lunes, 31 de diciembre de 2007

El Fin de Netscape

Los que hayamos tenido la oportunidad de estar involucrados con sistemas de cómputo allá por inicios de los años noventa, seguro recordaremos al navegador Netscape. Si uno quería navegar en Internet, era de lo más normal usar Netscape y de hecho prácticamente era la única opción.

Años más tarde, bueno, ya sabemos la historia, vino Microsoft con su Internet Explorer (IE) y lo puso sin preguntar en todos los sistemas operativos Windows; inició la guerra de los navegadores que al final, bueno, ganó Microsoft al tener un porcentaje altísimo de usuarios. Pero esto no fue el fin de Netscape, siguió discretamente dando guerra y en 1999 fue adquirida por AOL. Muchos pensamos que resurgiría, pero no fue así.

Y es en diciembre de 2007 que AOL anuncia el fin de Netscape. No más desarrollos, no más versiones, no más parches. Más de 10 años estuvo Netscape presente, tuvo un inicio glorioso pero llegó a su final. Ahora los que dan la cara y se enfrentan a IE son Firefox y Opera, principalmente.

Los navegadores tienen una responsabilidad cada vez mayor en cuestiones de seguridad, ya que cada vez más la WWW (World Wide Web) es usada como una de las principales vías de infección de código malicioso y otros engaños como el phising. Hasta la fecha, considero que los principales navegadores no están haciendo lo suficiente como para que el usuario se sienta seguro al navegar. Por lo pronto, en la lucha por conseguir las preferencias de los usuarios y contar con mayor seguridad y mejores características ya no estará presente el "padre" de los navegadores que como el dinosaurio, alguna vez reinó sobre la faz de la tierra.

La noticia en:
http://www.eleconomista.com.mx/articulos/2007-12-31-52226


miércoles, 19 de diciembre de 2007

Tostador maligno

"Mi tostador fue usado para extraer mi información bancaria y ya me vaciaron la cuenta". Alguien que diga eso me causaría una gran risa, aunque después de lo que leí ya no reiría tanto.

En una conferencia llamada ClubHACK 2007, un investigador de la empresa CheckPoint demostró cómo un tostador conectado a la red puede ser usado para hackear una computadora y comprometerla. ¿Por qué hizo esto?

Se ha hablado que en el futuro los aparatos electrodomésticos se conectarán a la red y por ejemplo un refrigerador podrá avisar que se acabaron las tortillas y hasta podrá pedir al Súper vía Internet que se surtan más. Es una escena futurista pero sobre todo en países altamente tecnológicos, esto no es algo irreal.

Este investigador lo que demostró es que en el momento en que un electrodoméstico se conecta a la red, podría ser usado de manera maligna. Imaginemos que tenemos en nuestro hogar un tostador o refrigerador que inalámbricamente se conecta a nuestra red doméstica o a Internet; nuestro vecino o un hacker podría comprometer este tostador o refrigerador y de ahí tener acceso a nuestra computadora.

En fin, esta demostración del tostador tal vez sea muy excéntrica. Lo que sí debemos de pensar es que en el momento en que un electrodoméstico ejecute algún software y tenga conexión a una red, podrá ser explotable vía remota. Hoy día vemos a equipos de cómputo infectados y convertidos en zombies a la órden de un criminal, podremos ver refrigeradores convertidos en zombies en el futuro?
La noticia en: http://www.theregister.co.uk/2007/12/18/networked_toaster_hack/


sábado, 15 de diciembre de 2007

Robo de laptop en video

Si ya están cansados de los videos de YouTube, al final de este mensaje les adjunto la liga donde podrán ver el momento en el que se roban una laptop usada para la donación de sangre en los Estados Unidos. La laptop contenía cerca de 250,000 nombres, direcciones, tipos de sangre y números de seguro social (suficientes datos para tratar de hacer un robo de identidad en los EUA).

Bueno, aquí mi pregunta es: ¿CUÁNDO VAMOS A APRENDER? Cada mes al menos leo una noticia de robo de laptop con información confidencial en EUA y resta por ver a nivel global cuántas se roban con información de este tipo. La solución es sencilla: no guardar información confidencial en laptops y si lo hacemos hay que cifrarla. Existen productos muy buenos para cifrar, por ejemplo PGP Whole Disk Encryption; es una solución que cifra todo el disco sin tener que estar cifrando archivo por archivo. Cabe mencionar que hasta WinZip tiene manera de cifrar datos, por qué no usarla? Ahora, si lo que quieren es algo gratuito, googleen la palabra “GnuPG”.

No creo que las noticias de robos de laptops con información confidencial se detengan o disminuyan, es más, creo que aumentarán porque las laptops son cada vez más baratas y populares. Y con la capacidad de discos internos y externos, cada vez es más fácil llevarse la información importante de una corporación en estos equipos que caben en una mochila. La tentación de almacenar ahí información es simplemente muy grande: para trabajar en casa, para trabajar en viajes o sólo por el placer de llevar con uno toda la información habida y por haber (¿qué tal que la necesito y no la tengo?).

Bueno, pues este almacenaje móvil tiene su precio. Y si encima de eso no ciframos la información, bueno, pues ya ni cómo ayudarnos. Cabe mencionar que aunque las noticias de robo de latops son bastantes, no he leído noticias de que lleguen a usar la información de esas laptops y creo que esto sí sucede pero de manera reducida. Esto significa que la gran mayoría de los ladrones van por el hardware, no por la información. ¿Cambiará esto en el futuro? Tal vez ya esté sucediendo...

El video lo pueden ver en: http://www.startribune.com/video/12232681.html

martes, 11 de diciembre de 2007

Handbook of Applied Cryptography

Existe un muy buen libro de Criptografía llamado "Handbook of Applied Cryptography". 
Pues bien, lo pueden bajar de forma gratuita y legal del sitio que anexo al final de este mensaje.
Es un texto bastante bien redactado y aunque no es para principiantes, los lectores más avanzados seguramente lo agradecerán y apreciarán.
Yo ya lo estoy bajando a mi equipo.
¡Buena lectura!

http://www.cacr.math.uwaterloo.ca/hac/index.html

Vulnerabilidades a la venta

"¡Pásele, pásele, pásele! Lleve su vulnerabilidad güerito, es una oferta, es una promoción". Sólo agréguenle un tono de "vagonero" del metro. Un poco de humor antes de comentarles de la venta (que no se lleva a cabo en el metro todavía) de debilidades en un sitio de Internet.

¿Es justo que si yo descubro una debilidad en un software, me paguen por eso? ¿El tiempo que alguien invierte en descubrir una vulnerabilidad debe ser pagado con un "gracias" y una nota de reconocimiento en el sitio del fabricante? ¿Tanto tiempo para eso? Obviamente si es un criminal y no un investigador el que descubre la debilidad, la explotará seguramente para sacarle algún provecho económico y ahí estará su recompensa al tiempo invertido.

El sitio de Internet Wabisabilabi (parece traba-lenguas) tiene una especie de e-Bay de debilidades, donde el que descubre una debilidad la puede subastar en línea al mejor postor. Según el sitio Wabisabilabi dice que sólo se las vende a gente "respetable".

En fin, por un lado tenemos al investigador o desarrollador que descubre una debilidad y que éticamente se la manda el fabricante, no esperando ninguna remuneración económica. Por otro lado tenemos al mismo investigador que decide venderla y que se le pague por su tiempo invertido. ¿Qué debemos hacer? Aquí es cuestión de ética y habrá numerosas opiniones sobre lo que es correcto hacer: enviar la debilidad sin esperar nada a cambio o venderla. He ahí la cuestión.

Por cierto, me intriga saber quiénes son los "respetables" que compran las debilidades, el sitio en cuestión dice que son "investigadores de seguridad" quienes las compran. Puede ser, pero en primera: cómo le hacen para verificar la "respetabilidad" del comprador? Y en segunda: cuántos investigadores de seguridad pagan cuatro mil dólares por una debilidad (eso es más o menos lo que cuestan)? Sobre todo pensando que para cuestiones de investigación o pruebas se pueden encontrar varias en la red de forma gratuita, cierto?

Así es que yo más bien pongo en duda la ética de este sitio porque creo que la mayoría de estos compradores son realmente criminales o gente con malas intenciones.
La noticia en: http://www.pcworld.com/businesscenter/article/140471/security_vulnerabilities_for_sale_to_the_highest_bidder.html


lunes, 3 de diciembre de 2007

Tips compras navideñas online

El sitio especializado en seguridad bancaria, www.bankinfosecurity.com, nos ofrece algunos tips para comprar online de manera segura en estas navidades. Algunos tips son buenos y otros más obvios, juzguen ustedes.

1.- Compren en sitios de Internet que confíen.
Comentario: en México, la Asociación de Internet ofrece un sello para tiendas online seguras (www.ampici.org.mx) y un listado de sitios confiables. Fuera de esto, la verdad creo que el comentario es un poco obvio; alguien compraría en un sitio no confiable?
¿Es necesario que me lo digan?

2.- No compartir contraseñas de Internet con nadie; use diferentes contraseñas para cada sitio.
Comentario: Es un buen consejo, aunque recomendar que se usen diferentes contraseñas para cada sitio, es tal vez sólo posible con un administrador de contraseñas o para alguien que goce de muy buena memoria. La mayoría usamos dos o tres contraseñas o una variante de una misma. El nombre de un administrador de contraseñas (gratuito) es "password safe", hay muchas otras opciones.

3.- No comparta información personal en sitios de Internet.
Comentario: efectivamente en Internet, uno no sé por qué suelta la lengua de más y da datos a diestra y siniestra. ¿Nombre? ¿Edad? ¿Domicilio? ¿Ingresos monetarios? ¡Claro! Encantado de responder. Total, me los pidieron en un sitio de Internet, debe de ser confiable, no? Recuerden que lo mismo pasa con las extorsiones telefónicas, se dan datos sin pensarlo. Típico que nos llaman a la casa y lo primero que se escucha es: "¿A dónde hablo?" Y contestamos: "A la casa de la familia Pérez y García". De entrada y sin esfuerzo, ya saben qué familia vive ahí. Con esos datos se va armando un perfil familiar para simular un secuestro, por ejemplo.

4.- Instale antivirus, firewall personal, antispyware; actualícelos.
Comentario: buen consejo. Sin embargo, en México para muchos usuarios tener estos programas saldría tal vez en $1,000 o $1,500 por año. Muy caro. Hay opciones gratuitas para estos tres programas básicos.

5.- Aplique su criterio en el correo; si se ve raro no lo abra. Hasta correos de personas confiables pueden venir infectados.
Comentario: no estoy tan seguro de si todos los usuarios podamos aplicar un "buen" criterio tratándose de seguridad y computadoras. Los usuarios queremos bajar videos, escuchar música o redactar un documento, no somos expertos en seguridad; tendremos que aprender a tener un buen criterio al leer correos?

6.- Haga transacciones seguras con empresas usando "https".
Comentario: se recomienda que se use el protocolo seguro SSL, lo cual se indicará cuando se prende un candado en la parte inferior derecha del navegador. Pues bien, que se prenda el dichoso candado y que se use SSL, sólo significa que se cifran los datos en tránsito; no nos dice nada de quién está del otro lado del "cable". Por cierto, casi nadie ataca datos cifrados en tránsito, más bien se van a atacar la base de datos de la compañía online (con "n" números de tarjetas de crédito) o a la PC del usuario. Simplemente es más fácil.

7.- Verifique sus estados de cuenta.
Comentario: sin comentario, es una buena práctica para ver que no se tengan cargos extraños. Recuerden que en México muchas tarjetas de crédito están aseguradas contra este tipo de fraudes o cargos no reconocidos.

8.- Conserve impresiones de las comprobantes (número de orden, precio, cantidad) que le da la tienda online.
Comentarios: sin comentarios, es buena práctica.

9.- No compre nada que le ofrezcan vía spam.
Comentarios: yo no compraría nada que venga en un correo que considere que es spam. Ni siquiera ingresaría a la página web. Es un buen consejo.

10.- Apague la PC cuando ya no esté en línea.
Comentarios: con la llegada de la banda ancha, es tentador dejar la computadora encendida y conectada, porque nos da flojera volverla a prender. Sin mencionar la energía eléctrica que se desperdicia ( www.climatecrisis.net), esto es aprovechado por los atacantes para crear ejércitos de zombies que son computadoras infectadas permanentemente conectadas a Internet, listos a responder a su "maestro".

Felices y seguras compras navideñas online les deseo siguiendo estos consejos y otros que crean pertinentes.

La noticia en: www.unibank.com/education/Prevent_Holiday_Thieving.doc