En días pasados comentaba del lanzamiento de una certificación de la ISC2 para verificar los conocimientos de la programación segura. Actualmente es un problema el hecho de que no se programa / codifica a las aplicaciones o programas de manera segura. Bueno, les confirmo esta noticia y les mando la liga de donde pueden obtener más información de esta certificación llamada Certified Secure Software Lifecycle Professional (CSSLP):
Los temas de la certificación son:
Resulta que IE8 y Chorme envían cada letra "en línea" conforme un usuario teclea algún sitio, con el fin de predecir lo que el usuario desea; todo esto ayudado de algoritmos que hacen sugerencias que son mostradas en los navegadores. Algunos dicen que es una especie de keylogger, y que aunque sólo envía lo que se teclea en el campo del URL del navegador, finalmente envía la información fuera del equipo del usuario a los servidores de estas compañías.
En IE8 esta "funcionalidad" está apagada por default. En Chrome está encendida por default. Y ahí es donde yo veo el problema, ya que se debe de advertir al usuario que sus "teclazos" están siendo enviados fuera del equipo y se debe informar qué implica esto para el que usa estas aplicaciones. Hasta el momento esto no sucede en estos dos navegadores y se esconde esto al usuario. De hecho la compañía antivirus Kaspersky está viendo la posibilidad de que se detecte esto como un código malicioso o keylogger o al menos detectarlo como algo anormal y lo están tratando de respaldar inclusive legalmente.
En efecto, Chrome es aún beta y también IE8. Pero sobre todo me quejo de Google que le encanta (man)tener productos beta para escudarse de todos los defectos en sus productos ( de funcionalidad, de seguridad, etc.). Ante cualquier cuestionamiento de que "x" aplicación no funciona o que no es seguro o que afecta la privacidad, la respuesta es: "Es que está en fase beta (pruebas)". Entonces que no lo pongan a disposición del público hasta que sea un producto funcional y que en todo caso, las pruebas sean realizadas por un conjunto pequeño de usuarios. Por si fuera poco, algunas de las aplicaciones de Google que salen en beta se parecen tanto a las construcciones viales del DF, en el sentido que duran meses y a veces años antes de que sean funcionales (ejemplo: GMail). Recordemos también que hace poco Chrome cambió su esquema de licenciamiento porque recibió presión de que violaba la privacidad de los usuarios. Ahora viene esto del keylogger. Al parecer la estrategia es de “más vale pedir perdón que pedir permiso”.
Bueno, una historia más alrededor del lanzamiento de Chrome.
Me enteré de que la ISC2 ( International Information Systems Security Certification Consortium) va a poner a disposición una nueva certificación llamada CSSLP (Certified Secure Software Lifecycle Professional). Después de que esta organización ha creado la ya (re)conocida y exitosa certificación CISSP (Certified Information Systems Security Professional), yo pienso que será interesante seguirle la pista a esta nueva certificación.
¿De qué se trata la CSSLP? Pues de verificar los conocimientos que una persona tiene para el desarrollo seguro de software. No es un secreto la gran cantidad de vulnerabilidades que se publican a diario en todo tipo de aplicaciones y esto es debido en gran parte a una (¿total?) falta de conocimiento en la codificación segura, y en la enorme mayoría de las ocasiones, se tiene como objetivo principal/único que un programa funcione y no que sea confiable/seguro. Se privilegia la funcionalidad sobre la seguridad.
Así entonces, CSSLP evaluará los conocimientos que se tengan en el campo de "Requerimientos de software", ""Diseño seguro de software", "Codificación segura de software", "Pruebas de seguridad", etc.
Para los desarrolladores, esta certificación será un punto más a su favor cuando demuestren que no sólo saben codificar, sino también que lo hacen de manera segura. Claro, una certificación no es una "garantía", pero al menos es un parámetro más a evaluar y que podrán usar los empleadores al momento de seleccionar personal.
En fin, por cierto me metí a la página de ISC2 y no encontré todavía información de esta nueva certificación que al parecer se está planeando lleve a cabo sus primeros exámenes de certificación hasta el siguiente año. En conclusión, la ISC2 está atacando de raíz un problema añejo y al parecer complejo que se refiere a que ¡por fin! se pueda codificar software seguro, o al menos que no tenga tantas debilidades.
En México existen varias opciones de bolsas de trabajo en línea, donde uno tiene la oportunidad de incluir un currículum vítae para que nos busquen, o bien nosotros buscar a empleadores. En esta ocasión les quiero comentar de una bolsa de trabajo específica para seguridad informática y de la información (inclusive hasta hay ofertas de seguridad física). El sitio es: www.security-jobs.info.
La idea es la misma: ofrecer una bolsa de trabajo en línea pero especializada en el tema de seguridad. Hay que decirlo, las ofertas que he visto son de empresas en países extranjeros, pero bueno, quien quita que un par de lectores esté interesado en cambiar de residencia. Por otro lado, supongo que con el tiempo, también podría haber empleadores mexicanos registrados en este sitio para captar no sólo talento nacional, sino internacional.
Vale la pena darse una vuelta por el sitio y ver si vale la pena registrarse. Yo lo hice para ver qué plazas están ofreciendo en otros lugares y qué tan bien o mal pagados están.
Algunos ejemplos de puestos: Web Application Security Test Engineer, Sr. IT Security Architect, Security Auditor, Information Security Consultant, IT Security Officer, Firewall Security Engineer.
Cuando vi la noticia de que habían hackeado la cuenta de Yahoo! de Sarah Palin (compañera republicana del candidato presidencial McCain), de momento me surgió la duda de cómo lo habían logrado hacer. ¿Herramientas de hackeo sofisticado? ¿Visitas incansables a foros de seguridad y hackeo? Pues no, nada de eso, el acceso a la cuenta de la compañera del señor McCain fue respondiendo "simplemente" una serie de preguntas.
Recordemos que estos servicios de correo basado en web, tienen una opción para cuando a uno se le olvida la contraseña donde el usuario entra en un proceso de preguntas-respuestas, y uno debe demostrar su identidad.
Es una opción muy útil en esos casos de olvido de contraseñas, sin embargo, para personas públicas (políticos, artistas, deportistas) este proceso de preguntas-respuestas podría ser vulnerado para ganar acceso al buzón de correo-web. La persona que ingresó al correo de Palin contestó correctamente la fecha de cumpleaños y el código postal se la candidata, información que fue fácilmente encontrada con Google. La pregunta secreta era "¿Dónde conocí a mi esposo?" Mmmhhhh...esa parte está difícil, pero no imposible, el intruso lo supo con unos minutos más de investigación y ¡eureka!
Ahora bien, aquí viene lo interesante. Tal vez para nosotros los mortales, un desconocido que desee ingresar a nuestro correo GMail, Yahoo o Hotmail tenga muchas dificultades en saber diversas respuestas que deberá contestar antes de ingresar de manera no autorizada a nuestra cuenta. Sin embargo, para todas las celebridades que leen este blog :-o, les comento que es posible buscar esta información en Google, como le sucedió a Palin.
Por otro lado, es importante mencionar que para nuestros conocidos, tal vez no resulte muy difícil saber nuestro código postal, nuestra fecha de cumpleaños y contestar una pregunta "secreta". ¿Quién se interesaría? ¿La esposa que sospecha del marido? ¿El esposo que sospecha de su mujer? ¿Novi@s celos@s? ¿Compañeros de trabajo curiosos? ¿Acosadores que conocen a la víctima?
Tip: para los "infieles", recuerden de abrir una nueva cuenta de correo exclusiva para sus aventuras; por otro lado, en general todos debemos de poner preguntas secretas realmente difíciles de adivinar o no poner respuestas lógicas: "¿Dónde conocí a mi espos@? -> abracadabra"; lo mismo se puede aplicar al poner (por ejemplo) códigos postales inexistentes pero que signifiquen algo para nosotros. Cualquier técnica que ahuyente a los intrusos será de utilidad.
HOLA RECIBISTE UNA DE LAS NUEVAS HI5 POSTALES
Una persona especial te ha enviado una HI5 postal, para acceder a ella solo debes hacer click en el siguiente link.
http://www.hi5.com/mexico/
Pero un detalle, la liga que aparentemente viene de www.hi5.com, realmente vi que abre la liga "hi5-postales.idoo.com". Para no hacer la historia muy larga, el ejecutable que se baja es realmente un troyano y al ser muy reciente, la mayoría de los antivirus no identifican a este ejecutable como un código malicioso; según el portal de VirusTotal.com sólo Sophos y Symantec lo identifican al día de hoy (21/09/08) genéricamente como Troj/Taxi-Gen y Trojan Horse, respectivamente.
Pensé en escribir sobre este correo ya que seguramente es uno muy particular para México o Latinoamérica ya que Hi5 es una de las redes sociales más usadas por estos lugares y además el correo viene en español; por si fuera poco cuando estos troyanos son recientes y de estas regiones, por lo general los antivirus se tardan en detectarlos y detenerlos. No dudaría (aunque falta confirmarlo) que este troyano intente obtener datos de banca en línea, como ya es costumbre.
Si reciben este tipo de correos, siempre sigan las precauciones de ver realmente el link de donde están bajando el ejecutable y en todo caso bajar nosotros mismos la actualización de FlashPlayer u otro software buscándolo en Google y obteniéndolo directamente del fabricante.
¿Alguna duda de cuáles fueron las mayores pérdidas de datos en el mundo de noviembre de 2007 a la fecha? Vnunet se ha dado a la tarea de hacer una recopilación de las mayores pérdidas de datos y según su criterio, establecer el top ten de las pérdidas. Y México no está en la lista.
A lo largo de los meses uno pierde la cuenta de estas noticias relacionadas con pérdida de información, así es que es bueno que alguien las agrupe y las presente como el top ten (aunque claro, podemos no estar de acuerdo en el criterio para armarlo). Llama mi atención que México y países de Latinoamérica no figuran en esta lista “negra”. ¿Será que somos muy cuidadosos con la información? ¿O será que para variar no hay estadísticas ni información relacionada con pérdida de datos? ¿Tal vez sea que para el “primer mundo” no contamos mucho y no aparecemos en sus listados? Un poco de las dos últimas.
La respuesta puede estar en la falta de información (estadísticas, interés de los medios) relacionada con este tipo de pérdidas que no llegan a ser noticia por estos lugares. En fin, las causas pueden ser varias. Los invito a leer este top ten de “las mayores pérdidas”, más que nada para despertar nuestro interés por la protección de la información ya que “cuando veas la barba de ti vecino…”
Todos hemos escuchado de Nessus y otros más lo usamos como parte de nuestras labores diarias. Nessus, el viejo analizador de vulnerabilidades, ha estado en la "arena" informática de seguridad ya por varios años. Lástima que ya su código no es tan “libre” y que los nuevos dueños (Tenable Network Security) han puesto ciertas restricciones en Nessus. La decisión de "cerrar" el código de Nessus fue comercial y según los nuevos dueños "porque nadie contribuía al desarrollo de la herramienta a pesar de que su código era libre". Ahora hay varios aspectos alrededor de Nessus que se cobran.
Para los que siempre buscamos software libre de seguridad "bueno, bonito y gratuito", les comento que ha aparecido en la "arena" un nuevo software llamado OpenVas que promete ser el nuevo Nessus, o eso al menos dicen sus creadores. En la página de Open Vulnerability Assessment System podrán encontrar más datos de este esfuerzo que trae consigo un servidor, un cliente y un puñado de firmas de seguridad.
Confieso que todavía no lo pongo a trabajar, pero por lo que he leído parece al menos una opción interesante. Cabe mencionar que soporta varias distribuciones de Linux; el cliente soporta Windows y tiene varios HowTo, sin mencionar foros de distribución.
Felices escaneos.
Un nuevo navegador de Google que dicen será “seguro”…será?
Resta descargarlo de esta liga, probarlo y ver cómo se comporta el juguetito.
Saludos.
En días pasados, llegó a mis manos una noticia de que sitios como FaceBook y Hi5 son utilizados por secuestradores para elegir a sus víctimas. De esta noticia, pienso que el problema no es de seguridad (tecnológicamente hablando), sino es más bien una cuestión de carácter social/humano. Analicemos algunos extractos del artículo:
Para empezar, el artículo gira en torno a Fernando Martí. En primera, creo que se debió de haber tratado este tema independientemente de este trágico caso y abordarlo de manera general. En segunda, no hay evidencia hasta donde sé de que en este caso se haya usado una red social para consumar el secuestro...lo cual fortalece mi opinión de tratar este tema de manera independiente.
Por un lado, se dice que "...páginas de blogs, Hi5, MySpace y Facebook han comenzado a ser explotadas por la delincuencia organizada para obtener información sobre sus víctimas...". También se cita a un especialista de seguridad que dice que "Esto ya ha sucedido en México, tenemos clientes que lo han sufrido."
Por otro lado se dice que "Aunque México Unido contra la Delincuencia no tiene en sus listas casos en los que el secuestro se haya llevado a cabo con el auxilio de estas redes...".
Entonces, me quedo con más dudas que preguntas. Por una lado se dice que esto "ya ha sucedido en México" pero por otro lado no hay estadísticas ni reportes concretos de que esto haya pasado, al menos no como información pública. Por lo tanto, existe realmente evidencia? ¿Cómo lo saben? ¿Por medio de confesiones de secuestradores? Por lo que a mi respecta, y en mi muy particular opinión, no hay datos duros que me indiquen que sea un hecho la utilización de redes sociales para estos fines por demás inhumanos. ¿Alguien de la audiencia tiene referencias útiles de datos concretos? Sería de ayuda.
Otro punto es que ese artículo da a entender que los secuestradores son ya "hi-tech", que saben y usan la tecnología a su favor. En lo que a mi respecta, mi percepción es que estos crímenes son aún "artesanales" y obtienen la información de su víctima por medios no tecnológicos.
¿Recomendaciones? Ante la duda, más vale prevenir. No se trata –pienso yo- de dejar de usar la red social de nuestra elección. Podemos seguir algunas medidas. Cerrar el círculo de amigos, es decir, permitir que sólo nuestros conocidos -en el mundo físico- tengan acceso a nuestras fotos, datos y hábitos. Y subrayo: amigos del mundo físico: dudar de amigos conocidos en línea. Evaluar la necesidad de ingresar teléfonos y direcciones en el perfil de la red social, así como el lugar de trabajo (nuestros amigos seguro ya saben nuestro teléfono y dirección...para qué ingresarlo?). Asegurarnos de que nuestra identidad no está abierta a todos, sino exclusivamente a los que autorizamos. Si deseamos estar más seguros supongo que el siguiente paso es de plano dejar de usar estas redes sociales...cada quien deberá evaluarlo. También recordemos que así como los jóvenes usan redes FaceBook o Hi5, otros usan Linkedin que finalmente es una especie de red social.
Al final, este tipo de artículos que aparecen en la prensa más que ayudar, tal vez sirvan para dar ideas a quienes no las tenían. En fin, como dije al inicio, aquí no tratamos debilidades tecnológicas sino "humanas" al poner nuestra identidad al descubierto. Supongo que cada quien tendrá opiniones diferentes sobre todo este tema.
Hasta la siguiente entrada.
Nota: en otra ocasión analizaremos las debilidades tecnológicas de estas redes sociales respondiendo a la duda de cómo obtener información de la identidad de una persona a pesar de haber configurado el perfil con privacidad.
Sin necesidad de comprar un boleto, un gusano llamado Gammina.AG ha logrado viajar al espacio, esto gracias a las laptops de los astronautas que hicieron el viaje con todo y código malicioso incrustado en algunos de sus equipos. Se reporta que esas laptops no tienen ningún antivirus y que afortunadamente no se infectaron sistemas críticos de la Estación Espacial Internacional.
En fin, esas laptops son usadas para enviar correo y ejecutar programas que asisten en la nutrición de los astronautas. Pero vaya, aunque sean de "poca importancia", pues qué les cuesta ponerle tan siquiera un antivirus? Ya dejémonos de si se ven afectados o no sistemas críticos, simplemente por mantener una imagen, la NASA debería de ver la conveniencia de instalar ciertas protecciones en esas laptops. Por cierto, no es la primera vez que esto sucede.
A veces el daño en la imagen es en sí una amenaza. Esta vez no pasó de ser una nota un tanto "curiosa" y no creo que Madonna cancele su viaje espacial por esta infección, cierto? En fin, supongo que el resto de los sistemas críticos de la Estación Espacial están bien vigilados y protegidos, no es así Houston?
