.  Todo el que asista al evento que le guste el tema de la seguridad no se arrepentirá.  

Vale la pena aclarar que este evento es puramente de la comunidad para la comunidad. Esperemos que cuando tengamos auspiciadores lo podamos hacer completamente gratis, por el momento el miedo de los mismo de auspiciar un evento donde la palabra “hacker” este envuelta nos ha limitado a llevar a cabo este evento por nuestra propia cuenta. Traer los conferenciantes, comida, local, audio visual entre otras cosas, lo hace un poco difícil no cobrar, el costo de entrada de este evento cubrirá parte de los gastos básicos del mismo. El mismo se llevara a cabo con mucho orgullo como dice el americano “no matter what!!!”


Posted in Conference, IT by with no comments yet.

¿Quien tiene la culpa?

Mucha gente en Puerto Rico vive en completa ignorancia de los problemas que pueden surgir al implementar un sistema de información de manera incorrecta. La dependencia de sistemas de información en nuestros negocios y en nuestras vida diaria han logrado que muchas personas salgan a comprar computadoras y a adquirir proveedores de servicios de Internet.

Esto es una tendencia bastante conocida en Puerto Rico, lo que me sorprende un poco es la ignorancia de los comerciantes ante dicha tendencia. Cuando pequeño me decían “la ignorancia es atrevida” y después de grande me doy cuenta de lo cierto que es este comentario.

En esta ocasión quiero hablar del clásico error más común en Puerto Rico: las configuraciones por defecto.  Para todos los que nos encontramos en el mundo de la seguridad este es uno de los temas mas aburridos y uno de los errores mas tonto que cualquiera pueda cometer. El problema con este asunto en particular es que, evidentemente, para el resto de la población este tema no es tan simple.

Configuraciones por defecto son configuración donde: prendes el equipo, lo conectas, y lo pones a trabajar sin editar o cambiar ninguna de sus opciones.  La pregunta de los 64,000 chavitos es, ¿por qué esto es malo? Enumeraré las razones y ofreceré documentación para aquellos que deseen documentarse más:

(more…)


Posted in IT and tagged , , , by with no comments yet.