Wednesday, July 29, 2009

Lateral Thinking



Voy a realizar una breve introducción al concepto de Pensamiento Lateral para luego comentar una noticia de varios defacements y ataques que circularon los últimos dias.

Introduccion

Edward De Bono es fisiólogo y escritor, que habla en sus libros sobre el llamado "Pensamiento Lateral", o en otras palabras, como resolver problemas utilizando otros enfoques cuando el "sentido comun" no da resultado.

Wikipedia nos da un poco mas de información :

De Bono define el "Pensamiento lateral" como un conjunto de métodos de pensar que permiten cambiar conceptos, percepción y aumentar la creatividad. Es una colección de teorías de "pensamiento divergente", que no son inmediatamente obvias y que no pueden seguirse, usando solamente la lógica tradicional paso a paso, y que se concentran en generar nuevas ideas, en cambiar conceptos y perspectivas.

Por regla general, nuestro cerebro aborda los problemas de modo racional. Fundamentamos nuestras respuestas en lo aprendido, con una base histórica y con un enfoque plenamente lógico, pero en muchos casos es importante aplicar otra perspectiva a la resolución de problemas.

De Bono encuentra que el pensamiento lógico, que es fundamentalmente hipotético y deductivo, tiene una gran limitación de posibilidades cuando se trata de buscar soluciones a problemas nuevos que necesitan nuevos enfoques.

El término "Pensamiento Lateral" fue acuñado para diferenciarlo del "pensamiento lógico", al cual llamó “Pensamiento Vertical”. Los caminos del "pensamiento lateral" son situaciones extrañas, absurdas o ilógicas para nuestro cerebro y requieren una explicación.
Exponemos algo que debe ser resuelto, parece muy difícil de solucionar, pero si pensamos lateralmente, evitando lo lógico o lo obvio, enfrentamos viejos y nuevos problemas con nuevas ideas.

El Pensamiento Lateral actúa liberando la mente del efecto polarizador de las viejas ideas y estimulando las nuevas y lo hace mediante la perspicacia, pero sobre todo mediante la creatividad y el ingenio, procesos mentales con los que está profundamente unido.

En vez de esperar que estas tres características se manifiesten de manera espontánea, De Bono plantea el uso del pensamiento lateral de maneray deliberada, como una técnica."

Ejemplo

Existen en internet algunos ejemplos gráficos en los cuales se utiliza este método de resolver problemas. ( La solucion del siguiente problema al final del post )


En mi caso cuando no recuerdo algo, por ejemplo el nombre de una película, pero recuerdo un actor, visito IMDB y llego a la película por medio del actor. En cierta forma es una manera de pensar "lateralmente" y tener mala memoria.


En Seg. Informatica.

Ahora veamos como se aplica el "Pensamiento Lateral" a la seguridad informática.

Imaginemos que alguien se propone realizar un defacement de los sitios de los mayores especialistas de seguridad informática del mercado o al menos de los mas renombrados.

Normalmente podemos pensar que el grado de dificultad para llegar a cumplir con el objetivo es significativamente alto, si el hacking ocasional se realiza sobre el paradigma de "La manzana mas cercana", realizar el Defacement de sitios como Matasano, es apuntar a una de las manzanas mas altas de arbol.

Pero increíblemente esta ultimas semanas, un grupo de hackers(?) realizo el defacement de los sitios de Dan Kaminsky y Kevin Mitnick .

Como ocurrio esto ?

Circulan diversas teorías, unas hablan de un 0day en el server de SSH, otra teoria interesante que aplica al tema del Pensamiento Lateral es lo que cita este articulo de SANS.

Si no puedo relizar un defacement de tu sitio porque es muy seguro, entonces contrato un hosting en tu mismo proveedor y te ataco desde adentro.

Pensamiento Lateral puro, como el utilizado por el ratoncito para llegar al queso. El laberinto es demasiado complicado.

"So if a site on a shared host is being tested, just because site1.com is "secure" that does NOT in anyway mean that the server is secure, because site2.com could easily be vulnerable to all sorts of simple attacks.".


Esto que ocurrió con los sitios de Matasano y otras organizaciones, yo lo vivi personalmente unos años atras.

Una empresa que se encargaba de proveer los recibos de sueldos, digitalizo toda la información. Desde cierto mes debíamos acceder a los recibos de sueldo por medio de un sitio web.

Que ocurrió ?, esta aplicación "web" tenia serias fallas de seguridad, una de las mas graves era un sql injection que permitía acceder a las tablas del sistema.

Luego de una reunion en la cual se informo de los problemas, nos enteramos que la aplicación era desarrollada por un tercero. Accediendo al sitio web del tercero, encontramos el código fuente de la aplicación con las passwords grabadas en duro dentro de la base de datos.

Por ultimo, esta aplicacion web habia sido vendida por el proveedor a varias empresas, por lo tanto si bien se habian corregidos los problemas nuestros, aun persistian en la web los problemas en los sitios paralelos que pertenecían a otras empresas, ya que todos los sitios estaban hosteados en el mismo proveedor.

Hasta el dia de hoy no terminaron de corregir todos los errores.

Este es claramente desde el punto de vista del atacante un problema a resolver utilizando el Pensamiento Lateral y desde el punto de vista de los administradores de sistemas un claro ejemplo de lo que se llama "Desperimetrizacion". La desaparición de fronteras entre las empresas.

Ya habíamos hablado sobre una situación similar causada por sitios web que tenían vulnerabilidades que por razones de costos o tiempo no podian ser reparados, poniendo en peligro la seguridad de aplicaciones o sitios criticos.


Sin tener la bola de cristasl, puedo decir que este tipo de problemas se incrementaran en el futuro con el avance del Cloud computing.

Para terminar, cuando tengamos que proteger nuestra informacion pensemos en los minimos detalles, enfoquemos el problema desde diferentes angulos y nunca subestimemos a los potenciales atacantes.


Soluciones :


Mas ejemplos en :

http://www.funonthenet.in/content/view/163/31/






3 comments:

elteto said...

muy buen post :-), buena introduccion y excelente explicacion de como aplicar el pensamiento lateral en seguridad informatica, una vez lo dije a algun conocido que tambien leía tu blog, sos el paenza de la seguridad informatica, explicas cosas que a algunos se les complica mucho de una manera muy simple.

Saludos.

pd: (hoy vi el video del tipo de la escopeta y le sigue pegando a los disquitos :-D )

Alain said...

wooow que puedo decir,eres muy bueno
seguire leyendo tus post!

eres mi GURU!!

saludos.

Julio Jaime said...

Seguir leyendo mis posts no es recomendable para la salud. Es un consejo de tu GURU amigo.

Saludos.