miércoles, 31 de octubre de 2007

Muta un anti-código espía

Uno de los más famosos anti-spyware (anti código espía) de la marca  Webroot ha muerto...o por lo menos ha mutado y cambiado de nombre. Ya no es Webroot Spy Sweeper, ahora es el flamante "Webroot AntiVirus con AntiSpyware & Firewall". Es decir, le agregaron la funcionalidad de antivirus y de firewall personal.

¿Y? ¿Eso qué tiene de extraordinario?

Para ser sinceros, nunca debió de haber existido un producto "antispyware", realmente esto es un código malicioso más, al igual que un virus, gusano, backdoor o troyano. ¿Han visto últimamente un anti-troyano o un anti-backdoor?

El código espía no es más que otro "malware", otro código malicioso que debe de ser erradicado, por quién? La lógica diría que por mi antivirus. Ciertamente no debo de comprar un antivirus, un anti spyware, un anti backdoor, un anti rootkit, un anti troyano, cierto? Uno espera que ese producto que se llama antivirus haga todo eso.

Entonces, por qué nació exitosamente un anti-spyware? Por la sencilla razón de que los antivirus no erradicaban bien el spyware a pesar de que era código malicioso, como que no lo veían como una gran amenaza y al ser algo nuevo, no se dieron a la tarea de combatirlo de manera eficaz. Hasta la fecha algunos antivirus siguen siendo "no tan buenos", sobre todo ante código espía que realmente es difícil de remover.

Ahora bien, no es casual que la compañía Webroot haya cambiado el nombre de su producto estrella y tengamos ahora también la parte de antivirus y firewall. ¿Por qué lo hicieron? Tal vez porque la gente ya no quería seguir pagando exclusivamente por un producto anti-spyware y porque muchos antivirus ya lo limpian con cierta eficacia o por lo menos lo previenen.

Pensemos que en un ambiente empresarial ya muchos productos y políticas internas previenen este famoso código espía (a diferencia de algunos años atrás). Y para el usuario de casa ya no es tan atractivo comprar su antivirus y comprar también su antispyware, simplemente es mucho dinero que se debe de desembolsar. Además de que ya el spyware a mi parecer pasó de moda en la mente del consumidos y ha dado paso al phising, que es lo "in" en el mundo de seguridad.
La gente simplemente perdió interés por regalar dinero por algo que ya no era tan necesario. Ahora Webroot nos dice que su producto también es antivirus y hasta firewall, lo que ya nos hace atractiva la compra. Por cierto, el antivirus no es de la compañía Webroot, sino de Sophos que "presta" su motor. Es claro, Webroot no tiene la infraestructura para combatir a los virus, como lo tiene para el spyware.
En fin, un pequeño cambio de nombre que esconde ciertas tendencias en la arena de la seguridad.
La noticia en: http://www.webroot.com/consumer/products/antivirus/features.html

martes, 30 de octubre de 2007

Los antivirus se tambalean

Hace un par de semanas apreció una noticia de que Symantec va a comprar a Vontu, una empresa dedicada a la prevención de la fuga de datos, o “data leak prevention”. Esta semana aparece que Trend Micro va a comprar una compañía ¡también! de prevención de fuga de datos.
Para cualquiera, esto es una compra más de una compañía de TI enfocada a la seguridad como lo es Symantec o Trend.
Para otros, esto tiene un gran significado.
Desde que Microsoft empezó a entrar en terrenos de los antivirus, las compañías que combaten el código malicioso como McAfee, Symantec, etc. empezaron a sentirse incómodos, realmente incómodos. Saben que el gigante de software tarde o temprano va a acaparar el mercado de los antivirus...tienen el dinero para contratar a cuanta gente deseen, de cualquier nivel. Tienen los recursos para crear laboratorios de investigación de código malicioso tal cual lo tienen las empresas líderes como Trend, Symantec o McAfee. Por cierto, hoy por hoy, este antivirus del gigante de software no es competitivo en mi opinión, y está tal vez por debajo de los estándares mínimos que un antivirus malo ofrece. No me crean, revisen la página de VirusBulletin o el cuadro mágico de Gartner, no habrá comentarios muy favorables.
Es por esto que las empresas “tradicionales” de antivirus se están moviendo a otros mercados de la seguridad, como lo puede ser ofrecer productos que prevengan la fuga de información de una organización. McAfee ya cuenta con un producto que hace precisamente esto, y tengo entendido que lo tiene ligado ya a su consola de administración. Symantec y Trend no podían faltar y aunque sus servicios y productos están ya diversificados (sobre todo Symantec que no sólo tiene el antivirus), pues qué mejor que seguir diversificando y comprar una compañía y así agregar un producto más a su creciente gama de opciones. La idea es ofrecer algo más que antivirus para que cuando empiecen a perder mercado ante Microsoft, puedan sobrevivir vendiendo otra cosa.
No nos sorprenda que en unos años Microsoft sea líder en el mercado antivirus, para allá vamos. Y si hay quienes piensan que el trío-maravilla de McAfee, Trend y Symantec son invencibles, preguntémosle a Netscape cómo le fue en su batalla contra este gigante. Pongamos las apuestas sobre la mesa. Vean la noticia en: http://www.europapress.es/00137/20071025170814/comunicado-trend-micro-to-acquire-provilla-for-global-data-leak-prevention.html y http://www.securitynewsportal.com/securitynews/article.php?title=Symantec_to_Buy_Vontu

viernes, 26 de octubre de 2007

Hardware rompe contraseñas

Hasta el momento, sabía de poco hardware disponible para romper contraseñas. Lo más común es encontrar software que rompe contraseñas y se puede encontrar en Internet. Pues resulta que una compañía rusa al parecer ha puesto a la venta una tarjeta que ayuda a romper contraseñas, y lo interesante es que lo hace a mayor velocidad que el software, y resalto la palabra "mayor".
Esto se logra usando una tarjeta "común" de gráficos nVidia con un costo de $USD 800.00, unos novecientos pesos. Estimaciones usando esta tarjeta "innovadora" arrojan que una contraseña que normalmente se lleva meses romper, se puede "crackear" en un par de días. Definitivamente no es una buena noticia.
Anexo la liga: http://technology.newscientist.com/article/dn12825-passwordcracking-chip-causes-security-concerns.html

 

Security Intelligence Report by Microsoft

La empresa Microsoft ha publicado su reporte llamado "Security Intelligence Report" correspondiente al primer semestre de 2007. A continuación los principales hallzgos del documento que pueden encontrar en: http://www.microsoft.com/security/portal/sir.aspx

Por cierto, estos reportes de "seguridad" centrados en código malicioso y vulnerabilidades tal vez responde a una necesidad de Microsoft de empezar a verse como una empresa de seguridad "profesional" y empujar así su producto antivirus que hasta el momento no es visto como un producto competitivo, aunque esto seguro cambiará pronto.

Otra nota: no sé qué tan "precisos" puedan ser estos hallazgos, viniendo del más grande fabricante de sistemas operativos con bastantes críticas a su seguridad, tal vez algunos resultados podrían estar "orientados", por así decirlo.

1.- Disclosures of High2 severity vulnerabilities across the industry continue to increase, while the growth of Low and Medium severity issues appears to be slowing.

2.- A decreasing percentage of vulnerability disclosures are being reported for operating systems. One possible interpretation is that security researchers are focusing more on applications as operating systems' security continues to improve. Additionally, the number of new applications is growing faster than the number of new operating systems, so the application proliferation may be helping to drive this vulnerability disclosure trend.

3.- While the number of vulnerabilities continues to increase, the ratio of exploit code available for these vulnerabilities remains steady and is even on a slight decline.

4.- In a product-by-product comparison, new products appear to be at less risk to publicly available exploit code than products that have been in the market longer.

5.- Trojans represented the largest number of variants that were collected during 1H07.

6.- Social engineering plays an increasing role in today's malware distribution. Social engineering attacks are on the rise.

Maximizando la publicación de parches

Es sabido por la comunidad que el segundo martes de cada mes, la empresa Microsoft publica sus parches que solucionan diversas vulnerabilidades. Para los usuarios caseros tal vez esto suceda automáticamente con Windows Update y no se percaten de este hecho. Para algunas empresas, donde no simplemente se puede instalar un parche de manera automática debido a posibles incompatibilidades, cada segundo martes de mes significa estudiar qué pares se necesitan instalar.

Hasta ahora, nada interesante. Pues bien, la cuestión es que en los últimos meses se ha visto una tendencia a que se exploten vulnerabilidades con unos días antes o después de que Microsoft publica sus parches. Por ejemplo: el MS07-060 (publicado el 9 de octubre). Symantec (una compañía de seguridad reconocida) se percató de que un día después de la publicación del parche referido, salió un troyano para este parche. ¿Qué significa? Que los atacantes se apuran a hacer el código malicioso para sacarlo a la luz rápidamente, sabiendo que pocos usuarios habrán parchado. Así maximizan el tiempo entre el parche y el troyano. Entre más se tarden en sacar su código, habrá más usuarios con el parche y el troyano será menos exitoso.

El caso que les acabo de describir se trata de sacar código malicioso unos días después de que se publique el parche. Pero hay una variante: sacar un código malicioso cercano a la fecha  de publicación de parches PERO esta vez explotando una nueva debilidad. Es decir, alguien descubre una debilidad "nueva" en un software de Microsoft y en lugar de hacer código malicioso "luego luego", el atacante se espera hasta la fecha cercana a la publicación. El atacante sabe que Microsoft publicará parches de nuevo hasta dentro de un mes, así que tienen un mes para infectar aquí y allá SIN que haya parches que solucionen la debilidad. Este tipo de ataques desconocidos para los cuales no existen parches se llaman ataques de "día cero": el exploit está ahí pero los usuarios no pueden hacer nada, hasta que se publique un parche. El fabricante por lo general minimiza los ataques y se espera hasta la siguiente fecha de publicación; claro, hay algunas excepciones cuando los ataques verdaderamente son muy peligrosos.

Así pues, la publicación de parches cada martes es usada en ventaja de los crackers y demás atacantes en su beneficio, explotando al máximo el hecho de que Microsoft excepcionalmente publica parches fuera de su calendario ya establecido.

Recuerden: lo que es crítico para ustedes no es crítico para el fabricante. A ustedes les urge que se publique un parche porque les afecta; al fabricante no le afecta y no le urge. Así de sencillo.

Hay una liga muy interesante donde se tiene la cuenta de cuántos exploits de "día cero" existen. yo pensé que no eran muchos, pero si visitan la página se darán cuenta de lo grave de esta situación. Recuerden que esto significa que existe una debilidad SIN parche y que puede ser explotada en cualquier momento. ¿Quién dijo miedo? http://research.eeye.com/html/alerts/zeroday/index.html

Anexo liga de Symantec donde tratan también el tema: http://www.symantec.com/enterprise/security_response/weblog/2007/10/patch_tuesdayexploit_wednesday.html

jueves, 25 de octubre de 2007

La vida sin software de escritorio.

Así se llama un artículo que leí: "Life Without Desktop Software". En el mismo, el autor expone diversos beneficios para dejar de usar el software de escritorio y usar únicamente aplicaciones web. Efectivamente podemos hacer hoy en día gran parte de nuestro trabajo con el web:
a).- Correo electrónico de GMail, Yahoo y un largo etcétera.
b).- Software de oficina: Google Docs, Zoho Office, Think Free Office.
c).- Almacenamiento: Scribd, SkyDrive.

Y hay muchas más aplicaciones para que uno se olvide de sus aplicaciones de escritorio.
Ahora bien. ¿Qué significa esto desde el punto de vista de seguridad? Yo pienso que es algo desastroso. ¿Por qué? Porque si la seguridad de la información trata precisamente de proteger a la información, resulta absurdo que nuestra información valiosa no sea nuestra. Cuando almacenamos documentos en la compañía "X", ya no es nuestra, es de la compañía. Cuando mando correos usando el servicio gratuito de la empresa "Y", esta empresa tiene acceso a lo que escribí. Cuando hago un nuevo documento son un software de oficina, se almacena remotamente. En pocas palabras, mi información le pertenece a alguien más, y ese alguien más tiene acceso a la misma y la puede leer, copiar y usar. Así de sencillo.

Alguien dirá que la compañía "X" ofrece cifrar el contenido de lo que ahí guardemos. ¿Estamos seguros de que así lo hacen? ¿Qué tan confiable es la manera en que usan y administran sus algoritmos de cifrado? Recuerden, ellos tienen el control total de mi información y tengo que confiar en que le den seguridad. ¿Guardaríamos ahí información importante? Yo no. Tal vez para un usuario con necesidades "normales" sea algo muy bueno; sin embargo, para un ambiente corporativo no es lo mejor y de hecho muchas ya bloquean su uso desde la red corporativa. Simplemente una empresa no quiere que su información esté guardada remotamente y que no tenga el control de la misma.

Tocando otro punto, sabemos que uno de los pilares de la seguridad de la información es la disponibilidad. Yo considero que puedo confiar más en que mi computadora encienda normalmente a tener que disponer de que haya una conexión a Internet (si se va la luz, mi laptop sirve, mi hub que me da conectividad no serviría, por poner un ejemplo). Cuando el servicio de correo gratuito esté "abajo" o mi conexión se haya "caído", simplemente no podré trabajar.

Algunas cuestiones de seguridad que hay que pensar antes de hacer uso de estas aplicaciones web que pienso NO son la mejor opción sobre todo para una empresa.

miércoles, 24 de octubre de 2007

Urgen a instalar Vista

Resulta que esta semana se llevó a cabo una conferencia en Londres, llamada "RSA Conference". Como su porpio nombre lo dice, la empresa RSA patrocina e impulsa esta serie de conferencias, que se tratan de centrar en criptografía y seguridad.
El martes 23 habló Ben Fathi, representante de Microsft, quien "urgió" a los asistentes a migrar a Windows Vista, ya que es 60% menos susceptible a infectarse que Windows XP. También se dijo que Vista tenía menos vulnerabilidades que Linux Ubuntu o Mac OS.
Habría que ver exactamente en qué contesto se dijo esto. Analicemos.

a).- Se urge a migrar a Vista: no será una estrategia mercadológica para vender este sistema operativo, que aún tiene problemas al hacer tareas comunes y corrientes? Recordemos que el gigante de software obtiene una buena ganancia de la venta de seste sistema operativo, así es que cuando nos "urge" a gastar dinero para comprar un sistema operativo, hay que ser cautelosos.

b).- Dicen que Vista es 60% menos susceptible a verse infectado que XP. ¿Exactamente de dónde y cómo sale esta cifra? ¿Quién hizo el estudio: el propio Microsoft o una organización independiente? ¿Qué clase de código malicioso probaron y bajo qué circunstancias? No estuve en la conferencia y tal vez esto se detalló, sin embargo las preguntas que presento son de las primeras que hubiera preguntado.

c).- Se dice que Vista tiene menos vulnerabilidades que Linux Ubuntu o Mac OS. ¿En un periodo dado de tiempo? ¿Incluyeron los ataques de "día cero" (son ataques que salen a la luz pública sin tener un parche publicado por parte del fabricante)? Decir que "X" sistema operativo es menos vulnerable que "Y" es demasiado aventurado. Creo que todos son casi igualmente vulnerables, sólo que algunos son más populares y son más atacados. Contar el número de vulnerabilidades y decir que son menos que otro sistema es tendencioso, ya que una cosa son debilidades encontradas y publicadas y otra cosa son debilidades ni encontradas ni publicadas pero que de todas maneras existen (hasta que alguien las encuentre).
 
Les dejo la liga de RSA: www.rsaconference.com/2007/europe/

martes, 23 de octubre de 2007

Navegación virtual segura

La virtualización ha sido usada más que nada en ambientes empresariales para soportar múltiples sistemas operativos en una sola “caja”. VMWare es una de las compañías líderes en virtualización con su producto ESX (sistema operativo Linux que puede soportar varios sistemas Windows virtuales).

Para un usuario casero, hablar de virtualización era obviamente algo escasamente interesante. Sin embargo, desde el punto de vista de seguridad, poder navegar o ejecutar código en un ambiente virtual representa muy beneficioso, en comparación de hacer lo mismo en la computadora “física”.

La misma compañía arriba mencionada, VMWare, ofrece gratis la posibilidad de poder instalar una máquina virtual para navegar con Firefox en Internet (anexo liga al final). El punto es que si sucede una infección o se ejecuta código malicioso, sería la máquina virtual la víctima, y en el momento que la cerremos sería un “borrón y cuenta nueva”.

La máquina virtual que ofrece la compañía corre realmente sobre un sistema operativo Linux, el cual al ser usado con Firefox, reducimos drásticamente la posibilidad de vernos afectados. La combinación de “virtual” + “Linux” + “Firefox” es algo que nos conviene. Y sí, existen vulnerabilidades para Linux y Firefox, sin embargo éstos no son tan activamente explotados como Windows, y sin mencionar que lo verdaderamente importante es que estamos en un “mundo virtual”.

Desgraciadamente esta práctica, desde mi punto de vista, no es ampliamente usada por desconocimiento. Sin embargo, para los que lean este blog, puede ser una opción interesante. Hoy en día gran cantidad de las infecciones se reciben por la navegación de Internet o la ejecución de código de un archivo adjunto que nos llega por correo. Si navegamos y ejecutamos los “attachments” en esta máquina virtual, podremos descansar un poco más tranquilos.

Adjunto la liga: http://www.vmware.com/appliances/directory/browserapp.html

lunes, 22 de octubre de 2007

Encuesta CSI

Todavía hasta el año pasado, el Computer Security Institute (CSI) hacía una encuesta en conjunto con el FBI. Este año el CSI ha efectuado esta encuesta de manera independiente. El reporte trata de arrojar diversos resultados relacionados con la seguridad de varias organizaciones de los EUA. Y aunque el reporte no tiene cifras totalmente exactas, es lo mejor que se puede obtener para entender lo que está pasando en cuestión de seguridad en nuestro vecino del norte.
Analicemos algunos de los hallazgos de este estudio:
1.- Las empresas reportan que sus pérdidas financieras aumentaron de $ 168,000.00 USD el año pasado a $ 350,000.00 USD este año. No hay una explicación “verdadera” para este aumento tan importante en las pérdidas reportadas debido a incidentes de seguridad. Puede ser que los ataques el día de hoy sean más dañinos en el sentido de que son “personalizados” para atacar una empresa en particular, o que en años pasados haya habido un relajamiento de la industria estadounidense en cuestión de inversión para evitar incidentes.
2.- Un 20% de las empresas que tuvieron incidentes de seguridad comentaron que fueron ataques especializados. Es decir, que los atacantes querían dañar específicamente a esa organización; no fueron ataques “genéricos” en el que un “cracker” hace un troyano o gusano y lo libera, a ver quién se infecta. Aquí en México desgraciadamente no contamos con una encuesta de seguridad, pero sería interesante ver si existen también ya estos ataques especializados, lo cual no sería de sorprender. En México tal vez abusemos del principio de “a mi no me pasa, tal vez en los EUA”. Sin embargo, empresas mexicanas de alta importancia u organizaciones gubernamentales pueden ser buenos candidatos para recibir ataques que llevan “nombre y apellido”.
3.- Los fraudes financieros fueron la mayor causa de pérdida en materia de seguridad y se impusieron a las pérdidas que históricamente han “ganando” los virus. No me queda claro leyendo el artículo a qué se refieren exactamente con “fraudes financieros”. Deduzco que se refieren a los fraudes que hacen los empleados de la empresa y que son posibles gracias a “fallas” en la seguridad informática. El punto es que ya no son los virus la principal fuente de pérdida económica. Esto responde a que ya no hemos visto últimamente ataques “masivos” que en pocos días causan grandes pérdidas. Ahora los ataques tienden a ser silenciosos, y eso tiene una razón de ser: el código malicioso está encaminado últimamente a obtener ilegalmente ganancias económicas, y lo que menos se quiere es llamar la atención.
4.- El abuso de las redes corporativas y del correo son ya el incidente más frecuente, ganando también a los incidentes por virus y gusanos. Con abuso nos referimos a accesos no autorizados, intercambio e instalación de software pirata, etc. En pocas palabras, los gusanos y troyanos hechos por gente externa y ajena a la organización ya no son la principal causa de incidentes, sino los propios empleados son los que abusando de sus privilegios, causan el mayor número de incidentes de seguridad de la información. Interesante, ya que cualquiera pensaría que el código malicioso es el principal causante de incidentes.
5.- El porcentaje de empresas que reportan incidentes de seguridad informáticos a las autoridades creció de 25% a 29% este año. Esto es algo muy independiente a nuestro país, ya que en el país del norte tienen una legislación más completa y tienen otra cultura de la denuncia. Probablemente si aquí se hiciera una encuesta, por lo menos en este rubro, tal vez siempre saldría 0%, es decir, donde nadie denuncia incidentes de seguridad.

Vean el documento completo en http://www.gocsi.com/forms/csi_survey.jhtml

viernes, 19 de octubre de 2007

Simposium de Seguridad Usenix

Primero que nada, busqué la palabra “simposium” en la Real Academia (www.rae.es) y no la encontré. Decidí usar la palabra de todas maneras.
En fin, hoy deseo hablar de un congreso de seguridad que se llevó a cabo en Boston (EUA) del día 6 al 10 de agosto (16th Usenix Security Symposium). A penas me acabo de enterar que este evento ya puso “online” su material.
Y se ve interesante, ya que es un evento de los que me gustan, donde no se habla de lo mismo que ya se sabe de seguridad, sino que hablan de temas innovadores y presentan “papers”, todos relacionados con seguridad.
He aquí algunos temas vistos para ver si les interesa:
Cellular Network Security
Mobile Malware (F-Secure)
Integrity Checking in Cryptographic File Systems with Constant Trusted Storage
Computer Security and Voting
Advanced Rootkits
Human-Seeded Attacks and Exploiting Hot-Spots in Graphical Passwords

Hay la posibilidad de bajar MP3, audio y hasta video de algunas de las conferencias.
Agrego el link del evento: http://www.usenix.org/events/sec07/tech/#thurs

En particular me llamó la atención la plática de “mobile malware”, cuyo ponente fue Mikko Hypponen, de F-Secure (empresa antivirus reconocida). Comentó del inevitable incremento de virus, troyanos y spyware para celulares, lo que actualmente pueden y no pueden hacer y los mecanismos de infección (MMS, bluetooth, descargas y tarjetas de memoria). La presentación incluye una demostración en vivo y varios datos estadísticos de interés.

miércoles, 17 de octubre de 2007

Essential Body of Knowledge.

Pues bien, agreguemos otro término más al diccionario de seguridad. Esta vez se trata del Essential Body of Knowledge. Este término nos llega como una iniciativa del gobierno de los Estados Unidos, con el fin de definir los roles y funciones de los diferentes perfiles de un puesto de seguridad.
Analicemos. Según parce, existen ya varios términos referentes a los puestos que una persona puede tener en una organización, como por ejemplo: CIO (Chief Information Officer), DFP (Digital Forensics Professional) o ISE (IT Security Engineer). Obviamente esto aplica a los Estados Unidos, donde florecen estos títulos, y no así en México que tenemos términos como “Director de Seguridad”, “Jefe de Seguridad Informática”, etc.
En fin, lo que quiere el gobierno de EUA, al parecer, es uniformar los nombres de estos puestos y definir sus funciones y roles dentro de una organización, lo cual es un buen intento para tratar de definir algo que hasta la fecha se suponía o asumía.
¿En qué afecta a México? Básicamente en nada. Tal vez lo usemos para definir algunos puestos de empresas mexicanas y no inventar el hilo negro. Tal vez usemos estos términos para entender cuando leamos algún texto o noticia de aquél país del norte. Como siempre, allá se nos han adelantado una vez más para hacer estas definiciones y nos limitaremos a hacer referencia a este documento.
Por cierto, recordemos que ya hace años la ISC2 (www.isc2.org) tiene su CBK: Common Body of Knowledge.Y les resultó fácil hacer una variante para encontrar el nuevo nombre: Essential Body of Knowledge. Así que teníamos CBK y ahora también tenemos un EBK. Sin embargo, el CBK es un compendio completo de términos, definiciones, mejores prácticas...en pocas palabras en un marco de referencia y de donde se puede estudiar para la anhelada certificación CISSP.
En estos momentos, el EBK se encuentra en “revisión” y piden la participación de todos para complementar y enriquecer el documento. No me queda muy claro el proceso para hacer llegar los comentgarios que vayamos teniendo del documento. Anexo la liga por si es de su interés esta versión beta del documento o si desean participar en el enriquecimiento del EBK: http://www.us-cert.gov/ITSecurityEBK/

martes, 16 de octubre de 2007

Infosecurity Forum 2007

Ayer y hoy se celebró el InfoSecurity Forum en su edición 2007.
Lo más representativo fue la presentación de Bruce Schneier, a quien personalmente admiro. En estos días comentaré brevemente lo que dijo en su plática.

Del resto, bueno, sí hubo buenas intervenciones, pero la mayoría se centraban en lo que ya conocemos: existen amenazas, hay poco presupuesto para seguridad, los ataques de los empleados son los más peligrosos...

En fin. Creo que a varias conferencias les faltó la parte "innovadora". ¿Dónde quedaron los "papers" de seguridad? ¿Dónde quedaron las nuevas tendencias de seguridad? ¿Ya lo hemos visto todo?

Me hubiera gustado ver más trabajos de investigación, uno que otro "paper", algo que me hubiera hecho decir :"ahh, eso no lo sabía". Tal vez a los participantes se les diga que no deben de tratar cuestiones "muy elevadas", o que los que asistimos somos principiantes de seguridad.

Como sea, creo que deben de elevar el nivel de las pláticas y efectivamente tener charlas (unas cuantas) para los principiantes, pero otras más que tengan ya algo más "elaborado".

Por ejemplo, las del Dr. SJouke Mauw, Bruce Schneier o Andreas Spruill fueron de buen nivel, nos pusieron a pensar.

En fin, en esta semana algunas observaciones y fotos de la plática de Bruce, ya que en este momento no tengo mis apuntes a la mano.

lunes, 15 de octubre de 2007

MS07-057 no oficial

Resulta que hace varios meses se sabía de una vulnerabilidad en IE7 (CVE-2007-3896).
Microsoft en pocas palabras se desentendió del problema y argumentó varias cuestiones para evadir publicar un parche.
En fin, el punto es que un investigador desarrolló un parche para este hueco de seguridad, ya que la empresa no emitió uno, hasta el martes 9 de octubre.
¿Qué significa que un investigador haga un parche antes que un fabricante? Pues para el fabricante, es una llamada de atención, y bastante seria. Es como si le dijeran a usted que su auto marca “x” tiene un defecto, y en Tepito de ofrecieran la solución, pero no así el fabricante del auto. Esta no es la primera vez que pasa esto, y en mi opinión la empresa debe de tomarlo de manera seria.


Claro, el fabricante recomienda no instalar el parche “no oficial”, pero vean el lado de la víctima, del usuario vulnerable que no tiene parche del fabricante y que tiene que seguir viviendo con esto. Probablemente al usuario común no le preocupe, pero a las empresas sí les interesa que haya sistemas en su infraestructura que tengan un hueco de debilidad...y que no puedan hacer nada al respecto mas que sentarse y rezar para que nada malo pase. O tienen la opción de un parche no oficial que los hace dormir más tranquilos. Por cierto, anexo la liga de este parche:



En fin, aquí surgen diversas cuestiones que habría que analizar como: ¿Realmente el parche no oficial resuelve el problema? ¿El parche no oficial contiene un troyano? ¿Debo esperar a ver si el fabricante publica algo o aplicar el parche no oficial? Ahí están las preguntas, sin embargo no hay una respuesta fácil.
En conclusión, si yo fuera un directivo de Microsoft, ya habría mandado llamar a alguien para pedir algunas explicaciones, no creen?

Contraseñas con duración de tres meses

Hemos escuchado en incontables ocasiones que lo "recomendable" es mantener una contraseña al menos durante tres meses, luego habrá que cambiarla. Esto significa que tendremos a usuarios que gustosos cambiarán cada tres meses su "password". ¿Por qué tres meses? ¿Por qué no cada dos meses o un mes o diario? ¿De dónde salió que cada tres meses era una buena "práctica"?

Pues bien, no sé la respuesta y si Usted la sabe, mándame en seguida un mail. La verdad es que una contraseña puede ser capturada por algún medio cualquier día de la semana (¿o en fin de semana?). Nada dicta que si cambio mi contraseña cada tres meses, entonces estará segura. Si el día de hoy apunto mi contraseña en un "post-it" y lo pego en mi monitor, alguien podrá pasar y copiar mi apreciada contraseña. Si el día de mañana decido dictar mi password a alguien que se comunicó conmigo y que me aseguró que era de "sistemas", puede ser que se la haya dictado a una persona totalmente ajena a mi organización.

Si usted es de los que configura el sistema (u ordena configurarlo) para que cada tres meses moleste al usuario y lo inste a cambiar la contraseña, entonces será uno más de los que siguen una mejor práctica de la industria...que es totalmente inútil.

Lo único que puedo pensar en el que inventó la regla de los tres meses es que entre más frecuentemente cambia mi contraseña, es menos probable que alguien la intercepte. Como ya dijimos, esta suposición es falsa, ya que cualquier día mi contraseña puede ser comprometida. Lo bueno de cambiarla es que el atacante sólo podrá usarla durante tres meses y luego tendrá que robarla de nuevo...qué alivio que sólo la haya podido usar tres meses.

¿Cuál es la solución? ¿Pedirle al usuario cambiarla cada día o mejor aún, cada hora? Definitivamente no. Habrá que buscar "nuevas tecnologías" (que de nuevas no tienen nada) como la biometría o las tarjetas "inteligentes". Lo sé, tal vez no sean lo mejor, pero al menos es una mejoría viendo lo seguro que son las contraseñas. ¿Por qué seguimos usando contraseñas en los equipos? Seguras no son, pero son muy cómodas. "juan123", "fanny" y "mellamopedro" son fáciles de recordar. ¿Quién quiere estar trayendo una molesta tarjeta inteligente? ¿Qué empresa quiere gastar en biométricos? Las contraseñas son una herencia de antaño, y seguirán con nosotros todavía un tiempo. - Por Fausto Cepeda.