Durante años he ido a muchos saraos, a muchos congresos, congresillos, jornadas o como les queramos o podamos llamar, donde nos reunimos para hablar de seguridad y tomar un café. Comerciales o no comerciales, mejores o peores, generalistas o muy específicos… en todos ellos, en todos, siempre he aprendido algo (bueno o malo). Y un “algo” que siempre me ha llamado mucho la atención son las cosas que, presentación tras presentación, mesa redonda tras mesa redonda, café tras café… se van repitiendo de unos a otros: los típicos tópicos de la seguridad; cosas que siempre aparecen por mucho que intentemos evitarlas: desde simples errores hasta ejemplos que alguien puso hace veinte años y hoy en día seguimos repitiendo como loros sin aportar nada nuevo sobre los mismos, pasando por frases que siempre acaban diciéndose, con o sin razón, pero siempre…
Aquí he recopilado algunas de las cosas que oigo y vuelvo a oir y cada vez que las dicen anoto mentalmente “tengo que escribir un post”, aunque luego no lo haga (hasta hoy). Vamos, seguro que todos hemos oído muchos de estos e incluso hasta los hemos soltado en alguna ocasión -ojo, yo el primero-; y seguro que seguiremos haciéndolo, no digais que no :) Pongo algunos típicos tópicos en este post y espero colaboraciones para recopilar más; si conseguimos suficientes, haremos el security bingo para llevarlo a todos los congresos :)
Encriptar y desencriptar
La primera en la frente. Cada vez que lo oigo se me llevan los demonios, porque aparte de repetido es un error. A ver, que aquí nadie desencripta a nada ni a nadie, ni lo mete en criptas, ni nada parecido… en todo caso lo CIFRA, lo CIFRA y lo DESCIFRA mediante algoritmos de CIFRADO. Encriptar o desencriptar no son verbos en castellano (ahí está la RAE) y si lo fueran seguramente harían referencia al rito judeocristiano de enterrar a muertos en criptas, no a proteger los datos mediante algoritmos “de encriptación“. Dejemos de encriptar y desencriptar la información y comencemos a cifrarla, porque si la enterramos en una cripta pero no la ciframos cualquiera con acceso físico la podrá leer :)
La seguridad es una cadena
Ya, que sí, que ya lo sabemos, que se rompe si lo hace su eslabón más débil. El ejemplo es muy bueno, muy gráfico… o lo era en los 90, pero ahora aunque sigue siendo cierto está un poco visto. Si cada vez que he leído o me han dicho que la seguridad es como una cadena me hubieran dado un eslabón, habría rodeado varias veces la Tierra :) Propongo que busquemos símiles alternativos: la seguridad es como un rosario, la seguridad es como una pulsera… o la seguridad es como una caja de bombones. Venga, un poco de imaginación…
La seguridad total no existe
Sí que existe: estoy totalmente seguro de que me he cansado de que me digan esto. ¡Qué ya lo sé! Que Gene Spafford ya lo dijo hace muchos años (su cita no puede faltar en el pogüerpoin, con lo del bunker y los guardias armados), pero insistir e insistir no va a hacer que seamos más seguros. De nuevo, se acepta cualquier alternativa que diga lo mismo pero de forma diferente y si no incluye la palabra holística, mejor aún (por cierto, ¿alguien se ha parado a buscar la definición de holismo en la RAE?).
El arte de la guerra
No hay presentación que se precie sin una buena cita del libro de Sun Tzu; la de decepción (“All warfare is based on deception”) es de mis preferidas y siempre cae, pero últimamente, con todo eso de la innovación y demás, hemos empezado a detectar otras frasecillas del libro en cuestión. El problema no es usarlas (es un libro excelente y a pesar de los años marca pautas clarísimas en seguridad), sino meterlas con calzador en nuestra presentación: en una charla sobre los forlayos alineados en la nube con el negocio holístico, por poner un ejemplo, es muy complicado referenciar a Sun Tzu de forma natural :)
Las certificaciones
Todos sabemos que una buena presentación tiene que incluir en portada o en contraportada (aquí mola más, porque al acabar la charla están a la vista todo el rato, durante la parte de ruegos y preguntas) tooooodas las certificaciones del ponente. Cuanto más larga sea la lista, más siglas tenga y más anglosajona parezca, más mejor: CISA, CISM, SANS*, Lead Auditor… vamos, que si no caben en una transparencia, reduzco el tamaño de letra pero pongo ahí como sea mi curriculum. ¿No bastaría con un nombre, un cargo y una organización? Ya sé que si estás dando una charla en un congreso o eres bueno o tienes pasta: demuestra lo primero, no lo segundo :)
Ejemplos de consultores
No hay orador que se precie que no ponga un ejemplo de consultores: la típica anecdotilla de cuando era consultor/auditor/responsable/nosequé de una gran empresa -americana, of course– en Villabotijos de Abajo. Esto no está mal, siempre aporta algo nuevo, pero hay un ejemplo de consultores que destaca por encima de los demás: el del password apuntado en un postit en el monitor, debajo del teclado o similar. Vamos, que parece ya una leyenda urbana o un hoax: todo el mundo ha visto esto (o se lo ha dicho alguien que lo ha visto, como lo de la mujer de la curva). Que sí, estamos de acuerdo, todos lo hemos visto… No contemos esta anécdota como si fuera una experiencia que sólo nosotros hemos vivido, porque es como decir “No os lo vais a creer: el otro día iba por la calle… ¡y crucé!” Puede sorprender a nuestras madres, pero no a nuestros colegas de profesión :)
Venga, a ver qué mas típicos tópicos vamos sacando… en serio, si conseguimos una buena recopilación, me comprometo a hacer el security bingo y colgarlo aquí ;)
Uff. Esto da para veinte artículos sobre el tema. Coincido con los que comentas, lo de desencriptar al final lo aceptarán, ya verás, porque está mucho más extendido que descifrar.
Uno gracioso sobre esto y que me pasa a menudo es que digan Nexus en vez de Nessus. Se ve que el mundo anillo no lo ha leído mucha gente.
Algunos otros casos graciosos los recogí en este artículo ‘Luchando contra el lenguaje’ http://www.sevillasecandbeer.org/archives/530
Lo de holítico suena a coña, desde luego. Yo lo que no puedo soportar es ‘seguridad integral’, como comento en este artículo sobre ‘seguridad multicereal’ http://www.sevillasecandbeer.org/archives/1170. Lo peor de es que me lo intentan colar en todas las ofertas la gente de marketing :).
En cualquier caso, es normal que un ámbito tan oscuro como la seguridad esté lleno de tópicos. Y de personajes tales como:
* El que se cree que por estar en seguridad sabes de cualquier tecnología.
* El que se cree que te puedes colar en cualquier sitio.
* El que hace bromas continuas, sin gracia, sobre seguridad (es casi tan popular como el que hace bromas porque no te gusta el queso… y a mí no me gusta el queso).
* Y el peor, el que vacila sobre que para él la seguridad es lo más importante pero sólo dice tópicos y no entiende de qué habla.
Lo peor de esta situación es que nos afecta ya que, en estos tiempos, si no se entiende tu trabajo…
El tópico de que “hace falta ser un superhacker” para explotar una vulnerabilidad (y en consecuencia no invertir ni medio gramo de esfuerzo en controles)…
Y, otro gran clásico, el tópico de que el técnico no sabe de estrategia, pero el comercial/financiero sí…
chmeee, lo de Nexus en vez de Nessus o lo de Snort para analizar vulnerabilidades también lo he vivido alguna que otra vez :) En relación a los personajes, también de acuerdo, eso da para otro post (me la apunto!)
Gracias por los enlaces holísticos e integrales }:)
Saludetes
T
Román, completamente de acuerdo en ambos… apunto para el security bingo el “eso sólo pasa en las pelis” y algún derivado…
El de los técnicos que sólo saben de la parte técnica y el resto del mundo que sabe de todo (incluida la parte técnica) también me hace mucha gracia: vamos, que por saber técnicamente lo que estás diciendo ya no sabes nada del resto :) También me lo he encontrado, especialmente acompañados de comentarios semidespectivos del tipo “bueno, va, ese es el detalle en el que no vamos a entrar, ya se ocuparán los técnicos” :)
Saludos
T
Otros topicos que aburren:
La seguridad no es un problema tecnico es un problema organizativo.
La funcion del area de seguridad no debe de depender de ninguna area tecnica sino de gerencia.
segurin, voy anotando… el security bingo echa humo!!! :)
Saludos y gracias
Toni
Estupendo post.
¿ que te parecen estos?
De lo profesionales
“la seguridad debe estar alineada con el negocio”
o una aún mejor de las empresas de servicios
” esta herramienta se integra facilmente”
” es la solución definitiva que el mercado venia demandando”
O sobre los tipicos chistes y comenatrios de algunos sobre los profesionales de la seguridad
” este tio de seguriad gris, oscuro y friky que siempre ve riesgos por todas partes”
Hola Guillermo!!
El de la alineación con el negocio no quería decirlo!!!! Creo que merece un post por sí mismo ;)
Me apunto todos… El próximo sarao donde nos veamos iremos con el security bingo… ;)
Saludos!
T
Otros tópicos comunes son los relacionados con las herramientas de seguridad.
Por ejemplo, el comercial del fabricante que te dice que su herramienta es mucho mejor que las otras que no valen para nada… Pero, o no da detalles o los detalles que da son muy extremos y circunstanciales. A los tres días el comercial está en la competencia usando los mismos argumentos contra su producto anterior. Y si pueden, te sueltan ‘de nueva generación’ de vez en cuando…
Luego están las herramientas que ‘funcionan solas’. Sólo hay que enchufarlas a la red y ya detectan y te protegen solas sin necesidad de hacer nada.
Y está el responsable de informática que pregunta “¿y no hay una herramienta que haga eso?” “¿No podemos poner algo en medio que detecte y no haga falta cambiar lo que tengo aquí dentro?”. El tópico de pensar que haya una herramienta que sustituye al trabajo bien hecho es lo mismo que pensar que se puede adelgazar sólo tomando biomanán.
Y por último está el auditor que se piensa que puede hacer una auditoría de seguridad con varias herramientas sin necesidad de entender nada. “Eso le lanzas un Nexus y…”.
Yo estoy hasta el copete de “Alice” Y “Bob” xDDD
Os juro que estoy pasando de mis mejores momentos profesionales leyendo este post :DDDDDDDD
Entre que me estoy descojonando sin parar y que me siento identificado con todos estos comentarios…
pues a mi desde que enchufo una sesión de terminal siempre sale uno que me dice: “¿que ves?¿la mujer de rojo?”
Ains Matrix Matrix….
Hola chmeee,
Me apunto los típicos tópicos sobre herramientas para el bingo, sobre todo las de nueva generación y las que “funcionan solas”, y también el ejemplo del biomanán que me ha gustado mucho… eso sí, ¿has llegado a oir esto en un congreso o sarao similar? Porque es comercial 100%, ya solo les faltaría decir “a la salida pueden llevarse un pack de demo y en dos semanas me paso por su empresa” :)
Saludos
T
Hecky, yo también… me la apunto y de hecho creo que Alice y Bob han publicado sus claves privadas ya y pasan de “encriptar” nada más }:)
Román, de eso se trata, que un poco de humor seguro nunca viene mal :)
hi, Matrix y el cine en general ha hecho mucho daño… vamos, que cuando dices que en tu trabajo no hay ordenadores como los de las pelis, con muchas consolas y muchos colores, y que más bien es blanco sobre negro, la gente se queda extrañada… tanto como cuando te preguntan cómo se hace nosequé en una herramienta que no has tocado en la vida (ofimática casi siempre) y al decirles que no lo sabes te dicen “¿y tú eres informático?” ;)
Después de leer esto y reirme un rato he de decir…..
¡¡Por vuestra culpa ahora voy a decir Nexus!!
Me lo habéis pegado!!!
Jodo Toni, cómo habéis puesto el listón! De ahora en adelante me va a tocar andar con ojo y revisar mis charlas 30 veces antes de darla si veo que estáis alguno de vosotros entre los asistentes! Horas de chistes en powerpoint tiradas a la basura!
Yo añadiría al amigo MS08-067 que en tantas demos y pruebas de concepto se ha lucido. Es una vulnerabilidad que “genera sinergia” y “aporta valor añadido” en toda presentación ;DD
Madrikeka, pues yo voy a decir encriptar :)
Buenas Carlos
Cuando estés en una charla y veas a alguien con un papel en el que tacha casillas y te mira sonriendo, ten por seguro que será el Security Bingo y ponte nervioso :)
Saludetes
T
José Luis, el amigo conficker que tantas y tantas noches de alegrías nos ha dado merece un post por sí solo :) Me lo apunto para el Bingo, pero a este paso tendré que hacer el bingo comercial y el no comercial…
Saludos
T
Voy a cambiar las escenas de Matrix por escenas de Los Simpsons y utilizaré palabras y frases completas de Homer, que están igual de trilladas pero son más graciosas :P