Desenmascara.me

How to verify whether a website is legitimate or not?: desenmascara.me

martes, 22 de marzo de 2011

Consejos para compañías que usan servicios en la nube

Para quien no lo sepa, este artículo de arstechnica resume a la perfección de como la realidad supera a la ficción. Es lo que le ocurrió a una compañía de Seguridad digital, por anunciar que harían una presentación en una importante conferencia de seguridad, de los entresijos y miembros del grupo Anonymous. Esa compañía de seguridad, contratista del gobierno de los EEUU, ya no existe tal y como era. Las lecciones aprendidas sirven para cualquier compañía actual, y en especial a las de seguridad (por eso de: "en casa de herrero cuchillo de palo"). Aunque mi experencia me dice que la tecnología, recursos y políticas existen, pero es cuestión del usuario/admin concienciarse y hacer uso de ellas. 

 (stand vacío en la conferencia RSA 2011)

Lo que el grupo anonymous nos enseño con lo que le hicieron a esta compañía fue:
  • No tengas el correo corporativo en la nube. Por mucho SLA que exista, el servicio de atención al cliente en la India no será efectivo cuando estes en un aprieto.
  • Habilita la autenticación por 2 factores. No es algo infalible, pero se trata de una capa más. Si esta compañía lo hubiera tenido activado, el grupo anonymous solo disponía de uno de los factores.
  • Habilita la restricción por IP para las partes de administración de tus servicios web. Si tus credenciales han sido comprometidas, todavía no podrán acceder al panel de administración de tus servicios.

Estas lecciones están extraidas del artículo Hbgary's Hoglund identifies lessons in Anonymous hack, pero yo añadiría un par mas:
  • Habilita la firma digital por defecto en tu correo corporativo. De esta forma, siempre que te comuniques por correo, la otra parte sabrá que efectivamente eres tú el que lo hace, y no un suplantador. Además cuando necesites cifrar información sensible, se lo estarás facilitando a la otra parte, y de paso, dificultando a quien pueda tener acceso indebido a dicho correo.
  • No reuses contraseñas entre los diferentes servicios. Usa un gestor de contraseñas y olvídate de ellas.
  • Usa contraseñas muy complicadas para servicios de administración sensibles. El consejo del anterior punto, te permitirá hacer esto de forma sencilla.
  • Y por último, no intentes desafiar al grupo anonymous.
La ironía de todo esto, como dice el maligno, es que todos esos consejos es lo que vendían, entre otros servicios, y que cuatro criajos con demasiado tiempo libre les ha enseñado una cruel lección en su terreno.

jueves, 3 de marzo de 2011