GUÍA PRÁCTICA DE SEGURIDAD EN CONFERENCIAS

De -
Las conferencias son entornos ricos en víctimas para obtener información privada y de inteligencia gubernamental.

Al momento de esta publicación nos encontramos en la temporada de conferencias de verano para la industria de seguridad de la información que conduce a las dos conferencias de más alto perfil, Black Hat EE.UU. y DEF CON. Cada año, se manifiestan preocupaciones por la seguridad de los equipos portátiles, teléfonos y otros dispositivos en estas conferencias. Las conferencias por sí mismas tienen un enfoque en la divulgación de vulnerabilidades de sistemas y protocolos, así que hay una gran concentración de personas con los conocimientos y medios para comprometer y controlar tales dispositivos.
En última instancia, incluso si se analizan otras medidas, la sabiduría popular de los expertos de la industria es desconectarse. Presentaremos las obvias ventajas para la seguridad que tiene simplemente "desenchufarse", por lo general acompañadas por el consejo de que obtendrás más de una conferencia sin la distracción.
Sin embargo, esto no es muy realista para aquellos de nosotros que tenemos la responsabilidad de estar en contacto constante. Si bien se espera una reducción en la disponibilidad, dejar una pila de correo electrónico de negocios acumulándose durante cuatro días simplemente no es una opción para muchos. No ser capaz de responder a una crisis o ayudar a los que están en ella, puede no ser para nada factible. Para algunos, la sobrevivencia de los demás recae en su capacidad de respuesta.
Hay buenas y malas noticias para aquellos que deben mantener la seguridad operativa (OPSEC) y la seguridad de las comunicaciones (COMSEC) en una conferencia. Primero, las buenas noticias:
         La capacidad de los hackers para hackear "cualquier cosa, en cualquier lugar" se ha exagerado en gran medida. El conocimiento y uso malicioso de las vulnerabilidades zero day en las conferencias contra los asistentes no es tan común como se dice con frecuencia.
         Es posible levantar con facilidad y de manera espectacular la vara de las capacidades y la financiación que serían necesarias para que un atacante pueda comprometerte.
-          Entendiendo tu exposición, decidiendo cómo se ven tus amenazas realistas y preparándote para trabajar de forma segura antes de salir, puede hacer las cosas mucho más difíciles para un atacante.
         Si estás utilizando sistemas parchados y protocolos seguros se requeriría del conocimiento de una vulnerabilidad desconocida para comprometerte.
-          Utilizar una vulnerabilidad de esta naturaleza en público, a menudo es equivalente a regalársela a cualquier otra persona que esté monitoreando la red.
-          El valor de este conocimiento de la vulnerabilidad y el costo de la pérdida de exclusividad, pueden ser más que tu valor para el atacante.

... Y ahora las malas noticias:
         Las conferencias son entornos ricos en víctimas para obtener información privada y de inteligencia gubernamental.
         Fuera del contexto de una conferencia organizada, las mismas amenazas existen en hoteles, cafeterías y otros lugares frecuentados por gente que trabaja fuera de oficina gran parte del tiempo.
         Los dispositivos normalmente "fugan" información de identificación con su configuración por defecto.
         Las prácticas comunes en el trabajo móvil o comunicación no son suficientes para repeler un ataque dirigido, incluso si el objetivo es tan amplio como "asistentes a la misma conferencia."

Las amenazas y las medidas de mitigación en esta guía fueron escritas teniendo en cuenta conferencias como Black Hat EE.UU. o DEF CON, donde es prácticamente seguro que exista la presencia de un atacante con toda la capacidad de utilizar vulnerabilidades públicamente. Las mismas medidas son, sin embargo, aplicables a cualquier conferencia o situación de trabajo fuera de oficina. Sería un error suponer que estos ataques no pueden llegar a ti en otro entorno. En todo caso, un atacante podría encontrar objetivos más fáciles y más valiosos en una conferencia que no sea de profesionales de la industria de TI.
El software y las técnicas que se utilizan para poner en práctica estas recomendaciones varían en función de tus necesidades específicas, tu tipo de trabajo y el entorno de red que necesitas para comunicarte a “casa”. Por esa razón evito descripciones de software específico. Si encuentras difícil la aplicación de estas medidas sin más instrucción o recomendaciones específicas, necesitas los servicios de un profesional de seguridad de la información para ayudarte a establecer el entorno de trabajo móvil. Realmente el diablo está en los detalles sobre cómo hacer esto correctamente, pero si eres un profesional de la seguridad de la información nada de esto debería ser un desafío.
Este enfoque también tiene la ventaja de hacer este documento vigente por más tiempo. La única concesión es sobre la discusión de tecnologías de red actuales y las capacidades del actor-amenaza y su uso del estado del arte. Esto va a evolucionar, aunque por ahora yo diría que este consejo será relevante por un buen número de años.
Espero que encuentres esta guía valiosa. Creo que asumiendo un grado de riesgo relativamente pequeño y abordando el resto con sensatez, es posible comunicarse y llevar a cabo una buena cantidad de tu actividad laboral dentro de un entorno de red "hostil". Conferencias como Black Hat EE.UU. y DEF CON tienen la reputación de ser lo más hostil en este sentido, sin embargo, creo que fundamentalmente no son más peligrosas que cualquier otra conferencia o incluso no más de lo que sería la red normal de tu hotel.

SUPERFICIE DE ATAQUE
La superficie de ataque se puede definir como el conjunto de interfases e interacciones que un atacante puede tener con un objetivo. Una vulnerabilidad en una parte de la superficie de ataque puede conducir al acceso a un dispositivo o a la divulgación de las comunicaciones. Para mantener la seguridad de tus dispositivos y las comunicaciones durante el viaje, el tema general debe ser reducir la superficie de ataque.
La mayoría de los consejos de este documento consisten en reducir la superficie de ataque. Por ejemplo, es probable que una computadora portátil sin un firewall de software tenga una superficie de ataque de gran tamaño. Los elementos evidentes de la superficie de ataque incluyen los servicios de escucha de red, como el intercambio de archivos, servidores de desarrollo web y porciones de tu sistema de protección de end point (algo que hemos notado en brechas recientes). Otros elementos menos obvios incluyen el software de escritorio que utilizas. Cada servidor web al que te conectas envía entradas arbitrarias en tu navegador.
Los protocolos también son parte de la superficie de ataque. Windows y otros sistemas operativos de escritorio con frecuencia anuncian su presencia en la red y buscan a otros sistemas locales para comunicarse con ellos. Los protocolos que se utilizan para navegar por Internet, chatear o consultar el correo electrónico están sujetos a la intercepción o modificación del tráfico. Se requiere el uso de cifrado fuerte y bien implementado para evitar comprometer la confidencialidad.
Mientras que todos estos elementos se pueden abordar de forma individual con técnicas específicas de endurecimiento, la respuesta más segura es la más fácil: apagarlo. Esto es más fácil de decir que de hacer si tu operación requiere de ese software o servicio.

AGENTES DE AMENAZAS
Mientras que en una conferencia de seguridad de la información puede haber una gran concentración de estos actores-amenaza, no hay razón para asumir su ausencia en conferencias de otras industrias. Cualquier lugar que proporciona servicio para los trabajadores fuera de oficina incluyendo hoteles, cafeterías y aeropuertos será atractivo para los atacantes. Aquí están algunos perfiles básicos de los actores-amenaza que podrían tratar de aprovecharse de la mala OPSEC / COMSEC mientras estás trabajando fuera de la oficina.
 - Los ladrones – sobre todo interesados en el valor físico de tus dispositivos y que también pueden buscar datos importantes antes de limpiar el dispositivo y tratar de venderlo.
 - Los atacantes no sofisticados  La gran mayoría de los "hackers" en las conferencias caerán en algún punto de esta categoría. Ellos son en gran medida oportunistas y pueden no tener motivos bien definidos, que no sean la posibilidad de humillar o beneficiarse de las víctimas. Estos atacantes estarán armados solamente con exploits y herramientas públicamente disponibles, dándoles la capacidad de atacar sistemas sin parches y vigilar o interceptar comunicaciones no cifradas. Una buena "higiene" de tu computadora en lo que respecta a parches y el uso de protocolos para identificar los endpoints a través de certificados (como la mayoría de las VPN) evitará que estos atacantes tengan mucho éxito. Estos atacantes pueden ser:
-          Pasivos  Que sólo monitorean comunicaciones por cable e inalámbricas sin interactuar directamente con los endpoints.
-          Activos  Utilizan puntos de acceso falsos y ataques man-in-the-middle para manipular las comunicaciones, tales como los proporcionados por los dispositivos listos para usarse como la Piña Wi-Fi.
-          Atacantes moderadamente sofisticados  Aunque son oportunistas y sin un objetivo en específico, los atacantes de esta categoría tienen capacidades que son difíciles de obtener para los atacantes poco sofisticados por medio de información pública o herramientas de seguridad listas para usarse. Es posible que tengan la capacidad de desplegar radio-bases celulares falsas con el fin de intentar interceptar comunicaciones de dispositivos móviles, aunque nuestra experiencia es que son más propensos a interrumpir accidentalmente una red celular que interceptarla con éxito.
-          El cibercrimen organizado  En esta categoría tenemos atacantes que están motivados por el lucro, con capacidades que están respaldadas por su financiamiento. Tales atacantes pueden enfocarse en empresas o individuos específicos. Son mucho menores en número que los atacantes oportunistas, pero pueden tener la capacidad de lanzar ataques utilizando exploits zero-day o técnicas que no son conocidas públicamente.
-          Inteligencia  Con la motivación del espionaje corporativo o gubernamental, es probable que un atacante bien financiado sea selectivo con sus objetivos, lo que está fuera de proporción con otros actores-amenaza. En esta categoría no habría mucho menos aversión por intentar los ataques físicos o la ingeniería social en persona. La capacidad de intercepción está más cerca de los límites teóricos de lo que se cree; aunque son mucho menos numerosos que los demás, sería un error suponer que no están presentes. En última instancia, las medidas que puedas tomar harán que sea mucho más difícil para estos atacantes, pero si tú eres su objetivo sólo puedes aspirar a limitar el daño tanto como sea posible.
Considerando estos actores-amenaza que podrían estar en tu entorno es importante que no simplemente desistas y decidas no comunicarte o trabajar en absoluto a menos que sea un lujo que puedas darte. El equilibrio puede alcanzarse aplicando prácticas seguras que excluyen a los atacantes de menor capacidad la gran mayoría y limitan el daño que los muy pocos atacantes sofisticados pueden causar, limitando al máximo posible las cosas que accedes y expones.

SEGURIDAD FÍSICA
La seguridad comienza con el control físico sobre tus dispositivos. El teléfono móvil es el más fácil, ya que es muy probable que lo tengas contigo en todo momento. Tener computadoras portátiles y otros dispositivos en la mochila durante el día puede ser lo más práctico y seguro, pero es poco probable que quieras traerlos a la cena y los tragos de la tarde-noche. La caja de seguridad de tu habitación de hotel quizá es mejor que dejar los dispositivos sobre la cama, pero no es totalmente confiable. De ninguna manera debes dejar desatendidos tus dispositivos fuera de la habitación, por ejemplo, en la sala de conferencias durante un receso.
Es mucho más probable experimentar el robo de tus dispositivos por quien espera obtener algún valor por la venta del dispositivo en sí, que cualquier tipo de manipulación avanzada asociada con el espionaje. El cifrado completo de disco incluido en la mayoría de los sistemas operativos modernos es eficaz en la prevención de análisis oportunista o específico de dispositivos robados. Sin embargo una unidad cifrada es mucho más fuerte con el dispositivo completamente apagado, lo que reduce la probabilidad de que la llave de cifrado sea recuperada de la memoria volátil.
Si estás preocupado por modificaciones al hardware (por ejemplo, key loggers, captura de contraseñas de cifrado, etcétera), entonces el camino es mucho más difícil. Ya sea que te acostumbres a ser inseparable de tu mochila o que asumas que el hardware puede ser comprometido. Limita tu exposición realizando transacciones de negocios a través del único dispositivo que siempre llevas contigo tu teléfono móvil o limitando tu exposición gracias al cambio de tus contraseñas después de la conferencia y restringiendo tu acceso a los datos mientras estás allí. Si las modificaciones al hardware son una preocupación, debes asumir que el dispositivo fue comprometido y tomar las acciones necesarias, en ese caso la eliminación/destrucción es la única opción que te darán tranquilidad ¡espero que haya sido barato! Esto está por encima del nivel en el que un atacante oportunista puede operar. Haría falta un atacante con una gran motivación para que asuma los riesgos que significan el pasar desapercibido y modificar tu hardware.
Esto puede sonar aterrador, pero tus amenazas más comunes no van a ir tan lejos. El cifrado completo de disco y la prevención del robo basada en el sentido común van a prevenir que la mayoría de los atacantes puedan representar una amenaza de acceso físico. La modificación de hardware para hacer espionaje o romper el cifrado está más allá de las capacidades disponibles-a-la-compra de la mayoría de los atacantes, inclusive la de la inmensa mayoría de los asistentes a una conferencia de seguridad.
Si viajas al extranjero, tus riesgos aumentan considerablemente. Al no ser ciudadano del país al que viajas puedes representar un objetivo “legal” y/o atractivo para los servicios de inteligencia y de las fuerzas de la ley. En estos casos, el hardware "desechable" es una necesidad. También estarás sujeto a revisión en la frontera y puedes ser obligado a proporcionar tus contraseñas de cifrado. En esos momentos, no tengas nada sensible en tu laptop. Accede a esa información por medio de Internet utilizando una VPN u otro protocolo de cifrado en tu destino y asegúrate de eliminarlo de forma segura en tu dispositivo antes de realizar el viaje de regreso.

SEGURIDAD DE LAS CONTRASEÑAS
Es conveniente realizar un cambio de contraseñas antes de salir y otro después de regresar en todas las cuentas a las que pretendas tener acceso "fuera de casa". Las contraseñas deben ser complejas: al menos 12 caracteres, mayúsculas y minúsculas, números y símbolos. Éstas no deben ser reutilizadas en otros servicios.
El cambio antes del evento es principalmente para evitar una divulgación por dar acceso a otros servicios y archivos cifrados para los que la contraseña no cambiará antes, durante o después del evento. Si ya sigues la práctica segura de no reutilizar contraseñas, entonces esto debe ser una preocupación menor. El cambio post-evento es más necesario.

Las contraseñas pueden ser divulgadas inadvertidamente durante el evento por varias razones, incluyendo:
-          Espiar por atrás del hombro (shoulder-surfing)  En ambientes llenos de gente, puede ser difícil introducir discretamente tus contraseñas al tener la línea de visión directamente en el teclado o pantalla táctil.
-          Phishing  Las distracciones del evento pueden contribuir a tener menos vigilancia para la identificación de intentos de phishing, especialmente los destinados a los asistentes. La interrupción de tu rutina al ingresar a los sistemas de una manera diferente a la que haces en la oficina puede llevar a que sea menos probable que identifiques un intento de phishing.
-          Vulneraciones  A pesar de tus mejores esfuerzos y de emplear las prácticas de esta guía, tus dispositivos o comunicaciones pueden verse comprometidos. Cambiando las claves es posible que puedas limitar la duración de una vulneración.
Sin embargo, el cambio de contraseñas también presenta un problema. El bloqueo de todo con nuevas contraseñas involucra el escenario de que las olvides y te quedes ahogado, sin poder acceder a los servicios que necesitas y ahora tengas el problema de coordinar de forma segura un restablecimiento de contraseñas con alguien en la oficina. Para la mayoría no es realista memorizar todas las contraseñas necesarias sin algún tipo de asistencia.

Para evitar este problema, emplea dos medidas:
-          Utiliza frases para las contraseñas en vez de palabras. Usar secuencias aleatorias de cuatro o más palabras del diccionario, con errores ortográficos intencionales y caracteres especiales intercalados o reemplazados puede ser más fácil de recordar que una secuencia aleatoria de doce caracteres.
-          Un software de gestión de contraseñas puede utilizarse para almacenar contraseñas de forma cifrada. Si puedes recordar tu contraseña maestra para acceder al gestor, entonces podrás acceder a las demás. Existen aplicaciones de gestión de contraseñas disponibles para teléfonos inteligentes que permiten acceder a tus contraseñas desde el dispositivo que pretendes tener siempre contigo.
Puedes usar frases de contraseña memorable y robustas para el gestor de contraseñas, contraseñas de cifrado completo de disco y otros servicios de uso frecuente o críticos. El resto de sus contraseñas pueden ser generadas de forma aleatoria y ser almacenadas en el administrador de contraseñas. Evita los gestores de contraseñas basados en la nube si puede ser difícil de mantener la conectividad con ese servicio.
Las contraseñas guardadas o precargadas son por lo general un intercambio de comodidad por seguridad. En la práctica, sin embargo, los beneficios pueden ser mayores que los riesgos. Una contraseña precargada no tiene que ser escrita en presencia de las miradas indiscretas de los demás. Tener una contraseña almacenada también permite darte el lujo de que sea muy compleja, sin tener que memorizar o escribirla con precisión. Las contraseñas guardadas pueden estar en riesgo si el dispositivo cae en manos equivocadas, aunque el cifrado del dispositivo puede ayudar a mitigar esto, al menos hasta que puedas cambiar las contraseñas. No es posible tener precargadas tus contraseñas de cifrado de dispositivos y con justa razón.
La autenticación de dos factores mejora considerablemente las cosas. Una contraseña comprometida es menos útil para un atacante si también se requiere un elemento físico (token) para usarla. Los mecanismos de dos factores que utilizan mensajería SMS o correo electrónico son menos seguros y sujetos a la fiabilidad de la conexión celular o Wi-Fi. Utiliza autenticación de dos factores siempre que sea posible, siendo consciente de mantener el control físico sobre el token en todo momento.

DISPOSITIVOS
Las medidas adoptadas para impedir el acceso físico y robo tienen un límite. La siguiente capa de defensa es cifrar la información que está en los dispositivos tales como computadoras portátiles o teléfonos móviles con el fin de evitar la exposición de los datos en caso de robo u otro compromiso físico. Los sistemas operativos modernos para computadoras y dispositivos móviles tienen características para cifrar el almacenamiento del dispositivo, lo que requiere una contraseña para desbloquear el dispositivo en el arranque o cuando se despierta de un estado de suspensión.
Sin embargo, la clave para utilizar con eficacia el cifrado de dispositivo es entender qué estados del dispositivo están protegidos por el cifrado. Cuando hay una sesión activa, la clave de cifrado está en la memoria y se utiliza de forma activa para acceder a ese disco encriptado. Si se deja el dispositivo desatendido con la sesión abierta y desbloqueado, el cifrado no sirve de nada. Si dejas encendido el sistema, pero cierras la sesión o bloqueas la pantalla, será más difícil recuperar la clave de la memoria si el dispositivo está en peligro físicamente.
El estado más seguro para un dispositivo cifrado cuando no esté en uso es apagado; reduciendo la probabilidad de que la clave de cifrado pueda recuperad de la memoria estás haciendo los datos mucho más difíciles de acceder. Cuando se utiliza correctamente el cifrado de dispositivo, has elevado la vara para los atacantes hasta el punto de que sólo podría ser leído por un adversario avanzado con la capacidad de modificar subrepticiamente tu hardware para capturar la contraseña o la capacidad de burlar las técnicas de encriptación, que es menos probable.
El cifrado del dispositivo no protege al sistema contra ataques basados en la red. Sin embargo, hay buenas prácticas basadas en el sentido común para la reducción de la superficie de ataque y el reforzamiento de equipos portátiles y dispositivos móviles.

Computadoras portátiles
Una instalación limpia del sistema operativo, con el conjunto mínimo de software necesario para llevar a cabo tu trabajo sirve como un buen punto de partida. Una solución de firewall basada en host, configurada para restringir todo y permitiendo solo el tráfico específico que necesitas para trabajar, ayudará a reducir la superficie de ataque también. Prueba tu configuración para conectarte a los sistemas y servicios que se necesitas, para asegurarte de que tienes todo lo que necesitas una vez que estés fuera de la oficina.
Antes de partir, actualiza el sistema operativo y todo el software instalado a las últimas versiones disponibles. Una vez hecho esto puede ser prudente para las actualizaciones automáticas durante la duración del viaje, ya que algunos mecanismos de actualización de software se pueden ser aprovechados por atacantes para comprometer un sistema. Si es necesario buscar actualizaciones, hazlo de forma manual después de establecer una conexión VPN segura a tu oficina.
Las pantallas de privacidad reducen el ángulo de visión efectiva de la pantalla y están disponibles para computadoras portátiles. Esto puede ayudar a reducir la visibilidad de la pantalla a espectadores cuando utilizas el dispositivo. Sin embargo, esto no es una protección infalible. Incluso con una pantalla de privacidad aún debes ser consciente de tu entorno, por ejemplo, alguien directamente detrás de ti podría leer la pantalla.
Configura el protector de pantalla para activarse después de poco tiempo y que solicite la contraseña para desbloquear la pantalla. Aprende la combinación de teclas necesaria para bloquear rápidamente la pantalla y crea el hábito de hacerlo siempre que apartes tu atención del equipo. Cuando no estés utilizando el equipo de forma activa apágalo para dejarlo en un estado seguro.

Dispositivos móviles
Un dispositivo móvil como un teléfono inteligente o una tableta puede proporcionar un entorno informático más seguro que una laptop. Mientras que los sistemas operativos de propósito general están diseñados para ejecutar código arbitrario de cualquier fuente lo que brinda un ambiente propicio para el software malicioso los sistemas operativos móviles están diseñados desde su base para evitar la ejecución de código sin firma ni verificación. Hacer jailbreak, los modos de depuración (debug) y de programador, así como otras configuraciones y modificaciones similares, inhabilitan muchos métodos de mitigación de exploits y deben ser evitados en los dispositivos móviles para hacer las actividades de explotación y post-explotación difíciles para un atacante.
Reducir al mínimo el número de aplicaciones necesarias para realizar tu trabajo mediante una restauración limpia del dispositivo a la configuración de fábrica es un excelente punto de partida. Actualiza el sistema operativo y las aplicaciones a las últimas versiones disponibles antes de partir y desactivar la actualización automática por la duración del viaje. Si se verifica públicamente una actualización de seguridad crítica y es liberada durante el viaje, puede ser difícil determinar si tu copia local de la actualización viene de una fuente segura o no. En el caso de que esto ocurra, puede ser más seguro interrumpir el uso del dispositivo.
Puede ser tentador utilizar un teléfono "desechable", sin embargo las ventajas del anonimato de un dispositivo de este tipo pueden perderse si se le redireccionan las llamadas de trabajo, mensajes y otras comunicaciones. Estos dispositivos pueden ayudarte a comunicarte con otros miembros del equipo en la conferencia, pero serán de utilidad limitada para el trabajo real. A menos que el dispositivo desechable no utilice la mayoría de características de un smartphone, es probable que, si éste es comprometido, no sea más seguro que si sucede con tu dispositivo de todos los días. Al final será otro dispositivo que cargar y probablemente no sustituya a tu teléfono inteligente, así que tendrás que decidir si esto se ajusta a tus necesidades.
Para cargar tu teléfono, sólo lo hazlo desde tu propio adaptador de pared, tu computadora o batería portátil. Los puertos USB y estaciones de carga en habitaciones de hotel, salas de conferencias y otros espacios públicos pueden estar configurados para extraer datos o interactuar con el teléfono de otras maneras maliciosas.

Otros
Los relojes inteligentes, monitores de ejercicio, audífonos inalámbricos y otros dispositivos que se conectan con Bluetooth y otras redes de baja potencia es probable que no sean necesarios para tu trabajo. El protocolo Bluetooth transmite con frecuencia información sobre la presencia del dispositivo y su dueño. Es simplemente una parte innecesaria de la superficie de ataque y es recomendable dejar en casa y desactivar los receptores Bluetooth en los dispositivos móviles y laptops.

REDES
Redes privadas virtuales
La primera regla de negocio para la comunicación y trabajo en campo de forma segura debe ser el uso de la red local para obtener acceso seguro a una red de más confianza. La conexión Wi-Fi disponible en la conferencia o la red celular pueden ser tu medio para acceder a Internet, pero puedes reducir la confianza que debes tenerle utilizando una red privada virtual (VPN) para conectarte a la oficina u otro lugar seguro. No es tan importante qué tecnología VPN específica utilices, siempre que soporte cifrado robusto, autenticación tanto del cliente como del servidor y sea compatible con laptop y teléfono inteligente.
La VPN debe estar configurada para enrutar todo el tráfico de red del dispositivo conectado a través del túnel encriptado; debes familiarizarte con la dirección o rango de direcciones de IP pública que tendrás al estar conectado a la VPN. Si realizas una búsqueda en Google de "dirección IP", obtendrás tu dirección IP pública. Puedes hacer esto para verificar que la conexión se enruta correctamente antes de realizar cualquier otra actividad. En el lado del servidor, la subred asignada a los usuarios VPN remotos debe estar configurada para permitir sólo el acceso a los servicios que son necesarios para los trabajadores remotos y si es posible, debe ser monitoreada durante la conferencia para detectar comportamiento inusual.
Un problema con las conexiones VPN es controlar las aplicaciones "comunicativas" en la red cuando la VPN no está conectada. Muchos sistemas operativos anuncian felizmente sus nombres de equipo en la red local y las aplicaciones que se ejecutan en segundo plano y/o en el arranque intentarán conectarse para hacer las actualizaciones de software y notificaciones. Esto puede propiciar fugas de información no deseadas o abrir algo de tu software como superficie de ataque, mientras que no está conectado a la VPN.
Configura el software como el cliente de correo electrónico para no iniciar de inmediato en el arranque o inicio de sesión y ejecútalo de forma manual una vez que hayas verificado que la VPN está conectada. Si es posible, configura los servidores de tal manera que al software cliente no se le permita conectarse a menos que provenga de un rango de direcciones IP de confianza. Los clientes de correo electrónico y otros programas necesarios también deben estar configurados para utilizar cifrado al conectarse a sus servidores. La VPN actúa simplemente como otra capa de protección, lo que reduce la cantidad de metadatos a disposición de los fisgones y actúa como una red de seguridad para los protocolos sin cifrado, como la navegación web HTTP en texto plano.

Aprovecha la virtualización
Este escenario ofrece un buen caso de uso para la virtualización. Un sistema operativo base con la configuración mínima y la capacidad de conectarse a la VPN te permitirá iniciar y comprobar que cuentas con una conexión segura antes de ir al entorno del sistema operativo virtual que contiene las herramientas y configuración necesaria para sus comunicaciones y trabajo. Otra ventaja de esta configuración es que una "instantánea" puede ser utilizada para revertir el entorno virtual a un estado de "buena configuración conocida" después de cada uso. El malware y los ataques basados en vulnerabilidades de software tendrán así un entorno más difícil para persistir.

Móviles
Los teléfonos móviles y las tabletas también son capaces de conectarse a los servidores VPN. Sin embargo, las opciones de software de servidor disponibles pueden ser más limitadas. Las aplicaciones móviles también están diseñadas para hacer conexiones en segundo plano de forma constante, lo que hace difícil restringir la cantidad de tráfico fuera de la VPN. Debes desactivar las cuentas que sea posible y activarlas solamente después de verificar la conectividad con el servidor VPN y cuando conscientemente lo requieras. Siempre que sea posible, limita la capacidad de las aplicaciones a transferir datos en segundo plano.

Wi-Fi vs. Celular
Esto puede ser una elección más difícil de lo que parece. La barra para monitorear y la manipular el tráfico Wi-Fi es mucho menor, lo que permite a más atacantes interferir las comunicaciones. Sin embargo, la gran mayoría de los atacantes son poco sofisticados. Si conoces bien sobre Wi-Fi será muy fácil para ti identificar la mayoría de los ataques por este medio. Una red falsa o un ataque man-in-the-middle pueden suponer un riesgo para las comunicaciones no cifradas, pero seguramente podemos asumir que tus prácticas monitorean este "salto" de cualquier forma.
Aunque una red WPA2 Wi-Fi con nombres de usuario y contraseñas únicas como la que hay en DEF CON para los asistentes puede ser más resistente a ataques que las redes sin encriptar que se encuentran en la mayoría de los lugares, esto no significa que debe considerarse como una red de confianza. No puedes controlar la red física a la que te dirige, ni tienes control alguno sobre su infraestructura. Es solamente un medio para que puedas establecer tus propias comunicaciones seguras.
Las redes celulares tienen un precio de entrada más alto para los atacantes en cuanto a los costos y los conocimientos necesarios para interceptar o manipularlas con éxito. Posiblemente existan radio-bases falsas y degradación forzada de servicios como parte del ataque. Si tu teléfono es susceptible a estos ataques podría ser difícil proteger las comunicaciones de voz y SMS. Sin embargo igual que en una red Wi-Fi falsa una ruptura en este "salto" en la confidencialidad no repercute necesariamente en tu capacidad de conectarte a una VPN.
Tu teléfono celular y su radio baseband son más que una caja negra. Es probable que sea difícil saber si están siendo atacados o si un ataque está en curso. Si eres es un usuario experto, es más probable que puedas identificar operaciones maliciosas a través de Wi-Fi que ataques más avanzados, d orientados a las comunicaciones celulares.
La lección aquí es que para las comunicaciones basadas en IP la distinción entre Wi-Fi o Celular no debería importar realmente, ya que tu modelo de amenaza debería tomarlo en cuenta en ambos casos. Uno puede ser más fiable que el otro en relación con el nivel de servicio y la velocidad en cada lugar. Es posible que desees evitar el uso de las llamadas de voz y SMS o limitar la naturaleza de las conversaciones llevadas a cabo mediante esos medios.
En última instancia, si eliges conectarte a través de Wi-Fi o la red celular, ambas deben ser tratadas como una red insegura. Sólo debe ser el primer paso en el establecimiento de un canal más seguro para comunicarte. Cuando la red que has elegido no permite hacer una conexión segura, no permitas que te obliguen a degradar tus prácticas con el fin de comunicarte. Elige otra opción o prescinde de la comunicación. Un atacante frustrado por el uso de una VPN podría bloquear ese tráfico con la esperanza de que utilizarás prácticas más inseguras.

Las redes cableadas
Muchas habitaciones de hotel todavía proporcionan el acceso por cable Ethernet a Internet. Mientras que las comunicaciones a través de la red Ethernet no son susceptibles a intercepciones "en-el-aire" a menos que sean utilizadas a través de una red inalámbrica no se debe asumir que esas comunicaciones son más privadas o seguras que las inalámbricas. Hay muchos medios eficaces para ataques man-in-the-middle en segmentos locales de red cableada y la infraestructura de red puede verse comprometida. Utilízalas como lo harías con una red inalámbrica, como si alguien pudiera estar observando.

MEDIOS DE COMUNICACIÓN SOCIAL
Los medios sociales son parte de la forma en que algunas personas hacen negocios. Mientras que es fácil para algunos excluir esto de sus "necesidades" fuera de la oficina, son una parte importante para mantenerse en contacto con colegas, promover la marca personal o de la empresa, o incluso para proporcionar un servicio informativo a los demás. Las redes sociales pueden tener lugar en el contexto de las medidas analizadas anteriormente, pero es posible que pueda ser engorroso, perjudicando tu capacidad de revisar de forma dinámica, publicar y recibir alertas.
Es posible que desees correr el riesgo de permitir el uso de tus aplicaciones de redes sociales fuera del contexto de la VPN y de otras medidas para proteger los datos más sensibles. Esto no es completamente inseguro, ya que la mayoría de las redes sociales utilizan cifrado cliente-servidor, aunque podrías preferir más capas de defensa para los datos más sensibles. Si vas a tomar este camino, se recomienda que tomes algunas medidas básicas para mejorar las condiciones de seguridad de tu cuenta:
-          Si es posible, habilita la autenticación de dos factores.
-          Asegúrate de que tienes acceso a la cuenta de correo electrónico asociada a la cuenta de redes sociales.
-          Cambia la contraseña antes y después del evento y no re-utilices contraseñas en múltiples cuentas; en concreto, no utilices las contraseñas de redes sociales en tus propios sistemas sensibles.
-          Antes del evento, borra todas las comunicaciones privadas de la cuenta.
-          Asegúrate de que la cuenta no está siendo utilizada para autenticar las cuentas de otros servicios más sensibles.
-          Revisa, antes y después del evento, las aplicaciones, complementos o acceso a APIs que la cuenta tenga configurado proporcionar a terceros.
-          Utiliza redes celulares para las redes sociales, así evitarás la mayoría de los atacantes que se limitan a operar en Wi-Fi.
Puedes utilizar estas mismas técnicas para cuentas de chat "desechables" utilizadas para comunicarte con amigos y colegas en el evento.
Para evitar que las aplicaciones más sensibles se comuniquen mientras estás conectado a una red con las aplicaciones de redes sociales, es posible que debas segmentar tus actividades, relegando los medios de comunicación social a un dispositivo separado mientras dure el viaje.

INGENIERÍA SOCIAL
La "ingeniería social" es un término inventado por los profesionales de seguridad de la información que el igualmente preciso "habilidad de conferencias" con el fin de parecer más legítimo. La manipulación psicológica es el antecedente en este campo y no se limita a las llamadas telefónicas y correo electrónico; la obtención de información sensible en persona, es una amenaza común y real.
Durante los tragos en un bar y entre colegas, es tentador revelar secretos en forma de "historias de guerra." Evita esta tentación, sobre todo cuando se trata de clientes que han depositado su confianza en ti. Algunas preguntas que parecen inocuas pueden conducir a un perfilamiento más preciso de las operaciones de tu organización que lo que hubieras estado cómodo revelando directamente.

FINANZAS
Cuando intercambias el relativo aunque no completo anonimato del dinero en efectivo por la comodidad del plástico, has renunciado a un cierto grado de anonimato y privacidad. Basta con dar un vistazo a las noticias para darse cuenta de que las terminales de punto de venta, las máquinas de venta y procesadores de pago están siendo atacados con éxito por igual. Si estás buscando proteger la información sobre tu paradero e historial de compras, el dinero en efectivo debe ser la elección.
Sin embargo, si tu principal preocupación es la protección de tus finanzas, las cosas se ponen más simples: utiliza tarjetas de crédito. En una vulneración la divulgación y el robo de tu información de pago pueden ser inevitable, sin embargo, como consumidor existen protecciones legales en EE.UU. que limitan tu responsabilidad en caso de que la tarjeta sea sujeta a un abuso. Una tarjeta de débito u otra forma de pago puede no tener las mismas protecciones.
Evita las actividades bancarias en línea en una red hostil. En el mejor de los casos incluso con tráfico cifrado un atacante puede identificar con qué banco te estás comunicando y utilizar esa información para construir una sofisticada campaña de phishing dirigida en tu contra. Si son necesarias, restringe estas actividades a una sesión de VPN. Si es posible, encarga a un familiar de confianza en casa que realice tus pagos y lleve el control de tus finanzas mientras estás fuera.

CONCLUSIONES
Pese a lo anterior, la red más hostil no es específicamente la de cualquier conferencia sino el Internet público que usamos todos los días. Cuando estás fuera de los confines de tu red privada del trabajo, estás sujeto a ataques. Aunque puedes no tener la opción de desconectarte, con la mentalidad adecuada puedes establecer un canal mediante el cual comunicarte y trabajar con un nivel de confianza que se adapte a tus necesidades.
Los conceptos clave que debes recordar para guiar tus acciones son:
-          Reducir al mínimo la superficie de ataque.
-          Establecer el mínimo de software y comunicación necesaria para llevar a cabo tu trabajo.
-          Proteger físicamente los dispositivos.
-          Utilizar contraseñas seguras, únicas y gestionarlas bien.
-          Utilizar capas de seguridad alrededor de tu actividad en la red con protocolos cifrados, VPN, cortafuegos y la aplicación de otras mejores prácticas.
-          No depender de la seguridad de las redes a las que te conectas.
-          Toma decisiones inteligentes basadas en el tipo de datos que necesitas para proteger y las capacidades de los posibles adversarios.
-          Ten en cuenta el entorno en el que estás operando.

Traducción del texto de Wesley McGrew disponible en: http://cdn2.hubspot.net/hubfs/2224827/Practical-Guide-To-Security-At-Conferences-HORNE-Cyber.pdf
O en su versión en texto plano disponible en: http://pastebin.com/P1qy83aq

ACERCA DEL AUTOR

Wesley McGrew, Ph.D.

Wesley es director de operaciones cibernéticas para HORNE CyberSolutions. Es conocido por su trabajo en seguridad de la información ofensiva y ciber-operaciones. Wesley se especializa en pruebas de penetración, análisis de vulnerabilidades de red, desarrollo de exploits, ingeniería inversa de software malicioso y análisis de tráfico de red.


[Actualización 20160727]

Para complementar estaguí, encontré esta ottra hecha por el buen amigo DragonJar, que nos proporciona buenos tips y recomendaciones para el viaje, reservas de hotel, lugares a visitar, etc:
http://www.dragonjar.org/consejos-simples-para-viajar-a-blackhat-defcon-o-bsides-lv.xhtml

Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más