lunes, 31 de diciembre de 2007

El Fin de Netscape

Los que hayamos tenido la oportunidad de estar involucrados con sistemas de cómputo allá por inicios de los años noventa, seguro recordaremos al navegador Netscape. Si uno quería navegar en Internet, era de lo más normal usar Netscape y de hecho prácticamente era la única opción.

Años más tarde, bueno, ya sabemos la historia, vino Microsoft con su Internet Explorer (IE) y lo puso sin preguntar en todos los sistemas operativos Windows; inició la guerra de los navegadores que al final, bueno, ganó Microsoft al tener un porcentaje altísimo de usuarios. Pero esto no fue el fin de Netscape, siguió discretamente dando guerra y en 1999 fue adquirida por AOL. Muchos pensamos que resurgiría, pero no fue así.

Y es en diciembre de 2007 que AOL anuncia el fin de Netscape. No más desarrollos, no más versiones, no más parches. Más de 10 años estuvo Netscape presente, tuvo un inicio glorioso pero llegó a su final. Ahora los que dan la cara y se enfrentan a IE son Firefox y Opera, principalmente.

Los navegadores tienen una responsabilidad cada vez mayor en cuestiones de seguridad, ya que cada vez más la WWW (World Wide Web) es usada como una de las principales vías de infección de código malicioso y otros engaños como el phising. Hasta la fecha, considero que los principales navegadores no están haciendo lo suficiente como para que el usuario se sienta seguro al navegar. Por lo pronto, en la lucha por conseguir las preferencias de los usuarios y contar con mayor seguridad y mejores características ya no estará presente el "padre" de los navegadores que como el dinosaurio, alguna vez reinó sobre la faz de la tierra.

La noticia en:
http://www.eleconomista.com.mx/articulos/2007-12-31-52226


miércoles, 19 de diciembre de 2007

Tostador maligno

"Mi tostador fue usado para extraer mi información bancaria y ya me vaciaron la cuenta". Alguien que diga eso me causaría una gran risa, aunque después de lo que leí ya no reiría tanto.

En una conferencia llamada ClubHACK 2007, un investigador de la empresa CheckPoint demostró cómo un tostador conectado a la red puede ser usado para hackear una computadora y comprometerla. ¿Por qué hizo esto?

Se ha hablado que en el futuro los aparatos electrodomésticos se conectarán a la red y por ejemplo un refrigerador podrá avisar que se acabaron las tortillas y hasta podrá pedir al Súper vía Internet que se surtan más. Es una escena futurista pero sobre todo en países altamente tecnológicos, esto no es algo irreal.

Este investigador lo que demostró es que en el momento en que un electrodoméstico se conecta a la red, podría ser usado de manera maligna. Imaginemos que tenemos en nuestro hogar un tostador o refrigerador que inalámbricamente se conecta a nuestra red doméstica o a Internet; nuestro vecino o un hacker podría comprometer este tostador o refrigerador y de ahí tener acceso a nuestra computadora.

En fin, esta demostración del tostador tal vez sea muy excéntrica. Lo que sí debemos de pensar es que en el momento en que un electrodoméstico ejecute algún software y tenga conexión a una red, podrá ser explotable vía remota. Hoy día vemos a equipos de cómputo infectados y convertidos en zombies a la órden de un criminal, podremos ver refrigeradores convertidos en zombies en el futuro?
La noticia en: http://www.theregister.co.uk/2007/12/18/networked_toaster_hack/


sábado, 15 de diciembre de 2007

Robo de laptop en video

Si ya están cansados de los videos de YouTube, al final de este mensaje les adjunto la liga donde podrán ver el momento en el que se roban una laptop usada para la donación de sangre en los Estados Unidos. La laptop contenía cerca de 250,000 nombres, direcciones, tipos de sangre y números de seguro social (suficientes datos para tratar de hacer un robo de identidad en los EUA).

Bueno, aquí mi pregunta es: ¿CUÁNDO VAMOS A APRENDER? Cada mes al menos leo una noticia de robo de laptop con información confidencial en EUA y resta por ver a nivel global cuántas se roban con información de este tipo. La solución es sencilla: no guardar información confidencial en laptops y si lo hacemos hay que cifrarla. Existen productos muy buenos para cifrar, por ejemplo PGP Whole Disk Encryption; es una solución que cifra todo el disco sin tener que estar cifrando archivo por archivo. Cabe mencionar que hasta WinZip tiene manera de cifrar datos, por qué no usarla? Ahora, si lo que quieren es algo gratuito, googleen la palabra “GnuPG”.

No creo que las noticias de robos de laptops con información confidencial se detengan o disminuyan, es más, creo que aumentarán porque las laptops son cada vez más baratas y populares. Y con la capacidad de discos internos y externos, cada vez es más fácil llevarse la información importante de una corporación en estos equipos que caben en una mochila. La tentación de almacenar ahí información es simplemente muy grande: para trabajar en casa, para trabajar en viajes o sólo por el placer de llevar con uno toda la información habida y por haber (¿qué tal que la necesito y no la tengo?).

Bueno, pues este almacenaje móvil tiene su precio. Y si encima de eso no ciframos la información, bueno, pues ya ni cómo ayudarnos. Cabe mencionar que aunque las noticias de robo de latops son bastantes, no he leído noticias de que lleguen a usar la información de esas laptops y creo que esto sí sucede pero de manera reducida. Esto significa que la gran mayoría de los ladrones van por el hardware, no por la información. ¿Cambiará esto en el futuro? Tal vez ya esté sucediendo...

El video lo pueden ver en: http://www.startribune.com/video/12232681.html

martes, 11 de diciembre de 2007

Handbook of Applied Cryptography

Existe un muy buen libro de Criptografía llamado "Handbook of Applied Cryptography". 
Pues bien, lo pueden bajar de forma gratuita y legal del sitio que anexo al final de este mensaje.
Es un texto bastante bien redactado y aunque no es para principiantes, los lectores más avanzados seguramente lo agradecerán y apreciarán.
Yo ya lo estoy bajando a mi equipo.
¡Buena lectura!

http://www.cacr.math.uwaterloo.ca/hac/index.html

Vulnerabilidades a la venta

"¡Pásele, pásele, pásele! Lleve su vulnerabilidad güerito, es una oferta, es una promoción". Sólo agréguenle un tono de "vagonero" del metro. Un poco de humor antes de comentarles de la venta (que no se lleva a cabo en el metro todavía) de debilidades en un sitio de Internet.

¿Es justo que si yo descubro una debilidad en un software, me paguen por eso? ¿El tiempo que alguien invierte en descubrir una vulnerabilidad debe ser pagado con un "gracias" y una nota de reconocimiento en el sitio del fabricante? ¿Tanto tiempo para eso? Obviamente si es un criminal y no un investigador el que descubre la debilidad, la explotará seguramente para sacarle algún provecho económico y ahí estará su recompensa al tiempo invertido.

El sitio de Internet Wabisabilabi (parece traba-lenguas) tiene una especie de e-Bay de debilidades, donde el que descubre una debilidad la puede subastar en línea al mejor postor. Según el sitio Wabisabilabi dice que sólo se las vende a gente "respetable".

En fin, por un lado tenemos al investigador o desarrollador que descubre una debilidad y que éticamente se la manda el fabricante, no esperando ninguna remuneración económica. Por otro lado tenemos al mismo investigador que decide venderla y que se le pague por su tiempo invertido. ¿Qué debemos hacer? Aquí es cuestión de ética y habrá numerosas opiniones sobre lo que es correcto hacer: enviar la debilidad sin esperar nada a cambio o venderla. He ahí la cuestión.

Por cierto, me intriga saber quiénes son los "respetables" que compran las debilidades, el sitio en cuestión dice que son "investigadores de seguridad" quienes las compran. Puede ser, pero en primera: cómo le hacen para verificar la "respetabilidad" del comprador? Y en segunda: cuántos investigadores de seguridad pagan cuatro mil dólares por una debilidad (eso es más o menos lo que cuestan)? Sobre todo pensando que para cuestiones de investigación o pruebas se pueden encontrar varias en la red de forma gratuita, cierto?

Así es que yo más bien pongo en duda la ética de este sitio porque creo que la mayoría de estos compradores son realmente criminales o gente con malas intenciones.
La noticia en: http://www.pcworld.com/businesscenter/article/140471/security_vulnerabilities_for_sale_to_the_highest_bidder.html


lunes, 3 de diciembre de 2007

Tips compras navideñas online

El sitio especializado en seguridad bancaria, www.bankinfosecurity.com, nos ofrece algunos tips para comprar online de manera segura en estas navidades. Algunos tips son buenos y otros más obvios, juzguen ustedes.

1.- Compren en sitios de Internet que confíen.
Comentario: en México, la Asociación de Internet ofrece un sello para tiendas online seguras (www.ampici.org.mx) y un listado de sitios confiables. Fuera de esto, la verdad creo que el comentario es un poco obvio; alguien compraría en un sitio no confiable?
¿Es necesario que me lo digan?

2.- No compartir contraseñas de Internet con nadie; use diferentes contraseñas para cada sitio.
Comentario: Es un buen consejo, aunque recomendar que se usen diferentes contraseñas para cada sitio, es tal vez sólo posible con un administrador de contraseñas o para alguien que goce de muy buena memoria. La mayoría usamos dos o tres contraseñas o una variante de una misma. El nombre de un administrador de contraseñas (gratuito) es "password safe", hay muchas otras opciones.

3.- No comparta información personal en sitios de Internet.
Comentario: efectivamente en Internet, uno no sé por qué suelta la lengua de más y da datos a diestra y siniestra. ¿Nombre? ¿Edad? ¿Domicilio? ¿Ingresos monetarios? ¡Claro! Encantado de responder. Total, me los pidieron en un sitio de Internet, debe de ser confiable, no? Recuerden que lo mismo pasa con las extorsiones telefónicas, se dan datos sin pensarlo. Típico que nos llaman a la casa y lo primero que se escucha es: "¿A dónde hablo?" Y contestamos: "A la casa de la familia Pérez y García". De entrada y sin esfuerzo, ya saben qué familia vive ahí. Con esos datos se va armando un perfil familiar para simular un secuestro, por ejemplo.

4.- Instale antivirus, firewall personal, antispyware; actualícelos.
Comentario: buen consejo. Sin embargo, en México para muchos usuarios tener estos programas saldría tal vez en $1,000 o $1,500 por año. Muy caro. Hay opciones gratuitas para estos tres programas básicos.

5.- Aplique su criterio en el correo; si se ve raro no lo abra. Hasta correos de personas confiables pueden venir infectados.
Comentario: no estoy tan seguro de si todos los usuarios podamos aplicar un "buen" criterio tratándose de seguridad y computadoras. Los usuarios queremos bajar videos, escuchar música o redactar un documento, no somos expertos en seguridad; tendremos que aprender a tener un buen criterio al leer correos?

6.- Haga transacciones seguras con empresas usando "https".
Comentario: se recomienda que se use el protocolo seguro SSL, lo cual se indicará cuando se prende un candado en la parte inferior derecha del navegador. Pues bien, que se prenda el dichoso candado y que se use SSL, sólo significa que se cifran los datos en tránsito; no nos dice nada de quién está del otro lado del "cable". Por cierto, casi nadie ataca datos cifrados en tránsito, más bien se van a atacar la base de datos de la compañía online (con "n" números de tarjetas de crédito) o a la PC del usuario. Simplemente es más fácil.

7.- Verifique sus estados de cuenta.
Comentario: sin comentario, es una buena práctica para ver que no se tengan cargos extraños. Recuerden que en México muchas tarjetas de crédito están aseguradas contra este tipo de fraudes o cargos no reconocidos.

8.- Conserve impresiones de las comprobantes (número de orden, precio, cantidad) que le da la tienda online.
Comentarios: sin comentarios, es buena práctica.

9.- No compre nada que le ofrezcan vía spam.
Comentarios: yo no compraría nada que venga en un correo que considere que es spam. Ni siquiera ingresaría a la página web. Es un buen consejo.

10.- Apague la PC cuando ya no esté en línea.
Comentarios: con la llegada de la banda ancha, es tentador dejar la computadora encendida y conectada, porque nos da flojera volverla a prender. Sin mencionar la energía eléctrica que se desperdicia ( www.climatecrisis.net), esto es aprovechado por los atacantes para crear ejércitos de zombies que son computadoras infectadas permanentemente conectadas a Internet, listos a responder a su "maestro".

Felices y seguras compras navideñas online les deseo siguiendo estos consejos y otros que crean pertinentes.

La noticia en: www.unibank.com/education/Prevent_Holiday_Thieving.doc


viernes, 30 de noviembre de 2007

Autenticación cómoda.

Por un lado nos dicen que cuando no estemos en nuestro lugar debemos de bloquear la sesión para que nadie más haga uso de ella e ingrese a nuestro equipo e información. Por otro lado nos da flojera teclear la contraseña tantas veces al día; hay innumerables ocasiones en las que uno se levanta al sanitario, a una junta relámpago con el jefe o por una taza de café y preferimos no bloquear la sesión para no tener que ingresar la contraseña a causa de unos segundos o minutos que nos retiramos de nuestro lugar.

Hay por ejemplo tarjetas inteligentes que facilitan y fortalecen el proceso de autenticación, pero igual requerimos de darle una contraseña o PIN. Hay otras soluciones pero hoy se me ocurrió una ideal: no habrá un dispositivo que cuando estemos a digamos tres metros de nuestro equipo la sesión permanezca abierta, y cuando nos alejemos de esos tres metros la sesión se bloquee automáticamente? Y cuando volvamos a regresar al perímetro de los tres metros otra vez se abra la sesión.

Esto obviamente permite que el que tenga el dispositivo pueda abrir la sesión, es decir, se requiere únicamente un factor de autenticación: alguien que tiene algo. Debemos agregar otro factor de autenticación para fortalecerlo: algo que eres. Por ejemplo, que cuando estemos dentro de los tres metros pongamos nuestra huella del dedo y así sea la manera de abrir la sesión. El que tenga el dispositivo cerca del equipo y posea la huella dactilar correcta podrá trabar con la sesión.

Ejemplo: estoy en mi lugar trabajando y voy por café. La sesión se bloquea automáticamente porque yo me llevo el dispositivo cuando voy por mi taza y ambos salimos del perímetro de los tres metros. Regreso, me siento y pongo mi dedo en el dispositivo y listo: sesión abierta. Obviamente este dispositivo deberá tener ciertas características inalámbricas para saber cuándo se está adentro o fuera del perímetro de los tres metros y para transmitir información de autenticación del dispositivo hacia la computadora.

No sé si haya en el mercado algo por el estilo. ¿Es buena idea? Habría que pensarla bien y diseñar exactamente el mecanismo de seguridad de este dispositivo, ya que cuando hay información de autenticación que viaja inalámbricamente a mi me pone nervioso.

En fin, se me ocurrió hoy cuando me levanté de mi lugar al sanitario y pensé: por qué bloquear mi sesión si nada más me voy tres o cuatro minutos? La dejé abierta y estos momentos son precisamente los que espera un atacante; ahora que lo pienso, no recuerdo haber visto antes al señor de la limpieza que pasó por mi lugar cuando me levanté. Habrá que formatear, no hay remedio.





 

jueves, 29 de noviembre de 2007

El mejor antivirus para vulnerabilidades de día cero...según Sophos

Apareció un estudio donde ponen a prueba a Sophos, Symantec y McAfee (los tres grandes del mercado antivirus según Gartner).
El estudio arroja que Sophos es el mejor para detectar debilidades día cero (son las que no tienen parche ni "workaround").
Si están por comprar un antivirus, pueden dejarse guiar por este análisis. Aunque habrá que tomar las conclusiones con reserva, ya saben, los estudios pueden ser tendenciosos en muchos sentidos.
Por cierto, al final del estudio, dice que el patrocinio fue de Sophos y de hecho el estudio se puede bajar de la página de Sophos. No me sorprende que adivinen-quién sea el ganador.

http://www.sophos.com/sophos/docs/eng/marketing_material/cascadia-sesc-review.pdf

Crece robo de laptops en DF

El día 26 de noviembre, el periódico El Economista publicó una noticia respecto a que se ha incrementado el robo de computadoras portátiles principalmente en estacionamientos con valet parking y en cafeterías que se ubican en Reforma, Insurgentes y Lomas de Chapultepec.

El robo se produce cuando la víctima se descuida en una cafetería o cuando deja su aparato dentro de su auto en el valet parking. Estas computadoras son luego vendidas a "buenos precios".

Lo primero que a uno le viene a la mente es el costo de la laptop, que puede rondar entre $10,000 pesos o hasta $30,000 pesos más o menos. Sin embargo, aquí hago hincapié en el costo del robo de la información que contiene este aparato. Sobre todo si la laptop es de la empresa, seguro contendrá información corporativa; no quiero pensar si esa laptop es de una persona de nivel gerencial, entonces la información será aún más valiosa.

También siendo sinceros, los ladrones de este tipo de aparatos en el DF pocas veces van a husmear en la computadora para buscar información. Tal vez todavía nadie les ha dicho que no sólo pueden vender el hardware, sino que pueden ver el contenido en datos y decidir si tiene valor. Por otro lado, vayamos a un extremo donde el robo de la laptop no es casualidad, sino resultado de un ataque dirigido para obtener su contenido.

Los individuos dueños de laptops deben preocuparse por el costo del hardware a menos que tengan información financiera o de algún otro valor personal. Por otro lado, definitivamente para las empresas la preocupación no es el costo del hardware (es lo de menos), sino el costo de haber perdido la información y el uso que alguien más le pueda dar.

Recomendación: no dejar laptops en el valet y asegurar la laptop a la mesita del café.

La noticia en: http://www.eleconomista.com.mx/sinprivilegios/articulos/2007-11-26-49902


Dime tu contraseña.

¿Se han encontrado con aplicaciones web que piden contraseñas y le dicen a uno qué tan "segura" es? Yo sí en varias ocasiones aunque nunca he puesto mis contraseñas a prueba en estas aplicaciones online. ¿La razón? Puede ser un truco para conseguir mi contraseña o alimentar a un diccionario de contraseñas para elaborar ataques de fuerza bruta.

En esta ocasión me encontré con una aplicación web (http://www.codeassembly.com/examples/passwordstrength.php) que curiosamente no sólo me pide mi contraseña, sino mi correo electrónico, nombre y apellido. ¿Por qué querrán saber mi correo y nombre si lo que quiero ver es la fortaleza de mi contraseña y puedo ver los resultados en la misma página web?

Se me ocurrió que alguien mal intencionado puede enviarnos correos diciendo que hay una fabulosa aplicación online para ver qué tan segura es mi contraseña. Y hasta nos puede pedir nuestra cuenta de correo para mandarnos la información analizada con gráficas y recomendaciones. Tal vez no recibamos el correo esperado y mientras tanto alguien más tendrá ya una contraseña nuestra junto con la cuenta de correo. Apuesto a que la contraseña que dan los usuarios en este tipo de páginas será funcional (servirá para entrar a la computadora del usuario, o para el correo web, etc.)

Esto puede ser la base para idear algo más "grande" a nivel empresarial o puede servir para propósitos más "mundanos" y obtener la contraseña y cuenta de correo de esa persona que tan mal me cae e inclusive husmear en la computadora o correo de una pareja sentimental. Todo depende de que la víctima acceda a probar la fortaleza de su contraseña y listo, a empezar a ver si es la del correo, la de la computadora, la de MySpace o FaceBook.

PD: en todo caso que deseen probar este tipo de aplicaciones, asegúrense de haber buscado ustedes mismos esta aplicación y que nadie se las haya enviado; y no dar ninguna información adicional que no sea la contraseña.

martes, 27 de noviembre de 2007

Otro día cero para Windows.

Cuando se descubren vulnerabilidades sin que exista un parche o solución se le llama ataques de día cero. Varias fuentes respetables de seguridad (abajo citadas) han alertado de una debilidad al parecer en todas las versiones recientes de Windows. La información apunta a una vieja debilidad que aparentemente fue parchada pero que continúa de algún modo vulnerable.

Como podrán ver, la información de esta debilidad es muy general y hasta ambigua; esto debido a que la empresa está trabajando en un parche y no desea que se publique información sobre la misma para no dar datos que aproveche gente mal intencionada. Este anuncio de la debilidad se dio en una conferencia de hackers en Nueva Zelanda por el señor Beau Butler.

Particularmente interesante es que según parece, esta debilidad afecta a sistemas Windows que no estén en Estados Unidos. Alguien paranoico pudiera pensar que esto es intencional para afectar a equipos de otras naciones pero no del país en donde la empresa tiene su centro de operaciones.

Finalmente, si esta debilidad se confirma, volvería a decirnos lo que ya sabemos: que los sistemas que las organizaciones y personas usan, tienen debilidades a pesar de que estén parchadas "al día de hoy"; siempre hay una vulnerabilidad que no ha sido descubierta y que alguien podría encontrar y usarla en su beneficio sin que la víctima se de cuenta. Y claro, esto no sólo pasa en Windows, también usuarios de Linux o Mac OS X están en la misma situación aunque con un riesgo menor por el bajo interés que estos sistemas pueden tener.

Dependiendo de cómo funcionan las debilidades, algo que nos puede ayudar es un firewall personal que puede mitigar algunos riesgos de los ataques de día cero. Los antivirus y anti spyware realmente no tienen mucho qué hacer ante este tipo de ataques que yo considero por sus características los más peligrosos, ya que el crimen organizado y hasta gobiernos podrían hacer uso de ellos, cada uno con diferentes fines.

La información en:

http://www.virusbtn.com/news/2007/11_26.xml?rss=
http://www.theage.com.au/news/technology/flaw-leaves-microsoft-looking-like-a-turkey/2007/11/23/1195975914416.html

http://www.theregister.co.uk/2007/11/26/wpad_vuln_investigated/


viernes, 23 de noviembre de 2007

MAC OS X también inseguro

Regla: la cantidad de vulnerabilidades encontradas en el software es directamente proporcional al número de líneas de código fuente, e inversamente proporcional al tiempo de uso del software en cuestión y a su popularidad.

Siguiendo esta regla, Windows Vista tiene pocas vulnerabilidades (en uso desde hace algunos meses) en comparación de Windows XP (en uso desde hace varios años). Ambos productos tienen una enorme cantidad de líneas de código fuente y son muy populares.

Aplicando la misma regla, el nuevo sistema operativo de Apple, "Leopard" debe de contar con pocas debilidades encontradas, pero también las tiene y esto es un hecho después de que ya varios investigadores (y también gente que no pertenece precisamente al gremio de investigación) ha encontrado algunas debilidades en el sistema operativo de la Manzana.

Y aunque la regla mencionada al principio no es infalible ni científicamente probada, en mi opinión se puede aplicar bastante bien a varios productos de software y la pueden usar para decidir qué sistema operativo es más confiable que otro.

Cuidado. La regla habla de "cantidad de vulnerabilidades encontradas", que es diferente a las debilidades existentes. Una cosa es lo que logro encontrar y otra cosa las debilidades que en realidad posee. En pocas palabras, si un software tiene un tamaño considerable de líneas de código, su propia complejidad hace que tenga varias debilidades; la diferencia radicará en su popularidad y en el tiempo que lleva en el mercado lo cual hace que haya más gente dedicada a encontrar debilidades que un software poco usado y/o con pocos años de vida.

¿Sistema operativo seguro? ¿Linux? ¿Mac OS? ¿Son seguros o no son tan populares como para ser un blanco para la delincuencia? Si nos dejamos guiar por la regla mencionada al principio, podríamos obtener una respuesta. Por cierto, yo uso Linux Ubuntu, menos atacado que los sistemas de las ventanas.


El sitio donde se publican las debilidades para Mac OS: http://docs.info.apple.com/article.html?artnum=307004

Gobierno del Reino Unido pierde datos

En el Reino Unido (RU), existe un programa que otorga beneficios a los padres de niños de ese país. El gobierno obviamente pide y almacena información de estas familias que reclaman el beneficio, como lo pueden ser nombre y apellidos, números de servicio social, cuentas bancarias y otros datos financieros, direcciones, años de nacimiento, etc.

A alguien que trabaja en esta organización gubernamental se le ocurrió mandar datos de 25 millones de personas en dos CD por correo. Sí, leyeron bien, en dos CD típicos y por correo no certificado. Para la mala suerte de esta persona, el envío se extravió y no ha sido encontrado. ¡Ah!, pero no está todo perdido, los CD fueron protegidos con contraseña, lo cual significa en pocas palabras que no está cifrada la información, por eso el término de "protegido con contraseña". Bueno, será fácil para alguien curioso poder leer los datos de los CD.

El punto aquí es que las políticas de seguridad de esa organización o fallaron o son inexistentes. Hoy en día una organización seria debe tener estas políticas que dictan la manera en que se pretende proteger la información que se maneja; en este caso el documento de la política de seguridad debería decir que no se debe enviar información en CD, y en el peor de los casos si lo haces que sea cifrado y con mensajería, por lo menos.

Esta es una lección para las organizaciones, ya que una falla de este tipo es realmente desde mi punto de vista, imperdonable. Es un ejemplo de lo que nos puede suceder si no manejamos la información como lo que es: un bien con valor. Por cierto, al empleado que hizo esto se le despidió y al Director de esa organización. Otro miembro del gobierno dijo que "siente profundamente este hecho y que se disculpa por la ansiedad que esto pudiera causar". Después de niño ahogado, ya para qué las disculpas.

Desde mi punto de vista y sin saber detalles del incidente, pienso que es esto se debió a un error de la política de seguridad, no debemos culpar al empleado que los mandó, sino a los altos mandos que no tuvieron el cuidado de impulsar a la seguridad en la organización, de implementar programas de concientización de seguridad, de no hacer del conocimiento de los empleados lo importante que es la información que manejan. Habría que ver si fue negligencia del empleado o más bien indiferencia de esa institución y del ya típico "eso aquí no nos va a pasar". Finalmente, podrán despedir a gente o sancionarlos de otra manera, pero el daño ya está hecho.
La noticia en:
http://www.infosecurity-magazine.com/news/071120_hmrc_lost_in_post.html


martes, 20 de noviembre de 2007

Error de dedo peligroso

¿Han oído hablar de "www.google.cm" o de "www.simantec.com"? Si se fijan bien, son sitios con errores ("com" en lugar de "cm" en el ejemplo de Google y "symantec" en lugar de "simantec") que cualquier usuario podría teclear en un apuro o por simple equivocación. ¿Y? ¿Hay algún problema? Se vuelve a teclear y listo, error solucionado, cierto? Pues no.

Hay gente que registra estos sitios "mal escritos" para que cuando un usuario se equivoque, no le aparezca el típico error de "Sitio no encontrado" y lo vuelva a teclear, sino que le aparezca un sitio "muy parecido" si no es que idéntico al original. La idea es que uno crea que tecleó bien el sitio buscado y no se percate de que está en otro sitio. En el mundo físico, esto sería equivalente a que alguien pusiera un letrero que diga "Liberpool" en lugar de la famosa tienda "Liverpool", pero la diferencia es que en el mundo lógico es mucho más difícil detectar que uno está en un sitio falso.

Imaginen que creo un sitio llamado "bamcomer" o "bamamex", las letras "n" y "m" estás tan juntas en un teclado que más de uno habremos tecleado estos nombres mal. Una vez que ingresaron al sitio falso por error (el cual por cierto se ve igual que el origina), también les pide sus contraseñas de acceso. ¡Ya está! Sin mandarles ningún correo de phising o infectar su computadora, ya hice un ataque en donde los usuarios "cayeron solitos".

Bueno, tal vez contra este tipo de ataques no haya disponible mucha tecnología; mi antivirus, antispyware y navegador me dejaron entrar a varias variantes de sitios famosos sin poner ni un "pero". Lo que puede salvarnos es cuando los sitios usan certificados de seguridad en los navegadores, ya que probablemente aparecerá un mensaje de "certificado no válido"…pero esperen, si el sitio falso no usa certificados, nuestra única salvación es percatarnos de que el candado del navegador se encuentra apagado.

Así es que cuidado al teclear nuestros sitios favoritos, un error de dedo puede resultar en algo más que un simple error de rutina.
La noticia en: http://www.scmagazineus.com/McAfee-Typo-squatters-cashing-in-on-website-misspellings/article/99125/


viernes, 16 de noviembre de 2007

Banca en línea segura o insegura.

Un consultor de la respetable Virus Bulletin afirma que “Es un poco preocupante que tantas personas consideren a la banca en línea sin riesgos”. Esta persona se refiere a un estudio que hizo Virus Bulletin en donde se resalta que los resultados de una encuesta arrojan que una de cada cuatro personas consideran a la banca en línea insegura, pero de igual forma hacen uso de ella.

Virus Bulletin es una organización que se dedica principalmente a evaluar antivirus y darles una certificación sin mencionar la revista que también edita. Ahora bien, lo cierto es que aunque la banca en línea no está 100% libre de riesgos, tampoco es tan insegura como para no usarla; claro, siempre y cuando se sigan ciertas medidas básicas. Pienso que si alguien dice que no hay que usar la banca en línea porque es insegura, sería un poco paranoico. De hecho creo que aquí en México corremos un riesgo al menos igual al ir a un cajero a retirar dinero, hacer un retiro en ventanilla (luego dan el “pitazo” de que “ese lleva dinero”) o hasta al pasar cerca de los camiones Panamericana, esos que transportan dinero en bunkers-rodantes. Y por cierto, estos últimos riesgos pueden afectar nuestra integridad física, a diferencia de los riesgos en línea.

¿Qué podemos hacer para tener una experiencia de banca en línea lo más segura posible? Yo diría los siguientes consejos, de los cuales por cierto no son nada difíciles de seguir. Uno: mantener actualizado el sistema operativo y navegador. Dos: Tener un antivirus actualizado (existen un par que son gratuitos como “Avast”). Tres: Leer los correos provenientes de los Bancos pero jamás iniciar una acción en respuesta a ese correo. Nada de que hay que actualizar las cuentas o contraseñas, o que hay que ingresar a un sitio para hacer “x” o “y” cosa; ante la duda se llama telefónicamente al propio Banco. Cuatro: No compartir contraseñas (creo que esto es sentido común). Cinco: no usar cafés internet para banca en línea.

Esos cinco consejos creo que pueden ser los básicos, adicionalmente y para todavía una mayor seguridad está la instalación de un firewall personal; o el uso de Linux (algunos bancos obligan a usar el Explorador de Microsoft); la activación de mensajes SMS vía telefónica cuando se hagan retiros de los bancos (por lo menos sé de un banco que tiene el servicio); la instalación de un antispyware (hay algunos productos gratuitos como Search&Destroy).

En fin, al igual que uno debe estar enterado de los riesgos de la banca en el mundo físico, también uno debe de ser responsable de estar enterado de los riesgos en línea. Información es poder, y mientras más sepamos cómo reducir los riesgos y sigamos algunas indicaciones básicas, tendremos una experiencia satisfactoria de la banca en línea. En lo personal, he sido usuario de este tipo de banca desde sus inicios en México y hasta la fecha no he tenido ningún incidente y esto sin tomar precauciones extraordinarias.

Por cierto, el fundador de los antivirus Kaspersky dice que él no usa banca en línea porque ese es el modo más seguro. Yo diría que cada quien puede hacer las decisiones que le parezcan correctas, pero no comparto esta opinión en particular. Tal vez podamos decir que lo más seguro al usar una computadora es tenerla apagada y jamás usarla. Eso no es real.

Una de las muchas ligas para que vean más consejos útiles de banca en línea: http://www.banksafeonline.org.uk

La noticia de Virus Bulletin en: http://www.virusbtn.com/news/2007/11_15.xml

jueves, 15 de noviembre de 2007

Discos duros nuevos e infectados.

Seagate, empresa reconocida por la producción de discos duros, tiene una planta productora en Tailandia y parte de su producción va a parar a Taiwan (en este caso fueron discos duros externos). Resulta que los felices compradores de estos discos esperaban almacenar ahí fotos, videos y todo tipo de información, pero no contaban con que estos dispositivos recién salidos del horno tenían ya pre-cargado un troyano, listo para que cuando se conectara el dispositivo, se ejecutara este código y extrajera información del equipo víctima.

Vaya, lo último que me espero cuando compro un dispositivo, ya sea un iPod, disco duro o algún otro ejemplar tecnológico, es que ya venga con esta desagradable sorpresa. Aunque bueno, aquí hay una explicación del por qué sucedió esto. Y es que al parecer el gobierno chino tiene las manos metidas en el asunto, ya que se sospecha que metió este código en los discos, sabiendo que muchos iban a parar al gobierno de Tailandia, quien en aquella región es un conocido comprador de esta marca. Se cree que una considerable cantidad de datos fueron a parar a China.

En primer lugar, habrá que ver la seguridad de la planta productira en Taiwán y cómo es que se logró infectar dispositivos nuevos listos para la venta. En segundo lugar, para los gobiernos, es una advertencia más para no confiar ciegamente ni cuando se tratan de dispositivos nuevos y aparentemente inofensivos. Uno pensaría: "Pues mis computadoras/discos/USB son de una empresa confiable, no creo que deba revisarlos antes de usarlos".

Como usuario casero, tal vez no debiera importarme; sin embargo si por alguna razón estos discos hubieran llegado a México y yo lo hubiera comprado, no me sentiría muy cómodo sabiendo que lo que escribo y los datos que mando (¿banca en línea?) están siendo capturados por un gobierno. Tal vez a ese gobierno no le importen mis datos porque buscaban datos taiwaneses, pero aún así no es agradable. Por cierto, el troyano insertado en los discos es para plataformas Windows.

La noticia en: http://www.taipeitimes.com/News/taiwan/archives/2007/11/11/2003387202

¡Roba esa información!

Un señor llamado Gary Min que trabajó para la empresa DuPont fue sentenciado a 18 meses de cárcel y a pagar cerca de $50,000.00 USD. ¿Cuál fue el crimen? No mató ni secuestró, simplemente se llevó información de su empresa "sin permiso".

El señor fue acusado de haberse llevado "prestado" datos por cerca de $400,000,000.00 de USD (sí, cuatrocientos millones de dólares). Al parecer, este señor estaba dedicado a la investigación científica dentro de la compañía y otra empresa rival le ofreció una buena cantidad por robarse la información.

Este caso nos vuelve a poner dos cuestiones de suma importancia sobre la mesa: uno, que la información realmente es valiosa y se debe de ver como un bien y no como "bits y bytes"; dos, que esta información no fue robada por un "perverso" hacker o cracker, sino por un empleado de la compañía reafirmando así varias estadísticas que indican que la peor amenaza es la del empleado que tiene ya por "default" accesos y privilegios en la red y en servidores corporativos.

Tal vez una tercera cuestión sea el hecho de que el robo de datos puede conducirte a la cárcel, porque sí, de hecho es un crimen...al menos en Estados Unidos donde las "ciber-leyes" están bastante más avanzadas que en nuestro país.

Finalmente una reflexión: efectivamente el señor Min robó información valuada en varios millones de dólares; fue sentenciado a 18 meses y debe pagar unos miles de dólares. ¿Y? La empresa DuPont ya perdió su información y quién sabe a estas alturas quién la tiene y si fue copiada. El punto es que perdió información estratégica y de poco le sirve iniciar el juicio: el daño está hecho y tal vez la cárcel sirva sólo como escarmiento. Una empresa debe definitivamente PREVENIR este tipo de acciones, porque una vez que la información es robada podemos decir que es demasiado tarde. ¿Seguirá el encargado de la seguridad de la información de DuPont en su cargo?

La noticia en: http://www.scmagazineus.com/Former-DuPont-scientist-gets-18-months-in-jail-to-close-out-400-million-corporate-espionage-case/article/96290/

miércoles, 14 de noviembre de 2007

Windows no aleatorio

La generación de números aleatorios es fundamental para la criptografía, usada en protocolos seguros como SSL o IPSec. Todos de alguna forma u otra usamos la criptografía y los números aleatorios todos los días en nuestros navegadores, por ejemplo. Hay que hacer una aclaración en el término "aleatorio" ya que más bien en la práctica se usan números pseudo-aleatorios. La razón es que es difícil generar números verdaderamente aleatorios y esto es especialmente cierto para las computadoras.

 

Microsoft, como otros sistemas operativos, debe de proporcionar de alguna manera estos números pseudos-aleatorios para las aplicaciones, como por ejemplo al hacer una conexión segura con Internet Explorer o Firefox. La función para el caso de Windows 2000 se llama "CryptGenRandom" y estudios de investigadores han demostrado que esta función genera números predecibles, lo cual implica que podemos intentar hacer un ataque para descifrar datos que de otra manera hubieran permanecido cifrados y de hecho lograrlo sin comprometer al equipo víctima (como lo hacen otros ataques).

 

La causa es que esta compañía a lo largo de los años, prefiere diseñar y crear algoritmos privados, es decir, que no publica sus algoritmos para el escrutinio público y así al esconder los detalles piensa que da seguridad a sus diseños. Otros algoritmos, como el famoso AES (Advanced Encryption Standard), fueron públicos y se pusieron bajo la lupa del público para entre "todos" verificar la seguridad (hasta la fecha no se le han encontrado debilidades). Para empeorar las cosas, la función en cuestión "CryptGenRandom" se ejecuta en modo usuario y no en modo kernel, lo cual facilita un ataque.

 

Bueno, yo uso Windows XP, Vista y Windows 2003, estoy a salvo ya que el estudio fue hecho en Windows 2000. Esperen, será que esta misma función se usa en estos sistemas más modernos? Sabemos que por falta de tiempo y por eficiencia muchas líneas de código de "reciclan" y se re-usan, no me sorprendería saber que la infame función ha sido heredada. Lo malo es que los que se pondrán a investigar esto probablemente serán "los otros" (como los de la serie "Lost") para intentar hacer esos ataques que tanto les gustan.

El estudio, llamado "Cryptanalysis of the Random Number Generator of the Windows Operating System" se encuentra en:

http://eprint.iacr.org/2007/419.pdf

http://eprint.iacr.org/2007/419

martes, 13 de noviembre de 2007

SHA-3

Los llamados "hashes" o huellas digitales sirven para dar integridad a los datos electrónicos. Es decir, si yo tengo un archivo, una comunicación o algo que esté en bytes, le puedo sacar el "hash" y es como una huella digital que identifica a esa información de manera que debe ser única e irrepetible.
 
Por ejemplo, si usamos el "hash" llamado SHA-1 para sacar la huella digital del primer párrafo de este texto sería: "7565b99b78ce70f2f5bb487d7ab9e2f85a62d2e3". Si ustedes cambian una coma, un punto, una letra de minúscula a mayúscula o algún cambio similar, la huella digital cambiará y nos podremos dar cuenta de que se perdió integridad.
 
Pues bien, hasta el momento uno de los algoritmos más populares para "hashear" es el SHA-1 (Secure Hash Algorithm), usado ampliamente en Internet (por ejemplo al hacer conexiones seguras con el explorador usando SSL).
 
Pues bien, si alguien quiere saltar a la fama, el NIST (Nacional Institute of Standards and Technology) está convocando al público en general para que se diseñe el SHA-3, con el fin de que sustituya a otros algoritmos de este tipo. La convocatoria se hace debido a que sus antecesores tienen al parecer algunos errores de diseño.
 

Normalmente en México pensamos que eso mejor se lo dejamos a un extranjero "que sepa lo que hace" e ignoramos este tipo de convocatorias. Estoy seguro de que aquí en México hay gente talentosa (que no forzosamente son académicos u ostentan un grado) que puede efectuar este tipo de diseños y demostrar que estos concursos no sólo es para personas de otros países que "sí saben". Tienen hasta el 31 de octubre de 2008.

La liga: http://www.csrc.nist.gov/groups/ST/hash/sha-3/index.html

lunes, 12 de noviembre de 2007

Infecten a Terminator

La milicia de Estados Unidos está preocupada por la posible infección por código malicioso de sus robots militares. Se espera que en una década más o menos arriben estos robots a los campos de batalla, tomando la forma de un helicóptero autónomo y un tanque, entre otros.

La preocupación principal  de los militares es que estos vehículos-robots puedan ser infectados por código malicioso y controlados por personas no deseables, por así decirlo. Y es que al parecer estos vehículos estarían corriendo software comercial y código libre, siendo probable que parte de este código (para agravar las cosas) pudiese estar escrito fuera de los EUA.
 
Especialmente para los militares, el hecho de depender de código de terceros es de cuidado, ya que en el caso de software comercial es mucho muy probable que no se tenga acceso al código fuente. Y aunque la empresa comercial "entregara" dicho código, podríamos estar seguros de que ese código es el que está realmente compilado y ejecutándose en los equipos?
 
En el caso del software libre, habría que hacer un trabajo detallado sobre las líneas de código para ver que lo que compilemos es lo que realmente queremos. Desde mi punto de vista, es deseable trabajar con código fuente libre porque se tiene la posibilidad de que uno lo revise, lo modifique si es el caso y lo compile; claro, hay que asegurarse de revisarlo, ya que de otra manera es la misma situación que el software comercial.
 
En mi opinión, para casos de alta seguridad y muy especiales, el software de código libre es una mejor opción que el comercial, por la sencilla razón de tener acceso a lo que se está ejecutando en los equipos; esto obviamente no quiere decir que esté libre de vulnerabilidades o que no sea susceptible a virus o gusanos, pero al menos estaremos convencidos de que la empresa "X" no puso código "no deseado" en nuestro sistema operativo o aplicación.
 

Finalmente, para solucionar el problema de la susceptibilidad a código malicioso, tal vez siguiendo las mejores prácticas se pueda mitigar el riesgo, como lo puede ser escribir programas seguros (y no sólo funcionales), usar código abierto y certificar el software bajo estándares como el Criterio Común (Common Criteria).

El reporte completo en: http://www.acq.osd.mil/dsb/reports/2007-09-Mission_Impact_of_Foreign_Influence_on_DoD_Software.pdf

 

viernes, 9 de noviembre de 2007

Software espía gubernamental

Vaya. Tenemos suficiente de qué preocuparnos con los crackers y demás criminales organizados que diariamente crean sus códigos maliciosos. Por si esto no fuera poco, según un ex-hacker famoso llamado Kevin Poulsen (cuya columna aparece en Wired), el FBI al parecer también es creador de programas espías. Al parecer el columnista tiene información de que un software espía del gobierno de EUA fue utilizado para vigilar a un sospechoso que escribía amenazas de bomba contra una escuela de la Unión Americana.

Habrá que tomar esta noticia con reserva, sin embargo no me sorprendería para nada que ese gobierno (y otros) utilizara software espía, virus, gusanos y troyanos no sólo para sospechosos de algún crimen, sino también contra gobiernos extranjeros (enemigos y también amigos).

Esto no es nada nuevo y ya se sabe desde hace tiempo: el hecho de que un gobierno use las tecnologías de Internet para su beneficio y "seguridad nacional"; simplemente esta es una noticia que recuerda este hecho.

Ahora bien, qué significa esto para el usuario común, para empresas y gobiernos? Significa que si alguien tan poderoso como el FBI o NSA se interesa en nosotros, seguro tendrá altas probabilidades de obtener lo que busca. No importa si la información se encuentra en mi computadora, en un servidor corporativo o gubernamental; las probabilidades de que organismos del gobierno salgan "ganando" con los datos anhelados son altas.

El artículo de Kevin P. también insinúa que compañías anti virus y anti spyware colaboran con el FBI para no detectar estos códigos espías, inclusive se mencionan nombres como Microsoft; insisto, tómenlo con reserva. ¿Pero realmente sería difícil imaginar a compañías estadounidenses colaborando con autoridades estadounidenses, o por ejemplo compañías rusas "coordinándose" con compañías rusas? La próxima vez que instalen un sistema operativo pregúntense que podría esconder en esas millones de líneas de código; o cuando instalen su antivirus, piensen si realmente los protege contra "todos" los códigos maliciosos. O mejor no se hagan esas preguntas, es mejor dormir tranquilos, no creen?

Pueden leer la noticia en: http://www.wired.com/politics/law/news/2007/07/fbi_spyware

miércoles, 7 de noviembre de 2007

¿Cifrado para celulares?

Sí, la empresa Trend Micro ha puesto a la venta una solución llamada "Mobile Security Software" para celulares con Windows Mobile y Symbian. Esta solución cifra datos almacenados en el celular, y también tiene antivirus, firewall y detección de intrusos.

Vayamos por pasos. Para un usuario promedio esta noticia puede ser ignorada. Al menos en México todavía no necesitamos desde mi punto de vista una protección tan completa para celulares, insisto, para el caso de usuarios promedio. Yo en lo personal no conozco muchos usuarios que tengan un antivirus en su celular; conozco un par que lo tienen con su Windows Mobile y son usuarios corporativos. Mucho menos he visto celulares con software de detección de intrusos y firewall. Y si no hay muchos es por la simple razón de que no se necesita. Hace cerca de veinte años tener un antivirus en una computadora era algo innecesario, creo que lo mismo pasa con los celulares y efectivamente en unos años esto puede cambiar.

Para un usuario corporativo, esta solución puede ser una buena opción en caso de que haga lo que promete, particularmente la parte de cifrado (para proteger los datos contenidos dentro del celular) y antivirus (conste que existen pocos virus para celulares). Para las empresas, tal vez la parte de detección de intrusos y firewall se me hace en particular exagerado hoy en día, aunque si se cuenta con los recursos ($) pues no está de más.

Recordemos que el mundo de las computadoras es fácil de atacar dado que hay un sistema operativo predominante y el código malicioso programado para ese sistema funcionará en un porcentaje altísimo de equipos; con los celulares existen varios sistemas operativos que se reparten el mercado y es necesario que el código malicioso funcione en varias plataformas para que se afecte a una mayoría de usuarios.

En conclusión, tal vez se esté creando la necesidad de contar con protección celular, sin que exista realmente una buena justificación (al menos en México). Si la mercadotecnia lanza mensajes de "necesitas proteger tu celular" una y otra vez, tal vez haya unos cuantos que desembolsen unos pesos. Para el resto de nosotros, podremos vivir sin antivirus, firewall o detección de intrusos en nuestros celulares.

La noticia en: http://www.pcworld.com/businesscenter/article/139340/trend_micro_adds_encryption_to_mobile_security.html

martes, 6 de noviembre de 2007

¿Una Ciber-Jihad?

Una "jihad", según el diccionario Oxford Advanced Learner's, es "una guerra santa peleada por musulmanes en contra de quienes rechazan el Islam". Y un nuevo término podría ser ciber-jihad, que sería una guerra santa peleada por Internet. Y esto atrae mi interés porque hay noticias de que extremistas planean un ataque el 11 de noviembre.
Al parecer no es muy serio pero la amenaza existe y están al parecer convocando la "jihad" en un sitio de Internet para que los "verdaderos creyentes" inicien esta cruzada. Así es que tampoco podemos ignorar la amenaza.

Lo que es real es que la infraestructura de Internet puede ser atacada, y no dudemos que algún día será así como parte de una guerra en donde un Estado no tenga el poder militar para enfrentarse a otro, pero sí tenga la capacidad computacional (hardware, software, redes, personas) para iniciar un ataque.

En esta ocasión, no estoy tan seguro de los atacantes tengan realmente éxito. Primero, la mayoría de hackers y crackers están ubicados en China, Rusia (y asociados), Estados Unidos y algunos países europeos, claro, no quiere decir que no haya ningún experto en cómputo en los países árabes, pero no hay muchas noticias de "hackeos" de ese lado del globo (o por lo menos no llegan "hasta acá"); también puede haber extremistas en China, Rusia y los países que mencioné. Ahora, históricamente los atentados con bombas y explosivos es en lo que se han centrado y "profesionalizado" los extremistas. ¿Qué tanto han incursionado en Internet? ¿Tienen expertos que puedan crear un caos, y están organizados? ¿O simplemente es una llamada al aire a ver quién escucha y sigue las órdenes? Estimo que es exactamente eso: una llamada en voz alta para que haya algunos seguidores. Creo (y espero) que todavía no han incursionado en este ciber-terreno a gran escala y de manera organizada.

Sin embargo hay que tener cuidado. Internet puede ser atacada causándole daño si hay grupos de personas organizadas con motivación, conocimientos, tiempo y fondos ($) suficientes. Creo que todavía no es el caso, pero no hay que desestimarlo y caer en el ya conocido "eso no va a pasar". Los países desarrollados dependen mucho de infraestructuras tecnológicas de redes y computadoras, tanto en el ámbito económico y militar. ¿Será descabellado imaginar una guerra que se libre o produzca de manera electrónica, al menos apoyando a la manera "tradicional" de hacer la guerra o el terrorismo?

Más información en: http://netmedia.info/articulo-31-7367-1.html

lunes, 5 de noviembre de 2007

Programar con Seguridad

Las vulnerabilidades de software son la principal causa (por mucho) de los ataques computacionales, ya sea en forma de gusanos, virus o troyanos. Las vulnerabilidades se deben a una mala programación, claro, desde el punto de vista de seguridad. Obviamente muchos programas están bien diseñados y programados desde el punto de vista funcional, y efectivamente funcionan para lo que los usuarios los necesitan.

Sin embargo, que sea funcional y que haga lo que necesito no quiere decir que es seguro, son dos cosas separadas. Hay programas inclusive que no sólo carecen de seguridad sino que tampoco son funcionales.

Muchos (bueno, sinceramente no tantos) programadores me han dicho que "los de seguridad" les decimos que programen de manera segura pero que jamás les decimos cómo hacerlo. Y tienen razón. ¿Cómo pedirles que programen software seguro pero nadie les dice qué significa esto ni las técnicas básicas para hacerlo? Y esto es un gran problema, sobre todo en México no conozco casi ningún programa o capacitación de programación segura, que se centre totalmente en seguridad.

Y a propósito de la programación segura, el SANS (www.sans.org) tiene una certificación en programación segura, llamada GIAC Secure Software Programmer (https://www2.sans.org/gssp07/). GIAC significa Global Information Assurance Certification. La certificación puede ser para JAVA o C . Se pueden tomar exámenes en línea en http://www.sans-ssi.org/. Es importante mencionar que esta certificación asume que ya uno tiene ciertas habilidades de programación, ya que no es una capacitación sino una certificación. Ahora bien, concretamente para la capacitación, uno puede obtener información también en www.sans-ssi.org.

Pero hay malas noticias. Esta certificación hasta donde leí, se toma en Estados Unidos. Por otro lado, aunque el SANS tiene la opción de tomar capacitaciones en línea, no encontré que hubiera capacitación de programación segura en esta modalidad. Así es que para el caso de México, seguiremos teniendo programadores sin muchas opciones para capacitarse formalmente en seguridad, así es que queda Internet y algunos libros mientras tanto.

domingo, 4 de noviembre de 2007

Reporten lo anormal

Los que vayan a visitar Nueva York e ingresen al metro, leerán publicidad que dice así: "Si tú ves algo, di algo". O en el metro de Manchester: "Si sospechas algo, repórtalo". Al parecer la paranoia del terrorismo ha llevado a poner estos letreros para que la gente sea la "primera línea de defensa".

Si a alguien más le parece que uno está actuando "anormal", seguramente no evitaremos una serie de preguntas e interrogatorios, por el solo hecho de haber actuado "anormal", lo que sea que esto signifique.

Lo interesante de esto es que realmente las personas no están entrenadas para identificar lo "sospechoso" o "anormal", y simplemente usan su criterio o sentido común para identificar lo "anormal". Llevando esto al terreno de la seguridad informática, muchas empresas también pecan de lo mismo y dicen a sus empleados: "Ante un incidente de seguridad, no dude en reportar". ¿Sabe un usuario promedio qué es eso de un incidente de seguridad? ¿Sabe identificar la diferencia entre un error o bug de software y un incidente? Cuando se le pide a un usuario promedio que actúe como personal de seguridad, no nos sorprenderemos cuando obtengamos una seguridad promedio.

A los usuario caseros les pasa algo parecido. Muchos productos de seguridad al parecer presuponen que el usuario es "experto" y nos hacen preguntas como: "Está recibiendo un intento de spoofing de 170.80.1.122, desea bloquear sesión?" o "Se ha detectado el troyano "X", desea limpiar, borrar o poner en cuarentena?". Esperemos que el usuario haga la decisión correcta, ahora está en sus manos.

Los productos de seguridad deben de facilitar la vida del usuario, no hacerla más compleja y esperar que haga decisiones correctas, esa no es su labor. En una corporación, el personal de seguridad debe en primer lugar de hacer su trabajo y mantener un nivel aceptable de seguridad y no sólo decirles a los usuarios que reporten un incidente, sino que deben de enseñar las técnicas básicas para que los usuarios puedan identificar lo mejor posible a un incidente de seguridad.

viernes, 2 de noviembre de 2007

Discryption

Especialmente en los últimos años, se han reportado constantemente casos de robos de laptops. La página "http://privacyrights.org/ar/ChronDatabreaches.htm" mantiene una lista de los reportes de los últimos dos años (en EUA) los cuales han resultado en pérdida de datos. Es una lista bastante extensa lo cual preocupa.

Recordemos que cuando se roban una laptop, lo que nos debe preocupar es el robo de la información en el equipo, y no el costo del hardware; esto al menos desde una perspectiva corporativa. Para  que un robo de una laptop no sea una catástrofe, podemos elegir el cifrado de los datos. Y aquí entra este término de "discryption", el cual significa cifrar los datos a nivel disco duro, SIN usar software.

¿Qué tiene de malo el software para cifrar? Es lento, susceptible a errores del usuario, tiene bugs y vulnerabilidades; sin olvidar el código malicioso como keyloggers o troyanos que nos pueden robar la contraseña que usamos para cifrar y descifrar datos en una computadora.  Lo más seguro y eficiente es cifrar el disco duro por medio del mismo hardware; ya se venden discos duros con esta característica  (como la empresa Seagate). Por cierto, la IEEE está desarrollando varios estándares para normar el cifrado en discos duros, como lo es la propuesta "IEEE P1619 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices".

El que realmente tenga una preocupación por sus datos en los equipos de cómputo, la recomendación es usar cifrado del disco duro, ya que el software para cifrar los datos, aunque es más fácil de conseguir y más popular, tiene serias desventajas  que hay que considerar. ¿Cuántas empresas y organizaciones mexicanas cifran sus datos de laptops o equipos de cómputo, por lo menos usando software?
Lean más de "discryption" en: http://www.computer.org/portal/site/ieeecs/index.jsp

jueves, 1 de noviembre de 2007

¿Dream Team de Seguridad?

Es sabido que en Estados Unidos se preocupan bastante por la seguridad. Y no es para menos, dado que es uno de los países que más dependen de su infraestructura tecnológica en muchos sentidos. Hasta el momento, han sido pioneros en crear criterios de evaluación de seguridad (para "calificar" qué tan confiable es un software), en leyes para atacar el ciber-crimen y en otros campos de la seguridad, como el CERT (Computer Emergency Response Team).

Y esta vez tampoco se han quedado atrás al crear un "think tank" de seguridad, una especie de equipo de ensueño (dream team) para asesorar al siguiente presidente de los Estados Unidos. Este grupo de personas pretende estar formado por personajes de alto renombre en el ámbito de la seguridad, como el ex-director de la NSA Bobby Inman (National Security Agency), gente de Microsoft, de la Marina u Oracle, por citar sólo a unos. Su objetivo es hacer una lista de recomendaciones (las más urgentes) en materia de seguridad de la información. Por cierto, sería muy interesante saber esas recomendaciones cuando las hayan hecho.

En México, las escasas y no tan robustas leyes de seguridad no han cambiado mucho en varios años, y estamos lejos de tener una cultura de seguridad sobre todo a nivel empresarial. Aquí una noticia de la formación de un grupo de personas altamente calificadas en seguridad asesorando al Presidente, al Congreso o a otra entidad gubernamental sería algo que muchos recibiríamos con sumo agrado. Indudable es que Estados Unidos mantiene una importancia singular a nivel mundial, y muchos intentan vulnerar sus sistemas por diversas causas y motivos.

Tal vez México deba empezar a preocuparse y no padecer del "a mi no me pasa", ya que aunque en vías de desarrollo, los sistemas de cómputo ya tienen un papel importante en la vida nacional, y no es de sorprendernos que cada vez haya más gente aquí y afuera que se le haga atractivo una que otra violación computacional. Desgraciadamente, a veces se requieren grandes eventos desafortunados para reaccionar, tal cual lo fue el Blaster que en su momento  hizo reaccionar a varias organizaciones que se empezaron a preocupar por la seguridad u otras más que incrementaron su ya existente preocupación.
La noticia en: http://www.pcworld.com/article/id,139084-pg,1/article.html

miércoles, 31 de octubre de 2007

Muta un anti-código espía

Uno de los más famosos anti-spyware (anti código espía) de la marca  Webroot ha muerto...o por lo menos ha mutado y cambiado de nombre. Ya no es Webroot Spy Sweeper, ahora es el flamante "Webroot AntiVirus con AntiSpyware & Firewall". Es decir, le agregaron la funcionalidad de antivirus y de firewall personal.

¿Y? ¿Eso qué tiene de extraordinario?

Para ser sinceros, nunca debió de haber existido un producto "antispyware", realmente esto es un código malicioso más, al igual que un virus, gusano, backdoor o troyano. ¿Han visto últimamente un anti-troyano o un anti-backdoor?

El código espía no es más que otro "malware", otro código malicioso que debe de ser erradicado, por quién? La lógica diría que por mi antivirus. Ciertamente no debo de comprar un antivirus, un anti spyware, un anti backdoor, un anti rootkit, un anti troyano, cierto? Uno espera que ese producto que se llama antivirus haga todo eso.

Entonces, por qué nació exitosamente un anti-spyware? Por la sencilla razón de que los antivirus no erradicaban bien el spyware a pesar de que era código malicioso, como que no lo veían como una gran amenaza y al ser algo nuevo, no se dieron a la tarea de combatirlo de manera eficaz. Hasta la fecha algunos antivirus siguen siendo "no tan buenos", sobre todo ante código espía que realmente es difícil de remover.

Ahora bien, no es casual que la compañía Webroot haya cambiado el nombre de su producto estrella y tengamos ahora también la parte de antivirus y firewall. ¿Por qué lo hicieron? Tal vez porque la gente ya no quería seguir pagando exclusivamente por un producto anti-spyware y porque muchos antivirus ya lo limpian con cierta eficacia o por lo menos lo previenen.

Pensemos que en un ambiente empresarial ya muchos productos y políticas internas previenen este famoso código espía (a diferencia de algunos años atrás). Y para el usuario de casa ya no es tan atractivo comprar su antivirus y comprar también su antispyware, simplemente es mucho dinero que se debe de desembolsar. Además de que ya el spyware a mi parecer pasó de moda en la mente del consumidos y ha dado paso al phising, que es lo "in" en el mundo de seguridad.
La gente simplemente perdió interés por regalar dinero por algo que ya no era tan necesario. Ahora Webroot nos dice que su producto también es antivirus y hasta firewall, lo que ya nos hace atractiva la compra. Por cierto, el antivirus no es de la compañía Webroot, sino de Sophos que "presta" su motor. Es claro, Webroot no tiene la infraestructura para combatir a los virus, como lo tiene para el spyware.
En fin, un pequeño cambio de nombre que esconde ciertas tendencias en la arena de la seguridad.
La noticia en: http://www.webroot.com/consumer/products/antivirus/features.html

martes, 30 de octubre de 2007

Los antivirus se tambalean

Hace un par de semanas apreció una noticia de que Symantec va a comprar a Vontu, una empresa dedicada a la prevención de la fuga de datos, o “data leak prevention”. Esta semana aparece que Trend Micro va a comprar una compañía ¡también! de prevención de fuga de datos.
Para cualquiera, esto es una compra más de una compañía de TI enfocada a la seguridad como lo es Symantec o Trend.
Para otros, esto tiene un gran significado.
Desde que Microsoft empezó a entrar en terrenos de los antivirus, las compañías que combaten el código malicioso como McAfee, Symantec, etc. empezaron a sentirse incómodos, realmente incómodos. Saben que el gigante de software tarde o temprano va a acaparar el mercado de los antivirus...tienen el dinero para contratar a cuanta gente deseen, de cualquier nivel. Tienen los recursos para crear laboratorios de investigación de código malicioso tal cual lo tienen las empresas líderes como Trend, Symantec o McAfee. Por cierto, hoy por hoy, este antivirus del gigante de software no es competitivo en mi opinión, y está tal vez por debajo de los estándares mínimos que un antivirus malo ofrece. No me crean, revisen la página de VirusBulletin o el cuadro mágico de Gartner, no habrá comentarios muy favorables.
Es por esto que las empresas “tradicionales” de antivirus se están moviendo a otros mercados de la seguridad, como lo puede ser ofrecer productos que prevengan la fuga de información de una organización. McAfee ya cuenta con un producto que hace precisamente esto, y tengo entendido que lo tiene ligado ya a su consola de administración. Symantec y Trend no podían faltar y aunque sus servicios y productos están ya diversificados (sobre todo Symantec que no sólo tiene el antivirus), pues qué mejor que seguir diversificando y comprar una compañía y así agregar un producto más a su creciente gama de opciones. La idea es ofrecer algo más que antivirus para que cuando empiecen a perder mercado ante Microsoft, puedan sobrevivir vendiendo otra cosa.
No nos sorprenda que en unos años Microsoft sea líder en el mercado antivirus, para allá vamos. Y si hay quienes piensan que el trío-maravilla de McAfee, Trend y Symantec son invencibles, preguntémosle a Netscape cómo le fue en su batalla contra este gigante. Pongamos las apuestas sobre la mesa. Vean la noticia en: http://www.europapress.es/00137/20071025170814/comunicado-trend-micro-to-acquire-provilla-for-global-data-leak-prevention.html y http://www.securitynewsportal.com/securitynews/article.php?title=Symantec_to_Buy_Vontu

viernes, 26 de octubre de 2007

Hardware rompe contraseñas

Hasta el momento, sabía de poco hardware disponible para romper contraseñas. Lo más común es encontrar software que rompe contraseñas y se puede encontrar en Internet. Pues resulta que una compañía rusa al parecer ha puesto a la venta una tarjeta que ayuda a romper contraseñas, y lo interesante es que lo hace a mayor velocidad que el software, y resalto la palabra "mayor".
Esto se logra usando una tarjeta "común" de gráficos nVidia con un costo de $USD 800.00, unos novecientos pesos. Estimaciones usando esta tarjeta "innovadora" arrojan que una contraseña que normalmente se lleva meses romper, se puede "crackear" en un par de días. Definitivamente no es una buena noticia.
Anexo la liga: http://technology.newscientist.com/article/dn12825-passwordcracking-chip-causes-security-concerns.html

 

Security Intelligence Report by Microsoft

La empresa Microsoft ha publicado su reporte llamado "Security Intelligence Report" correspondiente al primer semestre de 2007. A continuación los principales hallzgos del documento que pueden encontrar en: http://www.microsoft.com/security/portal/sir.aspx

Por cierto, estos reportes de "seguridad" centrados en código malicioso y vulnerabilidades tal vez responde a una necesidad de Microsoft de empezar a verse como una empresa de seguridad "profesional" y empujar así su producto antivirus que hasta el momento no es visto como un producto competitivo, aunque esto seguro cambiará pronto.

Otra nota: no sé qué tan "precisos" puedan ser estos hallazgos, viniendo del más grande fabricante de sistemas operativos con bastantes críticas a su seguridad, tal vez algunos resultados podrían estar "orientados", por así decirlo.

1.- Disclosures of High2 severity vulnerabilities across the industry continue to increase, while the growth of Low and Medium severity issues appears to be slowing.

2.- A decreasing percentage of vulnerability disclosures are being reported for operating systems. One possible interpretation is that security researchers are focusing more on applications as operating systems' security continues to improve. Additionally, the number of new applications is growing faster than the number of new operating systems, so the application proliferation may be helping to drive this vulnerability disclosure trend.

3.- While the number of vulnerabilities continues to increase, the ratio of exploit code available for these vulnerabilities remains steady and is even on a slight decline.

4.- In a product-by-product comparison, new products appear to be at less risk to publicly available exploit code than products that have been in the market longer.

5.- Trojans represented the largest number of variants that were collected during 1H07.

6.- Social engineering plays an increasing role in today's malware distribution. Social engineering attacks are on the rise.

Maximizando la publicación de parches

Es sabido por la comunidad que el segundo martes de cada mes, la empresa Microsoft publica sus parches que solucionan diversas vulnerabilidades. Para los usuarios caseros tal vez esto suceda automáticamente con Windows Update y no se percaten de este hecho. Para algunas empresas, donde no simplemente se puede instalar un parche de manera automática debido a posibles incompatibilidades, cada segundo martes de mes significa estudiar qué pares se necesitan instalar.

Hasta ahora, nada interesante. Pues bien, la cuestión es que en los últimos meses se ha visto una tendencia a que se exploten vulnerabilidades con unos días antes o después de que Microsoft publica sus parches. Por ejemplo: el MS07-060 (publicado el 9 de octubre). Symantec (una compañía de seguridad reconocida) se percató de que un día después de la publicación del parche referido, salió un troyano para este parche. ¿Qué significa? Que los atacantes se apuran a hacer el código malicioso para sacarlo a la luz rápidamente, sabiendo que pocos usuarios habrán parchado. Así maximizan el tiempo entre el parche y el troyano. Entre más se tarden en sacar su código, habrá más usuarios con el parche y el troyano será menos exitoso.

El caso que les acabo de describir se trata de sacar código malicioso unos días después de que se publique el parche. Pero hay una variante: sacar un código malicioso cercano a la fecha  de publicación de parches PERO esta vez explotando una nueva debilidad. Es decir, alguien descubre una debilidad "nueva" en un software de Microsoft y en lugar de hacer código malicioso "luego luego", el atacante se espera hasta la fecha cercana a la publicación. El atacante sabe que Microsoft publicará parches de nuevo hasta dentro de un mes, así que tienen un mes para infectar aquí y allá SIN que haya parches que solucionen la debilidad. Este tipo de ataques desconocidos para los cuales no existen parches se llaman ataques de "día cero": el exploit está ahí pero los usuarios no pueden hacer nada, hasta que se publique un parche. El fabricante por lo general minimiza los ataques y se espera hasta la siguiente fecha de publicación; claro, hay algunas excepciones cuando los ataques verdaderamente son muy peligrosos.

Así pues, la publicación de parches cada martes es usada en ventaja de los crackers y demás atacantes en su beneficio, explotando al máximo el hecho de que Microsoft excepcionalmente publica parches fuera de su calendario ya establecido.

Recuerden: lo que es crítico para ustedes no es crítico para el fabricante. A ustedes les urge que se publique un parche porque les afecta; al fabricante no le afecta y no le urge. Así de sencillo.

Hay una liga muy interesante donde se tiene la cuenta de cuántos exploits de "día cero" existen. yo pensé que no eran muchos, pero si visitan la página se darán cuenta de lo grave de esta situación. Recuerden que esto significa que existe una debilidad SIN parche y que puede ser explotada en cualquier momento. ¿Quién dijo miedo? http://research.eeye.com/html/alerts/zeroday/index.html

Anexo liga de Symantec donde tratan también el tema: http://www.symantec.com/enterprise/security_response/weblog/2007/10/patch_tuesdayexploit_wednesday.html

jueves, 25 de octubre de 2007

La vida sin software de escritorio.

Así se llama un artículo que leí: "Life Without Desktop Software". En el mismo, el autor expone diversos beneficios para dejar de usar el software de escritorio y usar únicamente aplicaciones web. Efectivamente podemos hacer hoy en día gran parte de nuestro trabajo con el web:
a).- Correo electrónico de GMail, Yahoo y un largo etcétera.
b).- Software de oficina: Google Docs, Zoho Office, Think Free Office.
c).- Almacenamiento: Scribd, SkyDrive.

Y hay muchas más aplicaciones para que uno se olvide de sus aplicaciones de escritorio.
Ahora bien. ¿Qué significa esto desde el punto de vista de seguridad? Yo pienso que es algo desastroso. ¿Por qué? Porque si la seguridad de la información trata precisamente de proteger a la información, resulta absurdo que nuestra información valiosa no sea nuestra. Cuando almacenamos documentos en la compañía "X", ya no es nuestra, es de la compañía. Cuando mando correos usando el servicio gratuito de la empresa "Y", esta empresa tiene acceso a lo que escribí. Cuando hago un nuevo documento son un software de oficina, se almacena remotamente. En pocas palabras, mi información le pertenece a alguien más, y ese alguien más tiene acceso a la misma y la puede leer, copiar y usar. Así de sencillo.

Alguien dirá que la compañía "X" ofrece cifrar el contenido de lo que ahí guardemos. ¿Estamos seguros de que así lo hacen? ¿Qué tan confiable es la manera en que usan y administran sus algoritmos de cifrado? Recuerden, ellos tienen el control total de mi información y tengo que confiar en que le den seguridad. ¿Guardaríamos ahí información importante? Yo no. Tal vez para un usuario con necesidades "normales" sea algo muy bueno; sin embargo, para un ambiente corporativo no es lo mejor y de hecho muchas ya bloquean su uso desde la red corporativa. Simplemente una empresa no quiere que su información esté guardada remotamente y que no tenga el control de la misma.

Tocando otro punto, sabemos que uno de los pilares de la seguridad de la información es la disponibilidad. Yo considero que puedo confiar más en que mi computadora encienda normalmente a tener que disponer de que haya una conexión a Internet (si se va la luz, mi laptop sirve, mi hub que me da conectividad no serviría, por poner un ejemplo). Cuando el servicio de correo gratuito esté "abajo" o mi conexión se haya "caído", simplemente no podré trabajar.

Algunas cuestiones de seguridad que hay que pensar antes de hacer uso de estas aplicaciones web que pienso NO son la mejor opción sobre todo para una empresa.

miércoles, 24 de octubre de 2007

Urgen a instalar Vista

Resulta que esta semana se llevó a cabo una conferencia en Londres, llamada "RSA Conference". Como su porpio nombre lo dice, la empresa RSA patrocina e impulsa esta serie de conferencias, que se tratan de centrar en criptografía y seguridad.
El martes 23 habló Ben Fathi, representante de Microsft, quien "urgió" a los asistentes a migrar a Windows Vista, ya que es 60% menos susceptible a infectarse que Windows XP. También se dijo que Vista tenía menos vulnerabilidades que Linux Ubuntu o Mac OS.
Habría que ver exactamente en qué contesto se dijo esto. Analicemos.

a).- Se urge a migrar a Vista: no será una estrategia mercadológica para vender este sistema operativo, que aún tiene problemas al hacer tareas comunes y corrientes? Recordemos que el gigante de software obtiene una buena ganancia de la venta de seste sistema operativo, así es que cuando nos "urge" a gastar dinero para comprar un sistema operativo, hay que ser cautelosos.

b).- Dicen que Vista es 60% menos susceptible a verse infectado que XP. ¿Exactamente de dónde y cómo sale esta cifra? ¿Quién hizo el estudio: el propio Microsoft o una organización independiente? ¿Qué clase de código malicioso probaron y bajo qué circunstancias? No estuve en la conferencia y tal vez esto se detalló, sin embargo las preguntas que presento son de las primeras que hubiera preguntado.

c).- Se dice que Vista tiene menos vulnerabilidades que Linux Ubuntu o Mac OS. ¿En un periodo dado de tiempo? ¿Incluyeron los ataques de "día cero" (son ataques que salen a la luz pública sin tener un parche publicado por parte del fabricante)? Decir que "X" sistema operativo es menos vulnerable que "Y" es demasiado aventurado. Creo que todos son casi igualmente vulnerables, sólo que algunos son más populares y son más atacados. Contar el número de vulnerabilidades y decir que son menos que otro sistema es tendencioso, ya que una cosa son debilidades encontradas y publicadas y otra cosa son debilidades ni encontradas ni publicadas pero que de todas maneras existen (hasta que alguien las encuentre).
 
Les dejo la liga de RSA: www.rsaconference.com/2007/europe/

martes, 23 de octubre de 2007

Navegación virtual segura

La virtualización ha sido usada más que nada en ambientes empresariales para soportar múltiples sistemas operativos en una sola “caja”. VMWare es una de las compañías líderes en virtualización con su producto ESX (sistema operativo Linux que puede soportar varios sistemas Windows virtuales).

Para un usuario casero, hablar de virtualización era obviamente algo escasamente interesante. Sin embargo, desde el punto de vista de seguridad, poder navegar o ejecutar código en un ambiente virtual representa muy beneficioso, en comparación de hacer lo mismo en la computadora “física”.

La misma compañía arriba mencionada, VMWare, ofrece gratis la posibilidad de poder instalar una máquina virtual para navegar con Firefox en Internet (anexo liga al final). El punto es que si sucede una infección o se ejecuta código malicioso, sería la máquina virtual la víctima, y en el momento que la cerremos sería un “borrón y cuenta nueva”.

La máquina virtual que ofrece la compañía corre realmente sobre un sistema operativo Linux, el cual al ser usado con Firefox, reducimos drásticamente la posibilidad de vernos afectados. La combinación de “virtual” + “Linux” + “Firefox” es algo que nos conviene. Y sí, existen vulnerabilidades para Linux y Firefox, sin embargo éstos no son tan activamente explotados como Windows, y sin mencionar que lo verdaderamente importante es que estamos en un “mundo virtual”.

Desgraciadamente esta práctica, desde mi punto de vista, no es ampliamente usada por desconocimiento. Sin embargo, para los que lean este blog, puede ser una opción interesante. Hoy en día gran cantidad de las infecciones se reciben por la navegación de Internet o la ejecución de código de un archivo adjunto que nos llega por correo. Si navegamos y ejecutamos los “attachments” en esta máquina virtual, podremos descansar un poco más tranquilos.

Adjunto la liga: http://www.vmware.com/appliances/directory/browserapp.html

lunes, 22 de octubre de 2007

Encuesta CSI

Todavía hasta el año pasado, el Computer Security Institute (CSI) hacía una encuesta en conjunto con el FBI. Este año el CSI ha efectuado esta encuesta de manera independiente. El reporte trata de arrojar diversos resultados relacionados con la seguridad de varias organizaciones de los EUA. Y aunque el reporte no tiene cifras totalmente exactas, es lo mejor que se puede obtener para entender lo que está pasando en cuestión de seguridad en nuestro vecino del norte.
Analicemos algunos de los hallazgos de este estudio:
1.- Las empresas reportan que sus pérdidas financieras aumentaron de $ 168,000.00 USD el año pasado a $ 350,000.00 USD este año. No hay una explicación “verdadera” para este aumento tan importante en las pérdidas reportadas debido a incidentes de seguridad. Puede ser que los ataques el día de hoy sean más dañinos en el sentido de que son “personalizados” para atacar una empresa en particular, o que en años pasados haya habido un relajamiento de la industria estadounidense en cuestión de inversión para evitar incidentes.
2.- Un 20% de las empresas que tuvieron incidentes de seguridad comentaron que fueron ataques especializados. Es decir, que los atacantes querían dañar específicamente a esa organización; no fueron ataques “genéricos” en el que un “cracker” hace un troyano o gusano y lo libera, a ver quién se infecta. Aquí en México desgraciadamente no contamos con una encuesta de seguridad, pero sería interesante ver si existen también ya estos ataques especializados, lo cual no sería de sorprender. En México tal vez abusemos del principio de “a mi no me pasa, tal vez en los EUA”. Sin embargo, empresas mexicanas de alta importancia u organizaciones gubernamentales pueden ser buenos candidatos para recibir ataques que llevan “nombre y apellido”.
3.- Los fraudes financieros fueron la mayor causa de pérdida en materia de seguridad y se impusieron a las pérdidas que históricamente han “ganando” los virus. No me queda claro leyendo el artículo a qué se refieren exactamente con “fraudes financieros”. Deduzco que se refieren a los fraudes que hacen los empleados de la empresa y que son posibles gracias a “fallas” en la seguridad informática. El punto es que ya no son los virus la principal fuente de pérdida económica. Esto responde a que ya no hemos visto últimamente ataques “masivos” que en pocos días causan grandes pérdidas. Ahora los ataques tienden a ser silenciosos, y eso tiene una razón de ser: el código malicioso está encaminado últimamente a obtener ilegalmente ganancias económicas, y lo que menos se quiere es llamar la atención.
4.- El abuso de las redes corporativas y del correo son ya el incidente más frecuente, ganando también a los incidentes por virus y gusanos. Con abuso nos referimos a accesos no autorizados, intercambio e instalación de software pirata, etc. En pocas palabras, los gusanos y troyanos hechos por gente externa y ajena a la organización ya no son la principal causa de incidentes, sino los propios empleados son los que abusando de sus privilegios, causan el mayor número de incidentes de seguridad de la información. Interesante, ya que cualquiera pensaría que el código malicioso es el principal causante de incidentes.
5.- El porcentaje de empresas que reportan incidentes de seguridad informáticos a las autoridades creció de 25% a 29% este año. Esto es algo muy independiente a nuestro país, ya que en el país del norte tienen una legislación más completa y tienen otra cultura de la denuncia. Probablemente si aquí se hiciera una encuesta, por lo menos en este rubro, tal vez siempre saldría 0%, es decir, donde nadie denuncia incidentes de seguridad.

Vean el documento completo en http://www.gocsi.com/forms/csi_survey.jhtml

viernes, 19 de octubre de 2007

Simposium de Seguridad Usenix

Primero que nada, busqué la palabra “simposium” en la Real Academia (www.rae.es) y no la encontré. Decidí usar la palabra de todas maneras.
En fin, hoy deseo hablar de un congreso de seguridad que se llevó a cabo en Boston (EUA) del día 6 al 10 de agosto (16th Usenix Security Symposium). A penas me acabo de enterar que este evento ya puso “online” su material.
Y se ve interesante, ya que es un evento de los que me gustan, donde no se habla de lo mismo que ya se sabe de seguridad, sino que hablan de temas innovadores y presentan “papers”, todos relacionados con seguridad.
He aquí algunos temas vistos para ver si les interesa:
Cellular Network Security
Mobile Malware (F-Secure)
Integrity Checking in Cryptographic File Systems with Constant Trusted Storage
Computer Security and Voting
Advanced Rootkits
Human-Seeded Attacks and Exploiting Hot-Spots in Graphical Passwords

Hay la posibilidad de bajar MP3, audio y hasta video de algunas de las conferencias.
Agrego el link del evento: http://www.usenix.org/events/sec07/tech/#thurs

En particular me llamó la atención la plática de “mobile malware”, cuyo ponente fue Mikko Hypponen, de F-Secure (empresa antivirus reconocida). Comentó del inevitable incremento de virus, troyanos y spyware para celulares, lo que actualmente pueden y no pueden hacer y los mecanismos de infección (MMS, bluetooth, descargas y tarjetas de memoria). La presentación incluye una demostración en vivo y varios datos estadísticos de interés.

miércoles, 17 de octubre de 2007

Essential Body of Knowledge.

Pues bien, agreguemos otro término más al diccionario de seguridad. Esta vez se trata del Essential Body of Knowledge. Este término nos llega como una iniciativa del gobierno de los Estados Unidos, con el fin de definir los roles y funciones de los diferentes perfiles de un puesto de seguridad.
Analicemos. Según parce, existen ya varios términos referentes a los puestos que una persona puede tener en una organización, como por ejemplo: CIO (Chief Information Officer), DFP (Digital Forensics Professional) o ISE (IT Security Engineer). Obviamente esto aplica a los Estados Unidos, donde florecen estos títulos, y no así en México que tenemos términos como “Director de Seguridad”, “Jefe de Seguridad Informática”, etc.
En fin, lo que quiere el gobierno de EUA, al parecer, es uniformar los nombres de estos puestos y definir sus funciones y roles dentro de una organización, lo cual es un buen intento para tratar de definir algo que hasta la fecha se suponía o asumía.
¿En qué afecta a México? Básicamente en nada. Tal vez lo usemos para definir algunos puestos de empresas mexicanas y no inventar el hilo negro. Tal vez usemos estos términos para entender cuando leamos algún texto o noticia de aquél país del norte. Como siempre, allá se nos han adelantado una vez más para hacer estas definiciones y nos limitaremos a hacer referencia a este documento.
Por cierto, recordemos que ya hace años la ISC2 (www.isc2.org) tiene su CBK: Common Body of Knowledge.Y les resultó fácil hacer una variante para encontrar el nuevo nombre: Essential Body of Knowledge. Así que teníamos CBK y ahora también tenemos un EBK. Sin embargo, el CBK es un compendio completo de términos, definiciones, mejores prácticas...en pocas palabras en un marco de referencia y de donde se puede estudiar para la anhelada certificación CISSP.
En estos momentos, el EBK se encuentra en “revisión” y piden la participación de todos para complementar y enriquecer el documento. No me queda muy claro el proceso para hacer llegar los comentgarios que vayamos teniendo del documento. Anexo la liga por si es de su interés esta versión beta del documento o si desean participar en el enriquecimiento del EBK: http://www.us-cert.gov/ITSecurityEBK/

martes, 16 de octubre de 2007

Infosecurity Forum 2007

Ayer y hoy se celebró el InfoSecurity Forum en su edición 2007.
Lo más representativo fue la presentación de Bruce Schneier, a quien personalmente admiro. En estos días comentaré brevemente lo que dijo en su plática.

Del resto, bueno, sí hubo buenas intervenciones, pero la mayoría se centraban en lo que ya conocemos: existen amenazas, hay poco presupuesto para seguridad, los ataques de los empleados son los más peligrosos...

En fin. Creo que a varias conferencias les faltó la parte "innovadora". ¿Dónde quedaron los "papers" de seguridad? ¿Dónde quedaron las nuevas tendencias de seguridad? ¿Ya lo hemos visto todo?

Me hubiera gustado ver más trabajos de investigación, uno que otro "paper", algo que me hubiera hecho decir :"ahh, eso no lo sabía". Tal vez a los participantes se les diga que no deben de tratar cuestiones "muy elevadas", o que los que asistimos somos principiantes de seguridad.

Como sea, creo que deben de elevar el nivel de las pláticas y efectivamente tener charlas (unas cuantas) para los principiantes, pero otras más que tengan ya algo más "elaborado".

Por ejemplo, las del Dr. SJouke Mauw, Bruce Schneier o Andreas Spruill fueron de buen nivel, nos pusieron a pensar.

En fin, en esta semana algunas observaciones y fotos de la plática de Bruce, ya que en este momento no tengo mis apuntes a la mano.

lunes, 15 de octubre de 2007

MS07-057 no oficial

Resulta que hace varios meses se sabía de una vulnerabilidad en IE7 (CVE-2007-3896).
Microsoft en pocas palabras se desentendió del problema y argumentó varias cuestiones para evadir publicar un parche.
En fin, el punto es que un investigador desarrolló un parche para este hueco de seguridad, ya que la empresa no emitió uno, hasta el martes 9 de octubre.
¿Qué significa que un investigador haga un parche antes que un fabricante? Pues para el fabricante, es una llamada de atención, y bastante seria. Es como si le dijeran a usted que su auto marca “x” tiene un defecto, y en Tepito de ofrecieran la solución, pero no así el fabricante del auto. Esta no es la primera vez que pasa esto, y en mi opinión la empresa debe de tomarlo de manera seria.


Claro, el fabricante recomienda no instalar el parche “no oficial”, pero vean el lado de la víctima, del usuario vulnerable que no tiene parche del fabricante y que tiene que seguir viviendo con esto. Probablemente al usuario común no le preocupe, pero a las empresas sí les interesa que haya sistemas en su infraestructura que tengan un hueco de debilidad...y que no puedan hacer nada al respecto mas que sentarse y rezar para que nada malo pase. O tienen la opción de un parche no oficial que los hace dormir más tranquilos. Por cierto, anexo la liga de este parche:



En fin, aquí surgen diversas cuestiones que habría que analizar como: ¿Realmente el parche no oficial resuelve el problema? ¿El parche no oficial contiene un troyano? ¿Debo esperar a ver si el fabricante publica algo o aplicar el parche no oficial? Ahí están las preguntas, sin embargo no hay una respuesta fácil.
En conclusión, si yo fuera un directivo de Microsoft, ya habría mandado llamar a alguien para pedir algunas explicaciones, no creen?

Contraseñas con duración de tres meses

Hemos escuchado en incontables ocasiones que lo "recomendable" es mantener una contraseña al menos durante tres meses, luego habrá que cambiarla. Esto significa que tendremos a usuarios que gustosos cambiarán cada tres meses su "password". ¿Por qué tres meses? ¿Por qué no cada dos meses o un mes o diario? ¿De dónde salió que cada tres meses era una buena "práctica"?

Pues bien, no sé la respuesta y si Usted la sabe, mándame en seguida un mail. La verdad es que una contraseña puede ser capturada por algún medio cualquier día de la semana (¿o en fin de semana?). Nada dicta que si cambio mi contraseña cada tres meses, entonces estará segura. Si el día de hoy apunto mi contraseña en un "post-it" y lo pego en mi monitor, alguien podrá pasar y copiar mi apreciada contraseña. Si el día de mañana decido dictar mi password a alguien que se comunicó conmigo y que me aseguró que era de "sistemas", puede ser que se la haya dictado a una persona totalmente ajena a mi organización.

Si usted es de los que configura el sistema (u ordena configurarlo) para que cada tres meses moleste al usuario y lo inste a cambiar la contraseña, entonces será uno más de los que siguen una mejor práctica de la industria...que es totalmente inútil.

Lo único que puedo pensar en el que inventó la regla de los tres meses es que entre más frecuentemente cambia mi contraseña, es menos probable que alguien la intercepte. Como ya dijimos, esta suposición es falsa, ya que cualquier día mi contraseña puede ser comprometida. Lo bueno de cambiarla es que el atacante sólo podrá usarla durante tres meses y luego tendrá que robarla de nuevo...qué alivio que sólo la haya podido usar tres meses.

¿Cuál es la solución? ¿Pedirle al usuario cambiarla cada día o mejor aún, cada hora? Definitivamente no. Habrá que buscar "nuevas tecnologías" (que de nuevas no tienen nada) como la biometría o las tarjetas "inteligentes". Lo sé, tal vez no sean lo mejor, pero al menos es una mejoría viendo lo seguro que son las contraseñas. ¿Por qué seguimos usando contraseñas en los equipos? Seguras no son, pero son muy cómodas. "juan123", "fanny" y "mellamopedro" son fáciles de recordar. ¿Quién quiere estar trayendo una molesta tarjeta inteligente? ¿Qué empresa quiere gastar en biométricos? Las contraseñas son una herencia de antaño, y seguirán con nosotros todavía un tiempo. - Por Fausto Cepeda.