miércoles, 18 de junio de 2014

¿Documentas o Haces?

TechTarget me hizo el favor de publicar un artículo. Trata sobre las exageradas tareas de documentación vs el menor tiempo que se le dedica a "hacer" las tareas asignadas. Disfruten.

sábado, 7 de junio de 2014

La Seguridad y Skype

Fui hace un par de semanas de visita a una empresa para tener una junta de trabajo. Todo marchaba bien y llegó el momento de hacer una llamada vía Skype con un proveedor que no está ubicado en México. Ahí empezó el problema porque en esa empresa me dijeron que por motivos de seguridad estaba prohibido usar Skype en las computadoras de los empleados. Un inconveniente, porque Skype es ideal para hacer llamadas telefónicas gratuitas por internet ya que es lo suficientemente popular como para que “todos” lo tengan en sus computadoras o smartphones y baste hacer unos clicks para estar llamando.


Finalmente tuvimos que hacer una llamada de larga distancia a los EUA y nuestra junta transcurrió sin más sobresaltos. Antes de irme y por curiosidad, quise ahondar más en el asunto de la prohibición de Skype. Me explicaron que no lo permitían por “eso del espionaje” de la NSA (Agencia Nacional de Seguridad) de los Estados Unidos. Microsoft compró hace un par de años a Skype y hay noticias referentes a que esa empresa ha colaborado con la NSA (busquen en Google “Microsoft cooperated with NSA giving access to Skype”).

Lo anterior significa que existe la probabilidad de que las llamadas efectuadas por Skype sean de algún modo monitoreadas por la NSA, ya sea en tiempo real o bajo demanda. Claro que si voy a hablar con la abuela de cómo hacer galletas sabor canela, no creo que me deba de preocupar por el espionaje (aunque las galletas de la abuela bien pueden contar como un secreto). Pero otra cosa es hablar de cuestiones laborales de relevancia vía Skype y de ahí nace el temor que se deriva en prohibición.

Pero me puse a pensar en que no nos dejaron usar Skype y a que raíz de eso, hicimos una llamada de larga distancia a los EUA. Y aquí mi segundo pensamiento: sabemos que hay sospecha de espionaje en las redes telefónicas tanto allá (busquen en Google “NSA collection of telephone records”) como acá:

The SOMALGET system is part of a larger telephone-tapping system developed by the NSA dubbed MYSTIC. The newly leaked documents show MYSTIC is active in others countries – including Mexico, Kenya, and the Philippines
Fuente: The Register http://tinyurl.com/SOMALGET

¿Así es que de qué sirve prohibir Skype si de todas maneras hay noticias que nos orientan a pensar que existe espionaje en las llamadas telefónicas? Cuando argumenté lo anterior, me dijeron que había otra razón de peso para bloquear Skype y era su funcionalidad de compartir archivos, ya que éstos pudieran traer virus y contaminar equipos de cómputo. Skype anuncia en su página web:

Envía fotografías, videos y archivos de cualquier tamaño”.

Significa que un usuario podría recibir archivos desde Internet, ejecutarlos y contaminar su computadora con virus. Pero seamos realistas. Un archivo infectado por lo general viajará por correo electrónico o será bajado de alguna página web. Si bien existe la probabilidad de que un archivo infectado sea compartido vía Skype, identifico que por esta vía el riesgo es menor. Además de que seguramente habrá un antivirus en los equipos de cómputo de los usuarios que servirá como uno de los controles corporativos de seguridad para detectar y detener la infección, en todo caso.

Así es que en conclusión, seguí sin poder entender la razón de la prohibición de Skype. Pero supongo que eso hacía felices a los administradores de sistemas de aquella empresa, tengan o no razón.

martes, 13 de mayo de 2014

Verdades y Lecciones de HeartBleed

ComputerWorld México me hizo el favor de publicar mi artículo que trata sobre algunas lecciones aprendidas de Heartbleed y algunas verdades no dichas. 

Espero te agrade: 
http://computerworldmexico.com.mx/verdades-y-lecciones-de-heartbleed/

Fausto Cepeda.

viernes, 11 de abril de 2014

Vulnerabilidad heartbleed

Todo lo que quieres saber de la debilidad heartbleed en mi artículo de Techtarget.


Es importante agregar que heartbleed NO es un virus. Es una vulnerabilidad de una librería llamada OpenSSL. Y al momento (11-abr-2014) no hay un virus que aproveche esta debilidad.

Son cosas muy diferentes hablar de vulnerabilidad y virus. 

Una vulnerabilidad es un error de quien haya desarrollado un software. Un virus es un software intencionalmente programado para hacer alguna acción maliciosa en una computadora. 

A veces los virus se aprovechan de una vulnerabilidad de software para hacer daño; otras veces (la mayoría) no aprovecha ninguna debilidad y simplemente hacen daño al ejecutarse.

Algunos medios confunden a heartbleed con un virus. Es totalmente incorrecto. Dicen que se está esparciendo rápidamente por todo Internet; también incorrecto porque es una vulnerabilidad ya presente en OpenSSL y como tal no se "esparce".

Dicen que hay que cambiar contraseñas de los sitios con una versión OpenSSL vulnerable. Sí, es una buena medida de precaución, pero no hay evidencia al día de hoy (11-abr-2014) de que haya habido extracción masiva de passwords de un sitio en particular.

Dicen que es la peor grieta de seguridad de todos los tiempos de Internet. Calma, no hay que ser alarmistas. Internet sigue ahí operando. Que sepamos, no hay hackers metiéndose  a las cuentas de usuarios de N sitios en Internet. Si bien no sabemos si esto sucedió o está sucediendo, los medios asumen que sí pasó. Y a una escala masiva.

Por último, si bien no sabemos si alguien aprovechó esta debilidad heartbleed desde que existe hace un par de años, hoy lo correcto a hacer para los administradores de sitios web es migrar a una versión segura de OpenSSL. Porque ahora sí ya sabemos que hay un problema y sería negligente no hacer nada al respecto.

jueves, 3 de abril de 2014

Cómo vender seguridad informática a tu organización

La revista .Seguridad (UNAM) me hizo el favor de publicr mi artículo de cómo hacerle para vender seguridad en una organziación.

Espero te guste.

jueves, 20 de marzo de 2014

Yo esperaba un buen reporte de pentest

Les comparto el artículo que TechTarget me hizo el favor de publicar, espero les agrade

http://searchdatacenter.techtarget.com/es/opinion/Yo-esperaba-un-buen-reporte-de-pentest

jueves, 13 de febrero de 2014

Microsoft deja de soportar XP en abril 2014

ComputerWorld México me hizo el favor de publicar mi artículo con el tema de la finalización del soporte (parches de seguridad) de Windows XP por parte de Microsoft.

http://www.computerworldmexico.mx/Articulos/31669.htm