Los terminos técnicos más satanizados en un proyecto de software de la politica mexicana - parte 1

El punto es muy simple con este artículo, en política, todo lo que digas y no te entiendan será usado en tu contra, así que para aprender a lidiar con políticos y que no te estén metiendo riesgos y presión inncesaria a tu capa 8 y 9 de seguridad, mejor ni menciones estas palabras para nada o preparate muy buenos argumentos de antemano para lidiar con ellos.

Es un hack social por así llamarlo, pero también es una exhortación a tener una conciencia de calidad en nuestra profesión de sistemas.

Tambien contempla aqui las palabras de la prensa, les da por inventar sus propias historias de repente.

La caída del sistema

La más nefasta y común frase que escucharemos siempre en todos los noticieros y grillas en los consejos electorales. Esta es la peor pesadilla de los ingenieros y el máximo deseo de los políticos grilleros que saben moverse mejor en medio del caos.

El sistema siempre se cae a los ojos de cualquiera, a lo largo de los años las malas experiencias con proyectos de ingeniería desastrosos, así como la oscura nube de dimes y diretes que logran trascender desde la mesa de los políticos hasta la opinión pública se manifiesta todo con la críptica frase de "se cayó el sistema".

Como ingenieros en proyectos de software, este es el más difícil enemigo a vencer, el lograr lo que llamaremos un hack de seguridad de capa 9, el lograr que los riesgos innatos de cualquier proyecto tecnológico no lleguen a manifestarse y defender al proyecto ante los ataques de naturaleza no técnica que nos lanzaran siempre.

Recuerden siempre que un sistema no solo es hardware y software, si no verlo como nos lo enseñan en la ingeniería de software: herramientas, procesos y personas.

Con respecto a las herramientas, manejamos siempre productos tecnológicos que son de gran complejidad interna y que tienen puntos muy buenos a aprovechar, pero también tienen puntos muy débiles que pueden provocar una falla inoportuna e iniciar toda una cadena de desastres. Aunque nunca lo sabremos a ciencia cierta, las más grandes caidas de los sistemas en México que han creado mala fama a nuestra profesión se han debido seguramente a fallas en las herramientas y omisiones en su planeación y usos.

La recomendación es muy sencilla, no se va a la guerra con armas en mal estado o con armas que no sabemos usar. Cosas como tener hardware "barato" o "genérico", software pirateado, herramientas obsoletas o mal seleccionadas, solo le añaden una inmensa variable de riesgo desconocida al proyecto que se manifestaré desde formas tan desastrosas como una base de datos corrupta hasta cosas tan tontas como que se le fundió una lámpara a un cañon, y por consiguiente, la frase de pánico de "se cayó el sistema". No se rian, todo eso ya ha pasado o cosas tan tontas como que en medio de una reunión de consejeros electorales se activa el protector de pantalla de windows y no se diga el caos que empieza cuando sale un pantallazo azul.

Con respecto a los procesos, no inventen, así de sencillo, hagan los proyectos con toda la conciencia, seriedad, profesionalismo, orden, sencillez, humildad y calidad. Y para esto, los unicos que deberían de preocuparles este punto son los que son un verdadero desastre de profesionistas que todo lo hacen al hack and slash volviendo a inventar el hilo negro en cada proyecto. Todos los ingenieros en sistemas, administradores de proyectos, ciencias de la calidad, etc, pasan años, cursos completos, toneladas de libros para mostrarnos muchisimas técnicas para tener toda nuestra vida profesional en orden, o como se llama políticamente correcto en la profesión, tener un nivel de maduréz (del 1 al 5, lol). Como dice mi amiga Vanesa ( @vanessa_amaya ), "bienaventurados los que no documentan sus proyectos por que buscarán a Dios muy seguido". No se rian, me ha tocado ver a alguien pedir estampitas de la virgen para pegar en los servidores.

Con respecto a las personas, la capacitación, el entrenamiento, las pruebas constantes, la frialdad en los análisis, la humildad en las decisiones, los valores y la ética, deben de formar parte siempre de la preparación mental de la gente que formará parte de un proyecto de ingeniería como cualquier otro. Si estas realizando un proyecto pensando exclusivamente en como se puede obtener o tranzar la mayor cantidad de dinero, siempre ha pasado que esos proyectos por estar mal concecibos fallarán, y terminarán perdiendo más de lo que estaban tratando de ganar. Y los políticos, para darle salida al escándalo, para tener más munición para atacarse entre ellos, no dudarán en poner a los ingenieros en el altar de los sacrificios para apaciguar la ira de las deidades del poder, así lo dictan las reglas no escritas de la política mexicana. Selecciona bien a tu gente, recorta cabezas y quedate con las mejores, que no sean más los burócratas y oportunistas en lo alto del proyecto que la gente que de verdad esta haciendo las cosas y ofreceles una buena motivación y apoyalos preferentemente en capacitación y orden, lo peor que puedes hacer es transmitirles el estrés que se produce por haber hecho las cosas mal desde el inicio y con otras intenciones. Pon tus mejores recursos a hacer que el proyecto inicie bien y termine mejor, aunque hay mucho dinero de por medio, son proyectos de alto riesgo que necesitas evaluar prudentemente como puedes obtenerlo de forma segura.

El algoritmo

Como ingenieros de sistema, toda nuestra vida son algoritmos. Hay algoritmos para cualquier cosa, desde operaciones sencillas, hasta inteligencias artificiales complejas. Recordando la definición de libro de texto, son los pasos ordenados para lograr un objetivo, y eso es lo que nos pagan por hacer.

Pero en el contexto político es un reverendo malentendido, aderezedado con malicia y multiplicado por la ignorancia y falta de sutileza.

La palabra algoritmo es tán exótica para cualquier no técnico que cada vez que veo que alguién la menciona en público, todos los demas tragan saliva. Es porque en el contexto político, despues de tantas fallas que ha habido en diversos sistemas y luego al tratar de rescatar o defender lo que se percibe publicamente como una falla, muchos ingenieros gritan a veces que "así estaba diseñado el algoritmo".

Para mostrarlo de una forma tan sencilla, ante los sucesos que muchos califican como inexplicables o cuestionables, cuando la gente escucha que se defiende al algoritmo del sistema, lo interpretan como que dentro de la computadora hay un ente extraño, intangible, sentiente y con capacidad de tomar decisiones y actuar. Eso es lo que hace en parte un algoritmo, pero su intangibilidad y falta de comprensión es lo que lo provoca que la gente entre en pánico al escucharlo. Vean los cartones cómicos de los periodicos despues de cada elección, siempre verán que alguién dibuja a un ente raro, amorfo, antropomofizado que llaman algoritmo y que tiene algo que ver con las acciones vistas en un sistema.

Y el remate final, si alguién con poca noción sobre sistemas y programación pide que le permitan ver el diseño del algoritmo, el ingeniero del sistema dice que no lo puede mostrar "por seguridad", lo que sólo hace que los políticos y la prensa refuerzen su teoría de que dentro de la computadora se ha creado un fantasma que tiene una misión oscura que complir y nadie lo puede tocar.

Continuará en otro post con más términos...

29 Jul, 2010 | hmier |

De nuevo más hardware falsificado en SLP

Otro caso de hardware de red pirata en SLP, ahora encontre routers suplantando la marca Hewlett Packard

Pues todo comenzo con la llamada de un cliente que decía que tenia problemas al conectar una PC a una red y que los tecnicos de la cablera local no le hacían caso. Por los sintomas que me platico, pues nos fuimos a investigar la presencia de uno de esos gusanos de red que hay muy frecuentes en esta ciudad y que alteran el sistema de drivers de red. Se le hizo todo el procedimiento de limpieza a la pc y verificamos la conectividad en nuestra red local.

Pero al regresar la PC a su red original resulto en la misma situación de que no se podía conectar a la red por medio de una NIC inalámbrica Linksys, y con otras laptops si se podía pero me comentaban que de repente tenían dificultades porque la red se cortaba o dejaba de responder por un momento.

Esos sintomas ya me sonaban conocidos puesto que ya anteriormente me toco atender un caso idéntico siendo el origen un router pirateado Ansel.

En esta ocasión fue dificil confirmar la situación por dos motivos; el técnico que hizo la instalación de la cablera le dijo al cliente que el router marca Hewlett Packard era muy bueno y que no tenía ningún problema puesto que otras laptops si se podían conectar bien por lo que inicialmente ignoramos inspeccionar fisicamente el hardware, y segundo, porque por alguna razón el router lo dejaron instalado atrás de un mueble en un lugar inaccesible. Y ademas le hizo firmar un pagare por el router.

Al acceder a la pagina de configuración del router se noto que algo no encajaba, puesto que era una pagina muy colorida, es decir, sin los tonos habituales que usan los productos HP, sin ningun tipo de nombre o marca y aparte faltas de ortografía en diversas palabras en ingles como NETVVORK LINKLING TCPLIP etc..

Por último me llego a la mente que HP no hace routers, jaja, hace solo routers grandes para redes empresariales y aún de esos son dificil verlos en la calle. Verificamos en el sitio de HP todo el hardware ofrecido y obviamente no encontramos nada parecido a lo que teniamos en las manos.

- Lo que se pudo indentificar es que particularmente esa red inalámbrica no conectaba con ninguna tarjeta Linksys. Al parecer alguna incopatibilidad en el vector de inicialización del cifrado.
- La interrupción de la señal era facilmente provocada por mezclar los canales de RF del Wifi con alguna otra red vecina, al encender algun teléfono inalámbrico o encender un horno microondas.
- el router se calentaba con frecuencia y se colgaba.

Y pues no había otra opción más que cambiarlo por un router de los buenos.

Nos dimos a la tarea de analizar el router un poco más a fondo y encontramos:

- Tanto el chasis del router como el circuito impreso es casi idéntico a el otro router ANSEL pirata y buscando en internet los encontramos otros routers de otras marcas identicos en forma.


- el circuito impreso se ven los chips soldados desalineados, chips sin marcas y aparte algunas soldaduras frias.

En este caso aun cuando por arriba del chasis se ve el logotipo de HP por abajo se ve una etiqueta que dice que la marca del router es GRANDSONIC hecho en China y ensamblado en México.

Encontramos pues algunas ofertas de ese router en mercado libre y otros minoristas en internet, en algunos de ellos lo ofrecían como router Grandsonic y otros como router HP, en algunas imagenes inclusive se ve que le borran el logotipo de HP que traen grabado. En los sitios donde lo presentaban como Grandsonic lo ofrecian a precio de 250 pesos, en los sitios donde lo presentaban como marca HP lo ofrecían en 999 pesos.

Mi conclusión personal es que el problema de la presencia de hardware pirata en México es mucho más grande de lo que esperaba y que están cayendo todo tipo de víctimas al comprarlo por tener el precio más bajo el mercado y sobre todo por la suplantación de la marca.

20 Jan, 2010 | hmier |

URGE: Consulta publica del senado mexicano sobre el ACTA - PARTICIPEN!!!

BOLETIN DE PRENSA
Francisco Javier Castellón Fonseca
Acuerdo Comercial Anti-Piratería será discutido por medio de transmisión en vivo para fortalecer transparencia legislativa

Como una medida para fomentar una cultura participativa e informada en la sociedad, el senador del PRD Francisco Javier Castellón Fonseca, realizará una transmisión en vivo por internet, en la cual se analizará el Acuerdo Comercial Anti-Piratería (ACTA) y el hermetismo que se ha presentado en las negociaciones de este proyecto.

En la transmisión en vivo que se llevará a cabo el día martes 12 de enero a las 19:30 horas, el también Presidente de la Comisión de Ciencia y Tecnología, expondrá la situación que presenta el ACTA, a efecto de informar e intercambiar opiniones con la ciudadanía con respecto a este tratado.

Debido a la discusión que se tratará en esta transmisión en vivo, se considera a este suceso como uno de los más importantes a nivel nacional, dada la innovación de analizar y debatir el tema por medio de esta herramienta tecnológica.

Castellón Fonseca explicó que el Acuerdo Comercial Anti-Piratería es negociado por la Secretaría de Economía a través del Instituto Mexicano de la Propiedad Industrial (IMPI), y la Procuraduría General de la República. No obstante, estas dependencias no han dado conocer el contenido del tratado.

Comentó que dentro del marco normativo nacional del ACTA se incluyen puntos importantes para los derechos fundamentales de la ciudadanía, sin embargo, en la redacción se aprecia “un fuerte desequilibrio de intereses, ya que sólo se ha dado voz y voto a representantes de diferentes industrias”.

El legislador por Nayarit agregó que existe incertidumbre en las negociaciones respecto al tema de los prestadores de servicios en internet, “en el que estarían obligados a filtrar toda comunicación que se intercambie a través de las redes públicas de telecomunicaciones, que se percibe como un atentado grave a la privacidad de las personas”.

También indicó que en este acuerdo se plantea el derecho de autor en el entorno digital, la regulación en materia de propiedad intelectual de usuarios con obras protegidas, y el análisis al principio de legalidad y certeza jurídica que invoca la inocencia de toda persona hasta que no sea demostrado lo contrario.

Dijo que por medio de documentos filtrados se ha podido conocer el contenido de las posturas de quienes realizan este proyecto, y “no se ha dado oportunidad a la sociedad civil de participar en las negociaciones”, a pesar de que el IMPI ha convocado a consultas públicas a fin de involucrar a la población en los acuerdos, las cuales no se ha realizado Ni se ha proporcionado a la Cámara Alta la información necesaria por parte del Ejecutivo sobre el contenido del ACTA.

Ante esto, mediante un punto de acuerdo el senador del PRD pedirá al Secretario de Economía y al Director del IMPI presenten un informe detallado del contenido y alcance del texto preliminar; las provisiones que se incluirán en materia de internet; medios de soporte digital y electrónico; obligaciones que se impondrán a los servidores de internet y programa.

De igual forma, propuso a la Junta de Coordinación Política del Senado de la República se integre una subcomisión o comisión especial que se integre de manera plural que dé seguimiento a las negociaciones del Acuerdo Comercial Anti-Piratería, a efecto de realizar una evaluación del impacto, beneficio o desventajas que podría representar para el país, y haga pública la información que reciba del Poder Ejecutivo.

Dicha transmisión se podrá seguir a través de los canales:

Sitio del Senador Castellón: http://castellon.cybercast.com.mx/

Sitios de transmisión adicional:

Pagina Grupo Parlamentario PRD: www.prd.senado.gob.mx (habrá un enlace para seguirlo)
Sitio de OpenActa: http://www.openacta.org
Blog Pizu: http://pizublog.org

12 Jan, 2010 | hmier |

WTF con el servidor de licencias de contpaq y los antivirus

Ya conociamos desde mayo que habia casos de que los antivirus registraban un falso positivo con el servidor de licencias de los productos de computacion en accion (el appkeyx.dll de contpaq. nomipaq, adminpaq.,etc.) pero desde junio y particularmente esta semana se han disparado los casos que la verdad para poder ofrecer un mejor servicio a nuestros clientes, pues tengo que determinar que tan grande esta bronca.

Particularmente se observa este falso positivo con el servidor de licencias de las versiones mas nuevas de los productos a partir de junio 2009. Asi que tomamos el archivo dll de la aplicacion y la analizamos contra todos los antivirus y OMG!!, definitivamente esto va a ser un dolor de cabeza.



OK, con añadir los directorios de instalacion tanto del producto como del servidor de licencias a la lista de excepcion deja de dar lata. Los antivirus que ya mandaron a cuarentena los archivos pues hay que volver a copiarlos o reinstalar.

Pero, pues eso no ayuda a explicar nada.

Que tantos antivirus reporten así esto, pues es digno de hacer un ejercicio mental, aquí mis conclusiones:

1.- El motor de heurística de algunos antivirus tienen un relativamente alto indice de falsos positivos, pero siempre piden la opinion del usuario antes de realizar cualquier acción, mi primera teoría es que hubo durante un tiempo una recolección de "opiniones" desde diversos usuarios como lo realizan los antivirus gratuitos de AVG y AVIRA (lo dice en la licencia) y el usuario al darle click sin ver, pues al final de cuenta mejor decicidieron añadirlo definitivamente a la lista de malware.

2.- Los antivirus se comparten mucha información entre ellos con respecto al malware, asi que si la opinion de uno o pocos ya se vicio con respecto a este archivo, pues los demas simplemente confiaron en entre ellos y se notificaron las muestras como maliciosas sin hacer más preguntas.

3.- La versión más reciente del servidor de licencias contiene un codigo adicional para detectar cuando entra en modo de debug el procesador con el objetivo de detener un crack que se podia hacer para piratear el producto, pero como es algo que no usualmente se encuentra en cualquier programa, pues los antivirus lo detectaron como sospechoso.

4.- Como los antivirus en realidad no le preguntan a nadie que onda con los archivos, los de compac me parece que no han aclarado con ellos directamente esta situación. Ademas de que está la enorme pregunta de que se hace en estos casos, a mi no me queda claro cual sería el procedimiento con las casas antivirus.

5.- No se descarta la posibilidad, aunque es muy remota que de verdad el servidor de licencias venga comprometido, yo he revisado las comunicaciones de ese programa y no se le nota nada raro a primera vista.

No es la primera vez que ocurre un caso como este, asi que hay que ver que va a pasar.

20 Aug, 2009 | hmier |

Hispasec: Symbian firma criptográficamente como válido un troyano

Una interesante noticias para discutir el dia de hoy: los servicios de aplicaciones para dispositivos moviles como el iphone, itunes, etc... tienen un mecanismo de protección criptográfico para que los gadgets no ejecuten cualquier aplicación procedente de fuentes no autorizadas. pero que pasaría si ese mecanismo es "infiltrado" y deja pasar una aplicacion maliciosa, que los dispositivos ejecutaran como si fuera una aplicacion cualquiera por el simple hecho de que "viene autorizada".

Hay que aclarar que esto no significa que todo el mecanismo este defectuoso, simplemente que hubo una falla mas que nada humana en alguna parte, por lo que se puede seguir confiando en el mecanismo, ahora solo queda lidiar con el desorden.

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-día 20/07/2009
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Symbian firma criptográficamente como válido un troyano
-------------------------------------------------------

Symbian Foundation ha admitido que un troyano se ha colado en su proceso
de validación de software y ha sido firmado criptográficamente para
ejecutarse en su sistema operativo, lo que garantiza que proviene de una
fuente confiable y que tiene total acceso a los recursos del dispositivo
que lo aloje.

El troyano en cuestión se hace llamar "Sexy Space". Craig Heath, jefe de
seguridad de Symbian, admitió que este software pasó los controles y fue
firmado digitalmente como "garantizado" por la propia Symbian. Symbian
sigue el mismo proceso que muchas plataformas hoy en día (iPhone,
Wii...): firma criptográficamente cada programa como garantía de que ha
pasado unos mínimos controles de procedencia. El problema es que en ese
proceso de comprobación de los programas, al parecer se ha colado un
troyano y Symbian lo ha firmado como válido para ejecutarse en su
sistema operativo. Cabe recordar que las firmas validan siempre la
procedencia, (el firmante se hace responsable del contenido) pero la
firma no garantiza cómo o qué hace exactamente un programa.

Lo extraño es que esto no haya ocurrido antes, teniendo en cuenta el
proceso que sigue una aplicación para ser validada por Symbian. Primero
lo analizan con un antivirus automáticamente. Una vez han pasado por
esta prueba, solo algunas muestras aleatorias pasan a ser comprobadas
por auditores humanos. Lo que ocurrió es que el troyano pasó
desapercibido para los motores antivirus (lo que no es ninguna sorpresa)
y no tuvo la "suerte" de pertenecer al grupo de programas analizados por
auditores.

Symbian Foundation ha revocado la firma de esta pieza, con lo que en
teoría, el sistema no permitiría la instalación de nuevas instancias del
troyano. El problema es que la funcionalidad de actualizar firmas
revocadas no está activa por defecto en Symbian, con lo que esta medida
no tendrá mucho impacto.

A raíz de este incidente, Heath piensa que debe mejorar la auditoría
"humana" en su proceso de firma. Pero debido al coste, no cree posible
que puedan añadirse nuevos recursos en este sentido, sino mejorar los
existentes. Interpretando sus palabras, esto puede implicar o bien que
los empleados encargados de esta tarea trabajarán más horas, o que
mejorar la auditoría "humana" pasa precisamente por automatizar aún más
el proceso y que sea menos "humano", lo que llevaría quizás a otro tipo
de problemas de seguridad. En cualquier caso Symbian se encuentra ante
el mismo problema que las casas antivirus para clasificar malware, pues
validar criptográficamente código, no es una tarea muy diferente a la
que realizan los motores antivirus a la hora de identificar virus.

Sexy Space se expande por SMS, enviando enlaces a la lista de contactos
con contenido pornográficos. Envía datos personales como el IMEI de
teléfono a los atacantes, y la víctima deberá hacer frente a los gastos
del envío de los mensajes.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3922/comentar

Más información:

Q & A on "Sexy View" SMS worm
http://www.f-secure.com/weblog/archives/00001732.html

Symbian admits Trojan slip-up
http://news.cnet.com/8301-1009_3-10290212-83.html


Sergio de los Santos
ssantos@hispasec.com


Tal día como hoy:
-----------------

20/07/2008: Grupo de parches de julio para diversos productos Oracle
http://www.hispasec.com/unaaldia/3557

20/07/2007: Grupo de parches de julio para diversos productos Oracle
http://www.hispasec.com/unaaldia/3191

20/07/2006: Grupo de parches de julio para diversos productos Oracle
http://www.hispasec.com/unaaldia/2826

20/07/2005: Disponibles Mozilla Firefox y Thunderbird 1.0.6
http://www.hispasec.com/unaaldia/2461

20/07/2004: Reacción antivirus ante el gusano Bagle.AH/AI
http://www.hispasec.com/unaaldia/2095

20/07/2003: Problemas de seguridad en routers ADSL Asus
http://www.hispasec.com/unaaldia/1729

20/07/2002: La instalación de SQL Server deja las contraseñas en el sistema
http://www.hispasec.com/unaaldia/1364

20/07/2001: Vulnerabilidad en Cisco IOS PPTP
http://www.hispasec.com/unaaldia/999

20/07/2000: Los ficheros del servidor web al descubierto con IIS
http://www.hispasec.com/unaaldia/633

20/07/1999: A vueltas con el Back Orifice 2000
http://www.hispasec.com/unaaldia/267


-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (MingW32)

iQEcBAEBAgAGBQJKZI3OAAoJEFDXatfcTK/riL0IAI3F8t6C33LhHQdz1bbKSTwS
HdubBYjIAI5t3e9a94nEAQhqtuStlNdLdSSKsE2vhVeTy31eAaA/Xttd2bHlhU3i
ycWteWJkT2ibOktkZSWqIH++G1rD7XbeZSs1BR2MFJzZI7FXLASyPqa1+TbWVFV8
mczepXbVTUqxAM+gtb0TJPDCZ1XCg84XxGtwXoXbN/H7AsNZbf67RZOWy+CB87Mt
EZKy5QaKJ2JzUgDK7G69DOHcV8NTPnXlKAdEIGNA9TzRv8Q/U/YqZcczGtLmzYfw
8RksvdMpFpRsMV0N3YO/7qJbBRhUMiuHjXpVvDyIzb9Jc+KQSeTmR/P28Bm04nQ=
=EDSP
-----END PGP SIGNATURE-----

20 Jul, 2009 | hmier |

How to Suck at Information Security

Published: 2009-01-09,
Last Updated: 2009-01-09 01:02:03 UTC
by Lenny Zeltser (Version: 1)
1 comment(s)

The following list presents common information security mistakes and misconceptions, so you can avoid making them.

Security Policy and Compliance

* Ignore regulatory compliance requirements.
* Assume the users will read the security policy because you've asked them to.
* Use security templates without customizing them.
* Jump into a full-blown adoption of frameworks such as ISO 27001/27002 before you're ready.
* Create security policies you cannot enforce.
* Enforce policies that are not properly approved.
* Blindly follow compliance requirements without creating overall security architecture.
* Create a security policy just to mark a checkbox.
* Pay someone to write your security policy without any knowledge of your business or processes.
* Translate policies in a multi-language environment without consistent meaning across the languages.
* Make sure none of the employees finds the policies.
* Assume that if the policies worked for you last year, they'll be valid for the next year.
* Assume that being compliant means you're secure.
* Assume that policies don't apply to executives.
* Hide from the auditors.

Security Tools

* Deploy a security product out of the box without tuning it.
* Tune the IDS to be too noisy, or too quiet.
* Buy security products without considering the maintenance and implementation costs.
* Rely on anti-virus and firewall products without having additional controls.
* Run regular vulnerability scans, but don’t follow through on the results.
* Let your anti-virus, IDS, and other security tools run on "auto-pilot."
* Employ multiple security technologies without understanding how each of them contributes.
* Focus on widgets, while omitting to consider the importance of maintaining accountability.
* Buy expensive product when a simple and cheap fix may address 80% of the problem.

Risk Management

* Attempt to apply the same security rigor to all IT assets, regardless of their risk profiles.
* Make someone responsible for managing risk, but don't give the person any power to make decisions.
* Ignore the big picture while focusing on quantitative risk analysis.
* Assume you don't have to worry about security, because your company is too small or insignificant.
* Assume you're secure because you haven’t been compromised recently.
* Be paranoid without considering the value of the asset or its exposure factor.
* Classify all data assets as "top secret."

Security Practices

* Don't review system, application, and security logs.
* Expect end-users to forgo convenience in place of security.
* Lock down the infrastructure so tightly, that getting work done becomes very difficult.
* Say "no" whenever asked to approve a request.
* Impose security requirements without providing the necessary tools and training.
* Focus on preventative mechanisms while ignoring detective controls.
* Have no DMZ for Internet-accessible servers.
* Assume your patch management process is working, without checking on it.
* Delete logs because they get too big to read.
* Expect SSL to address all security problems with your web application.
* Ban the use of external USB drives while not restricting outbound access to the Internet.
* Act superior to your counterparts on the network, system admin, and development teams.
* Stop learning about technologies and attacks.
* Adopt hot new IT or security technologies before they have had a chance to mature.
* Hire somebody just because he or she has a lot of certifications.
* Don't appraise your manager of the security problems your efforts have avoided.
* Don't cross-train the IT and security staff.

Password Management

* Require your users to change passwords too frequently.
* Expect your users to remember passwords without writing them down.
* Impose overly-onerous password selection requirements.
* Use the same password on systems that differ in risk exposure or data criticality.
* Impose password requirements without considering the ease with which a password could be reset.

The above list of common security mistakes and misconceptions incorporates contributions from fellow ISC handlers. (Thanks!)

-- Lenny

Lenny Zeltser
Security Consulting - Savvis, Inc.

09 Jan, 2009 | hmier |