Lo primero es lo primero, bienvenidos 1 añito después a todo es seguro (all is sec, como dicen mis colegas), espero que al igual que yo estéis descansados y con ganas de leer cositas interesantes, desde aquí trataré de aportar mi granito de arena.
Comenzamos esta nueva temporada con un libro, y no va a ser el único ya que inauguro una nueva categoría, “Libros Seguros”, donde os contaré un poquito lo que aporta la literatura de la Seguridad Informática (de ayer y hoy) y qué libros son “must read” y cuales no tanto.
Beautiful Security no es un libro para hackers, ni siquiera puede serlo para consultores de seguridad o informáticos. Es un libro para quien puede estar dudando sobre si trabajar en Seguridad de la Información (¿merece la pena, no la merece?, ¿me dedico a otras áreas?) o para aquel que trabajando dentro de Seguridad (como consultor, auditor, hacker, comercial, etc.) se encuentra desencantado y siente que su trabajo es duro, agotador, que tapa un agujero y le salen 10 más, que discute y discute con otras áreas tratando de concienciar en vano. Es un libro bonito, que ayudará a ver a través de otros ojos la belleza de esta profesión. Un must read.
El libro se divide en 16 capítulos, el orden no tiene mucho sentido ya que son independientes, cada uno está escrito por un experto distinto en seguridad que va desde los creadores de PGP o L0pthcrack hasta profesores de Harvard y cada uno aborda un tema distinto explicando brevemente el estado del arte, qué no funciona, qué habría que mejorar y hacia donde avanza la Seguridad en ese campo, casi todos los capítulos aportan alguna idea refrescante donde muchas veces diréis, ¡ey!, esto no se me había ocurrido:
1.- Psychological Security Traps: El nombre es muy descriptivo, el creador de L0pthcrack cuenta como se le ocurrió la idea, cómo se revolucionó el gobierno americano y cómo pasó a estar sentado con los principales responsables de seguridad del estado tras hacer esta herramienta.
2.-
Wireless Networking: Fertile Ground for Social Engineering: Probablemente estéis aburridos de seguridad wifi, en este capítulo se puede ver como un problema de seguridad inalámbrica originó el mayor robo de tarjetas de crédito de la historia (en un principio 30 millones, hoy se estima que fueron más de 100),
el caso de TJX.
3.- Beautifull Security Metrics: Un soplo de aire fresco en el siempre complicado mundo de las métricas de seguridad, una analogía con la sanidad nos muestra que no somos los únicos con ese problema y como ellos lo resolvieron.
4.- The underground economy of security breaches: Aquí veremos con cifras y letras lo que mueve la industria del mal, la complejidad de las botnets, etc.
5.- Beautiful Trade: Rethinking E-Commerce Security: Análisis de los sistemas de comercio electrónico actuales y las operaciones que implica comprar por internet, propone un sistema de comercio electrónico alternativo.
6.- Securing Online Advertising: Rustlers and Sheriffs in the New Wild West. ¿Qué ocurre en ese mundo que sustenta Internet, llamado publicidad?, ¿podemos fiarnos?, ¿pueden infectarnos?, ¿es legal la publicidad engañosa? Aquí responderemos todas estas cuestiones.
7.- The Evolution of PGP's: Web Of Trust. El creador de PGP nos cuenta como funciona y qué aspectos siguen siendo problemáticos. Por ejemplo, la caducidad de las firma de una clave.
8.-
Open Source Honeyclient: Proactive Detection of Client-side exploits. El creador del primer honeyclient cuenta como se le ocurrió la idea y cómo utilizó este software junto con
tripware para evaluar la seguridad de visitar una página web.
9.- Tomorrow's Security Cogs and Levers: Este capítulo aborda la seguridad en la nube y los webservices. Quizás uno de los más flojos del libro.
10.- Security by Design: Todos sabemos que abordar la seguridad en las fases tempranas de un proyecto supone un importante ahorro con respecto a futuros cambios y vulnerabilidades.
11.- Forcing Firms to Focus: Is Secure Software in Your Future. ¡Un sistema debe ser seguro igual que una hamburguesa debe estar caliente! Esa frase creo que explica muchas cosas, aunque aquí viene otra de impacto: “Los mejores desarrolladores del mundo crean código vulnerable” Este capítulo es una continuación del anterior, se muestra el caso de una empresa de desarrollo (de nombre ficticio ACME) que realmente incorporó este atributo y de cómo ahorró tiempo y dinero aumentando la calidad de sus productos.
12.- Oh No, Here Come the Infosecurity Lawyers. Los abogados junto con la alta dirección son los mejores amigos de un experto en Seguridad, en este capítulo muestra leyes americanas, si las sustituimos por las españolas (o las que os apliquen) veremos como obtener un fuerte respaldo a nuestros requisitos.
13.- Beautifull Log Handling. El sistema de logs puede ser un auténtico problema, crear logs que proporcionen datos importantes, que sean válidos, que no den demasiada información ni tampoco eliminen la necesaria puede ser un quebradero de cabeza. La falta de estándares al respecto es un verdadero problema, pero incluso con el se pueden realizar análisis forenses con éxito.
14.- Incident Detection: Finding the other 68%. Este capítulo no me convenció mucho, asume que solo el 32% de las amenazas y ataques son detectados por nuestros antivirus, IDS, etc. y da ciertas soluciones para aumentar ese ratio. Nada nuevo para los tiempos que corren.
15.- Doing Real Work Without Real Data: Este capítulo presenta el caso de las bases de datos translúcidas, un interesante concepto sobre el que habrá que profundizar. Must read.
16.- Casting Spells: PC Security Theater. Un análisis de las tradicionales soluciones de seguridad y sus fallos, muestra la tendencia actual a unificar sandboxes (virtualización) + chequeo de firma antivirus + análisis de amenaza por inteligencia artificial.
Y con esto cerramos Beautiful Security, 300 páginas para refrescar tu visión de la Seguridad Informática :)
Salu2!