domingo, 30 de noviembre de 2008

Mi opinión sobre los comentarios del Ing. Matuk.

Antes de empezar, deseo volverles a invitar a escuchar Dommo que ahora está vía podcast en el sitio www.dommo.net. Muy buen programa de noticias y actualizaciones tecnológicas comentadas por Ricardo Zamora y Javier Matuk. Entremos en materia.

El buen Ing. Matuk escribió en su sitio sobre el tema de Navega Protegido, una iniciativa de Microsoft para protegerse en Internet. Algo de lo que comenta es:

"Una de las pláticas se trató sobre la seguridad de los usuarios en la red, concepto que se engloba en la iniciativa “Navega Protegido”, que la firma y otras empresas impulsan desde hace varios años. La idea, además de ofrecer información para los navegantes adultos es, sobre todo, tratar de hacer de la red un lugar un poco más seguro para los niños y adolescentes.

Todo bien, todo en calma… hasta que me asaltó un pensamiento perturbador. Con el desarrollo de los teléfonos inteligentes con conexión a Internet, ahora es posible navegar en muchas páginas e, incluso, interactuar con las redes sociales más famosas, todo desde la pequeña pantalla del aparatito. Un gran avance en tecnología y disponibilidad, pero una nueva arma contra la que habrá de luchar. ¿Por qué?

Porque el teléfono se usa en cualquier parte. No tiene que estar en un lugar “visible”, los adultos no pueden “echarle un vistazo” si, por ejemplo, el menor o adolescente se mete al cuarto de baño con él. No habrá forma de supervisar lo que está pasando en la pantallita y mucho menos darse cuenta de algo negativo, si es que sucede."

En mi blog había escrito ya sobre esta iniciativa de Navega Protegido. Creo que lo que comenta el Ing. Matuk es correcto pero tengo algunas observaciones:

A).- Creo que por ahora los precios para recibir datos en el celular son caros y ni para uno alcanza el dinero para contratarlo. Ahora bien, qué tendría que hacer un niño con un celular con acceso a Internet? Creo que más que ayudarlo lo perjudica creando distracciones innecesarias y lo haríamos propenso a esa necesidad de estar conectado.

B).- El teléfono para sólo hablar creo que basta para un niño y tal vez hasta para un adolescente y que mejor naveguen en casa bajo la supervisión de los padres.

Es correcto decir que permitir navegar desde un celular a un niño abre inseguridades innecesarias como que pueda ver pornografía y en general que acceda a sitios "inapropiados" fuera de la supervisión en casa. Así es que a parte del precio bastante alto para acceder a Internet desde un celular, habría que pensar en estas otras cuestiones antes de darle esta posibilidad a un niño.

sábado, 29 de noviembre de 2008

Adiós a Guy-Pierre De Poerck del Banco Mundial.

En el Banco Mundial han removido de su puesto a Guy-Pierre De Poerck, que fungía como "Vice President & Chief Information Officer". ¿La razón? Al parecer la poca seguridad de sus sistemas de cómputo provocó una serie de intrusiones. Este es un ejemplo de lo que yo llamo "Learning the hard way". Una lección para que sigamos pensando que "eso" de la seguridad puede esperar...mientras tanto a alguien ya le costó la chamba.

Según lo reporta FoxNews, desde el 2007 han habido varias intrusiones, la última de ellas reportada hace unos meses. Informa que hubo infecciones de software espía (no dice si genérico o específicamente atacando al Banco Mundial) que extrajo información de las redes de la institución.

Se tiene evidencia del hackeo, ya que en un sitio de Internet (no revelado) se publicó al parecer información confidencial de empleados del Banco Mundial. La noticia no dice que hayan despedido al señor De Poerck, pero al menos lo removieron definitivamente de su puesto por no haber protegido debidamente la información de su institución.

Algunos me llegan a preguntar "¿Y en realidad, para qué gastar tiempo y dinero protegiendo a la información? Es lo que menos importa, no pasa nada si dejo las cosas como están." Bueno, tal vez De Poerck se preguntaba lo mismo y ya obtuvo su respuesta. Si no deseamos proteger la información por convicción (es obviamente lo ideal), al menos hagámoslo por temor.

En fin, muchas veces se necesita una "sacudida" de este nivel para que por fin se le de a la información el estatus de "un bien/activo importante" dentro de la institución...apuesto que la seguridad será ahora sí prioridad número uno para el sustituto de Guy-Pierre De Poerck. Ahora sabe las consecuencias.

Nota: supongo que tendrán que actualizar el organigrama del Banco Mundial.

Respaldando la nube con GetMail


Podremos estar a favor o en contra de poner los datos en la nube. Yo estoy a favor de ponerlos en la nube pero inteligentemente, usando siempre que sea posible las opciones de privacidad y seguridad de los sitios online; otra cuestión importante es respaldar la información. En el caso de particular de GMail, me llama la atención GetMail.

La idea es respaldar los correos de GMail localmente al disco duro para tener una copia de los mismos.No debemos confiar ciegamente en la nube y pensar que tenemos el mismo control sobre la información local que "allá arriba".

Usemos la nube, pero inteligentemente.

¿Alguien ha usado Password Hasher?


"N" sitios significan "n" contraseñas. ¿Alguien ha usado Password Hasher?
Parece  bueno.

¿Protección proactiva?

Me encuentro con esta empresa llamada FireEye que ofrece varios productos, entre ellos uno llamado FireEye Security Appliance que al parecer protegen contra debilidades de día cero y tienen una protección un poco más proactiva para protegernos contra el malware. Esto dicen que lo logran al probar potenciales riesgos en máquina virtuales dentro del applicance.


¿Será? No estaría de más probarlo, así como productos similares.

NASA y milicia de EUA: ya basta de usar dispositivos externos

De plano la NASA mandó un memo interno a sus empleados para evitar usar USB personales en las computadoras de la organización y a su vez evitar usar los USB de la NASA para usos personales. De hecho también se refieren a cualquier dispositivo externo. Estos USB son los floppies del pasado, donde el malware se reproducía de computadora a computadora.

También el ejército de los EUA emitió una política similar hace una semana. ¿Es tiempo ya de emitir una política similar en las organizaciones? La medida suena radical, pero vaya, es tan monstruoso decir que sólo los dispositivos de la empresa deben de ser insertados en las computadoras? Es una separación de los dispositivos personales (iPod, USB, discos duros, celulares) con los dispositivos empresariales. Si nos decidimos a seguir esta medida, no estaría de más apoyarla con algún control tecnológico.

Las protecciones perimetrales son brincadas totalmente al usar estos dispositivos de almacenamiento externos, eliminando así varias capas de seguridad. No es algo recomendable.

Conficker.A aprovechándose de MS08-067

Ya hace más de un mes que salió el parche MS08-067 y que en su momento comenté de su potencial para ser "wormable". Actualmete Conficker.A se está aprovechando de esta debilidad y no de manera tan pasiva. ¿Recomendación? Parchar y actualizar el antivirus.

Por cierto, este gusano tiene la delicadeza de que una vez que infectó al equipo, aplica el parche MS08-067 con el fin de que ningún otro malware intente aprovecharse de la debilidad.

Todavía no encuentro qué es lo que sucede una vez que esta gusano logra infectar el equipo, Trend tiene una buena descripción, pero tampoco dice qué pasa luego de que infecta a un equipo (¿roba contraseñas bancarias?, ¿lleva a sitios falsos?).

viernes, 28 de noviembre de 2008

Las 500 peores contraseñas

Veo en un sitio que publican 500 contraseñas que a su juicio son las peores de "todos los tiempos". Está por ejemplo:

123456
password
12345678
1234
dragon
tester
secret
paul
qwerty

La lista continúa con una serie de contraeñas comunes. Si encuentren la suya ahí, es hora de cambiarla.

Cinco innovaciones que nos cambiarán la vida (según IBM)

 

Les comparto las innovaciones que cambiarán nuestras vidas en los siguientes cinco años según IBM.

 

a).- Tecnología solar para obtener energía en asfalto, pintura y ventanas.

(Muy bueno, ojalá pudiera ser posible).

 

b).- Bola de cristal para la salud.

(Se basa en saber qué debes de evitar (comida) o de añadir para evitar posibles enfermedades a las que eres propenso).

 

c).- Hablo a Internet...e Internet me responderá.

(Los que usamos teclado y ratón tendremos un rato difícil en controlar con la voz).

 

d).- Asistentes (vendedores) digitales.

(¿Serán menos molestos que algunos de carne y hueso?)-:

 

e).- Olvidar será cuestión del pasado.

(No me gusta la idea de tener mi vida grabada segundo a segundo (¿seré anticuado?). Por otro lado, no es bonito poder olvidar ciertas situaciones?)

 

Mata a tu notebook robada con un SMS

 

Me encuentro con una noticia de que Lenovo piensa fabricar laptops que en caso de ser robadas, el usuario podría  bloquearla enviando un SMS al BIOS del equipo. Y sólo podría ser desbloqueada con una contraseña que en teoría tendría únicamente el usuario. A primera vista parece buena idea, pero me siento incómodo de que mi laptop pueda tener un mecanismo de control vía SMS y además viéndolo bien, es una medida ineficaz.

 

Por un lado, estamos abriendo una puerta remota más en el equipo de cómputo que para variar seguro tendrá alguna debilidad para comprometerlo de alguna forma. ¿No sería mejor simplemente cifrar la información del disco? Supongo que si extraigo el disco duro de la laptop robada (y bloqueada) y la conecto a otro equipo…podría tener acceso a los datos?

 

¿Cuál es la ganancia realmente de que pueda bloquear remotamente mi laptop robada? Me podré reír del ladrón que (en teoría) no podrá usar la laptop…y eso es todo lo que puedo hacer. Él saldrá a buscar otra y yo me tendré que comprar una nueva. Mmmhhh…realmente salí ganando?

 

jueves, 27 de noviembre de 2008

¿ Compras en línea ponen en peligro a empresas mexicanas?


Según una encuesta en México, la compra en línea podría poner "en peligro" a las empresas que permiten las compras en línea, dando como resultado a empleados haciendo compras en sitios potencialmente "peligrosos". Pues bien, la culpable no es la época navideña sino las propias políticas corporativas (y los controles que se derivan de la misma) y la educación -awareness- en seguridad (si es que la hay).

Las compras las pueden hacer los empleados cualquier día del año, ahora simplemente harán más. Pero si las políticas de alguna u otra forma lo permiten y no existen controles (tecnología) o los controles son muy laxos, bueno, pues ahí tendremos a un empleado metiéndose a www.compre-aqui-y-baja-este-troyano.com.mx. También la escasa educación en seguridad será un factor en contra para mantener "sana" las TI de una empresa.

En resumen:
a).- Las compras navideñas no ponen en peligro a las empresas, sino las propias empresas siendo poco proactivas son las que hacen que esto pueda suceder en principio. No es tanto lo que los empleados dejan de hacer, sino lo que las corporaciones dejan de hacer.

b).- Las empresas deben educar a sus empleados para que hagan compras en línea seguras pero fuera de la empresa.

c).- Respecto a el punto "b", el sitio que publica los resultados de esta encuesta recomienda: "Enseñe a sus empleados cómo usar con seguridad la computadora antes de la temporada de compras de vacaciones".
Yo digo: enseñe a sus empleados que hacer compras en línea desde el trabajo no está permitido desde su lugar laboral y "x" sanciones aplican. Y sí, mostrarles los tips de las compras seguras en línea para que lo hagan en su casa.

No debemos zafarnos de la responsabilidad de mantener la seguridad de la información corporativa y dejarle esto a los empleados. La alta dirección es responsable de marcar el rumbo/estrategia y de gestionar la seguridad. Edúcalos y muchos de ellos entenderán.

martes, 25 de noviembre de 2008

Sistema de Observación para la Seguridad Ciudadana

 

Veo la creación del sitio Sistema de Observación para la Seguridad Ciudadana. Atrás está el padre de Fernando Martí, el muchacho secuestrado y asesinado por sus captores hace no mucho tiempo. El sitio convoca a registrarse en el sitio con el fin de sumarse “a un esfuerzo por crear una sola voz: la voz del México que rechaza la violencia, la corrupción, la deshonestidad y la impunidad”.

 

¿Serán efectivas estas iniciativas? El objetivo es ciertamente algo deseado por muchos (me incluyo). ¿Lograrán estas iniciativas cambiar nuestra realidad o será un anhelo más que se esfuma en el tiempo?

 

Posible nueva debilidad en pila TCP/IP de Vista

 

La empresa Phion ha alertado sobre una posible debilidad de día cero en Windows Vista. Los detalles se encuentran en SecurityFocus e inclusive Phion ha emitido un parche que supuestamente soluciona la vulnerabilidad. Es necesario mencionar que aún no hay evidencia concluyente en torno a la debilidad y sus impactos (desde mi punto de vista); Microsoft no ha comentado nada al respecto hasta el momento (25/11/08), así es que hasta que se genere más información, yo vería este asunto con reserva.

 

En el sitio de SecurityFocus se da una explicación (y código C tipo prueba de concepto) de la debilidad; sin embargo a mi no me queda muy claro el impacto de esta vulnerabilidad en la pila de TCP/IP de Vista.

 

Observaciones:

a).- Esperar más información y no aplicar el parche.

b).- Creo que es la primera vez que tengo noticias de la publicación de un parche no oficial para Vista (XP tiene por ahí un par de parches publicados por empresas ajenas a Microsoft).

c).- El CERT no tiene información al respecto y en mi búsqueda no encontré un CVE relacionado a este debilidad.

 

lunes, 24 de noviembre de 2008

Debilidades en iPhone OS 2.2 y iPod Touch 2.2

 

Apple reporta debilidades en sus dispositivos iPhone y iPod Touch…a parchar.

 

EUA rescata a CitiGroup

 

Algunos billones que sobraron para rescatar a CitiGroup en EUA.

 

Convenciendo a la alta dirección de la importancia de la seguridad de la información.

Barbara Morris de Secure Software Advisory nos presenta un artículo donde trata el tema de cómo convencer a la alta dirección respecto a la necesidad de tener seguridad en la información.

El tema más que una cuestión de seguridad, es de relaciones humanas. Para mi no hay una sola respuesta y creo que depende de la organización, de la alta dirección y de que sepamos cómo convencerlos. Aún así, el artículo podría ser de su interés. Lo que sí es innegable, es que la protección de la información necesita de recursos humanos y económicos; la alta dirección no siempre tiene en mente esta cuestión.

Los puntos más relevantes del artículo:

a).- Show how a security problem relates to a business problem.

b).- Correlate business with security issues and concerns.

c).- Build your case with compliance.

domingo, 23 de noviembre de 2008

Video divertido de "I am a Mac"

La campaña de Mac me ha hecho reír con uno de sus comerciales. En el comercial, aparece el ya conocido actor PC juntando mucho dinero para la campaña publicitaria de Vista y sólo un poco de dinero para solucionar los problemas de Vista. A lo cual, el actor Mac pregunta si realmente cree que con publicidad arreglará los problemas de Vista.

El actor PC concuerda y pone todo el dinero para publicitar Vista. Véanlo, está muy divertido.

En lo particular, uso Vista a veces y no me puedo quejar (tal vez si lo usara como mi S.O. principal opinaría otra cosa, no lo sé). Aunque lo cierto que ya hay una percepción en la gente de que Vista no es funcional y que tiene muchos problemas. Independientemente de si es cierto o no, la percepción juega en contra de Vista. Y para muestra un botón: ya viene Windows 7 pegando duro y este tipo de comerciales de "I am Mac" parece que ha incomodado a Microsoft, ya que también sacaron su comercial de "I am a PC".

Por cierto, el comercial de "I am a Mac" que enfrenta a una Mac contra una PC no está un poco extraño? En el sentido de que si lo piensan, una Mac es realmente una PC: una computadora personal. ¿No?

Morro: antivirus de Microsoft gratuito en 2009.

En un movimiento (a mi gusto) desesperado del musculoso fabricante de software, ahora informó que brindará antivirus gratuito y se llamará Morro. Sin mencionar lo peculiar del nombre Morro, las razones para dar el software gratuito no están claras...de lo que sí podemos partir es que la compañía no da casi nada de forma "libre".

La semana pasada, el fabricante de software anunció que dejará de soportar OneCare (para individuos) y en su lugar, ofrecerá este antivirus gratuito para uso personal y se llamará (al menos inicialmente) Morro. Y si lo va a dar gratis, supongo que es porque su venta no trajo los resultados esperados (yo ya le llamo el fantasma de Vista) y bueno, no se podían simplemente rendir, así es que mejor es regalarlo; de todas maneras sus ventas del antivirus corporativo ForeFront soportará de alguna manera las descargas gratuitas del antivirus personal Morro (las firmas hay que crearlas de igual forma lo mismo que el motor antivirus).

¿Estarán preocupadas las otras firmas antivirus? Tal vez no. Si MS decidió regalar su software, tal vez signifique que no tuvo la preferencia de los clientes jugando al "tú por tú" en la arena de las ventas...así es que ahora decide regalarlo (algo me recuerda a la historia de IE con Netscape, por qué será?). Ahora tratarán de jugar con ventaja en la arena de lo gratuito, uniéndose a otras firmas como Avast (es el que uso) o AVG.

El punto importante aquí es que en primera, ya existen antivirus gratuitos y los grandes antivirus siguen ahí bastante fuertes...aquí simplemente habrá otro más que es gratis; la gente prefiere a otras compañías porque simplemente ofrecen productos más robustos (aunque cuesten). En segunda, no creo que MS decida incluir su antivirus en Windows de manera tan convenientemente como lo hizo con IE para derrotar a Netscape...creo que aprendió la lección de la desgastante ida y venida a los tribunales para defenderse de las leyes antimonopolio.

Mi predicción: este movimiento no logrará herir de muerte a las grandes compañías antivirus y tampoco creo que lo haga con las más pequeñas. Podría fallarme la ecuación a menos que MS ofrezca un producto realmente robusto y eficiente mejor que sus competidores.

Nota: saldrán comerciales como los de "I am a Mac" diciendo "I am a Morro"?

Ahora son los datos de 97,000 empleados de Starbucks

La noticia de la semana no podía falta referente a la pérdida de datos. Esta vez la estrella se la lleva Starbucks en EUA, ya que al parecer y según el sitio LaptopTheft, cerca de 97,000 empleados recibieron una notificación de que sus datos fueron comprometidos.

Entre los datos, se encuentran nombres, direcciones y números de seguro social. Y todo debido a el extravío de una laptop. Esto de la pérdida de laptops se ha vuelto algo ya casi rutinario, es más ya como una tradición global.

Las leyes deberían de sancionar a las empresas que no protejan los datos de sus empleados y clientes cifrando los datos de los equipos móviles. De otra forma, tendremos el típico "usted disculpe".

sábado, 22 de noviembre de 2008

Adiós Firefox 2

Acaba el soporte para Firefox 2 este mismo año. Como saben, es importante mantener actualizadas a las aplicaciones y Firefox no es excepción. Así es que los que no tengan ya Firefox 3, deberán de apurarse...tienen hasta diciembre de 2008. Por cierto, la versión 3 está fabulosa, no se la pueden perder.

El 85% de las empresas usan open source: Gartner

En Asia, Norteamérica y Europa, el 85% de las empresas usan algún software libre; esto según Gartner. Y era de esperarse que el costo fuera el principal motivo para este uso.

El software libre (open source) no está libre de pecado (debilidades), y si bien el costo es un factor pivotal, es necesario recordar que hay que mantenerlo al día.

Por otro lado, algunas empresas han decidido usarlo porque pueden acceder al código fuente y revisar que no tenga nada "extraño" (espionaje u otro comportamiento mal intencionado). Son las menos las que seleccionan este software por este motivo pero sobre todo en organizaciones de importancia de seguridad nacional o gubernamental estratégica, este tipo de software debería de ser la preferencia, y no tanto por el costo, sino por el poder entrar al mismo y revisarlo.

Y si en EUA y Europa muchas organizaciones usan software libre por el cero costo de adquisición, no es hora de que aquí en México también sigamos esa tendencia?

PCMagazine decide ser digital totalmente

PCMagazine de EUA decide ser 100% digital. Y no es un capricho, ya que la revista está recibiendo la mayoría de sus ganancias de los anunciantes online, no de los anuncios de la revista impresa. No es la primera revista que se vuelve 100% digital y pienso que esta es ya la tendencia.

Aquí en México estamos lejos de tener medios 100% digitales sin opción impresa. Algunos periódicos ya hacen versión digital pero continúan con sus impresiones.

Primero que nada necesitamos acceso a la red más barato, no sólo en nuestras casas, sino en dispositivos móviles. Al menos cuando yo puedo leer un periódico o una revista es en el metro, esperando una consulta médica, en una espera aquí y allá o en la noche antes de dormir...situaciones que son verdaderamente incómodas para prender el lento Windows (y hasta Ubuntu para estos efectos) para leer algo en 5, 10 ó 20 minutos. En mi situación particular, sigo prefiriendo cierto contenido impreso para poder acceder a él en todo momento.

Así es que necesitamos costos accesibles. ¿Qué tal 100 pesos al mes por 100 MB de contenido y que pueda bajar a un dispositivo electrónico especializado en donde pueda acceder a este contenido? Inclusive podría ser un smpartphone.

El precio es una gran limitante. El hardware creo que no lo es.

PayPal ahora en México para evitar usar la tarjeta de crédito


Pude ser que estemos protegidos por el Banco o por Visa/MasterCard en caso de fraude en línea al usar la tarjeta de crédito. Si es así, de todas maneras no evitamos los trámites para reportar el fraude, que se investigue, que haya un dictamen a nuestro favor y el hecho de esperar una nueva tarjeta. Luego a cambiar todos los servicios que hacían cargos automáticos a esa tarjeta.

Mejor evitar todo esto y usar PayPal, que ahora está en México. Evitamos el uso de el número de la tarjeta de crédito.

Me queda la duda: en caso de fraude, realmente va a responder PayPal o deberemos acudir al Banco emisor de la tarjeta?

Creo que voy a abrir una cuenta con ellos y probar su servicio a ver qué tal.

miércoles, 19 de noviembre de 2008

El mensaje debe de llegar a ellos, no ellos llegar al mensaje

Seguro han escuchado de la estafa nigeriana (Nigerian Scam). Lo que no había escuchado es que alguien cayera presa de esta estafa en tiempos recientes (2007-2008). Janella Spears, ciudadana de EUA perdió $400,000 USD a manos de unos estafadores. ¿Hay culpables o sólo ella? Supongo que no le llegó el mensaje sobre cómo navegar protegida que muchos tratamos de transmitir.

Le prometieron cerca de 20 millones de dólares y obvio, no recibió nada. Ahora tiene que pagar las deudas contraídas a causa de los estafadores. En la noticia se menciona que sus familiares le insistieron en que no continuara dando dinero, pero lo hizo durante dos largos años.

Mi primer impulso fue culparla. ¿Cómo puede ser tan inocente? ¿Qué no sabe que estas estafas suceden ya desde hace varios años y TODO mundo está ya alerta? ¿No tiene criterio? Luego vi que había sacado dinero de la jubilación de su esposo…seguramente se trata de una señora con cierta edad, no muy hábil con la tecnología de Internet y con grandes ilusiones de ganar dinero fácil (¿quién no?).

A veces perdemos el rumbo y no nos detenemos a pensar que hay personas que usan lo básico de Internet (correo, tal vez chat) y que no están al tanto del último parche de seguridad, de la debilidad de día cero de “x” aplicación, de la estafa nigeriana que circula ya desde hace años en Internet o bien del último troyano bajado por medio de técnicas de phishing.

¿Cómo llegar a esta audiencia? ¿Cómo hacerles llegar el mensaje para mantenerse a salvo en este mundo complejo de Internet? Existen muy buenas iniciativas como la de Navega Protegido donde la idea (que me parece muy buena) es que en lugar de que la gente llegue a nosotros, nosotros nos debemos de acercar a las personas, a las escuelas y a otros foros para esparcir el mensaje (spread the word, diríamos en inglés).

Finalmente, creo que los que sabemos de tecnologías estamos esperando que la gente (aquí me refiero concretamente a niños y gente adulta) venga a nosotros (los que sabemos) para darles buenos consejos. Este modelo no sirve. No podemos culpar totalmente a las Janella Spears del mundo por no suscribirse a los RSS indicados y estar al pendiente de lo que dice el CERT y los diferentes blogs de tecnología y de seguridad. El mensaje debe de llegar a ellos, no ellos llegar al mensaje.

¿Mejoras en la seguridad de MS Office?

Me encuentro con una entrada en el blog de Microsoft (MSDN) cuyo autor es David LeBlanc publicada hace un par de días. Dice que llevó a cabo un estudio de la suite Office en donde establece que ha habido cada vez menos vulnerabilidades (CVE) en Office desde la versión 2000 a la 2007. ¿Realmente el número de debilidades es un indicador de la buena/mala seguridad de un software?

LeBlanc dice que el Office 2000 tuvo un conteo de 33 debilidades, y este número se fue reduciendo en cada versión hasta llegar a un conteo de 16 debilidades en el Office 2007.

A ver, los CVE (Common Vulnerabilities and Exposures) son debilidades enlistadas por el MITRE e indican que una debilidad se ha encontrado en un software por algún especialista de seguridad, por el propio fabricante o por otra persona que encuentra la vulnerabilidad y la reporta.

Bueno, el punto más importante es que una cosa es el número de debilidades encontradas y registradas de un software, y otra muy distinta es el número de debilidades que tiene un programa. Me explico. Una cosa es el número de insectos que conocemos y tenemos registrados, y otra muy distinta es el número de especies de insectos que realmente existen. Los insectos que no conocemos y/o que no tenemos registrados existen a pesar de que el ser humano no los haya identificado y catalogado. Basta que alguien lo haga para agregarlo a la lista de especies conocidas.

Lo mismo con las debilidades de software. Existen por sí solas y lo que hace una persona es encontrarla. Ahora viene otra parte interesante. Ya que esta persona la encuentra, puede decidir darla a conocer y registrarla o bien quedársela y aprovechar la debilidad en su beneficio. Estoy seguro que en este mismo momento hay varias debilidades conocidas en el underground que no han sido expuestas en el mundo de la seguridad y probablemente se están usando en contra de los programas afectados.

Ahora viene alguien a decirme que el número de debilidades encontradas y registradas en Office ha ido reduciéndose y esto es un indicador de mayor seguridad en las versiones recientes de esta suite. Esta afirmación tiene truco, y de hecho el título del post del blog de leBlanc dice así: "Improvements in Office Security", claramente ligando la cantidad de debilidades a la seguridad de la suite. Para mi no es un indicador válido, y en todo caso podría ser tomado como uno de varios indicadores de la seguridad de un software.

Una explicación en la reducción de debilidades de Office probablemente sea que todo mundo se está enfocando más en las debilidades basadas en Internet (páginas web, correo, etc.) y no tanto en debilidades de Office. Sea cual sea la razón, la cantidad de debilidades no es un parámetro del todo válido para medir la seguridad de una aplicación. Me sorprende que esto venga del gigante de software en Redmond.

martes, 18 de noviembre de 2008

Phishing: Sincronizacion requerida (urgente)


De nueva cuenta otro correo intentando hacer phising con Banamex. El asunto del correo es “Sincronizacion requerida (urgente)”. Como podrán observar en la imagen que incluyo en este post, se ve bastante profesional y bien podríamos caer en la trampa si no nos fijamos bien.


Dentro del cuerpo trae todos los elementos clásicos argumentando que “se han hecho cambios en el esquema de autentificación NetKey” y que debemos entrar al sitio para sincronizar. El phising hace la aclaración de que sólo se debe de hacer una vez. También menciona que esta sincronización es para ofrecer un esquema adicional de seguridad…sí, claro.


En fin, como siempre, está el gancho argumentando cualquier cosa para que el usuario haga click en la liga adjunta y una explicación de por qué debemos hacerlo (por motivos de seguridad).

Cabe mencionar que Firefox 3 ya reconoce a este sitio como malicioso. Como siempre, la recomendación es no hacer click en ligas que lleguen vía correo, ya que por ejemplo en este caso no estamos ingresando al sitio de Banamex real sino a http://www.banamex.com.mx-mx.net/boveda/serban/


Les dejo el texto del mensaje phising:


Banamex le informa que se han hecho cambios en el esquema de autentificación Netkey.

Nota importante: Por ello, es necesario sincronizar su dispositivo Netkey, es necesario realizar esto solamente una vez, simplemente fírmese en su cuenta y el sistema sincronizara su clave automáticamente.

Para Personas

<http://www.banamex.com.mx-mx.net/boveda/serban/>

Para Empresas

<http://www.banamex.com.mx-mx.net/bancanetempresarial/spanishdir/>

Este cambio, ha sido realizado, para ofrecerle un esquema de seguridad adicional al ya disponible, recuerda que esta sincronización NO AFECTA de ninguna manera tus Saldos u Operaciones.

Si usted no ha ingresado a su cuenta en la ultima hora, es necesario que usted sincronice su Netkey Banamex, de lo contrario, su Usuario será suspendido y tendrá que acudir a la sucursal de apertura de su cuenta para reactivar su acceso.


viernes, 14 de noviembre de 2008

Guías de Seguridad para Vista

 

Mucho se ha dicho de Vista: que es poco compatible con aplicaciones, que es lento, que necesita un hardware poderoso o que es mejor esperar a Windows 7. Lo cierto es que varias organizaciones lo han instalado o lo planean hacer. ¿Qué configuración de seguridad es la adecuada para Vista? Me di a la tarea de tratar de responder a esta pregunta.

 

Navegando por Internet encontré algunas (no fueron muchas) fuentes que proponían guías de seguridad para Vista. Al final, llegué a la conclusión de que dos eran suficientemente útiles y completas. Les comparto mis anotaciones a continuación.

 

Encontré que Microsoft es quien propone las dos guías que me parecieron interesantes; respecto a la primer guía creo que está orientada más a un usuario casero y no tanto a un ambiente empresarial (sin embargo la parte del navegador está interesante y se pueden usar varias sugerencias).

 

Respecto a la segunda guía, pienso que está realmente mucho mejor ya que habla por ejemplo de equipos que están unidos a un Directorio Activo y en general los capítulos están interesantes. Cabe mencionar un punto importante y es que esta guía tiene el aval del NIST (National Institute of Standards and Technology), del DISA (Defense Information Systems Agency) y de la NSA (National Security Agency). De entre las diferentes guías que encontré, esta me pareció la más completa.

 

Los temas de esta guía de seguridad son:

 

1.- Baseline de seguridad.

Comentarios:

a).- básicamente es para empujar una configuración de seguridad desde el Directorio Activo.

 

2.- Defendiéndose del Malware (aspectos que pueden ser configurados también desde un equipo stand-alone en las Políticas de Seguridad locales).

Comentarios:

a).-  si se tiene un firewall personal, es recomendable apagar el de Windows.

b).- si se tiene un antivirus, es necesario verificar que el módulo “Malicious Software Removal Tool” no interfiera con el antivirus.

c).- verificar si es funcional usar el Modo Protegido de IE. El resto de las protecciones que propone este capítulo se ven razonables.

 

3.- Protegiendo datos importantes.

Comentarios:

a).- habla de cifrado de datos en el disco duro; cada quién deberá de decidir si lo requiere (útil para laptops). Hay mejores productos que brindan una mayor protección en el cifrado de discos.

b).- también trata el tema de “Control de dispositivos externos”; limitarlos aumenta la seguridad pero disminuye la funcionalidad a usuarios válidos.

 

4.- Compatibilidad de Aplicaciones.

Comentarios: no trata un tema de seguridad sino que se trata nde sugerencias para probar compatibilidad de aplicaciones con el sistema operativo Vista.

 

5.- Seguridad Especializada.

Comentarios: se debería de llamar  algo así como “Alta Seguridad”, ya que lo que se propone es una configuración para equipos con datos muy críticos y que requieren de máxima seguridad; no es una configuración que sea requerida por la mayoría de los usuarios.

 

 

Finalmente, es importante mencionar que Tenable, el dueño de Nessus, propone políticas para ser usadas en el Nessus que ayudarían a “auditar” la seguridad de Vista; sin embargo por lo que veo se requiere ser cliente para hacer uso de las mismas.

 

jueves, 13 de noviembre de 2008

Reportan baja súbita de spam



Entre el lunes 10 y martes 11 “desapareció” del radar de Internet una compañía de “web hosting” llamada McColo en Estados Unidos. Se le responsabiliza de cerca del 75% del spam enviado a nivel mundial. Compañías de seguridad como MXLogic reportan un 50% menos de spam después del cierre de McColo. Y yo me pregunto: cuánto durará esta reducción de spam?


Las noticias de CNet y BBC informan que este cierre de la compañía dedicada a enviar spam se debió en parte a la investigación de un reportero (Brian Krebs) del Washington Post que hizo un trabajo de investigación.

Sin embargo, no hay que estar demasiado felices.


El negocio del spam no se va a detener por el cierre de una empresa…cambiará a otra dentro de EUA o fuera (Rusia, China, etc). Así es que esta noticia no pasa de ser una anécdota. No apaguen sus filtros anti- spam todavía. ¿Por cierto, ustedes han notado esta súbita ausencia de spam?


miércoles, 12 de noviembre de 2008

ESET presenta solución para smartphones

 

Dada la popularidad de los teléfonos inteligentes, varias compañías se apresuran a proveerles soluciones de seguridad. Esta vez ESET presenta un nuevo producto encaminado a dar protección a dispositivos móviles que cuenten con Windows Mobile.

 

Cuenta con control de spam, detección heurística, protección en tiempo real y logs. Esto me da la idea de que intenta ser una solución empresarial, sin embargo no veo que cuente con una manera centralizada de administración, característica que para varias organizaciones es importante.

 

No dudo que en el futuro cercano más y más fabricantes provean de soluciones de este tipo conforme el uso de los teléfonos inteligentes se continúe popularizando entre empresas e individuos.

 

Hay respuesta para 1 de cada 12,500,000 de spams

 

Un estudio de universidades de EUA arroja que los spammers obtienen respuesta a uno de cada 12,500,000 de spams enviados. También estiman que por ejemplo los “dueños” del botnet Storm podrían obtener hasta $7,000 USD al día.

 

Estos investigadores se adentraron al mundo de los spammers y lograron introducirse al botnet Storm para conseguir datos más reales de todo este asunto del spam. El reporte está lleno de datos para entender mejor la “economía del spam”. Recomiendo la lectura del documento completo.

 

Después de todo, no es un secreto que el spam genera ganancias, de otra forma ya se hubiera abandonado esta práctica. Sin embargo lo que se ve en este estudio es cómo logran las ganancias y de cuánto estamos hablando, cuestiones que antes del estudio pudieran no quedar del todo claras. Lo que se trata de explicar es: ¿Cuántos caen en los mensajes spam? ¿Qué tan frecuente caen en los mensajes spam? ¿Cuánto gana el spammer?

 

El spam no se va a ir pronto. Lo debemos ver como un negocio (de hecho lo es); mientras haya ganancias seguirán habiendo personas que lo generen de maneras legales o ilegales. ¿Ya todos tienen un antispam?

 

martes, 11 de noviembre de 2008

CWSP Wireless LAN Security

No había escuchado de la certificación CWSP Wireless LAN Security. Existe una página web de esta certificación, y al parecer uno puede hacer el examen en México según lo que leo.

También vi que hay un libro en Amazon que pueden comprar. De entrada el temario del libro se ve interesante, en algún sentido es como el de Hacking Exposed pero orientado a redes inalámbricas. ¿Alguien ha escuchado de esta certificación o inclusive ya la tiene?

Según leo el examen son 60 preguntas de opción múltiple...tal vez para un tema de redes inalámbircas sería bueno evaluar algo práctico también.

Bueno, pues aquí los dejo con una certificación más.

Publican principios para evaluar a los antivirus

 

La organización AMTSO (Anti-Malware Testing Standards Organization) ha publicado dos documentos: Principios Fundamentales de Evaluación y Mejores Prácticas para las Evaluaciones Dinámicas. Se intenta poner un marco de referencia “estándar” para evaluar a los antivirus. ¿Será una respuesta de la industria a lo mal calificados que salen algunos productos en evaluaciones como las de VirusBulletin?

 

Según la página de AMTSO, varias firmas antivirus apoyan esta iniciativa de estándares de evaluación de productos anti-malware: F-Secure, Kaspersky, Symantec, AVG, etc. No me queda muy claro exactamente a qué se refieren cuando dicen que estas firmas “apoyan” a AMTSO, pero no sería conveniente crear parámetros para evaluar estos productos y que estos parámetros fueran avalados convenientemente por las propias firmas antivirus? Conocemos que las evaluaciones independientes como las de VirusBulletin, PcMagazine o AvTest no siempre pueden favorecer a los productos de los fabricantes.

 

Por ejemplo, el principio 9 de la AMTSO dice así: “Vendors, testers and publishers must have an active contact point for testingrelated correspondence.” Aquí en este principio se plantea la conveniencia de mantener contacto entre el evaluador y el fabricante. ¿Intuyo que es para tener oportunidad de que el fabricante le “aclare” algunos puntos al evaluador y se intente quedar lo mejor evaluado posible ante los hallazgos del evaluador?

 

En fin, la mayor parte de la propuesta de AMTSO parece que están bien, habrá que ver quién y cómo la utiliza. Ciertamente evaluar un antivirus no es tarea fácil y cabe mencionar que puede ser objetiva o subjetiva dependiendo de los parámetros seleccionados.