viernes, 30 de noviembre de 2007

Autenticación cómoda.

Por un lado nos dicen que cuando no estemos en nuestro lugar debemos de bloquear la sesión para que nadie más haga uso de ella e ingrese a nuestro equipo e información. Por otro lado nos da flojera teclear la contraseña tantas veces al día; hay innumerables ocasiones en las que uno se levanta al sanitario, a una junta relámpago con el jefe o por una taza de café y preferimos no bloquear la sesión para no tener que ingresar la contraseña a causa de unos segundos o minutos que nos retiramos de nuestro lugar.

Hay por ejemplo tarjetas inteligentes que facilitan y fortalecen el proceso de autenticación, pero igual requerimos de darle una contraseña o PIN. Hay otras soluciones pero hoy se me ocurrió una ideal: no habrá un dispositivo que cuando estemos a digamos tres metros de nuestro equipo la sesión permanezca abierta, y cuando nos alejemos de esos tres metros la sesión se bloquee automáticamente? Y cuando volvamos a regresar al perímetro de los tres metros otra vez se abra la sesión.

Esto obviamente permite que el que tenga el dispositivo pueda abrir la sesión, es decir, se requiere únicamente un factor de autenticación: alguien que tiene algo. Debemos agregar otro factor de autenticación para fortalecerlo: algo que eres. Por ejemplo, que cuando estemos dentro de los tres metros pongamos nuestra huella del dedo y así sea la manera de abrir la sesión. El que tenga el dispositivo cerca del equipo y posea la huella dactilar correcta podrá trabar con la sesión.

Ejemplo: estoy en mi lugar trabajando y voy por café. La sesión se bloquea automáticamente porque yo me llevo el dispositivo cuando voy por mi taza y ambos salimos del perímetro de los tres metros. Regreso, me siento y pongo mi dedo en el dispositivo y listo: sesión abierta. Obviamente este dispositivo deberá tener ciertas características inalámbricas para saber cuándo se está adentro o fuera del perímetro de los tres metros y para transmitir información de autenticación del dispositivo hacia la computadora.

No sé si haya en el mercado algo por el estilo. ¿Es buena idea? Habría que pensarla bien y diseñar exactamente el mecanismo de seguridad de este dispositivo, ya que cuando hay información de autenticación que viaja inalámbricamente a mi me pone nervioso.

En fin, se me ocurrió hoy cuando me levanté de mi lugar al sanitario y pensé: por qué bloquear mi sesión si nada más me voy tres o cuatro minutos? La dejé abierta y estos momentos son precisamente los que espera un atacante; ahora que lo pienso, no recuerdo haber visto antes al señor de la limpieza que pasó por mi lugar cuando me levanté. Habrá que formatear, no hay remedio.





 

jueves, 29 de noviembre de 2007

El mejor antivirus para vulnerabilidades de día cero...según Sophos

Apareció un estudio donde ponen a prueba a Sophos, Symantec y McAfee (los tres grandes del mercado antivirus según Gartner).
El estudio arroja que Sophos es el mejor para detectar debilidades día cero (son las que no tienen parche ni "workaround").
Si están por comprar un antivirus, pueden dejarse guiar por este análisis. Aunque habrá que tomar las conclusiones con reserva, ya saben, los estudios pueden ser tendenciosos en muchos sentidos.
Por cierto, al final del estudio, dice que el patrocinio fue de Sophos y de hecho el estudio se puede bajar de la página de Sophos. No me sorprende que adivinen-quién sea el ganador.

http://www.sophos.com/sophos/docs/eng/marketing_material/cascadia-sesc-review.pdf

Crece robo de laptops en DF

El día 26 de noviembre, el periódico El Economista publicó una noticia respecto a que se ha incrementado el robo de computadoras portátiles principalmente en estacionamientos con valet parking y en cafeterías que se ubican en Reforma, Insurgentes y Lomas de Chapultepec.

El robo se produce cuando la víctima se descuida en una cafetería o cuando deja su aparato dentro de su auto en el valet parking. Estas computadoras son luego vendidas a "buenos precios".

Lo primero que a uno le viene a la mente es el costo de la laptop, que puede rondar entre $10,000 pesos o hasta $30,000 pesos más o menos. Sin embargo, aquí hago hincapié en el costo del robo de la información que contiene este aparato. Sobre todo si la laptop es de la empresa, seguro contendrá información corporativa; no quiero pensar si esa laptop es de una persona de nivel gerencial, entonces la información será aún más valiosa.

También siendo sinceros, los ladrones de este tipo de aparatos en el DF pocas veces van a husmear en la computadora para buscar información. Tal vez todavía nadie les ha dicho que no sólo pueden vender el hardware, sino que pueden ver el contenido en datos y decidir si tiene valor. Por otro lado, vayamos a un extremo donde el robo de la laptop no es casualidad, sino resultado de un ataque dirigido para obtener su contenido.

Los individuos dueños de laptops deben preocuparse por el costo del hardware a menos que tengan información financiera o de algún otro valor personal. Por otro lado, definitivamente para las empresas la preocupación no es el costo del hardware (es lo de menos), sino el costo de haber perdido la información y el uso que alguien más le pueda dar.

Recomendación: no dejar laptops en el valet y asegurar la laptop a la mesita del café.

La noticia en: http://www.eleconomista.com.mx/sinprivilegios/articulos/2007-11-26-49902


Dime tu contraseña.

¿Se han encontrado con aplicaciones web que piden contraseñas y le dicen a uno qué tan "segura" es? Yo sí en varias ocasiones aunque nunca he puesto mis contraseñas a prueba en estas aplicaciones online. ¿La razón? Puede ser un truco para conseguir mi contraseña o alimentar a un diccionario de contraseñas para elaborar ataques de fuerza bruta.

En esta ocasión me encontré con una aplicación web (http://www.codeassembly.com/examples/passwordstrength.php) que curiosamente no sólo me pide mi contraseña, sino mi correo electrónico, nombre y apellido. ¿Por qué querrán saber mi correo y nombre si lo que quiero ver es la fortaleza de mi contraseña y puedo ver los resultados en la misma página web?

Se me ocurrió que alguien mal intencionado puede enviarnos correos diciendo que hay una fabulosa aplicación online para ver qué tan segura es mi contraseña. Y hasta nos puede pedir nuestra cuenta de correo para mandarnos la información analizada con gráficas y recomendaciones. Tal vez no recibamos el correo esperado y mientras tanto alguien más tendrá ya una contraseña nuestra junto con la cuenta de correo. Apuesto a que la contraseña que dan los usuarios en este tipo de páginas será funcional (servirá para entrar a la computadora del usuario, o para el correo web, etc.)

Esto puede ser la base para idear algo más "grande" a nivel empresarial o puede servir para propósitos más "mundanos" y obtener la contraseña y cuenta de correo de esa persona que tan mal me cae e inclusive husmear en la computadora o correo de una pareja sentimental. Todo depende de que la víctima acceda a probar la fortaleza de su contraseña y listo, a empezar a ver si es la del correo, la de la computadora, la de MySpace o FaceBook.

PD: en todo caso que deseen probar este tipo de aplicaciones, asegúrense de haber buscado ustedes mismos esta aplicación y que nadie se las haya enviado; y no dar ninguna información adicional que no sea la contraseña.

martes, 27 de noviembre de 2007

Otro día cero para Windows.

Cuando se descubren vulnerabilidades sin que exista un parche o solución se le llama ataques de día cero. Varias fuentes respetables de seguridad (abajo citadas) han alertado de una debilidad al parecer en todas las versiones recientes de Windows. La información apunta a una vieja debilidad que aparentemente fue parchada pero que continúa de algún modo vulnerable.

Como podrán ver, la información de esta debilidad es muy general y hasta ambigua; esto debido a que la empresa está trabajando en un parche y no desea que se publique información sobre la misma para no dar datos que aproveche gente mal intencionada. Este anuncio de la debilidad se dio en una conferencia de hackers en Nueva Zelanda por el señor Beau Butler.

Particularmente interesante es que según parece, esta debilidad afecta a sistemas Windows que no estén en Estados Unidos. Alguien paranoico pudiera pensar que esto es intencional para afectar a equipos de otras naciones pero no del país en donde la empresa tiene su centro de operaciones.

Finalmente, si esta debilidad se confirma, volvería a decirnos lo que ya sabemos: que los sistemas que las organizaciones y personas usan, tienen debilidades a pesar de que estén parchadas "al día de hoy"; siempre hay una vulnerabilidad que no ha sido descubierta y que alguien podría encontrar y usarla en su beneficio sin que la víctima se de cuenta. Y claro, esto no sólo pasa en Windows, también usuarios de Linux o Mac OS X están en la misma situación aunque con un riesgo menor por el bajo interés que estos sistemas pueden tener.

Dependiendo de cómo funcionan las debilidades, algo que nos puede ayudar es un firewall personal que puede mitigar algunos riesgos de los ataques de día cero. Los antivirus y anti spyware realmente no tienen mucho qué hacer ante este tipo de ataques que yo considero por sus características los más peligrosos, ya que el crimen organizado y hasta gobiernos podrían hacer uso de ellos, cada uno con diferentes fines.

La información en:

http://www.virusbtn.com/news/2007/11_26.xml?rss=
http://www.theage.com.au/news/technology/flaw-leaves-microsoft-looking-like-a-turkey/2007/11/23/1195975914416.html

http://www.theregister.co.uk/2007/11/26/wpad_vuln_investigated/


viernes, 23 de noviembre de 2007

MAC OS X también inseguro

Regla: la cantidad de vulnerabilidades encontradas en el software es directamente proporcional al número de líneas de código fuente, e inversamente proporcional al tiempo de uso del software en cuestión y a su popularidad.

Siguiendo esta regla, Windows Vista tiene pocas vulnerabilidades (en uso desde hace algunos meses) en comparación de Windows XP (en uso desde hace varios años). Ambos productos tienen una enorme cantidad de líneas de código fuente y son muy populares.

Aplicando la misma regla, el nuevo sistema operativo de Apple, "Leopard" debe de contar con pocas debilidades encontradas, pero también las tiene y esto es un hecho después de que ya varios investigadores (y también gente que no pertenece precisamente al gremio de investigación) ha encontrado algunas debilidades en el sistema operativo de la Manzana.

Y aunque la regla mencionada al principio no es infalible ni científicamente probada, en mi opinión se puede aplicar bastante bien a varios productos de software y la pueden usar para decidir qué sistema operativo es más confiable que otro.

Cuidado. La regla habla de "cantidad de vulnerabilidades encontradas", que es diferente a las debilidades existentes. Una cosa es lo que logro encontrar y otra cosa las debilidades que en realidad posee. En pocas palabras, si un software tiene un tamaño considerable de líneas de código, su propia complejidad hace que tenga varias debilidades; la diferencia radicará en su popularidad y en el tiempo que lleva en el mercado lo cual hace que haya más gente dedicada a encontrar debilidades que un software poco usado y/o con pocos años de vida.

¿Sistema operativo seguro? ¿Linux? ¿Mac OS? ¿Son seguros o no son tan populares como para ser un blanco para la delincuencia? Si nos dejamos guiar por la regla mencionada al principio, podríamos obtener una respuesta. Por cierto, yo uso Linux Ubuntu, menos atacado que los sistemas de las ventanas.


El sitio donde se publican las debilidades para Mac OS: http://docs.info.apple.com/article.html?artnum=307004

Gobierno del Reino Unido pierde datos

En el Reino Unido (RU), existe un programa que otorga beneficios a los padres de niños de ese país. El gobierno obviamente pide y almacena información de estas familias que reclaman el beneficio, como lo pueden ser nombre y apellidos, números de servicio social, cuentas bancarias y otros datos financieros, direcciones, años de nacimiento, etc.

A alguien que trabaja en esta organización gubernamental se le ocurrió mandar datos de 25 millones de personas en dos CD por correo. Sí, leyeron bien, en dos CD típicos y por correo no certificado. Para la mala suerte de esta persona, el envío se extravió y no ha sido encontrado. ¡Ah!, pero no está todo perdido, los CD fueron protegidos con contraseña, lo cual significa en pocas palabras que no está cifrada la información, por eso el término de "protegido con contraseña". Bueno, será fácil para alguien curioso poder leer los datos de los CD.

El punto aquí es que las políticas de seguridad de esa organización o fallaron o son inexistentes. Hoy en día una organización seria debe tener estas políticas que dictan la manera en que se pretende proteger la información que se maneja; en este caso el documento de la política de seguridad debería decir que no se debe enviar información en CD, y en el peor de los casos si lo haces que sea cifrado y con mensajería, por lo menos.

Esta es una lección para las organizaciones, ya que una falla de este tipo es realmente desde mi punto de vista, imperdonable. Es un ejemplo de lo que nos puede suceder si no manejamos la información como lo que es: un bien con valor. Por cierto, al empleado que hizo esto se le despidió y al Director de esa organización. Otro miembro del gobierno dijo que "siente profundamente este hecho y que se disculpa por la ansiedad que esto pudiera causar". Después de niño ahogado, ya para qué las disculpas.

Desde mi punto de vista y sin saber detalles del incidente, pienso que es esto se debió a un error de la política de seguridad, no debemos culpar al empleado que los mandó, sino a los altos mandos que no tuvieron el cuidado de impulsar a la seguridad en la organización, de implementar programas de concientización de seguridad, de no hacer del conocimiento de los empleados lo importante que es la información que manejan. Habría que ver si fue negligencia del empleado o más bien indiferencia de esa institución y del ya típico "eso aquí no nos va a pasar". Finalmente, podrán despedir a gente o sancionarlos de otra manera, pero el daño ya está hecho.
La noticia en:
http://www.infosecurity-magazine.com/news/071120_hmrc_lost_in_post.html


martes, 20 de noviembre de 2007

Error de dedo peligroso

¿Han oído hablar de "www.google.cm" o de "www.simantec.com"? Si se fijan bien, son sitios con errores ("com" en lugar de "cm" en el ejemplo de Google y "symantec" en lugar de "simantec") que cualquier usuario podría teclear en un apuro o por simple equivocación. ¿Y? ¿Hay algún problema? Se vuelve a teclear y listo, error solucionado, cierto? Pues no.

Hay gente que registra estos sitios "mal escritos" para que cuando un usuario se equivoque, no le aparezca el típico error de "Sitio no encontrado" y lo vuelva a teclear, sino que le aparezca un sitio "muy parecido" si no es que idéntico al original. La idea es que uno crea que tecleó bien el sitio buscado y no se percate de que está en otro sitio. En el mundo físico, esto sería equivalente a que alguien pusiera un letrero que diga "Liberpool" en lugar de la famosa tienda "Liverpool", pero la diferencia es que en el mundo lógico es mucho más difícil detectar que uno está en un sitio falso.

Imaginen que creo un sitio llamado "bamcomer" o "bamamex", las letras "n" y "m" estás tan juntas en un teclado que más de uno habremos tecleado estos nombres mal. Una vez que ingresaron al sitio falso por error (el cual por cierto se ve igual que el origina), también les pide sus contraseñas de acceso. ¡Ya está! Sin mandarles ningún correo de phising o infectar su computadora, ya hice un ataque en donde los usuarios "cayeron solitos".

Bueno, tal vez contra este tipo de ataques no haya disponible mucha tecnología; mi antivirus, antispyware y navegador me dejaron entrar a varias variantes de sitios famosos sin poner ni un "pero". Lo que puede salvarnos es cuando los sitios usan certificados de seguridad en los navegadores, ya que probablemente aparecerá un mensaje de "certificado no válido"…pero esperen, si el sitio falso no usa certificados, nuestra única salvación es percatarnos de que el candado del navegador se encuentra apagado.

Así es que cuidado al teclear nuestros sitios favoritos, un error de dedo puede resultar en algo más que un simple error de rutina.
La noticia en: http://www.scmagazineus.com/McAfee-Typo-squatters-cashing-in-on-website-misspellings/article/99125/


viernes, 16 de noviembre de 2007

Banca en línea segura o insegura.

Un consultor de la respetable Virus Bulletin afirma que “Es un poco preocupante que tantas personas consideren a la banca en línea sin riesgos”. Esta persona se refiere a un estudio que hizo Virus Bulletin en donde se resalta que los resultados de una encuesta arrojan que una de cada cuatro personas consideran a la banca en línea insegura, pero de igual forma hacen uso de ella.

Virus Bulletin es una organización que se dedica principalmente a evaluar antivirus y darles una certificación sin mencionar la revista que también edita. Ahora bien, lo cierto es que aunque la banca en línea no está 100% libre de riesgos, tampoco es tan insegura como para no usarla; claro, siempre y cuando se sigan ciertas medidas básicas. Pienso que si alguien dice que no hay que usar la banca en línea porque es insegura, sería un poco paranoico. De hecho creo que aquí en México corremos un riesgo al menos igual al ir a un cajero a retirar dinero, hacer un retiro en ventanilla (luego dan el “pitazo” de que “ese lleva dinero”) o hasta al pasar cerca de los camiones Panamericana, esos que transportan dinero en bunkers-rodantes. Y por cierto, estos últimos riesgos pueden afectar nuestra integridad física, a diferencia de los riesgos en línea.

¿Qué podemos hacer para tener una experiencia de banca en línea lo más segura posible? Yo diría los siguientes consejos, de los cuales por cierto no son nada difíciles de seguir. Uno: mantener actualizado el sistema operativo y navegador. Dos: Tener un antivirus actualizado (existen un par que son gratuitos como “Avast”). Tres: Leer los correos provenientes de los Bancos pero jamás iniciar una acción en respuesta a ese correo. Nada de que hay que actualizar las cuentas o contraseñas, o que hay que ingresar a un sitio para hacer “x” o “y” cosa; ante la duda se llama telefónicamente al propio Banco. Cuatro: No compartir contraseñas (creo que esto es sentido común). Cinco: no usar cafés internet para banca en línea.

Esos cinco consejos creo que pueden ser los básicos, adicionalmente y para todavía una mayor seguridad está la instalación de un firewall personal; o el uso de Linux (algunos bancos obligan a usar el Explorador de Microsoft); la activación de mensajes SMS vía telefónica cuando se hagan retiros de los bancos (por lo menos sé de un banco que tiene el servicio); la instalación de un antispyware (hay algunos productos gratuitos como Search&Destroy).

En fin, al igual que uno debe estar enterado de los riesgos de la banca en el mundo físico, también uno debe de ser responsable de estar enterado de los riesgos en línea. Información es poder, y mientras más sepamos cómo reducir los riesgos y sigamos algunas indicaciones básicas, tendremos una experiencia satisfactoria de la banca en línea. En lo personal, he sido usuario de este tipo de banca desde sus inicios en México y hasta la fecha no he tenido ningún incidente y esto sin tomar precauciones extraordinarias.

Por cierto, el fundador de los antivirus Kaspersky dice que él no usa banca en línea porque ese es el modo más seguro. Yo diría que cada quien puede hacer las decisiones que le parezcan correctas, pero no comparto esta opinión en particular. Tal vez podamos decir que lo más seguro al usar una computadora es tenerla apagada y jamás usarla. Eso no es real.

Una de las muchas ligas para que vean más consejos útiles de banca en línea: http://www.banksafeonline.org.uk

La noticia de Virus Bulletin en: http://www.virusbtn.com/news/2007/11_15.xml

jueves, 15 de noviembre de 2007

Discos duros nuevos e infectados.

Seagate, empresa reconocida por la producción de discos duros, tiene una planta productora en Tailandia y parte de su producción va a parar a Taiwan (en este caso fueron discos duros externos). Resulta que los felices compradores de estos discos esperaban almacenar ahí fotos, videos y todo tipo de información, pero no contaban con que estos dispositivos recién salidos del horno tenían ya pre-cargado un troyano, listo para que cuando se conectara el dispositivo, se ejecutara este código y extrajera información del equipo víctima.

Vaya, lo último que me espero cuando compro un dispositivo, ya sea un iPod, disco duro o algún otro ejemplar tecnológico, es que ya venga con esta desagradable sorpresa. Aunque bueno, aquí hay una explicación del por qué sucedió esto. Y es que al parecer el gobierno chino tiene las manos metidas en el asunto, ya que se sospecha que metió este código en los discos, sabiendo que muchos iban a parar al gobierno de Tailandia, quien en aquella región es un conocido comprador de esta marca. Se cree que una considerable cantidad de datos fueron a parar a China.

En primer lugar, habrá que ver la seguridad de la planta productira en Taiwán y cómo es que se logró infectar dispositivos nuevos listos para la venta. En segundo lugar, para los gobiernos, es una advertencia más para no confiar ciegamente ni cuando se tratan de dispositivos nuevos y aparentemente inofensivos. Uno pensaría: "Pues mis computadoras/discos/USB son de una empresa confiable, no creo que deba revisarlos antes de usarlos".

Como usuario casero, tal vez no debiera importarme; sin embargo si por alguna razón estos discos hubieran llegado a México y yo lo hubiera comprado, no me sentiría muy cómodo sabiendo que lo que escribo y los datos que mando (¿banca en línea?) están siendo capturados por un gobierno. Tal vez a ese gobierno no le importen mis datos porque buscaban datos taiwaneses, pero aún así no es agradable. Por cierto, el troyano insertado en los discos es para plataformas Windows.

La noticia en: http://www.taipeitimes.com/News/taiwan/archives/2007/11/11/2003387202

¡Roba esa información!

Un señor llamado Gary Min que trabajó para la empresa DuPont fue sentenciado a 18 meses de cárcel y a pagar cerca de $50,000.00 USD. ¿Cuál fue el crimen? No mató ni secuestró, simplemente se llevó información de su empresa "sin permiso".

El señor fue acusado de haberse llevado "prestado" datos por cerca de $400,000,000.00 de USD (sí, cuatrocientos millones de dólares). Al parecer, este señor estaba dedicado a la investigación científica dentro de la compañía y otra empresa rival le ofreció una buena cantidad por robarse la información.

Este caso nos vuelve a poner dos cuestiones de suma importancia sobre la mesa: uno, que la información realmente es valiosa y se debe de ver como un bien y no como "bits y bytes"; dos, que esta información no fue robada por un "perverso" hacker o cracker, sino por un empleado de la compañía reafirmando así varias estadísticas que indican que la peor amenaza es la del empleado que tiene ya por "default" accesos y privilegios en la red y en servidores corporativos.

Tal vez una tercera cuestión sea el hecho de que el robo de datos puede conducirte a la cárcel, porque sí, de hecho es un crimen...al menos en Estados Unidos donde las "ciber-leyes" están bastante más avanzadas que en nuestro país.

Finalmente una reflexión: efectivamente el señor Min robó información valuada en varios millones de dólares; fue sentenciado a 18 meses y debe pagar unos miles de dólares. ¿Y? La empresa DuPont ya perdió su información y quién sabe a estas alturas quién la tiene y si fue copiada. El punto es que perdió información estratégica y de poco le sirve iniciar el juicio: el daño está hecho y tal vez la cárcel sirva sólo como escarmiento. Una empresa debe definitivamente PREVENIR este tipo de acciones, porque una vez que la información es robada podemos decir que es demasiado tarde. ¿Seguirá el encargado de la seguridad de la información de DuPont en su cargo?

La noticia en: http://www.scmagazineus.com/Former-DuPont-scientist-gets-18-months-in-jail-to-close-out-400-million-corporate-espionage-case/article/96290/

miércoles, 14 de noviembre de 2007

Windows no aleatorio

La generación de números aleatorios es fundamental para la criptografía, usada en protocolos seguros como SSL o IPSec. Todos de alguna forma u otra usamos la criptografía y los números aleatorios todos los días en nuestros navegadores, por ejemplo. Hay que hacer una aclaración en el término "aleatorio" ya que más bien en la práctica se usan números pseudo-aleatorios. La razón es que es difícil generar números verdaderamente aleatorios y esto es especialmente cierto para las computadoras.

 

Microsoft, como otros sistemas operativos, debe de proporcionar de alguna manera estos números pseudos-aleatorios para las aplicaciones, como por ejemplo al hacer una conexión segura con Internet Explorer o Firefox. La función para el caso de Windows 2000 se llama "CryptGenRandom" y estudios de investigadores han demostrado que esta función genera números predecibles, lo cual implica que podemos intentar hacer un ataque para descifrar datos que de otra manera hubieran permanecido cifrados y de hecho lograrlo sin comprometer al equipo víctima (como lo hacen otros ataques).

 

La causa es que esta compañía a lo largo de los años, prefiere diseñar y crear algoritmos privados, es decir, que no publica sus algoritmos para el escrutinio público y así al esconder los detalles piensa que da seguridad a sus diseños. Otros algoritmos, como el famoso AES (Advanced Encryption Standard), fueron públicos y se pusieron bajo la lupa del público para entre "todos" verificar la seguridad (hasta la fecha no se le han encontrado debilidades). Para empeorar las cosas, la función en cuestión "CryptGenRandom" se ejecuta en modo usuario y no en modo kernel, lo cual facilita un ataque.

 

Bueno, yo uso Windows XP, Vista y Windows 2003, estoy a salvo ya que el estudio fue hecho en Windows 2000. Esperen, será que esta misma función se usa en estos sistemas más modernos? Sabemos que por falta de tiempo y por eficiencia muchas líneas de código de "reciclan" y se re-usan, no me sorprendería saber que la infame función ha sido heredada. Lo malo es que los que se pondrán a investigar esto probablemente serán "los otros" (como los de la serie "Lost") para intentar hacer esos ataques que tanto les gustan.

El estudio, llamado "Cryptanalysis of the Random Number Generator of the Windows Operating System" se encuentra en:

http://eprint.iacr.org/2007/419.pdf

http://eprint.iacr.org/2007/419

martes, 13 de noviembre de 2007

SHA-3

Los llamados "hashes" o huellas digitales sirven para dar integridad a los datos electrónicos. Es decir, si yo tengo un archivo, una comunicación o algo que esté en bytes, le puedo sacar el "hash" y es como una huella digital que identifica a esa información de manera que debe ser única e irrepetible.
 
Por ejemplo, si usamos el "hash" llamado SHA-1 para sacar la huella digital del primer párrafo de este texto sería: "7565b99b78ce70f2f5bb487d7ab9e2f85a62d2e3". Si ustedes cambian una coma, un punto, una letra de minúscula a mayúscula o algún cambio similar, la huella digital cambiará y nos podremos dar cuenta de que se perdió integridad.
 
Pues bien, hasta el momento uno de los algoritmos más populares para "hashear" es el SHA-1 (Secure Hash Algorithm), usado ampliamente en Internet (por ejemplo al hacer conexiones seguras con el explorador usando SSL).
 
Pues bien, si alguien quiere saltar a la fama, el NIST (Nacional Institute of Standards and Technology) está convocando al público en general para que se diseñe el SHA-3, con el fin de que sustituya a otros algoritmos de este tipo. La convocatoria se hace debido a que sus antecesores tienen al parecer algunos errores de diseño.
 

Normalmente en México pensamos que eso mejor se lo dejamos a un extranjero "que sepa lo que hace" e ignoramos este tipo de convocatorias. Estoy seguro de que aquí en México hay gente talentosa (que no forzosamente son académicos u ostentan un grado) que puede efectuar este tipo de diseños y demostrar que estos concursos no sólo es para personas de otros países que "sí saben". Tienen hasta el 31 de octubre de 2008.

La liga: http://www.csrc.nist.gov/groups/ST/hash/sha-3/index.html

lunes, 12 de noviembre de 2007

Infecten a Terminator

La milicia de Estados Unidos está preocupada por la posible infección por código malicioso de sus robots militares. Se espera que en una década más o menos arriben estos robots a los campos de batalla, tomando la forma de un helicóptero autónomo y un tanque, entre otros.

La preocupación principal  de los militares es que estos vehículos-robots puedan ser infectados por código malicioso y controlados por personas no deseables, por así decirlo. Y es que al parecer estos vehículos estarían corriendo software comercial y código libre, siendo probable que parte de este código (para agravar las cosas) pudiese estar escrito fuera de los EUA.
 
Especialmente para los militares, el hecho de depender de código de terceros es de cuidado, ya que en el caso de software comercial es mucho muy probable que no se tenga acceso al código fuente. Y aunque la empresa comercial "entregara" dicho código, podríamos estar seguros de que ese código es el que está realmente compilado y ejecutándose en los equipos?
 
En el caso del software libre, habría que hacer un trabajo detallado sobre las líneas de código para ver que lo que compilemos es lo que realmente queremos. Desde mi punto de vista, es deseable trabajar con código fuente libre porque se tiene la posibilidad de que uno lo revise, lo modifique si es el caso y lo compile; claro, hay que asegurarse de revisarlo, ya que de otra manera es la misma situación que el software comercial.
 
En mi opinión, para casos de alta seguridad y muy especiales, el software de código libre es una mejor opción que el comercial, por la sencilla razón de tener acceso a lo que se está ejecutando en los equipos; esto obviamente no quiere decir que esté libre de vulnerabilidades o que no sea susceptible a virus o gusanos, pero al menos estaremos convencidos de que la empresa "X" no puso código "no deseado" en nuestro sistema operativo o aplicación.
 

Finalmente, para solucionar el problema de la susceptibilidad a código malicioso, tal vez siguiendo las mejores prácticas se pueda mitigar el riesgo, como lo puede ser escribir programas seguros (y no sólo funcionales), usar código abierto y certificar el software bajo estándares como el Criterio Común (Common Criteria).

El reporte completo en: http://www.acq.osd.mil/dsb/reports/2007-09-Mission_Impact_of_Foreign_Influence_on_DoD_Software.pdf

 

viernes, 9 de noviembre de 2007

Software espía gubernamental

Vaya. Tenemos suficiente de qué preocuparnos con los crackers y demás criminales organizados que diariamente crean sus códigos maliciosos. Por si esto no fuera poco, según un ex-hacker famoso llamado Kevin Poulsen (cuya columna aparece en Wired), el FBI al parecer también es creador de programas espías. Al parecer el columnista tiene información de que un software espía del gobierno de EUA fue utilizado para vigilar a un sospechoso que escribía amenazas de bomba contra una escuela de la Unión Americana.

Habrá que tomar esta noticia con reserva, sin embargo no me sorprendería para nada que ese gobierno (y otros) utilizara software espía, virus, gusanos y troyanos no sólo para sospechosos de algún crimen, sino también contra gobiernos extranjeros (enemigos y también amigos).

Esto no es nada nuevo y ya se sabe desde hace tiempo: el hecho de que un gobierno use las tecnologías de Internet para su beneficio y "seguridad nacional"; simplemente esta es una noticia que recuerda este hecho.

Ahora bien, qué significa esto para el usuario común, para empresas y gobiernos? Significa que si alguien tan poderoso como el FBI o NSA se interesa en nosotros, seguro tendrá altas probabilidades de obtener lo que busca. No importa si la información se encuentra en mi computadora, en un servidor corporativo o gubernamental; las probabilidades de que organismos del gobierno salgan "ganando" con los datos anhelados son altas.

El artículo de Kevin P. también insinúa que compañías anti virus y anti spyware colaboran con el FBI para no detectar estos códigos espías, inclusive se mencionan nombres como Microsoft; insisto, tómenlo con reserva. ¿Pero realmente sería difícil imaginar a compañías estadounidenses colaborando con autoridades estadounidenses, o por ejemplo compañías rusas "coordinándose" con compañías rusas? La próxima vez que instalen un sistema operativo pregúntense que podría esconder en esas millones de líneas de código; o cuando instalen su antivirus, piensen si realmente los protege contra "todos" los códigos maliciosos. O mejor no se hagan esas preguntas, es mejor dormir tranquilos, no creen?

Pueden leer la noticia en: http://www.wired.com/politics/law/news/2007/07/fbi_spyware

miércoles, 7 de noviembre de 2007

¿Cifrado para celulares?

Sí, la empresa Trend Micro ha puesto a la venta una solución llamada "Mobile Security Software" para celulares con Windows Mobile y Symbian. Esta solución cifra datos almacenados en el celular, y también tiene antivirus, firewall y detección de intrusos.

Vayamos por pasos. Para un usuario promedio esta noticia puede ser ignorada. Al menos en México todavía no necesitamos desde mi punto de vista una protección tan completa para celulares, insisto, para el caso de usuarios promedio. Yo en lo personal no conozco muchos usuarios que tengan un antivirus en su celular; conozco un par que lo tienen con su Windows Mobile y son usuarios corporativos. Mucho menos he visto celulares con software de detección de intrusos y firewall. Y si no hay muchos es por la simple razón de que no se necesita. Hace cerca de veinte años tener un antivirus en una computadora era algo innecesario, creo que lo mismo pasa con los celulares y efectivamente en unos años esto puede cambiar.

Para un usuario corporativo, esta solución puede ser una buena opción en caso de que haga lo que promete, particularmente la parte de cifrado (para proteger los datos contenidos dentro del celular) y antivirus (conste que existen pocos virus para celulares). Para las empresas, tal vez la parte de detección de intrusos y firewall se me hace en particular exagerado hoy en día, aunque si se cuenta con los recursos ($) pues no está de más.

Recordemos que el mundo de las computadoras es fácil de atacar dado que hay un sistema operativo predominante y el código malicioso programado para ese sistema funcionará en un porcentaje altísimo de equipos; con los celulares existen varios sistemas operativos que se reparten el mercado y es necesario que el código malicioso funcione en varias plataformas para que se afecte a una mayoría de usuarios.

En conclusión, tal vez se esté creando la necesidad de contar con protección celular, sin que exista realmente una buena justificación (al menos en México). Si la mercadotecnia lanza mensajes de "necesitas proteger tu celular" una y otra vez, tal vez haya unos cuantos que desembolsen unos pesos. Para el resto de nosotros, podremos vivir sin antivirus, firewall o detección de intrusos en nuestros celulares.

La noticia en: http://www.pcworld.com/businesscenter/article/139340/trend_micro_adds_encryption_to_mobile_security.html

martes, 6 de noviembre de 2007

¿Una Ciber-Jihad?

Una "jihad", según el diccionario Oxford Advanced Learner's, es "una guerra santa peleada por musulmanes en contra de quienes rechazan el Islam". Y un nuevo término podría ser ciber-jihad, que sería una guerra santa peleada por Internet. Y esto atrae mi interés porque hay noticias de que extremistas planean un ataque el 11 de noviembre.
Al parecer no es muy serio pero la amenaza existe y están al parecer convocando la "jihad" en un sitio de Internet para que los "verdaderos creyentes" inicien esta cruzada. Así es que tampoco podemos ignorar la amenaza.

Lo que es real es que la infraestructura de Internet puede ser atacada, y no dudemos que algún día será así como parte de una guerra en donde un Estado no tenga el poder militar para enfrentarse a otro, pero sí tenga la capacidad computacional (hardware, software, redes, personas) para iniciar un ataque.

En esta ocasión, no estoy tan seguro de los atacantes tengan realmente éxito. Primero, la mayoría de hackers y crackers están ubicados en China, Rusia (y asociados), Estados Unidos y algunos países europeos, claro, no quiere decir que no haya ningún experto en cómputo en los países árabes, pero no hay muchas noticias de "hackeos" de ese lado del globo (o por lo menos no llegan "hasta acá"); también puede haber extremistas en China, Rusia y los países que mencioné. Ahora, históricamente los atentados con bombas y explosivos es en lo que se han centrado y "profesionalizado" los extremistas. ¿Qué tanto han incursionado en Internet? ¿Tienen expertos que puedan crear un caos, y están organizados? ¿O simplemente es una llamada al aire a ver quién escucha y sigue las órdenes? Estimo que es exactamente eso: una llamada en voz alta para que haya algunos seguidores. Creo (y espero) que todavía no han incursionado en este ciber-terreno a gran escala y de manera organizada.

Sin embargo hay que tener cuidado. Internet puede ser atacada causándole daño si hay grupos de personas organizadas con motivación, conocimientos, tiempo y fondos ($) suficientes. Creo que todavía no es el caso, pero no hay que desestimarlo y caer en el ya conocido "eso no va a pasar". Los países desarrollados dependen mucho de infraestructuras tecnológicas de redes y computadoras, tanto en el ámbito económico y militar. ¿Será descabellado imaginar una guerra que se libre o produzca de manera electrónica, al menos apoyando a la manera "tradicional" de hacer la guerra o el terrorismo?

Más información en: http://netmedia.info/articulo-31-7367-1.html

lunes, 5 de noviembre de 2007

Programar con Seguridad

Las vulnerabilidades de software son la principal causa (por mucho) de los ataques computacionales, ya sea en forma de gusanos, virus o troyanos. Las vulnerabilidades se deben a una mala programación, claro, desde el punto de vista de seguridad. Obviamente muchos programas están bien diseñados y programados desde el punto de vista funcional, y efectivamente funcionan para lo que los usuarios los necesitan.

Sin embargo, que sea funcional y que haga lo que necesito no quiere decir que es seguro, son dos cosas separadas. Hay programas inclusive que no sólo carecen de seguridad sino que tampoco son funcionales.

Muchos (bueno, sinceramente no tantos) programadores me han dicho que "los de seguridad" les decimos que programen de manera segura pero que jamás les decimos cómo hacerlo. Y tienen razón. ¿Cómo pedirles que programen software seguro pero nadie les dice qué significa esto ni las técnicas básicas para hacerlo? Y esto es un gran problema, sobre todo en México no conozco casi ningún programa o capacitación de programación segura, que se centre totalmente en seguridad.

Y a propósito de la programación segura, el SANS (www.sans.org) tiene una certificación en programación segura, llamada GIAC Secure Software Programmer (https://www2.sans.org/gssp07/). GIAC significa Global Information Assurance Certification. La certificación puede ser para JAVA o C . Se pueden tomar exámenes en línea en http://www.sans-ssi.org/. Es importante mencionar que esta certificación asume que ya uno tiene ciertas habilidades de programación, ya que no es una capacitación sino una certificación. Ahora bien, concretamente para la capacitación, uno puede obtener información también en www.sans-ssi.org.

Pero hay malas noticias. Esta certificación hasta donde leí, se toma en Estados Unidos. Por otro lado, aunque el SANS tiene la opción de tomar capacitaciones en línea, no encontré que hubiera capacitación de programación segura en esta modalidad. Así es que para el caso de México, seguiremos teniendo programadores sin muchas opciones para capacitarse formalmente en seguridad, así es que queda Internet y algunos libros mientras tanto.

domingo, 4 de noviembre de 2007

Reporten lo anormal

Los que vayan a visitar Nueva York e ingresen al metro, leerán publicidad que dice así: "Si tú ves algo, di algo". O en el metro de Manchester: "Si sospechas algo, repórtalo". Al parecer la paranoia del terrorismo ha llevado a poner estos letreros para que la gente sea la "primera línea de defensa".

Si a alguien más le parece que uno está actuando "anormal", seguramente no evitaremos una serie de preguntas e interrogatorios, por el solo hecho de haber actuado "anormal", lo que sea que esto signifique.

Lo interesante de esto es que realmente las personas no están entrenadas para identificar lo "sospechoso" o "anormal", y simplemente usan su criterio o sentido común para identificar lo "anormal". Llevando esto al terreno de la seguridad informática, muchas empresas también pecan de lo mismo y dicen a sus empleados: "Ante un incidente de seguridad, no dude en reportar". ¿Sabe un usuario promedio qué es eso de un incidente de seguridad? ¿Sabe identificar la diferencia entre un error o bug de software y un incidente? Cuando se le pide a un usuario promedio que actúe como personal de seguridad, no nos sorprenderemos cuando obtengamos una seguridad promedio.

A los usuario caseros les pasa algo parecido. Muchos productos de seguridad al parecer presuponen que el usuario es "experto" y nos hacen preguntas como: "Está recibiendo un intento de spoofing de 170.80.1.122, desea bloquear sesión?" o "Se ha detectado el troyano "X", desea limpiar, borrar o poner en cuarentena?". Esperemos que el usuario haga la decisión correcta, ahora está en sus manos.

Los productos de seguridad deben de facilitar la vida del usuario, no hacerla más compleja y esperar que haga decisiones correctas, esa no es su labor. En una corporación, el personal de seguridad debe en primer lugar de hacer su trabajo y mantener un nivel aceptable de seguridad y no sólo decirles a los usuarios que reporten un incidente, sino que deben de enseñar las técnicas básicas para que los usuarios puedan identificar lo mejor posible a un incidente de seguridad.

viernes, 2 de noviembre de 2007

Discryption

Especialmente en los últimos años, se han reportado constantemente casos de robos de laptops. La página "http://privacyrights.org/ar/ChronDatabreaches.htm" mantiene una lista de los reportes de los últimos dos años (en EUA) los cuales han resultado en pérdida de datos. Es una lista bastante extensa lo cual preocupa.

Recordemos que cuando se roban una laptop, lo que nos debe preocupar es el robo de la información en el equipo, y no el costo del hardware; esto al menos desde una perspectiva corporativa. Para  que un robo de una laptop no sea una catástrofe, podemos elegir el cifrado de los datos. Y aquí entra este término de "discryption", el cual significa cifrar los datos a nivel disco duro, SIN usar software.

¿Qué tiene de malo el software para cifrar? Es lento, susceptible a errores del usuario, tiene bugs y vulnerabilidades; sin olvidar el código malicioso como keyloggers o troyanos que nos pueden robar la contraseña que usamos para cifrar y descifrar datos en una computadora.  Lo más seguro y eficiente es cifrar el disco duro por medio del mismo hardware; ya se venden discos duros con esta característica  (como la empresa Seagate). Por cierto, la IEEE está desarrollando varios estándares para normar el cifrado en discos duros, como lo es la propuesta "IEEE P1619 Standard for Cryptographic Protection of Data on Block-Oriented Storage Devices".

El que realmente tenga una preocupación por sus datos en los equipos de cómputo, la recomendación es usar cifrado del disco duro, ya que el software para cifrar los datos, aunque es más fácil de conseguir y más popular, tiene serias desventajas  que hay que considerar. ¿Cuántas empresas y organizaciones mexicanas cifran sus datos de laptops o equipos de cómputo, por lo menos usando software?
Lean más de "discryption" en: http://www.computer.org/portal/site/ieeecs/index.jsp

jueves, 1 de noviembre de 2007

¿Dream Team de Seguridad?

Es sabido que en Estados Unidos se preocupan bastante por la seguridad. Y no es para menos, dado que es uno de los países que más dependen de su infraestructura tecnológica en muchos sentidos. Hasta el momento, han sido pioneros en crear criterios de evaluación de seguridad (para "calificar" qué tan confiable es un software), en leyes para atacar el ciber-crimen y en otros campos de la seguridad, como el CERT (Computer Emergency Response Team).

Y esta vez tampoco se han quedado atrás al crear un "think tank" de seguridad, una especie de equipo de ensueño (dream team) para asesorar al siguiente presidente de los Estados Unidos. Este grupo de personas pretende estar formado por personajes de alto renombre en el ámbito de la seguridad, como el ex-director de la NSA Bobby Inman (National Security Agency), gente de Microsoft, de la Marina u Oracle, por citar sólo a unos. Su objetivo es hacer una lista de recomendaciones (las más urgentes) en materia de seguridad de la información. Por cierto, sería muy interesante saber esas recomendaciones cuando las hayan hecho.

En México, las escasas y no tan robustas leyes de seguridad no han cambiado mucho en varios años, y estamos lejos de tener una cultura de seguridad sobre todo a nivel empresarial. Aquí una noticia de la formación de un grupo de personas altamente calificadas en seguridad asesorando al Presidente, al Congreso o a otra entidad gubernamental sería algo que muchos recibiríamos con sumo agrado. Indudable es que Estados Unidos mantiene una importancia singular a nivel mundial, y muchos intentan vulnerar sus sistemas por diversas causas y motivos.

Tal vez México deba empezar a preocuparse y no padecer del "a mi no me pasa", ya que aunque en vías de desarrollo, los sistemas de cómputo ya tienen un papel importante en la vida nacional, y no es de sorprendernos que cada vez haya más gente aquí y afuera que se le haga atractivo una que otra violación computacional. Desgraciadamente, a veces se requieren grandes eventos desafortunados para reaccionar, tal cual lo fue el Blaster que en su momento  hizo reaccionar a varias organizaciones que se empezaron a preocupar por la seguridad u otras más que incrementaron su ya existente preocupación.
La noticia en: http://www.pcworld.com/article/id,139084-pg,1/article.html