Es cierto lo que dices... por un momento olvide el mundo en el que vivimos. :)<br><br>A lo que me refería también, no es a sacar un articulo de prensa con el incidente, sino a comentarlo en un ámbito técnico como es el encuentro anual de LACNIC, que si bien es público, creo que quienes asistimos tenemos suficiente fondo y formación en estos temas para no inferir una desconfiansa en quien lo presenta... de todas formas, es cierto que existe de esos caso y bueno, de esos casos no se hablará entonces.<br>
<br>El riesgo que corremos creo que se puede ejemplificar con este artículo que se publicó en algún lugar y al que trato de dar "anonimato":<br><br>... "Hace unos meses los servicios de mail de XXX, YYY y ZZZ sufrieron un ataque de phishing<br>
a través del cual fueron robados unos XXXXXXX usuarios y contraseñas. La información robada<br>fue publicada en internet, lo que provocó el acceso a las contraseñas más usadas:<br> 1. 123456<br> 2. 123456789<br> 3. alejandra<br>
etc...<br>¿Será que los usuarios de servicios de email públicos no utilizan contraseñas fuertes? ¿O será<br>que los incautos que pueden ser víctimas de un ataque de phishing son los mismos que<br>tampoco usan buenas contraseñas?<br>
De todas formas, los sistemas actualmente NO deberían permitir más el uso de contraseñas<br>"blandas".<br>Una buena contraseña debería como mínimo tener:<br>- 8 caracteres de largo<br>- Letras mayúsculas y minúsculas<br>
- y números o caracteres especiales<br>Ejemplo: los7En4nitos" ...<br><br>Me pregunto como podemos relacionar el hecho de tener contraseñas "fuertes" con que no nos las "roben" mediante phishing...<br>
<br>Este artículo, a mi entender esta equivocado y genera un concepto erroneo de los riesgos a que se expone el usuario común. Ademas le crea la falsa seguridad y confianza en que con una contraseña de 10Km de longitud, mayusculas, minusculas, caracteres numericos y alfabéticos y cambiandola 3 veces al año, estará a salvo de un phishing que no tiene idea de lo que es, pero que suena a "pesca".<br>
Eso sin mencionar que para acordarse de ella, es muy probable que la tenga anotada en un papelito que guarda en el bolsillo derecho de su billetera. :)<br><br>Creo que un buen tema para debatir y presentar (estoy trabajando en eso, a ver si elaboro algo) es la trasmisión de las básicas de la seguridad informática y de telecomunicaciones para el "usuario común".<br>
<br>Fraternos saludos,<br>Nico.<br><br><br><div class="gmail_quote">2009/12/18 Andres Tarallo <span dir="ltr"><<a href="mailto:atarallo@acm.org">atarallo@acm.org</a>></span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Nicolas:<br><br>Depende a que se dedica la empresa/organizacion. En algunas organizaciones (pienso en inst. financieras) un incidente de seguridad puede afectar valores como la "confianza" o la reputacion de la misma. Y esto es independiente de que tan profesionalmente se manejo el incidente o el alcance del mismo. <br>
<br>El planteo del anonimato es de recibo. Muchos tenemos firmados acuerdos de confidencialidad con nuestros empleadores y clientes, a tener en cuenta. <br><br>Andrés<br><br><div class="gmail_quote">El 18 de diciembre de 2009 12:02, Nicolas Antoniello <span dir="ltr"><<a href="mailto:nantoniello@gmail.com" target="_blank">nantoniello@gmail.com</a>></span> escribió:<div>
<div></div><div class="h5"><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Estimados,<br><br>La pregunta creo, es ¿por qué el anonimato?<br><br>Quien crea que por quedar en evidencia el hecho de que tuvo un problema de seguridad es "mas malo" como prefesional o como empresa que otro que no lo tuvo, ese, es quien tiene el principal problema de seguridad. :)<br>
<br>Por lo tanto, no veo por que el anonimato. De hecho, de eso se trata la solucion proactiva, al poner en evidencia algo antes de que sea demasiado tarde.<br>Acaso no creamos CERTs o CSIRTs para estos propositos. Acaso no invertimos dinero en auditorias para resolver estos problemas de seguridad.<br>
<br>Cuando el problema con las publicaciones BGP de Google (por ejemplo) evidenció un problema de seguridad en el modo de proceder en lo referente a los prefijos BGP que se aceptan de los peers, acaso eso debio permanecer en el anonimato, o fue mas productiva la discusión posterior?<br>
Acaso nadie se dió cuenta de que la solución adoptada en ese caso atenta contra el número de publicaciones BGP en la tabla global (... y luego nos quejamos de las políticas de IPv6...).<br>Creo que efectivamente el que Google y los "demas" comentaran la solucion y el problema fue más productivo que el anonimato... que por ciero en ese caso, era imposible de guardar.<br>
<br>Creo que deberíamos tratar de que las "gerencias" vean ese punto de vista.<br><br>Saludos,<br>Nicolas.<br><br><br><br><div class="gmail_quote">2009/12/18 Carozo, Eduardo <span dir="ltr"><<a href="mailto:ecarozo@antel.com.uy" target="_blank">ecarozo@antel.com.uy</a>></span><div>
<div></div><div><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Concuerdo contigo Ariel que es complicado "anonimizar" el caso, pero entre todos nosotros seguramente podamos encontrar tres o cuatro casos "viejos" de dos años o más que con algunos retoques de creatividad y modernidad, sirvan para generar un buen intercambio.<br>
Es decir, el caso propuesto puede ser en algunos aspectos un poco diferente al real..., inclusive si existe gente interesada podríamos armar un grupito de trabajo para crear los casos entre varios.<br>
Slds.<br>
Eduardo.<br>
<br>
<br>
-----Mensaje original-----<br>
De: <a href="mailto:seguridad-bounces@lacnic.net" target="_blank">seguridad-bounces@lacnic.net</a> [mailto:<a href="mailto:seguridad-bounces@lacnic.net" target="_blank">seguridad-bounces@lacnic.net</a>] En nombre de ariel sabiguero yawelak<br>
Enviado el: viernes, 18 de diciembre de 2009 9:34<br>
Para: <a href="mailto:seguridad@lacnic.net" target="_blank">seguridad@lacnic.net</a><br>
<div><div></div><div>Asunto: Re: [LACNIC/Seguridad] Temas de interes y brainstorming general para LACNIC XIII<br>
<br>
Muy interesante propuesta.... pero ¿cómo discutir incidentes de seguridad cuándo la gerencia no autoriza a discutirlos y uno está bajo un acuerdo de confidencialidad?<br>
<br>
El "anonimizar" dichos incidentes es algo muy difícil, especialmente, cuando no hemos trabajado en más de 3 o 4 proyectos grandes en los últimos 12 meses y es muy simple darse cuenta el origen del problema de seguridad....<br>
<br>
salute<br>
<br>
ariel<br>
<br>
El 18/12/09 02:07, Carozo, Eduardo escribió:<br>
> Hola amigos:<br>
> Propongo que exista una sesion de casos "vividos" en los cuales se expongan los incidentes en forma anonima, las consecuencias y las acciones de mitigacion asi como las medidas para que el evento o incidente no se repita. Pienso que colectando tres casos de la region, tendriamos un monton de material para discutir y aprender.<br>
> Saludos.<br>
> Eduardo.<br>
><br>
> ----- Mensaje original -----<br>
> De: <a href="mailto:seguridad-bounces@lacnic.net" target="_blank">seguridad-bounces@lacnic.net</a> <<a href="mailto:seguridad-bounces@lacnic.net" target="_blank">seguridad-bounces@lacnic.net</a>><br>
> Para: Lista para discusión de seguridad en redes y sistemas<br>
> informaticos de la región <<a href="mailto:seguridad@lacnic.net" target="_blank">seguridad@lacnic.net</a>><br>
> Enviado: Fri Dec 18 01:33:52 2009<br>
> Asunto: Re: [LACNIC/Seguridad] Temas de interes y brainstorming<br></div></div></blockquote></div></div></div></blockquote></div></div></div>
<br>_______________________________________________<br>
Seguridad mailing list<br>
<a href="mailto:Seguridad@lacnic.net">Seguridad@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/seguridad" target="_blank">https://mail.lacnic.net/mailman/listinfo/seguridad</a><br>
<br></blockquote></div><br>