domingo, 25 de noviembre de 2012

Retrospectiva Agile Open Seguridad BA 2012


Cifras crudas


TIEMPOSLa PreviaAOSTotal
Mails enviados (1 min c/u)127148275
Mails recibidos (1 min c/u)12072192

Difusión personal en ekoparty, cafe-in,
radio pasillo, twiter, skype
6h1h7h
Edición de páginas y confección de
mails de convocatoria
2h1h3h
Total tiempo12h6h18h



Efectividad inscripciónLa PreviaAOSTotal
Inscriptos164359
Asistentes71825



Detalles 


El haber interactuado con una institución grande como es UB trajo un cierto sufrimiento. No fué simplemente acordar una fecha y un lugar sino que encajara con los planes y agenda de eventos de la UB.

Sin embargo, a diferencia del Agile Open Rosario de hace un par de años en el marco del Polo Tecnológico, esto fue un lecho de rosas. Para hacerse una idea no he publicado esa  retrospectiva.

Para la fecha en que el evento había sido convocado originalmente ya había pasado, recién se acordó la fecha para casi tres meses despues. Esto abrió inicialmente dos caminos: tirar todo por la borda y hacer ya el evento en algún lugar pequeño o esperar con paciencia.

Soy muy amarrete para lo primero y carezco de lo último, conflicto gracias al cual surgió una tercera posibilidad, comer el pan y la torta. Esto es, hacer el evento en UB tal como se había arreglado y hacer ya el evento en un lugar pequeño, gracias a JP de SVC.

Para darle valor al primer evento, se generó tarea para utilizar las retrospectivas en el segundo, la convocatoria fue parecida a esta:



El AOS de este año será en la Universidad de Belgrano el día 24 de Noviembre, tan lejos que parece un espejismo. Tratando de sacar ventaja de este potencial temporal de cerca de dos meses, haremos algo asi como un mini agile, "La Previa". La idea es discutir un poco lo que ibamos a discutir pero haciendo eje en llevarnos alguna tarea que relacione Agile con Seguridad y viceversa, por ejemplo:

  • implementar una mínima revisión de seguridad para un proyecto nuevo
  • implementar una mínima revisión de seguridad de la arquitectura de un proyecto existente
  • implementar alguna técnica de seguridad en desarrollo u operaciones
  • analisis estatico de código
  • owasp top ten
  • definir e implementar algún procedimiento de control sobre algun asset de información
  • repositorio de codigo
  • información contractual de proyectos
  • dictar algún tipo de training interno
  • securizar la comunicación con algún cliente

Y ademas, crosscutting agile,
  • sub dividir y estimar la tarea elegida.
  • retrospectiva de la actividad

Para quienes ya tienen seguridad y carecen de agile podría ser:

  • ver de utilizar kanban en algunas tareas de operaciones
  • estimación de esfuerzo mediante planning poker
  • implementar SDM (Standup Daily Meeting) para seguimiento
  • utilizar tdd, bdd, refactoring en el desarrollo de alguna aplicación, que bien puede ser de seguridad

Si aporta, contaré mi experiencia con escolares. La "gente de educación" se la puede llevar para probar y devolver la retrospectiva en el evento principal.


Una de los objetivos es ver como darle valor a estas tareas y ayudar a identificar cual tarea puede ser la apropiada para cada asistente, que tenga costo reducido o algún retorno que compense.

Este evento será de asistencia acotada, tipo veinte personas en un lugar pequeño.

De este modo, el agile open de UB se ve enriquecido por las experiencias y retrospectivas nacientes de este eventito.

En el medio, armamos una lista de google/yahoo o usamos un tag [seguridad] en la lista de agiles para ayudarnos.

La Previa

El fin de semana largo, la convocatoria más abierta a último momento y la evidente falta de interés en el tema conspiraron contra la asistencia. Contra mis expectativas se respetó la regla de que sólo asiste la mitad de los inscriptos, había pensado que al ser la convocatoria más personalizada la asistencia iba a ser mayor. Tratándose de un número tan bajo, el que tres de los cuatro organizadores por parte Agiles no hayan ido, quizás explica la situación. Hubiésemos llegado a casi dos tercios.

Como facilitador cometí un grave error metodológico durante el evento, que fué no respetar las reglas del Open Space. Como consecuencia, aunque interesante e instructiva, fue una larga conversación medio amorfa.

Uno de los organizadores pudo haber "asistido virtualmente" ya que faltó por estar enfermo y quizás hubiese detectado y corregido la situación, pero aunque él me lo sugirió, se me escapó.

Al final quedamos en hacer algunas tareas,

  1. Robo cuenta hotmail. La idea es abrir dos cuentas con distintos niveles de seguridad y contratar el hackeo.
  2. Revisar el proceso de certificación y/o recuperación de twitter.
  3. Usar w3af contra una conocida institución, tomando los recaudos necesarios.
  4. Confidencialidad en proyectos/empresas

con estos resultados.

  1. Se creó una cuenta pero no se avanzó.
  2. JP hizo un excelente trabajo, que será presentado en el Agile Open por un emisario.
  3. Nada, la semana previa intenté iniciar de modo anónimo la exploración pero no pude, ya que estaba caido el sitio.
  4. Nada


AOS

Otras vez los astros conspiraron en contra. Hubieron problemas logísticos en UB que nos dejaron al borde de postergar otra vez. Afortunadamente Paula A., que no sólo es leal con UB y asumió toda la responsabilidad de las fallas, si no que tambien es una persona de palabra, hizo un sacrificio de último momento y logró que lo hagamos en fecha.

Por el lado de Agiles, los organizadores se esfumaron por distintos motivos personales. Sólo les cuestiono que yo haya tenido que preguntarles, en lugar de ellos avisar proactivamente. De este modo perdimos apoyo institucional y difusión de SADIO e IEEE. Afortunadamente otra vez, Juan G. se hizo un lugarcito y aportó una primera sesión explicando que es agile y open space, además de darle el encendido al evento.

Luego hubieron dos sesiones paralelas de "seguridad vs usabilidad" y "usando git y github" y por último "experiencia de privacidad en internet para escolares".

Los resultados de La Previa, dado que sólo una persona había estado en ambos eventos y respetando la regla "estamos los que estamos", ni fueron mencionados.

Fue un poco más caótico que un Open Space promedio, pero funcionó.

Si alguno de los concurrentes ha elaborado alguna apreciación, que por favor agregue el link en los comentarios.

Resultados


Lo interesante es que había más gente de seguridad que de agile. Quizas no muy sorpresivo, dada la falta de interés general en el tema en las listas de agiles.

Por un impulso impulsivo de último momento y en aparente contravención con mi recomendación en agiles a las "agile girls" de usar un tag para marcarse en lugar de hacer otra lista, propuse cuando ya estabamos en la puerta hacer una lista propia. Lo que pasa es que esa falta de interés puede provocar que las personas de seguridad que lleguen a las listas se disuelvan antes de provocar alguna reacción. Es una suerte de zona protegida, comunicada con las listas, ya que hemos invitado a unirse a las listas, pero donde podemos discutir algunas cosas más específicas. Igual es un tema en marcha, veremos que pasa, si funciona como lista aparte, desaparece o nos mudamos a agiles.

Aprendizajes

Hay que respetar las reglas de Open Space.

No creo que valga la pena repetir La Previa. En relación al Agile Open no veo que haya aportado. Falta ver que ocurre con los participantes y la lista.

Aunque el lugar es muy importante, hay que tener un buen plan B. El evento se atrasó cerca de cuatro meses de su fecha prevista inicial, no tengo manera de saber como eso afectó a la concurrencia, pero sí sé que carga produjo sobre el organizador, que se prometía como cada vez "es la última vez que hago esto".

sábado, 10 de noviembre de 2012

Privacidad en Internet para escolares Parte 1

Pienso que la esencia de la enseñansa de defensa personal en Internet es una combinación de varios elementos

  • Conocer como funcionan las cosas
  • Conocer las amenazas
  • Conocer cómo atacar
  • Saber entonces que y como hacer y que no hacer


Fiel a mi estricta adherencia al principio:


Regala un pescado a una persona hambrienta y le darás alimento para un día, enséñale a pescar y le salvarás la vida.

no voy a reproducir una guía de seguridad, ni dar un curso, voy a mostrar mis criterios para hacerlo.

Más abajo menciono unos "links apestosos" ¿Para qué poner esos links? Es porque si alguien hiciera una búsqueda llegaría tarde o temprano a estos sitios, mejor cuento con que se va a encontrar. Quiero además compartir cual es mi criterio de “apestoso” y la metodología que usé.


Manos a la obra


Este post es resultado de mi experiencia de estos últimos meses en los que he dado una serie de micro charlas a escolares entre quinto y séptimo grado. Cuando algún docente me ha pedido más información, me puse a investigar y acá estamos. De paso cuento un poco de la experiencia.

Antes, si quisiera hacer una comparación con cruzar la calle (los niños pueden buscar las palabras resaltadas como simpático ejercicio), sería así:

Cómo funcionan las cosas


  • Las reglas de los colores de los semáforos
  • Algunas leyes de tránsito
  • Los autos necesitan tiempo/espacio para frenar, fenómeno conocido como inercia.
  • Pasa un tiempo desde el momento en que el cerebro percibe vía los ojos algo, lo considera un obstáculo, decide que acción tomar y envía los impulsos nerviosos a los músculos para que actúen. Esto se llama tiempo de reacción
  • Cuando una rueda pisa agua, una porción de esta puede quedar entre el piso y la rueda, provocando un efecto llamado “hidroplaneo” que se potencia con la velocidad y que provoca pérdida de adherencia o reduce la fricción.
  • La transmisión del movimiento del motor a las ruedas pasa por un dispositivo llamado embrague, que permite interrumpir y reanudar esa transmisión.

Amenazas


  • Pasa un tiempo desde que un conductor ve algo y pisa el freno
  • El piso mojado aumenta el tiempo/espacio de frenado
  • El piso recién mojado lo aumenta más aún (¿Por qué? ¡Bien esa actitud crítica!)
  • Un auto con el cambio puesto y el pie en el embrague es un peligro por que se puede patinar el pie.
  • Cuando en un semáforo un auto/moto/bici arranca, el resto arranca independientemente de que haya cambiado el semáforo, no sé si llamarlo "efecto rebaño", "efecto largada" o "a mi no me vas a ganar".
  • Si te pisan fuera de la senda peatonal, te pueden llegar a culpar.
  • Hay personas dispuestas a pelear por sus puntos de vista tengan o no razón.
  • Muchos conductores no saben, no recuerdan o no les importa la prioridad del peatón al doblar.
  • En ciertos barrios a ciertas horas, los semáforos no se respetan por temor a asaltos. 

Conocer como atacar (ponerse en el lugar del conductor)

  • Si se apunta el auto al peatón y se le hacen luces y se toca la bocina, éste suele correrse le corresponda o no el paso.
  • Si se participa de un accidente con las percepciones alteradas, las penas suelen atenuarse (ridículo).
  • Es fácil llevar un arma en el auto, desde un matafuegos a un revolver.
  • Aunque de poca precisión, el auto en sí es un arma formidable.

Saber entonces que y como hacer y que no hacer


  • Mirar a ambos lados al cruzar
  • No confiar en el semáforo, mirar de todos modos al cruzar.
  • No usar auriculares pues pueden ocultar el sonido de algún vehículo acercándose.
  • Tras alguna ofensa, no insultar al conductor o arrojar algún objeto a menos que se esté dispuesto a llegar a las piñas, con riesgo de tiroteo.
  • En ciertos horarios con un mayor porcentaje de conductores ébrios, hay que duplicar la precaución.
  • Partir de la premisa de que el conductor es imbécil, no confiar nuestra vida a un error de cálculo ajeno.

Aunque no es una lista completa ni tenemos que estar de acuerdo y los elementos cambien, este es el estado mental de la seguridad en Internet que considero apropiado.

Aplicado a las charlas que he dado en escuela primaria

Esta fué la estructura subyacente:

Cómo funcionan las cosas

  • GPS
  • Geolocación por red celular
  • Metadata
  • Cómo funciona un sitio para intercambiar mensajes
  • Borrado lógico de registros
  • Fortaleza de contraseñas
  • Almacenamiento de contraseñas
  • Hashing de contraseñas
  • Extracción de información mediante ingeniería social
  • Identificación biométrica
  • Tráfico de Internet

Amenazas

  • Geolocación embebida en metadata
  • Robo de identidad
  • Compromiso de contraseñas
  • Corte de dedo
  • Sniffing

Conocer como atacar

  • Hay un billete en el piso, vamos a medias dame $50, te enchufé un billete falso de $100
  • Hola, cómo te llamás? Y tu padre, madre, hermanos?
  • Ataque por diccionario a sistemas de autenticación

Saber entonces que y como hacer y que no hacer

  • Contraseñas fuertes y distintas para cada sitio
  • No contestar.
  • Ante la duda mentir
  • Desconfiar
  • Saber que el mail puede ser leido
  • Saber que los mensajes pueden existir para siempre
  • Reflexionar antes de publicar cualquier información, debido a lo irreversible de tal acción.


Todo esto en tres charlas de cerca de media hora cada una, nada mal, ¿no? Obviamente todo fué tratado con gran superficialidad, pero usé diagramas iguales a los que hubiera utilizado con un público técnico. No quiero ofender a nadie, pero cuando les expliqué (con otras palabras) el hashing de contraseñas, les aclaré que si no entendian no se preocuparan, mucho profesionales tampoco lo entienden.

 

Logística

La primera charla a séptimo, sexto y quinto y la segunda a séptimo y sexto las dí juntando los dos grados por sugerencia o piedad de parte de la escuela, para ir menos veces. Cuando los de quinto me desbordaron cambiamos a grados separados para la segunda de quinto y las terceras. El resultado fué mucho mejor, ya que hubo un grado mayor de atención.

Es conveniente evitar dejar espacio para que los docentes intervengan, a menos que no haya limitaciones de tiempo. Les ofrecí a los docentes ir en otra ocasión como "consultor".

Esta experiencia continúa dos años despues en http://seguridad-agile.blogspot.com/2014/04/privacidad-en-internet-para-escolares_22.html

 

Referencias útiles


Para poder aprovechar los links que cito a continuación, o cualquier otro de seguridad, es absolutamente fundamental tener una actitud completamente crítica, desconfiada. No de soberbia “a mi no me pasan esas cosas”, si no “esta solución me parece insuficiente”, “¿cómo funciona ese ataque?” o “¿Cómo se justifica?”.  Hay que ponerse en sintonía con el que ataca. Es fundamental ser acompañado por alguien que sepa.

La verdad es que algunos de los links apestan por los siguientes motivos:

Técnicos

Tienen muchos links rotos, ya sea por dominios que no existen, por videos cuyas cuentas se han deshabilitado, documentos rotos, páginas de registro que no funcionan. Hay además documentos comprimidos para bajar en lugar de ver online, cosa que al menos a mi me produce una cierta desconfianza y al usuario inexperto una dificultad extra.

Presentación

Hay mucho material con un gustito corporativo o de prédica fundamentalista que me repele, pero esa es una sensación mía.

Habla con tus padres

Con respecto al trillado “habla con tus padres”, me parece casi contraproducente. Aun así, un adulto puede no saber nada de informática e Internet, pero si suele saber de engaños y estafas, así que no deja de ser una buena guía.

Esto me ha llevado que muchos otros links ni los incluyera.

Los no apestosos

Jefatura de Gabinete de Ministros


http://www.jgm.gov.ar/paginas.dhtml?pagina=353

No recuerdo como lo obtuve. Son videos bastante instructivos, bien hechos, pero hacen arder mi rebeldía adolescente, por el aire condescendiente de algunos. No sé como le caerá a un niño de verdad. A mi me resultan muy claros y amenos de todos modos.

Argentina Cibersegura


http://www.argentinacibersegura.org/

Llegué aquí por Hernán Racciatti, que expone habitualmente en distintos eventos y medios como OWASP Day, Ekoparty, en una radio, Twitter.

http://www.argentinacibersegura.org/contenidos/

De los contenidos vale la pena ver:

“Breve ayuda de seguridad en redes sociales”

En general los 10 consejos me parecen bien, aunque algunos tienen excesivo tecnicismos como:

“Evitar el usuario “Administrador” para el uso general del sistema, ya que no suele ser necesario.”

Que se me ocurre difícil que la mayoría entienda y aplique. Además hay muchas frases “habla con tus padres”, de lo cual ya he opinado.

ISECOM HackerHighSchool


http://www.hackerhighschool.org/

Es un sitio bastante técnico, donde enseñan a defenderse comprendiendo como se ataca. Está en varios idiomas, así que sirve para practicarlos. Es para personas que quieran entender bastante más de lo necesario para la navegación común. Si el sitio se llama "hacker" algo, quizás sea por algo...

http://www.hackerhighschool.org/lessons/lessons-es.html

Hasta aquí hay suficiente material para empezar. Consideraría no seguir adelante, ya que las ramificaciones de los links comienzan a apartarse de fuentes más o menos confiables.

Los apestosos


Segu-kids


http://segu-kids.org/

No está separado de algún modo el acceso de niños vs padres y docentes, de modo tal que un niño relativamente pequeño queda expuesto a conocer una serie de amenazas quizás antes de tiempo. Hubiese puesto algún tipo de registro para las secciones de padres y docentes.

Hay muchos links rotos, pero lo que más me preocupa es el que conduce a

http://www.escuelaslibres.org.ar/descarga/referencia/ADB-SL.pdf

que está roto. ¿Un pdf roto? ¡Qué raro!

Plataforma Educativa ESET


http://edu.eset-la.com/

Llegué aquí desde argentina cibersegura, no pude ver los cursos ni eventos. Quise registrarme sin éxito. ¿Será un honeypot?