martes, 13 de diciembre de 2011

Un Mundo Nos Vigila


Pero no hablo de ese mundo, sino de uno más cercano. Andaba netflixeando y me topé con la película “Enemy of the State” con Will Smith y Gene Hackman. Para los que estamos en seguridad de la información sería una buena idea verla o volverla a ver para analizarla desde otra perspectiva y no sólo la de pasarnos un buen rato. Pienso que tiene más de una lección. Por ejemplo aquí enlisto unas:

Comunicaciones Seguras. El ambientalista encuentra el video de un asesinato de un importante político. Lo primero que hace es llamarle a un amigo para contarle el “chisme”. Vaya, un poco de malicia y haberse sentado 5 minutos a pensar sobre lo que tenía entre sus manos le hubiera ayudado. Para cuando habla por teléfono…bam! Línea intervenida. Y de ahí se desencadenan una serie de eventos que acaban con la vida del personaje. Si algún día te encuentras en una situación así o similar, asume el peor escenario, revisa el siguiente punto y actúa en consecuencia.  

Un Estado como Adversario Formidable. Como ciudadanos o como responsables de la seguridad de una infraestructura, debemos siempre pensar en un Estado como un titán. Sí, hay grupos de hackers, hay Anonymous, aficionados que se meten a tu cuenta de Twitter y criminales organizados así como espías industriales. Pero de todos los que se me ocurren, el T-Rex es un Estado que cuente con recursos (dinero, gente, entrenamiento etc.) casi limitados, control sobre las infraestructuras, poder legal e ilegal así como una estructura organizada. Aunque también tiene sus debilidades, para nada debemos de menospreciarlo.

Nunca uses un USB que te haya dado un Desconocido. No hay una escena particular pero me acordé que una forma sencilla de “targetear” (ataque dirigido) a alguien sería dándole un USB gratuito de alguna forma para que lo insertara en su equipo de cómputo (hubiera sido una excelente forma de enganchar aún más al personaje de Smith). Por ejemplo, lo primero que hace la gente al encontrar un USB “por ahí tirado” es explorarlo “a ver qué tiene”. Y más si tiene una etiqueta de “fotitoxxx” o “personal”. Y claro, el USB tiene troyano/malware incluido. Pero honestamente, quién plantaría un bicho así en un USB, cierto? Esperen un momento... dijeron StuxNet?

Sana Paranoia. El papel que interpreta Gene Hackman es el de un verdadero paranoico. Si ven la película, coincidirán conmigo en que “no manches, no hay que ser taaan paranoico”. Ok, concedido, pero tampoco hay que ser taaaaan wey (iba a decir “inocente”, pero “wey” es más apropiado). Para los que estamos en seguridad de la información, siempre es sana una dieta de paranoia balanceada con administración de riesgos. Sin embargo recuerden que para una empresa el planear bajo el “peor de los escenarios” es algo cercano a lo incosteable y/o inalcanzable, por eso se habla de administración de riesgos y por eso es algo tan difícil de hacer bien (alejarse del extremo del peor de los escenarios y del otro extremo del “aquí eso no nos pasará”).

Compartir el Conocimiento. Hackman comparte su conocimiento con el inexperto Will. Hay que compartir el poco o mucho conocimiento que tengamos en cuestión de seguridad informática con otras personas. Yo trato de hacerlo usando este blog como herramienta.

Ya para concluir, me gustó lo que el personaje de Hackman dice ya casi al final de la cinta (no es textual): “Debemos usar sus debilidades. Pelea sólo las batallas que sabes que ganarás. Usa sus armas a tu favor. Ellos se debilitan y tú te fortaleces”.

viernes, 2 de diciembre de 2011

Diciembre 2011: ¿Qué Libros Estoy Leyendo?


Aunque no dispongo de mucho tiempo, (en tiempos recientes) me gusta leer. No sólo de seguridad vive el hombre, por eso trato de variar mis lecturas. ¿Qué libros ando leyendo? La respuesta a continuación.

Linchpin: Are You Indispensable? Hace unos meses noté que invertía más tiempo en el auto que de costumbre gracias a unas obras cerca de casa (¡Marcelo!); mis podcasts (Security Now, El Explicador, Harvard Business) ya no cubrían las 10 horas de tránsito semanales. Recordé el servicio de Audible y lo contraté hace poco para que me leyeran un libro vía audio; me encantó el concepto de que te lean un libro y aprovechar el otrora tiempo perdido. En mi carrito de Amazon tenía el texto de Linchpin y decidí que sería mi primera compra en Audible.

El libro trata básicamente de que seas un artista en el sentido de que crees valor en tu trabajo. Que no deba haber alguien que exactamente te diga qué hacer y que huyas de empleos con actividades repetitivas porque así eres fácilmente sustituible. Te hace la pregunta de si en tu trabajo eres algo cercano a lo indispensable (o al menos que se notará tu ausencia) o puedes ser sustituido cualquier día de la semana.

Me gustó porque te presenta ese reto de ser alguien que genere VALOR, que dé opiniones, que sea asertivo y que proponga ideas. Que dé de sí más allá de lo que se le pide; que haga que las cosas sucedan sin que se le exija; que sea un artista porque lo suyo no es un trabajo que cualquier fulano podría realizar. Nos plantea que hagamos nuestro trabajo con pasión, rompiendo esquemas, “creando” en lugar de “haciendo”, que no seamos del promedio y del montón. Que hagamos las cosas de manera diferente al agregar valor.

Me pareció interesante la propuesta del texto y sí me hizo pensar en más de una ocasión en mi propio trabajo en seguridad informática y en cómo podría aplicar en concreto lo que en el libro se exponía. No me arrepentí de haberlo adquirido. Le pongo cuatro estrellas.

Einstein: His Life and Universe. No recuerdo cómo llegué a este libro, pero lo tenía en mi carrito de Amazon y cuando vi su índice me llamó la atención. He de confesar que estoy iniciando el libro (y lo puse en pausa porque estoy con el de Steve Jobs). Hasta donde voy se ve que está interesante la biografía. 

Honestamente en mi juventud no era muy fan de leer biografías ya que se me hacían aburridas y de flojera el tener que leer un libro entero de la vida de alguien; pero eso ya lo estoy cambiando ya que he visto que al leer las vivencias de personas que admiro de hecho me motiva, me da ideas y me inyecta ganas de superarme en aspectos profesionales y personales. Creo que el truco fue encontrar biografías de personas que admiro y evitar las de personas que aunque muy respetables e importantes, no me hacen “click”.

Steve Jobs. Los que me han estado siguiendo tal vez ya estén hartos de mí hablando de Jobs. Ok, aquí va una vez más. Empezaré diciendo que el libro es objetivo; al menos no trata de esconder “detallitos” ni ser un texto lleno de alabanzas y piropos. Como dije, he descubierto que al leer biografías de personas que admiro me llena de alegría, motivación y me da dos que tres lecciones. Por ejemplo a raíz de este libro he empezado a hacer algunos cambios:

Tirar una cosa al día. En mi lugar de trabajo cada día tiro a la basura algo que no me sirve. Jobs estaba orientado a la simplicidad y a “lo mínimo necesario”. ¿Cómo aplicarlo en mí? Haciendo lo que acabo de decir. También lo estoy haciendo en casa tirando varias cosas un día a la semana. Ya hasta pregunté en mi biblioteca pública más cercana si pueden recibirme donaciones de libros y así lo estaré haciendo en las siguientes semanas.

Piensa diferente. A la persona que más quiero y dada su corta edad, he empezado a inculcarle ideas para que piense fuera de los esquemas pre-establecidos poniéndole ejemplos de algunos pasajes de la vida de Steve. Cuando crezca más quisiera que leyéramos este libro juntos (me parece de más valor que leer el Antiguo Testamento, con el perdón de su mercé). A mí me enseñaron que no hay que tomar riesgos, que hay que ir a la segura, seguir el status quo y que las calificaciones de la escuela son lo más importante. 

Ahora veo que las posiciones más interesantes no son de gente que se va a la segura buscando un empleador estable; y que las notas de la escuela aunque importantes, no aseguran un futuro brillante lleno de dinero y satisfacción personal. 

Es decir, pienso que hay habilidades que no enseñan en la escuela y ya que estás en el mundo laboral ves que de lo más importante es la habilidad de comunicar/vender ideas, de tener carisma, de tomar riesgos, de tener habilidades de negocio, de ser responsable, de generar ideas innovadoras, de entregar en tiempo resultados; no necesariamente la gente que haga velozmente integrales y derivadas o saque rápidamente un Reverse TCP por medio de un exploit será la que tenga las mejores posiciones sólo con esas habilidades. 

No me malentiendan, creo que la educación escolar de los niños hay que complementarla con otras enseñanzas muy útiles allá afuera.

Otro cambio que me interesa ahora aplicar -gracias al libro- es el estilo minimalista. Empezaré por mi cuarto. Aunque entiendo que el minimalismo no sólo es cómo está diseñada una habitación. Por ejemplo mis presentaciones de PowerPoint en el trabajo ya no tienen adornitos ni rayitas; es una presentación en blanco con un bonito Font…es todo. 

Steve es un ejemplo extremo, claro está. Un cuate centrado y apasionado por su trabajo y ganas de aterrizar una visión. Con una intensa búsqueda por la excelencia pero teniendo claro que “hay que entregar resultados” y finalizar productos. Una persona “loca” por el diseño y por cómo se interactúa con los productos. En este libro uno se puede asomar a su mundo y tratar de entender su filosofía de vida.

En mi caso, sí he visto que la lectura del libro va más allá que la simple asimilación de letras, palabras y frases; estoy todavía en el proceso de asimilar ideas y aterrizándolas en acciones concretas. Le pongo cinco estrellas y lo recomiendo aunque no sean fan de Steve Jobs (un must si eres emprendedor).

Thinkertoys. Generar ideas como las de crear computadoras en un garaje de una casa o desarrollar un buscador de páginas en Internet. ¿Cómo poder “forzarte” a tener ideas? Este libro trata de proveernos de algunas técnicas para pensar en cosas que no habrías pensado antes. 

El libro te invita a cambiar hábitos (para empezar a entrenar la mente a que se salga de lo habitual); nos dice que hay que tener un objetivo de cierta cantidad de nuevas ideas al día o a la semana. En la página 48 se describe por ejemplo una interesante técnica que consiste en listar lo que uno asume de X lugar o situación (“los restaurantes tienen un menú escrito donde la gente ve las opciones para comer”) y luego redactarlo de forma contraria (“no hay menús donde la gente…”) y tratar de ver cómo es que eso podría ser e intentar sacarle un sentido.

El libro me ha ayudado a tener algunas ideas. Por ejemplo para el trabajo que hace mi papá  le he propuesto nuevas formas de vender sus servicios; o una idea respecto a QR Codes que le mandé a uno de mis jefes. También la de una app para móviles que puede ser utilizada en las agencias de autos. Ok, no son grandes ideas todavía, pero por algo estoy empezando.

No me considero una persona muy creativa e innovadora que digamos y por eso busco libros como éste (tengo en la mira el de The Innovator's Dilemma: The Revolutionary Book That Will Change the Way You Do Business). Me interesan libros que me ayuden a salirme del molde y que me saquen de mi pequeño status quo. 
Este libro que acabo de terminar de leer tiene varias técnicas y si bien no las he aplicado de manera frecuente, ya me han ayudado en algo y espero implementarlas de manera más consistente. Tiene cuatro estrellas.

Web Application Hacker's Handbook. Este libro empieza con un overview de la inseguridad en aplicaciones web para después describir los principales mecanismos de defensa que tiene un WebAdmin. Si no estás muy al tanto de las tecnologías web de hoy en día, también te da un “repasón” (yo aprendí más de una cosa en ese capítulo). Posteriormente ya empieza a describir cómo se “mapea” una aplicación web o cómo se pueden evadir controles tipo “client side”. Voy en el capítulo 6 (todo el libro tiene 20) que se trata de Ataques a la Autenticación.

El libro me está dejando un buen sabor de boca y está muy completo ya que abarca una gama amplia de temas respecto al web hacking y va de lo básico a lo realmente avanzado, es decir, te lleva de la mano. 
No está complicado y aburrido como otros libros técnicos que tratan el mismo tema y esto sin mencionar que te da ejemplos para que los lleves a cabo. A pesar de que tiene casi 700 páginas, honestamente no se me está haciendo pesado; he aprendido mucho de este tema y de alguna forma leer este libro es divertido (y no, no me refiero a que hagan chistes). 

Le pongo cuatro y media estrellas y lo recomiendo si alguien desea enterarse (más) del tema de hackeo a aplicaciones web.

Metasploit: The Penetration Tester's Guide. Este libro es de reciente publicación y como su título lo dice, habla de Metasploit y de cómo lograr hacer actividades de pentest principalmente con el uso de esta herramienta. Voy empezando con el libro; como ven no soy de los que acaba un libro para empezar otro sino que llevo varios en paralelo, that’s the way I like it

Tiene un no sé qué que me está gustando más que otros libros que he leído del tema, como el Hacking Exposed que a veces lo encuentro confuso y centrado en herramientitas cuyo uso te describen rápidamente. En el libro de Metasploit se centran en una sola herramienta (apoyado de otras cuantas) pero de forma completa, de manera divertida, al grano y a profundidad. 

De los libros de pentesting es de los que más me ha gustado; y nada que ver con la enciclopedia extensa, aburrida, de poca utilidad y del año de la Abuela (versión 6) que es el material de la certificación CEH (también lo voy a donar porque me estorba más de lo que me sirve). 

Tiene cuatro estrellas y media y hasta si lo quieres para tu primer libro de pentesting seguro que te servirá.

Conclusión.
Sólo me resta preguntarte respecto a las lecturas que estás haciendo actualmente y si no eres de los que lee mucho, invitarte a que lo hagas (aquí algunos tips). Si alguien como yo que poco se interesaba en la lectura puede lograr leer un par de libros de vez en cuando, sé que también encontrarás un tema que sea tan de tu agrado como para dedicarle unos minutos a la semana.

jueves, 1 de diciembre de 2011

QuickPost: Cursos de Seguridad Online


Stanford ha puesto cursos gratuitos de Seguridad Informática en línea. Uno es de Seguridad en Cómputo (inicia en febrero de 2012) y otro es de Criptografía (inicia en enero de 2012). 

Pienso que es una buena oportunidad para quien le interese el tema. Las ligas ahí están, ahora sólo falta que te inscribas y nos digas cómo te fue y si te agradaron los cursos.

miércoles, 30 de noviembre de 2011

QuickPost: Tienda de Aplicaciones Privada.


Me pareció interesante el concepto de tener una tienda de aplicaciones privada dentro de una empresa. La idea general es administrar las aplicaciones de los móviles de los empleados.

Aunque los usuarios podrían acceder a las tiendas de apps “de siempre”, existe la posibilidad de que la tienda privada sea la única que el empleado ve y desde donde baja aplicaciones aprobadas/desarrolladas/compradas por la empresa.

El departamento de TI tendría el control de esta app store© privada aprobando apps para empleados, borrándolas en caso de riesgo y verificándolas. Lo anterior no significaría que se eliminan todos los riesgos en los dispositivos; por ejemplo está el problema de la navegación en sitios maliciosos o por otro lado, el hecho de poder ejecutar attachments infectados del correo.

Todavía no me queda claro cómo se haría lo de "...and each app undergoes a code review before distribution". Para esto se tendría que tener cierto acceso al código fuente de terceros, cuestión que no pienso se pueda llevar a cabo sin problema alguno. Obvio si son apps de la propia empresa no habría obstáculo.

En mi opinión, no todas las organizaciones tendrán los recursos para armar una tienda de apps privada; pero puede ser un mercado que en el futuro lo explote un tercero quien estaría dando este servicio.
En el artículo de ArsTechnica se puede leer que IBM ya tiene algo parecido con su WhirlWind. Así es que esto no sólo es un concepto.

martes, 22 de noviembre de 2011

QuickPost: Penetración a un Sistema de Agua


Las plantas de agua son un ejemplo más de infraestructuras que son administradas con ayuda de sistemas de cómputo SCADA (Supervisory Control And Data Acquisition); así se le llama comúnmente al conjunto de software encargado de manejar plantas de agua, electricidad, etc.
Hace poco, un atacante cuyo nickname es pr0f, logró penetrar al sistema de aguas de Illinois. Al parecer usó una serie de posibles métodos para su ataque: robo de contraseñas de un tercero que da servicios de algún tipo a la planta de agua y acceso a un portal web accesible desde Internet.
¿El daño? Una bomba de agua dejó de funcionar porque se prendió y apagó repetidamente.
Por un lado, no hay que ser alarmistas y pensar que mañana mismo habrá un ataque masivo a infraestructuras SCADA de EUA y de aquellos países que usen sistemas similares. Esta vez fue una bomba de agua; no se envenenó a nadie ni se inundó un pueblo a causa del hackeo. Como siempre, no se puede hacer nada que el propio software no pueda controlar.
Ahora bien, por otro lado, es un hecho que estos sistemas SCADA estimo se pensaron alguna vez inmunes a ataques informáticos y de ahí que desde fábrica (y posteriormente ya implementados), estos sistemas presenten serios huecos de seguridad.
No me explico por qué estos sistemas tendrían que estar conectados a Internet permanentemente y por qué están desprotegidos. Y yo mismo me doy la respuesta: seguramente la gente que administra estos sistemas son expertos en plantas de agua o plantas nucleares, pero NO tienen una noción de los ataques que se pueden llevar a cabo vía Internet y tampoco entienden bien cómo proteger sus sistemas. Tal vez les falta un poco de paranoia.
Lo primero que yo haría es ver la justificación de que estos sistemas sean “vistos” desde Internet. Posteriormente ver la posibilidad de que sólo estén disponibles el tiempo que así se requiere. Y por último y de ser el caso, proteger los diversos accesos a Internet con cifrado y autenticación robusta.
Es sólo el inicio, me parece que la seguridad y protección de este tipo de infraestructuras es un trabajo permanente.

martes, 15 de noviembre de 2011

Seguridad Informática en Casa


Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).
Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.
¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.
Básica 1: Actualizar sistema operativo y sus aplicaciones.
Cualquier sistema operativo va a requerir actualizarse y tiene mecanismos automáticos para llevar a cabo esta tarea. Asegúrate de activarlos; no cuesta dinero porque esta funcionalidad ya viene integrada (búscala en tu Panel de Control).  
Por otro lado, las aplicaciones que instalas también van a requerir su manita de gato y varias de ellas no proveen actualizaciones automáticas. Adobe Reader, Flash Player, Office o Java JRE son algunos ejemplos de  lo que tendrías que estar actualizando casi cada mes. El PSI de Secunia te puede ayudar a detectar las aplicaciones que necesitan un update.
Básica 2: Suite de seguridad.
Contar con un antivirus, firewall personal y un detector de intrusos es fundamental. Puedes pagar por una suite de seguridad que integre estas herramientas (cuesta alrededor de 700 pesos). O puedes buscar algunas gratuitas. Antivirus como Avast o Microsoft Security Essentials te pueden servir.  Comodo tiene su firewall personal gratuito.
Básica 3: Sesión de Usuario.
Cerciórate de que estás iniciando sesión como usuario y no como administrador del sistema. Trabaja el día a día en tu compu como usuario y sólo cuando lo requieras sé administrador.
Básica 4: Usa tu criterio e Investiga.
¿Eres de los que entra a cuanta página se le antoja porque recibiste el link vía correo/twitter/facebook? ¿Visitas sitios XXX tal vez? ¿Instalas cuanta cosa te late al ir navegando? Bien. ¿Y desde esa misma computadora ingresas a la banca en línea y tecleas los passwords de tus sitios favoritos? Tendremos un problema.
No voy a decirte que no abras adjuntos sospechosos, porque yo soy el primero en criticar estas recomendaciones vagas y absurdas (¿cómo sabría un usuario que algo es sospechoso??).
La sugerencia sería que te mantuvieras atento (por ejemplo leyendo este tipo de blogs o googleando/preguntando algo que no sepas). Usar el sentido común (¿de verdad el hijo del rey de Nigeria te dará dinero si lo ayudas a sacar un dinero de su país?) y sé escéptico (¿en serio tu Banco te dice que si no haces click en esa liga te cancelarán la cuenta? Investiga con tu Banco la veracidad de ese correo).
No hay dinero regalado ni offline ni en Internet. Los atacantes tratarán de que hagas click o visites esa página a como dé lugar.
Y si nuestro sentido común falla (después de todo no somos expertos en seguridad ni debemos de serlo), pues aquí están estas recomendaciones de este post que te podrán ayudar a protegerte (y enfatizo “ayudar”; ningún control tecnológico evitará que pongas por propia voluntad el password de tu Banco en una página maliciosa).
Básica 5: Respalda.
El post original contenía sólo las cuatro recomendaciones básicas arriba enlistadas y este de “Respaldo” iba a estar como no-básica. Pero caramba, finalmente los archivos (fotos, música, documentos relevantes) son los que dan vida a un sistema, no crees? Así es que entra como básica: respalda.
Yo sugiero el respaldo tipo 1-2-3.  Una copia del respaldo offiste. Usando dos diferentes medios (ej: disco duro y DVD). Tres copias de esos respaldos.
Puedes hacer respaldos mensuales en CD o DVD; tal vez en discos duros externos. Puedes usar la nube ahora que está de moda (Carbonite ofrece respaldos automáticos para varias plataformas y usa nube).
Usa el esquema y servicio que más te agrade PERO respalda. Respalda, respalda, respalda. Y que sea frecuente.

El Resto de las Recomendaciones son:
SandBox: la tendencia es que las aplicaciones incorporen una sandbox por default. Las últimas versiones de Chrome lo hacen; Adobe Reader también. Es mejor preferir este tipo de aplicaciones o ahí están productos como SandBoxIE que hacen el trabajo en la aplicación que desees. Una sandbox dificultará un ataque; cuando te manden un exploit le habrás dado una pastilla azul al malware y no dañará tu sistema principal.
WPA2: pensé en poner esta medida como básica, pero ya eran muchas básicas, no crees? En fin, en casa hay que activar el protocolo WPA o mejor el WPA2. Un amigo me comentó que su vecina estaba ofreciendo acceso a Internet a mitad de precio. ¿De dónde crees que “toma” la señal para venderla? Nota: el protocolo WEP “seguro” no es seguro y pueden entrar en tu red inalámbrica en menos de 5 minutos.
Si no sabes bien cómo habilitar WPA2 en tu ruteador inalámbrico en casa, llama a  soporte técnico de tu proveedor para recibir ayuda. Por ejemplo, el Wii, tu iPhone y iPad soportan este protocolo.
Navegación Inteligente: los ataques se centran en Internet Explorer. Luego entonces, usa mejor el Chrome que de hecho tiene una sandbox. O FireFox.
Recomiendo usar el NoScript (o equivalentes). Es un add-on que impide la ejecución de scripts en el navegador; te salvará de más de un problema. Grabémonos esto: los scripts son nuestros enemigos.
Y hablando de add-ons, está el Certificate Patrol que estará al pendiente de tus certificados y alertará de cambios sospechosos. Útil en esta época en que las autoridades certificadoras se tambalean y donde algunas de ellas perdieron nuestra confianza (y precisamente lo que venden es confianza).
Sí, la navegación por Internet se ha vuelto un verdadero paseo por la jungla. Una sugerencia engorrosa pero que te dará un nivel adicional de seguridad es navegar con una máquina virtual. Existen productos gratuitos como VirtualBox, Virtual PC o VMWare Player que te darán la capacidad de montar un sistema operativo “independiente” en tu sistema. Ya que lo instales, puedes arrancar un Linux por ejemplo (Ubuntu, FreeBSD o Linux Mint son buenas opciones). Y ahora sí, desde tu máquina virtual entrar a esa liga que te mandó “el amigo del amigo” o visitar ese tipo de sitios que sabes que te pueden instalar mugre y media sin que te des cuenta. Prueba este esquema de navegación.
También podrías considerar tener un UTM casero (Unified Threat Management) como el que ofrece Astaro (hasta ahora gratuito). O equivalentes. Te dará más protección al navegar, en tu correo y en tu red de casa. Los UTM tratan de darte una seguridad más “integral”.
Por último. ¿Quieres anonimato al navegar? Usa TOR, o como yo le digo: el Ruteador Cebolla. En lo personal ligo mucho esto de la navegación anónima con actividades poco honorables; asegúrate que usas anonimato para algo que valga la pena y no para andar haciendo porquerías. Gracias.
Cifrado de Datos: he escuchado a varias personas decir “pero si en mi compu no tengo nada realmente importante que alguien más quisiera”. Mi respuesta es: “ok, me permites hacer una copia de tu disco duro para llevármela y quedármela?” La respuesta es: “claro que no, tengo fotos personales y ahora que lo recuerdo, a ti qué te importa??”
En fin. Puedes usar TrueCrypt para cifrar tu disco duro entero o parte de él. También lo puedes usar para cifrar tus USB. Hablando de USB, existe un buen software de cifrado llamado Rohos Mini Drive especializado en cifrar dispositivos USB.
Ahora bien, si lo que te interesa es intercambiar correos cifrados, puedes usar opciones gratuitas como OpenPGP o GnuPG. Y una opción más simple y sin costo: HushMail que ofrece proteger tus correos al mismo tiempo que mantiene una interfaz web tipo GMail/HotMail fácil de usar.
Nota: si eres de los que consideran que “no hay nada importante en mi compu” te recuerdo que aun así existe el riesgo de que la conviertan en zombie.
Passwords: hace poco escribí un post de cómo crear contraseñas robustas pero fáciles de recordar. En resumen: personas pueden adivinar tu contraseña. Y si no, ahí están las computadoras para probar N posibles contraseñas hasta que lo logren. Sugerencia: usa contraseñas diferentes para cada sitio/servicio y que sean difíciles de hackear (pero fáciles de recordar).
Puedes usar apps gratuitas para administrar tus passwords. LastPass es una de mis favoritas, úsala y seguro te quedarás con ella.
Hablando de passwords, los servicios online tienen una opción de recuperar tu password en caso de olvido; asegúrate de que las preguntas/respuestas que hiciste sean algo que sólo tu podrías contestar. En medio de una pelea épica, tu compañer@ sentimental podría tratar de hacerse pasar por ti e intentar recuperar tu contraseña; ya le pasó a Palin, por ejemplo (aquí la motivación fue política).
Banca en Línea: prefiere que tu Banco te dé un token para entrar a su sitio (un token es un aparato que te provee de una nueva contraseña –dinámica- cada vez que entras al portal). Existe malware muy especializado cuya finalidad es robar tus credenciales de acceso (username + password estático) y quitarte tu dinero. Ejemplos abundan y constantemente salen nuevas versiones más complejas y difíciles de detectar/erradicar.
El token no es el fin de la historia. Debes fijarte en tener un sistema limpio para poder tranquilamente entrar en tu sesión de banca en línea. Una de las mejores maneras que he encontrado es usar un LiveCD de Linux (por ejemplo Ubuntu) y bootear tu sistema desde ese CD, arrancar FireFox y adelante con tu banca en línea. “Pero qué flojera hacer todo eso para una inche sesión con tu Banco”…ok, no hay problema. Es tu dinero, tú decides. Esta sugerencia te da un sistema limpio cada vez que booteas (sin que instales nada), y si agregas que la gran gran mayoría del malware está enfocado en Windows…ahí lo tienes!
Almacenamiento en la Nube. DropBox y el iCloud son servicios de almacenamiento de documentos en la nube. No son muy seguros pero entiendo que si pones ahí las fotos de tu perro o un trabajo de la escuela pues no tienes de qué preocuparte. Pero si vas a poner ahí la foto del IFE escaneada o documentos corporativos relevantes, es mejor que uses opciones más seguras. Wuala o JungleDisk aplican el PIE (Pre Intnernet Encryption) lo que significa  que automáticamente tus datos se cifran en tu sistema y salen así a la nube. Tú mantienes el control, no la nube.
Sistemas Operativos. Sé que dije que me enfocaría en Windows pero me fue irresistible hablar de este punto y además es a manera de conclusión de este largo y aburrido post.
Finalizaré diciendo que todos los sistemas operativos son inseguros instalados como vienen de fábrica (la gran mayoría de los fabricantes quieren que tengas un sistema funcional lleno de maravillosas monerías y no realmente un operativo seguro y restringido).
Sin embargo a todos ellos se les puede endurecer (hardening) para fortalecerlos. Bien configurados, bien administrados y bien usados no hay operativos mejores ni peores. Sin embargo considero que un buen operativo seguro “de fábrica” es FreeBSD. He de confesar que no lo uso del diario…para eso tengo el poderoso y limpio OSX.
Eso es todo. Y claro, te invito a compartir lo que tú haces para mantenerte fuera de problemas.