martes, 30 de septiembre de 2008
Ahora Telmex trae un nuevo sistema de pago vía internet.
Sí, es otro intento de fraude de un correo que obviamente no viene de Telmex. Ahora intentan que el usuario caiga en la trampa de entrar a una página web para que llene los datos de su tarjeta de crédito.
La página web aparenta ser de Telmex y ofrece un "nuevo sistema de pago". La página fraudulenta es "http://w w w.t e l m e x . m x . t c/", que no tiene conexión con la empresa.
Por cierto, la página se ve suficientemente profesional como para que más de uno caiga.
Mucho cuidado.
Hasta las compañías de antivirus mandan links en correos.
Hoy me llegó una publicidad de una compañía de antivirus. Lo que me llamó la atención es que el correo tenía varios links para que uno le hiciera "click" ya sea para ver algún video o hasta llenar un formulario para bajar software de prueba. Me parece que el correo es válido, sin embargo no sé hasta qué punto se deben de seguir enviando correos con links, ya que esta estrategia también la siguen los creadores de código malicioso.
En un día podemos recibir varios correos donde nos piden hacer click, sólo con el fin de que el click nos lleve de una forma u otra a la instalación de un troyano o gusano. Pienso que es una mala idea que se sigan enviando correos válidos que parecen no serlo...no pueden decir simplemente "para bajar el software demo, favor de visitar nuestra página web", sin hipervínculos?
Que haya ligas en blogs y otras páginas web es una cosa, pero en correos enviados a los buzones de correos de los usuarios pienso que sí se debería de pensar dos veces si es algo correcto, sobre todo cuando los correos vienen de empresas de seguridad. No hay que confundir al usuario diciéndole "no hagas click en links que vengan en el correo...ah! pero hay varias excepciones y ahí sí puedes hacer click". Por fin, hago o no hago click?
CSSLP: certificación de programación segura de aplicaciones
En días pasados comentaba del lanzamiento de una certificación de la ISC2 para verificar los conocimientos de la programación segura. Actualmente es un problema el hecho de que no se programa / codifica a las aplicaciones o programas de manera segura. Bueno, les confirmo esta noticia y les mando la liga de donde pueden obtener más información de esta certificación llamada Certified Secure Software Lifecycle Professional (CSSLP):
Los temas de la certificación son:
- Secure Software Concepts - security implications in software development
- Secure Software Requirements - capturing security requirements in the requirements gathering phase
- Secure Software Design - translating security requirements into application design elements
- Secure Software Implementation/Coding - testing for security functionality and resiliency to attack, and developing secure code and exploit mitigation
- Secure Software Testing - testing for security functionality and resiliency to attack
- Software Acceptance - security implication in the software acceptance phase
- Software Deployment, Operations, Maintenance and Disposal - security issues around steady state operations and management of software
lunes, 29 de septiembre de 2008
Keyloggers en IE8 y Chrome.
Resulta que IE8 y Chorme envían cada letra "en línea" conforme un usuario teclea algún sitio, con el fin de predecir lo que el usuario desea; todo esto ayudado de algoritmos que hacen sugerencias que son mostradas en los navegadores. Algunos dicen que es una especie de keylogger, y que aunque sólo envía lo que se teclea en el campo del URL del navegador, finalmente envía la información fuera del equipo del usuario a los servidores de estas compañías.
En IE8 esta "funcionalidad" está apagada por default. En Chrome está encendida por default. Y ahí es donde yo veo el problema, ya que se debe de advertir al usuario que sus "teclazos" están siendo enviados fuera del equipo y se debe informar qué implica esto para el que usa estas aplicaciones. Hasta el momento esto no sucede en estos dos navegadores y se esconde esto al usuario. De hecho la compañía antivirus Kaspersky está viendo la posibilidad de que se detecte esto como un código malicioso o keylogger o al menos detectarlo como algo anormal y lo están tratando de respaldar inclusive legalmente.
En efecto, Chrome es aún beta y también IE8. Pero sobre todo me quejo de Google que le encanta (man)tener productos beta para escudarse de todos los defectos en sus productos ( de funcionalidad, de seguridad, etc.). Ante cualquier cuestionamiento de que "x" aplicación no funciona o que no es seguro o que afecta la privacidad, la respuesta es: "Es que está en fase beta (pruebas)". Entonces que no lo pongan a disposición del público hasta que sea un producto funcional y que en todo caso, las pruebas sean realizadas por un conjunto pequeño de usuarios. Por si fuera poco, algunas de las aplicaciones de Google que salen en beta se parecen tanto a las construcciones viales del DF, en el sentido que duran meses y a veces años antes de que sean funcionales (ejemplo: GMail). Recordemos también que hace poco Chrome cambió su esquema de licenciamiento porque recibió presión de que violaba la privacidad de los usuarios. Ahora viene esto del keylogger. Al parecer la estrategia es de “más vale pedir perdón que pedir permiso”.
Bueno, una historia más alrededor del lanzamiento de Chrome.
domingo, 28 de septiembre de 2008
¿¿Ventas navideñas en septiembre??
¿Pueden creerlo? Hoy fui a Liverpool y Sears, sólo para percatarme de que ya había una sección de navidad con árboles, esferas y demás adornos navideños. Caramba, estamos en septiembre...no pueden esperar un par de meses más? Supongo que no.
(Aún) Más sobre Redes Sociales y secuestros
Esto fue lo que le respondí:
==
Te comento que hace ya varias semanas, apareció una noticia en Milenio y luego apareció algo más en el periódico Reforma en su sección de computación referente al uso de redes sociales para seleccionar personas que luego serían secuestradas.
Observarás en Milenio que se citan a algunas "autoridades en el tema" que afirman que este tipo de secuestros se está llevando a cabo en algunos casos en base a lo que se puede ver en las redes sociales. Es información, desde mi punto de vista, vaga y general, sin mencionar que no se ofrecen casos concretos o estadísticas. Así es que este artículo y el del periódico Reforma no te va a ayudar gran cosa.
Ahora bien, oficialmente tampoco encontrarás mucho, es decir, información que pudiera ofrecer alguna institución de procuración de justicia, ya sea federal o estatal. Desconozco por qué no se han pronunciado al respecto, tal vez para no dar ideas a posibles secuestradores. Aunque por otro lado nos sería útil a los ciudadanos para prevenir delitos de este tipo.
Esto significa que no hay mucha información de donde puedas sustentar tu investigación. ¿Qué te recomiendo? Dos cosas:
1.- Aprovecha la ley de transparencia.
Si el tiempo para completar tu investigación te lo permite y si crees que es buena idea, puedes solicitar a las instituciones correspondientes que te proporcionen información del uso de redes sociales para secuestrar. Lo peor que puede pasar es que te nieguen la información.
2.- Investiga por tu lado.
Tendrás que ponerte en el lugar de un secuestrador. Que tu investigación gire en torno a averiguar si siquiera es posible sacar el perfil de alguien en base a lo que aparece en las redes sociales..claro, un perfil realmente útil. Claro, debes de tratar el tema con la prudencia necesaria, protegiendo a los sujetos de investigación.
viernes, 26 de septiembre de 2008
Certified Secure Software Lifecycle Professional.
Me enteré de que la ISC2 ( International Information Systems Security Certification Consortium) va a poner a disposición una nueva certificación llamada CSSLP (Certified Secure Software Lifecycle Professional). Después de que esta organización ha creado la ya (re)conocida y exitosa certificación CISSP (Certified Information Systems Security Professional), yo pienso que será interesante seguirle la pista a esta nueva certificación.
¿De qué se trata la CSSLP? Pues de verificar los conocimientos que una persona tiene para el desarrollo seguro de software. No es un secreto la gran cantidad de vulnerabilidades que se publican a diario en todo tipo de aplicaciones y esto es debido en gran parte a una (¿total?) falta de conocimiento en la codificación segura, y en la enorme mayoría de las ocasiones, se tiene como objetivo principal/único que un programa funcione y no que sea confiable/seguro. Se privilegia la funcionalidad sobre la seguridad.
Así entonces, CSSLP evaluará los conocimientos que se tengan en el campo de "Requerimientos de software", ""Diseño seguro de software", "Codificación segura de software", "Pruebas de seguridad", etc.
Para los desarrolladores, esta certificación será un punto más a su favor cuando demuestren que no sólo saben codificar, sino también que lo hacen de manera segura. Claro, una certificación no es una "garantía", pero al menos es un parámetro más a evaluar y que podrán usar los empleadores al momento de seleccionar personal.
En fin, por cierto me metí a la página de ISC2 y no encontré todavía información de esta nueva certificación que al parecer se está planeando lleve a cabo sus primeros exámenes de certificación hasta el siguiente año. En conclusión, la ISC2 está atacando de raíz un problema añejo y al parecer complejo que se refiere a que ¡por fin! se pueda codificar software seguro, o al menos que no tenga tantas debilidades.
martes, 23 de septiembre de 2008
Bolsa de trabajo para seguridad.
En México existen varias opciones de bolsas de trabajo en línea, donde uno tiene la oportunidad de incluir un currículum vítae para que nos busquen, o bien nosotros buscar a empleadores. En esta ocasión les quiero comentar de una bolsa de trabajo específica para seguridad informática y de la información (inclusive hasta hay ofertas de seguridad física). El sitio es: www.security-jobs.info.
La idea es la misma: ofrecer una bolsa de trabajo en línea pero especializada en el tema de seguridad. Hay que decirlo, las ofertas que he visto son de empresas en países extranjeros, pero bueno, quien quita que un par de lectores esté interesado en cambiar de residencia. Por otro lado, supongo que con el tiempo, también podría haber empleadores mexicanos registrados en este sitio para captar no sólo talento nacional, sino internacional.
Vale la pena darse una vuelta por el sitio y ver si vale la pena registrarse. Yo lo hice para ver qué plazas están ofreciendo en otros lugares y qué tan bien o mal pagados están.
Algunos ejemplos de puestos: Web Application Security Test Engineer, Sr. IT Security Architect, Security Auditor, Information Security Consultant, IT Security Officer, Firewall Security Engineer.
lunes, 22 de septiembre de 2008
Sarah Palin: un hackeo fácil.
Cuando vi la noticia de que habían hackeado la cuenta de Yahoo! de Sarah Palin (compañera republicana del candidato presidencial McCain), de momento me surgió la duda de cómo lo habían logrado hacer. ¿Herramientas de hackeo sofisticado? ¿Visitas incansables a foros de seguridad y hackeo? Pues no, nada de eso, el acceso a la cuenta de la compañera del señor McCain fue respondiendo "simplemente" una serie de preguntas.
Recordemos que estos servicios de correo basado en web, tienen una opción para cuando a uno se le olvida la contraseña donde el usuario entra en un proceso de preguntas-respuestas, y uno debe demostrar su identidad.
Es una opción muy útil en esos casos de olvido de contraseñas, sin embargo, para personas públicas (políticos, artistas, deportistas) este proceso de preguntas-respuestas podría ser vulnerado para ganar acceso al buzón de correo-web. La persona que ingresó al correo de Palin contestó correctamente la fecha de cumpleaños y el código postal se la candidata, información que fue fácilmente encontrada con Google. La pregunta secreta era "¿Dónde conocí a mi esposo?" Mmmhhhh...esa parte está difícil, pero no imposible, el intruso lo supo con unos minutos más de investigación y ¡eureka!
Ahora bien, aquí viene lo interesante. Tal vez para nosotros los mortales, un desconocido que desee ingresar a nuestro correo GMail, Yahoo o Hotmail tenga muchas dificultades en saber diversas respuestas que deberá contestar antes de ingresar de manera no autorizada a nuestra cuenta. Sin embargo, para todas las celebridades que leen este blog :-o, les comento que es posible buscar esta información en Google, como le sucedió a Palin.
Por otro lado, es importante mencionar que para nuestros conocidos, tal vez no resulte muy difícil saber nuestro código postal, nuestra fecha de cumpleaños y contestar una pregunta "secreta". ¿Quién se interesaría? ¿La esposa que sospecha del marido? ¿El esposo que sospecha de su mujer? ¿Novi@s celos@s? ¿Compañeros de trabajo curiosos? ¿Acosadores que conocen a la víctima?
Tip: para los "infieles", recuerden de abrir una nueva cuenta de correo exclusiva para sus aventuras; por otro lado, en general todos debemos de poner preguntas secretas realmente difíciles de adivinar o no poner respuestas lógicas: "¿Dónde conocí a mi espos@? -> abracadabra"; lo mismo se puede aplicar al poner (por ejemplo) códigos postales inexistentes pero que signifiquen algo para nosotros. Cualquier técnica que ahuyente a los intrusos será de utilidad.
domingo, 21 de septiembre de 2008
Recibiste una Hi5 Postal :)
Así se titula un correo que recibí hace dos días (19/09/08): "Recibiste una Hi5 Postal :)". Abrí el correo y adentro en el cuerpo venía una liga para descargar la postal. Al seguir el link, mi FireFox me pidió bajar un archivo de falsh player porque no estaba "actualizado". Intenté con mi IE y me pidió lo mismo. Qué extraño...lo bajé a mi escritorio y antes de ejecutarlo lo revisé con mi antivirus, el cual me dijo que el ejectuable estaba limpio. Nada qué temer (?).
Aún así, antes de darle doble click al ejecutable de flash player recién bajado, revisé otra vez el correo. Dice que te lo manda la cuenta de "info@hi5.com" y el cuerpo dice que:
"
HOLA RECIBISTE UNA DE LAS NUEVAS HI5 POSTALES
Una persona especial te ha enviado una HI5 postal, para acceder a ella solo debes hacer click en el siguiente link.
http://www.hi5.com/mexico/
Pero un detalle, la liga que aparentemente viene de www.hi5.com, realmente vi que abre la liga "hi5-postales.idoo.com". Para no hacer la historia muy larga, el ejecutable que se baja es realmente un troyano y al ser muy reciente, la mayoría de los antivirus no identifican a este ejecutable como un código malicioso; según el portal de VirusTotal.com sólo Sophos y Symantec lo identifican al día de hoy (21/09/08) genéricamente como Troj/Taxi-Gen y Trojan Horse, respectivamente.
Pensé en escribir sobre este correo ya que seguramente es uno muy particular para México o Latinoamérica ya que Hi5 es una de las redes sociales más usadas por estos lugares y además el correo viene en español; por si fuera poco cuando estos troyanos son recientes y de estas regiones, por lo general los antivirus se tardan en detectarlos y detenerlos. No dudaría (aunque falta confirmarlo) que este troyano intente obtener datos de banca en línea, como ya es costumbre.
Si reciben este tipo de correos, siempre sigan las precauciones de ver realmente el link de donde están bajando el ejecutable y en todo caso bajar nosotros mismos la actualización de FlashPlayer u otro software buscándolo en Google y obteniéndolo directamente del fabricante.
miércoles, 10 de septiembre de 2008
Empecé por decirle a la audiencia del valor que tiene la información y que si no la veíamos como un activo importante, jamás seríamos capaces de protegerla adecuadamente porque no invertiríamos en algo que no consideramos valioso. El punto de partida para seguir un estándar, una mejor práctica, comprar algún control o tomar una iniciativa de seguridad es precisamente considerar a la información como algo importante.
Hablé de que la seguridad es algo más que aplicar parches, poner un firewall y un antivirus (que es a lo que se reduce la seguridad en algunas organizaciones). Comenté algunos casos reales de pérdida de información. Luego de algunos slides más, empecé a hablar del ISO 27001 que básicamente se compone de dos partes: el Sistema de Gestión de Seguridad de la Información y los Controles. Expliqué lo mejor posible estos conceptos para que se llevaran una idea de lo que era este estándar (un proceso de administración de seguridad en conjunto con controles a ser aplicados dependiendo de lo que haya arrojado el análisis de riesgos). Me sentí a gusto con este tema, ya que al llevar actualmente un proyecto de 27001 estoy con la información fresca.
martes, 9 de septiembre de 2008
Las 10 mayores pérdidas
¿Alguna duda de cuáles fueron las mayores pérdidas de datos en el mundo de noviembre de 2007 a la fecha? Vnunet se ha dado a la tarea de hacer una recopilación de las mayores pérdidas de datos y según su criterio, establecer el top ten de las pérdidas. Y México no está en la lista.
A lo largo de los meses uno pierde la cuenta de estas noticias relacionadas con pérdida de información, así es que es bueno que alguien las agrupe y las presente como el top ten (aunque claro, podemos no estar de acuerdo en el criterio para armarlo). Llama mi atención que México y países de Latinoamérica no figuran en esta lista “negra”. ¿Será que somos muy cuidadosos con la información? ¿O será que para variar no hay estadísticas ni información relacionada con pérdida de datos? ¿Tal vez sea que para el “primer mundo” no contamos mucho y no aparecemos en sus listados? Un poco de las dos últimas.
La respuesta puede estar en la falta de información (estadísticas, interés de los medios) relacionada con este tipo de pérdidas que no llegan a ser noticia por estos lugares. En fin, las causas pueden ser varias. Los invito a leer este top ten de “las mayores pérdidas”, más que nada para despertar nuestro interés por la protección de la información ya que “cuando veas la barba de ti vecino…”
lunes, 8 de septiembre de 2008
OpenVas vs Nessus
Todos hemos escuchado de Nessus y otros más lo usamos como parte de nuestras labores diarias. Nessus, el viejo analizador de vulnerabilidades, ha estado en la "arena" informática de seguridad ya por varios años. Lástima que ya su código no es tan “libre” y que los nuevos dueños (Tenable Network Security) han puesto ciertas restricciones en Nessus. La decisión de "cerrar" el código de Nessus fue comercial y según los nuevos dueños "porque nadie contribuía al desarrollo de la herramienta a pesar de que su código era libre". Ahora hay varios aspectos alrededor de Nessus que se cobran.
Para los que siempre buscamos software libre de seguridad "bueno, bonito y gratuito", les comento que ha aparecido en la "arena" un nuevo software llamado OpenVas que promete ser el nuevo Nessus, o eso al menos dicen sus creadores. En la página de Open Vulnerability Assessment System podrán encontrar más datos de este esfuerzo que trae consigo un servidor, un cliente y un puñado de firmas de seguridad.
Confieso que todavía no lo pongo a trabajar, pero por lo que he leído parece al menos una opción interesante. Cabe mencionar que soporta varias distribuciones de Linux; el cliente soporta Windows y tiene varios HowTo, sin mencionar foros de distribución.
Felices escaneos.
miércoles, 3 de septiembre de 2008
Congreso de Seguridad.
Y sí, también la razón de platicarles de este Congreso de Seguridad es comentarles que me colé el día 10 de septiembre a las 11:00 AM para platicar de las "Mejores Prácticas para Proteger Información Corporativa". La charla girará en torno al estándar ISO 27001.
Ya diré después cómo me fue.
Les mando el abstract de mi conferencia:
"Actualmente existen toneladas de buenas prácticas para proteger la información de las empresas pero ¿Cuáles son las mejores prácticas para mejorar la protección de la información de las empresas? ¿qué tipo de certificaciones hay en el mercado? ¿qué tan útiles y efectivas son estas? Estas y otras preguntas serán respondidas durante la conferencia.”
martes, 2 de septiembre de 2008
Google Chrome
Un nuevo navegador de Google que dicen será “seguro”…será?
Resta descargarlo de esta liga, probarlo y ver cómo se comporta el juguetito.
Saludos.
¿Redes sociales utilizadas para secuestros?
En días pasados, llegó a mis manos una noticia de que sitios como FaceBook y Hi5 son utilizados por secuestradores para elegir a sus víctimas. De esta noticia, pienso que el problema no es de seguridad (tecnológicamente hablando), sino es más bien una cuestión de carácter social/humano. Analicemos algunos extractos del artículo:
Para empezar, el artículo gira en torno a Fernando Martí. En primera, creo que se debió de haber tratado este tema independientemente de este trágico caso y abordarlo de manera general. En segunda, no hay evidencia hasta donde sé de que en este caso se haya usado una red social para consumar el secuestro...lo cual fortalece mi opinión de tratar este tema de manera independiente.
Por un lado, se dice que "...páginas de blogs, Hi5, MySpace y Facebook han comenzado a ser explotadas por la delincuencia organizada para obtener información sobre sus víctimas...". También se cita a un especialista de seguridad que dice que "Esto ya ha sucedido en México, tenemos clientes que lo han sufrido."
Por otro lado se dice que "Aunque México Unido contra la Delincuencia no tiene en sus listas casos en los que el secuestro se haya llevado a cabo con el auxilio de estas redes...".
Entonces, me quedo con más dudas que preguntas. Por una lado se dice que esto "ya ha sucedido en México" pero por otro lado no hay estadísticas ni reportes concretos de que esto haya pasado, al menos no como información pública. Por lo tanto, existe realmente evidencia? ¿Cómo lo saben? ¿Por medio de confesiones de secuestradores? Por lo que a mi respecta, y en mi muy particular opinión, no hay datos duros que me indiquen que sea un hecho la utilización de redes sociales para estos fines por demás inhumanos. ¿Alguien de la audiencia tiene referencias útiles de datos concretos? Sería de ayuda.
Otro punto es que ese artículo da a entender que los secuestradores son ya "hi-tech", que saben y usan la tecnología a su favor. En lo que a mi respecta, mi percepción es que estos crímenes son aún "artesanales" y obtienen la información de su víctima por medios no tecnológicos.
¿Recomendaciones? Ante la duda, más vale prevenir. No se trata –pienso yo- de dejar de usar la red social de nuestra elección. Podemos seguir algunas medidas. Cerrar el círculo de amigos, es decir, permitir que sólo nuestros conocidos -en el mundo físico- tengan acceso a nuestras fotos, datos y hábitos. Y subrayo: amigos del mundo físico: dudar de amigos conocidos en línea. Evaluar la necesidad de ingresar teléfonos y direcciones en el perfil de la red social, así como el lugar de trabajo (nuestros amigos seguro ya saben nuestro teléfono y dirección...para qué ingresarlo?). Asegurarnos de que nuestra identidad no está abierta a todos, sino exclusivamente a los que autorizamos. Si deseamos estar más seguros supongo que el siguiente paso es de plano dejar de usar estas redes sociales...cada quien deberá evaluarlo. También recordemos que así como los jóvenes usan redes FaceBook o Hi5, otros usan Linkedin que finalmente es una especie de red social.
Al final, este tipo de artículos que aparecen en la prensa más que ayudar, tal vez sirvan para dar ideas a quienes no las tenían. En fin, como dije al inicio, aquí no tratamos debilidades tecnológicas sino "humanas" al poner nuestra identidad al descubierto. Supongo que cada quien tendrá opiniones diferentes sobre todo este tema.
Hasta la siguiente entrada.
Nota: en otra ocasión analizaremos las debilidades tecnológicas de estas redes sociales respondiendo a la duda de cómo obtener información de la identidad de una persona a pesar de haber configurado el perfil con privacidad.
lunes, 1 de septiembre de 2008
Código malicioso espacial: Houston, tenemos un problema?
Sin necesidad de comprar un boleto, un gusano llamado Gammina.AG ha logrado viajar al espacio, esto gracias a las laptops de los astronautas que hicieron el viaje con todo y código malicioso incrustado en algunos de sus equipos. Se reporta que esas laptops no tienen ningún antivirus y que afortunadamente no se infectaron sistemas críticos de la Estación Espacial Internacional.
En fin, esas laptops son usadas para enviar correo y ejecutar programas que asisten en la nutrición de los astronautas. Pero vaya, aunque sean de "poca importancia", pues qué les cuesta ponerle tan siquiera un antivirus? Ya dejémonos de si se ven afectados o no sistemas críticos, simplemente por mantener una imagen, la NASA debería de ver la conveniencia de instalar ciertas protecciones en esas laptops. Por cierto, no es la primera vez que esto sucede.
A veces el daño en la imagen es en sí una amenaza. Esta vez no pasó de ser una nota un tanto "curiosa" y no creo que Madonna cancele su viaje espacial por esta infección, cierto? En fin, supongo que el resto de los sistemas críticos de la Estación Espacial están bien vigilados y protegidos, no es así Houston?