Con todo ese dinero, de acuerdo a la descripción que hace Ben Hagen en su charla, tuvieron capacidad para invertir incluso en seguridad, aunque no demasiado por que él era el único encargado de seguridad informática de la campaña.
La verdad es que, siguiendo lo que parece que hicieron en otras partes de la tecnología, en seguridad también fueron exhaustivos respecto a la catalogación de las amenazas, y es que los enemigos potenciales son potentes, y los oponentes electorales están abajo en la lista, después de los Chinos, la Mafia y Anonymous. Y los ataques, aunque conocidos, tampoco son tan fáciles de evitar, no sólo mediante denegaciones de servicio distribuidas (DDoS), escaneo, fraude y sabotaje sino también "spear phishing", con un nivel de sofisticación realmente elevado: a un analista se le envía un correo que parece venir de su jefe diciendo "Me ha llegado este documento ayer, necesito un informe al final del día"... que por supuesto es un virus.
Las medidas de protección son prácticamente el estado del arte: Suricata, Snorby, BroIDS, Nessus y Nmap para proteger la red, pero también hay que proteger la nube. En esa parte, Amazon (AWS) era uno de los elementos principales de su nube, al que aplicaron Snort, Snorby, ModSecurity y Nmap otra vez.
Pero una de las cuestiones fundamentales son las personas. ¿Cómo se ponen medidas de protección a las personas? Pues básicamente dos medidas:
- Entrenamiento en detección humana de phishing. A todos los trabajadores de la campaña se les hacía un test, si tenían dificultad en detectar los ataques de phishing se les hacía un entrenamiento especial.
- Un sistema exhaustivo de revisiones de código (utilizando Burp!), en el que se avergüenza (con buen humor, sin humillar) al que desarrolla código inseguro exponiendo su inseguridad ante todos (con una nutria bailarina y música adecuada, claro).
Entradas
No hay comentarios:
Publicar un comentario