Artículos de "Un informático en el lado del mal" (Blog de Chema Alonso)
Página 1 de 1.
Artículos de "Un informático en el lado del mal" (Blog de Chema Alonso)
por Stassacoeur Mar Feb 28, 2017 10:58 am
Buenos días.
Abro este hilo para colgar artículos del hacker español Chema Alonso sobre distintos tópicos de Seguridad Informática.
Qué los disfruten
Abro este hilo para colgar artículos del hacker español Chema Alonso sobre distintos tópicos de Seguridad Informática.
Qué los disfruten
Stassacoeur- Mensajes : 6
Fecha de inscripción : 24/02/2017
Edad : 34
Localización : Zaragoza -
Re: Artículos de "Un informático en el lado del mal" (Blog de Chema Alonso)
por Stassacoeur Mar Feb 28, 2017 11:01 am
"MEA CULPA, PENNY.
Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de una de ellas: La de olvidarnos de cuidar de Penny.
Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN
Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología.
Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.
Durante muchos años nos hemos enrocado en definir a "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.
El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en su quehacer diario y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad... pero para Geeks.
Sheldon se conoce bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar por la WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID, luego sigue con el "usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK, cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle", para terminar con un "actualiza el firmware". Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.
No tiene sentido.
Algo no hemos hecho bien en la industria de la seguridad si para conectarse al Facebook usando la WiFi, tengo que dar un curso de tecnologías a mi madre - algo que seguramente ni disfrutará - cuando todos los terminales móviles vienen con un botón de "conectar". Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo - y que Hugo Teso no esté cerca -.
No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?
Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.
Saludos Malignos!"
Autor: Chema Alonso
URL del artículo: elladodelmal.com/2013/06/mea-culpa-penny.html
Fecha:SÁBADO, JUNIO 15, 2013
Algo falla en la industria de la seguridad informática. Si no fuera así no habría tantas intrusiones en sistemas ni tendríamos tantos incidentes de robo de identidad en Internet. Algo falla y tenemos que arreglarlo los que trabajamos en esta industria. En mi fuero interno llevo tiempo dándole vueltas a porqué pasa esto, y de todas las casusas enumerables, hoy os quiero hablar de una de ellas: La de olvidarnos de cuidar de Penny.
Figura 1: Penny no se conecta a Internet porque no tiene configurada su VPN
Los servicios de Internet han enamorado a los usuarios, y casi todo el mundo participa activamente en ellos desde una miriada de gadgets alucinantes. Si hasta mi mamá me envía mensajes por el Facebook eso dice muy a las claras que ellos que han conseguido que los usuarios disfruten con la tecnología.
Ellos lo hicieron bien, pero nosotros en la industria de la seguridad no hemos sabido acertar en la manera de proveer las medidas de protección. Sí, tal vez podríamos decir que es culpa de los servicios de Internet, que deberían preocuparse más de la seguridad, pero muchas de las medidas de seguridad tal y como las entendemos hoy empeoran la experiencia de usuario o exigen un cierto nivel técnico para entenderlas. Es una batalla que no deberíamos haber luchado, y que hemos perdido.
Durante muchos años nos hemos enrocado en definir a "Seguridad" como una archi-enemiga de "Usabilidad" y hemos zanjado las conversaciones al estilo Yoda con los responsables de las empresas con un sencillo: "Debes buscar el equilibrio entre Usabilidad y Seguridad"... pero todos han caído en el reverso tenebroso de la poderosa Usabilidad, pensando en sus usuarios.
El usuario está loco, bebe alcohol los fines de semana y trabaja de camarera. El usuario es una temeraria como Penny de The Big Bang Theory. Y está en Internet. Es un cordero en un mundo de lobos. Pero es parte de las tecnologías de hoy en día. Maneja sistemas informáticos en su quehacer diario y está en riesgo constante. ¿Y nosotros no hemos hecho nada? Sí, le hemos dado sistemas de seguridad... pero para Geeks.
Sheldon se conoce bien las tecnologías de seguridad, pero intenta explicarle tú a Penny todo lo que tiene que hacer para simplemente navegar por la WiFi de su casa de forma segura sin que la graben desnuda. Empieza por decir eso de cambia el SSID, luego sigue con el "usa una VPN, desactiva WPS, cambia el cifrado a WPA2-PSK, cuidado con los Rogue APs si tu equipo es OSX y no valida el BSSID y cuidado con las alertas de certificados en ataques Man in The Middle", para terminar con un "actualiza el firmware". Es virtualmente imposible hacer entender a Penny todas las medidas de seguridad que hay que tomar para simplemente navegar por su WiFi de forma segura y que sea capaz de aplicarlas. Si no lo crees, intenta explicárselo a un familiar tuyo.
No tiene sentido.
Algo no hemos hecho bien en la industria de la seguridad si para conectarse al Facebook usando la WiFi, tengo que dar un curso de tecnologías a mi madre - algo que seguramente ni disfrutará - cuando todos los terminales móviles vienen con un botón de "conectar". Nos hemos olvidado de Penny en todo este proceso y debemos recuperarla. Tenemos que cambiar la forma en que funcionan muchas de las herramientas que implementan medidas de seguridad para que sean lo más transparentes posibles, porque yo no quiero saber cómo funcionan todos los controles de seguridad cuando viajo en un avión. Solo quiero que funcionen, mientras que yo estoy cómodo - y que Hugo Teso no esté cerca -.
No quiero tener que configurar los valores del ABS o el ESP cuando me subo en el maligno-móvil. Quiero que funcionen de la forma más segura posible. ¿Por qué asegurar la red WiFi no viene de serie? ¿Por qué tiene que saber Penny qué es un BSSID, el WPS, la diferencia entre WEP y WPA2-PSK, o qué implicaciones tiene elegir L2TP, PPTP o SSTP como sistema de eso que tampoco sabe qué es llamado VPN? Se preguntará una y mil veces qué es mejor, si tener un antivirus, un antimalware, un firewall, o un antispyware, para no pillar eso que le han dicho que es muy malo que se llama botnet o rootkit o exploit de nosequé, que le salió en la pantalla de su equipo cuando iba a arrancar....¿un plugin?
Tal vez nosotros estemos acostumbrados a toda esta terminología, pero Penny no, y tenemos que ver de qué forma es posible ayudar a que Penny a que esté más segura en Internet sin que tenga que hacerse un master de seguridad y deje de ser un cordero más que se merienden los lobos.
Saludos Malignos!"
Autor: Chema Alonso
URL del artículo: elladodelmal.com/2013/06/mea-culpa-penny.html
Fecha:SÁBADO, JUNIO 15, 2013
Stassacoeur- Mensajes : 6
Fecha de inscripción : 24/02/2017
Edad : 34
Localización : Zaragoza -
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.|
|
|