[LACNIC/Seguridad] Temas de interes y brainstorming general para LACNIC XIII

Nicolas Antoniello nantoniello en gmail.com
Vie Dic 18 15:00:59 BRST 2009 

Es cierto lo que dices... por un momento olvide el mundo en el que
vivimos.   :)

A lo que me refería también, no es a sacar un articulo de prensa con el
incidente, sino a comentarlo en un ámbito técnico como es el encuentro anual
de LACNIC, que si bien es público, creo que quienes asistimos tenemos
suficiente fondo y formación en estos temas para no inferir una desconfiansa
en quien lo presenta... de todas formas, es cierto que existe de esos caso y
bueno, de esos casos no se hablará entonces.

El riesgo que corremos creo que se puede ejemplificar con este artículo que
se publicó en algún lugar y al que trato de dar "anonimato":

... "Hace unos meses los servicios de mail de XXX, YYY y ZZZ sufrieron un
ataque de phishing
a través del cual fueron robados unos XXXXXXX usuarios y contraseñas. La
información robada
fue publicada en internet, lo que provocó el acceso a las contraseñas más
usadas:
 1. 123456
 2. 123456789
 3. alejandra
     etc...
¿Será que los usuarios de servicios de email públicos no utilizan
contraseñas fuertes? ¿O será
que los incautos que pueden ser víctimas de un ataque de phishing son los
mismos que
tampoco usan buenas contraseñas?
De todas formas, los sistemas actualmente NO deberían permitir más el uso de
contraseñas
"blandas".
Una buena contraseña debería como mínimo tener:
- 8 caracteres de largo
- Letras mayúsculas y minúsculas
- y números o caracteres especiales
Ejemplo: los7En4nitos" ...

Me pregunto como podemos relacionar el hecho de tener contraseñas "fuertes"
con que no nos las "roben" mediante phishing...

Este artículo, a mi entender esta equivocado y genera un concepto erroneo de
los riesgos a que se expone el usuario común. Ademas le crea la falsa
seguridad y confianza en que con una contraseña de 10Km de longitud,
mayusculas, minusculas, caracteres numericos y alfabéticos y cambiandola 3
veces al año, estará a salvo de un phishing que no tiene idea de lo que es,
pero que suena a "pesca".
Eso sin mencionar que para acordarse de ella, es muy probable que la tenga
anotada en un papelito que guarda en el bolsillo derecho de su billetera.
:)

Creo que un buen tema para debatir y presentar (estoy trabajando en eso, a
ver si elaboro algo) es la trasmisión de las básicas de la seguridad
informática y de telecomunicaciones para el "usuario común".

Fraternos saludos,
Nico.


2009/12/18 Andres Tarallo <atarallo en acm.org>

> Nicolas:
>
> Depende a que se dedica la empresa/organizacion. En algunas organizaciones
> (pienso en inst. financieras) un incidente de seguridad puede afectar
> valores como la "confianza" o la reputacion de la misma. Y esto es
> independiente de que tan profesionalmente se manejo el incidente o el
> alcance del mismo.
>
> El planteo del anonimato es de recibo. Muchos tenemos firmados acuerdos de
> confidencialidad con nuestros empleadores y clientes, a tener en cuenta.
>
> Andrés
>
> El 18 de diciembre de 2009 12:02, Nicolas Antoniello <
> nantoniello en gmail.com> escribió:
>
> Estimados,
>>
>> La pregunta creo, es ¿por qué el anonimato?
>>
>> Quien crea que por quedar en evidencia el hecho de que tuvo un problema de
>> seguridad es "mas malo" como prefesional o como empresa que otro que no lo
>> tuvo, ese, es quien tiene el principal problema de seguridad.  :)
>>
>> Por lo tanto, no veo por que el anonimato. De hecho, de eso se trata la
>> solucion proactiva, al poner en evidencia algo antes de que sea demasiado
>> tarde.
>> Acaso no creamos CERTs o CSIRTs para estos propositos. Acaso no invertimos
>> dinero en auditorias para resolver estos problemas de seguridad.
>>
>> Cuando el problema con las publicaciones BGP de Google (por ejemplo)
>> evidenció un problema de seguridad en el modo de proceder en lo referente a
>> los prefijos BGP que se aceptan de los peers, acaso eso debio permanecer en
>> el anonimato, o fue mas productiva la discusión posterior?
>> Acaso nadie se dió cuenta de que la solución adoptada en ese caso atenta
>> contra el número de publicaciones BGP en la tabla global (... y luego nos
>> quejamos de las políticas de IPv6...).
>> Creo que efectivamente el que Google y los "demas" comentaran la solucion
>> y el problema fue más productivo que el anonimato... que por ciero en ese
>> caso, era imposible de guardar.
>>
>> Creo que deberíamos tratar de que las "gerencias" vean ese punto de vista.
>>
>> Saludos,
>> Nicolas.
>>
>>
>>
>> 2009/12/18 Carozo, Eduardo <ecarozo en antel.com.uy>
>>
>> Concuerdo contigo Ariel que es complicado "anonimizar" el caso, pero entre
>>> todos nosotros seguramente podamos encontrar tres o cuatro casos "viejos" de
>>> dos años o más que con algunos retoques de creatividad y modernidad, sirvan
>>> para generar un buen intercambio.
>>> Es decir, el caso propuesto puede ser en algunos aspectos un poco
>>> diferente al real..., inclusive si existe gente interesada podríamos armar
>>> un grupito de trabajo para crear los casos entre varios.
>>> Slds.
>>> Eduardo.
>>>
>>>
>>> -----Mensaje original-----
>>> De: seguridad-bounces en lacnic.net [mailto:seguridad-bounces en lacnic.net]
>>> En nombre de ariel sabiguero yawelak
>>> Enviado el: viernes, 18 de diciembre de 2009 9:34
>>> Para: seguridad en lacnic.net
>>> Asunto: Re: [LACNIC/Seguridad] Temas de interes y brainstorming general
>>> para LACNIC XIII
>>>
>>> Muy interesante propuesta.... pero ¿cómo discutir incidentes de seguridad
>>> cuándo la gerencia no autoriza a discutirlos y uno está bajo un acuerdo de
>>> confidencialidad?
>>>
>>> El "anonimizar" dichos incidentes es algo muy difícil, especialmente,
>>> cuando no hemos trabajado en más de 3 o 4 proyectos grandes en los últimos
>>> 12 meses y es muy simple darse cuenta el origen del problema de
>>> seguridad....
>>>
>>> salute
>>>
>>> ariel
>>>
>>> El 18/12/09 02:07, Carozo, Eduardo escribió:
>>> > Hola amigos:
>>> > Propongo que exista una sesion de casos "vividos" en los cuales se
>>> expongan los incidentes en forma anonima, las consecuencias y las acciones
>>> de mitigacion asi como las medidas para que el evento o incidente no se
>>> repita. Pienso que colectando tres casos de la region, tendriamos un monton
>>> de material para discutir y aprender.
>>> > Saludos.
>>> > Eduardo.
>>> >
>>> > ----- Mensaje original -----
>>> > De: seguridad-bounces en lacnic.net <seguridad-bounces en lacnic.net>
>>> > Para: Lista para discusión de seguridad en redes y sistemas
>>> > informaticos de la región <seguridad en lacnic.net>
>>> > Enviado: Fri Dec 18 01:33:52 2009
>>> > Asunto: Re: [LACNIC/Seguridad] Temas de interes y brainstorming
>>>
>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20091218/b7d251e8/attachment.html>

Más información sobre la lista de distribución Seguridad