sábado, 26 de enero de 2008

¡No me corras! O borro tus datos.

Para algunos empleados, una pesadilla recurrente es ser despedidos. Y tan grave llega a ser el hecho de ser despedido de
la compañía que en lo único que se puede pensar es en venganza. ¿Y qué mejor que borrar datos para hacerle la vida
pesada el jefe o dueño de la empresa?

Para una empleada de EUA, se le hizo fácil borrar información con un valor de 2.5 millones de dólares como venganza
porque creyó que iba a ser despedida. Resulta que navegando por Internet, esta señora encontró que su empresa ofrecía
un empleo con la descripción casi exacta de su puesto, por lo cual de inmediato pensó lo peor: que estaban buscando su
reemplazo y que definitivamente iba a ser despedida. Por eso se dio a la tarea de borrar la mayor cantidad de datos y de
paso jalar dos que tres cables para causar un poco más de daño. Ahora enfrenta un proceso penal.

Sí, los empleados internos también pueden causar mucho daño y según estadísticas, son los que más daño llegan a hacer,
precisamente porque tienen acceso a los sistemas e infraestructura de la corporación. Muchos empleados actúan como
dueños de la información de la empresa, porque como ellos la crean/generan, es obvio que es de ellos y no de la empresa.
Lo cierto es que en las computadoras de los empleados hay mucha información de la cual no se tiene control.
Dependemos de que los empleados de alguna manera sean buenos y den también el control de sus datos a la organización.

Es un problema real ya que las computadoras personales han permitido en muchos casos que cada equipo sea una isla de
datos y que sea voluntad del empleado dar/compartir esos archivos a la corporación. ¿Cuántos de nosotros tenemos
archivos en los equipos de nuestra empresa que sabemos que podemos borrar y que no existe respaldo? Inclusive aunque
no sea intencional el borrado, qué tal que se atrofiara el disco duro? ¿Qué pasaría con esa información? Me enteré de una
empresa mexicana ubicada en la Colonia Roma que sufrió un robo y se llevaron equipos, televisiones y servidores; sucedió
en la noche y tardaron varios meses revisando las laptops de cada empleado para tratar de reconstruir su información; no toda fue recuperada.

Es algo en lo que tenemos que trabajar para evitar que la información sea borrada por empleados descontentos o por
fallas en hardware/software que llegan a dañar la información. Algunas empresas tienen servidores institucionales y
asignan a cada empleado un espacio; otras obligan a respaldar la información cada cierto tiempo. Hay varias soluciones
tecnológicas, pero el principal problema es cambiar la cultura de la gente y de algún modo evitar que sus equipos de
escritorio/laptops sean islas de datos donde el dueño absoluto de la información es el empleado y no la empresa para
quien trabaja.

La información en: http://www.scmagazineus.com/Florida-woman-accused-of-deleting-25-million-in-data-from-employer/article/104575/

martes, 22 de enero de 2008

Bajan el switch de la ciudad...con un Enter.

¿Controlar la electricidad de una habitación con tan solo un "Enter" de mi computadora? Interesante idea para los que somos muy perezosos y deseamos evitar hasta el "gran" esfuerzo de levantarnos y apagar la luz. Algunos al parecer llevaron esta idea al extremo y de paso, consiguen unos pesos para completar la quincena.

Un analista de la CIA (Central Intelligence Agency) expuso recientemente en una conferencia de seguridad (organizada por el SANS) que tienen informes de que extorsionadores han amenazado con dejar sin electricidad a regiones enteras, y en un caso de plano se tiene registrado que le bajaron el switch a varias ciudades.

La CIA no comentó de qué ciudades se trata con exactitud, pero informaron que tienen información de que varias regiones fuera de los EUA han sido víctimas de extorsionadores que piden dinero a cambio de no cortar la luz y que esto lo logran usando Internet, es decir, es un ataque lógico, no físico. Por cierto, hay estudios serios de que es posible comprometer generadores de electricidad (controlados por sistemas de cómputo) y forzarlos de tal manera que sean inoperables.

El aviso de la CIA fue con el propósito de que las naciones que cuenten con sistemas en sus plantas de luz, verifiquen que tengan la seguridad adecuada para evitar estos incidentes. Supongo que estos extorsionadores piden grandes sumas de dinero. Y es que una cosa es comprometer equipos de usuarios de Internet, y otra cosa de ligas mayores es penetrar sistemas que controlan cuestiones vitales como la luz eléctrica. Yo pienso que los encargados de estos sistemas deben de tener la máxima precaución y el mayor nivel de seguridad posible, ya que no están asegurando la laptop de su casa.

En principio, me pregunto la razón de que estos sistemas de alguna manera tengan contacto con Internet (supongo que no se ponen a navegar desde esos sistemas, cierto?). Otra muestra más de que en algunas ocasiones se deja la seguridad de lado por "cosas más importantes", total, "sólo" se trata del abastecimiento de electricidad.
La información completa en:
http://www.itworldcanada.com/a/Security/c7ec6656-fc7a-45d4-b3c1-6fa8191dadff.html

viernes, 11 de enero de 2008

¿Quién quiere hackear un Boeing 787?

Después de algunos sacrificios, por fin podemos viajar a Europa y conocer ese bello continente. Pero el viaje dura varias horas y la película a bordo del avión ya la vimos; se nos olvidó traer libros y estamos verdaderamente aburridos. ¿Por qué no dedicar el tiempo a hackear los sistemas de control de navegación del avión?

Eso ya es posible (desgraciadamente) gracias a una conexión "benigna" encontrada en los sistemas de navegación del avión Boeing 787 que gracias a una gran idea se comunican a la red encargada de dar acceso a Internet a los pasajeros. ¿Conectar físicamente las computadoras de control con los sistemas del servicio de Internet que se provee a pasajeros es una buena idea? No lo creo. La FAA (Federal Aviation Administration) ha descubierto que le es posible a un pasajero acceder a los sistemas de navegación del avión por medio del servicio de Internet ofrecido como un "plus" a los pasajeros. Boeing dice que ha puesto unos cuantos firewalls entre las redes y que no hay problema; yo no estaría tan seguro.

La conexión existe; ahora la tarea es burlar los firewalls y encontrar una debilidad en las computadoras de navegación de este avión. Olvídense de traer libros, iPods y revistas, ahora podrán invertir su tiempo en este reto. A pesar del tinte de humor de un servidor, creo que esto es bastante serio.

miércoles, 9 de enero de 2008

Autenticación con celular.

Sabemos que las contraseñas no son suficientes. Al mismo tiempo es una lata traer con uno el famoso "token" o tarjeta inteligente para añadir un segundo factor de autenticación. ¿No sería conveniente simplemente usar el celular?

A una empresa ya se le ocurrió esta idea y me pareció una propuesta interesante. Por ejemplo alguien quiere acceder al correo electrónico corporativo de forma remota desde su casa. Teclea el nombre de usuario y contraseña usando "https". El servidor de correo recibe esta petición y manda llamar a una aplicación que tiene registrado a "fulanito" y le marca a su celular. El usuario recibe una llamada al celular y con una combinación de teclas confirma que es él y el celular manda la respuesta a la aplicación. Finalmente la aplicación le "dice" al servidor de correo si el usuario debe o no tener acceso a sus mensajes.

Si alguien se roba la contraseña del usuario e intenta acceder al correo, nunca recibirá la famosa llamada y le rechazarán su ingreso al sistema; sólo el que tenga el celular podrá confirmar; y claro, si el usuario autorizado recibe una llamada y no es él quien está accediendo al sistema simplemente ignora la llamada. La contraseña y nombre de usuario es "algo que se sabe" y el celular es "algo que se tiene", juntos conforman dos factores de autenticación. Por cierto, es más fácil que se nos olvide el token o tarjeta que nuestro celular que para muchos de nosotros es algo ya básico.

En fin, como dije, me pareció una buena idea y como la noticia apareció en un sitio dedicado al sector financiero, no dudo que les ofrezcan esta solución a uno que otro banco. Habría que probar bien el esquema que se propone y verificar que realmente satisface las necesidades de seguridad que se están prometiendo.

La liga en: http://www.bankinfosecurity.com/showOnDemand.php?webinarID=58 

viernes, 4 de enero de 2008

¿Dónde dejé mi USB?

Estoy seguro que la persona que dejó olvidado su USB en una librería de Estocolmo exclamó varios improperios cuando se percató de que ya no tenía su dispositivo USB. Bueno, yo también lo haría si se me pierde mi USB, después de todo me costó algunos cientos de pesos, sin mencionar que ahí tengo aún mis fotos de navidad. La gran diferencia con mi amigo sueco es que yo no guardo secretos militares en la memoria USB.

Situémonos en Suecia, en la bella ciudad de Estocolmo. Entramos a una librería para buscar las últimas novedades cuando encontramos un dispositivo USB olvidado. La curiosidad mató al gato, así es que lo metemos en la PC y nos topamos con información confidencial de las fuerzas occidentales de paz estacionadas en Afganistán, con sellos de "NATO" (OTAN) por doquier y la famosa leyenda "top secret". También documentos de inteligencia militar sobre el intento para asesinar al ministro de defensa de Líbano y el asesinato del ministro del exterior en Sri Lanka. Tal vez en este momento me sentiría "ligeramente" nervioso, si saben a lo que me refiero.

Pues es una realidad que alguien dejó olvidado su USB en una librería de Estocolmo con la información que les acabo de mencionar: ni más ni menos que datos de inteligencia militar de primer nivel. No se sabe aún quién la olvidó ni quién la descubrió y entregó a las autoridades. Si esto sucede en la milicia del primer mundo, qué podemos esperar de un empleado corporativo? ¿Cómo fue posible que se extraviara así un dispositivo con este tipo de información? ¿Qué no saben que hay USB cifrados y/o con biometría? En fin.

La próxima vez que les digan que la información no es un bien de una organización o que realmente no es tan importante, arrójenle una copia de esta noticia en la cara. Y para finalizar una recomendación: cifren la información corporativa que guardan en sus USB o mejor aún: déjenla en su equipo de cómputo corporativo. No querrán aprender la lección " a la mala" como nuestro amigo de la librería de Estocolmo.

La noticia en: http://www.theregister.co.uk/2008/01/04/another_stick_with_military_secrets_found/

miércoles, 2 de enero de 2008

Virus y Gusanos SA de CV

¿Gusta usted comprar un código malicioso a buen precio y con garantía? Tal vez le interese adquirir servicio y mantenimiento de "licencias" por uno o dos años. Seguro estará interesado en el servicio de renta de sitios web para lanzar ataques de phising o la renta de cientos de sistemas infectados disponibles para el uso que crea pertinente.

Desde ya hace tiempo la tendencia ha mostrado que los códigos maliciosos ya no son por fama y ego, sino por dinero contante y sonante. Y el asunto va más allá: se ha detectado que existe ya una economía como tal que vende todo tipo de servicios: renta de sitios web, mantenimiento de licencias, actualización de software, outsourcing de creación de código malicioso e inclusive se ofrecen garantías. Lo que uno puede esperar al comprar un Windows Vista, Microsoft Office o un antivirus de la marca Trend, lo tendrá también al comprar servicios o bienes relacionados con código malicioso. Sobre todo en Rusia y países del ex-bloque soviético esto ya es todo un negocio "establecido".

Los servicios relacionados con código malicioso se anuncian en línea y tienen características como garantía, soporte en línea, actualizaciones a nuevas versiones y hasta tutoriales en video…tal cual lo haría un fabricante de software legítimo. Se tiene también la opción de renta de cientos de equipos comprometidos que se pueden usar para fines ilegítimos como para enviar spam o perpetrar negaciones de servicio. Como anécdota, se sabe de un caso de un hacker que creó un software para evadir las protecciones de los antivirus; la competencia fue tal que "tiró la toalla": publicó su código fuente y dejó esa actividad. Esto significa que ya un hacker solitario no es tan fácil que haga negocio, ante las grandes "corporaciones" de código malicioso; es como una persona que desarrollara una suite ofimática para competir con Microsoft Office.

Por ejemplo, el año pasado el precio "de lista" para un troyano llamado "Gozi" que roba contraseñas y otros datos fue de entre $1,000 USD y $2,000 USD por la versión básica, sin derecho a garantía, ayuda en línea o actualizaciones.

Hoy en día el código malicioso es ya un negocio como tal; es ya toda una industria corporativa. Y pienso que esto es más peligroso que en los viejos tiempos, ya que ahora el desarrollo de código malicioso se ha profesionalizado, con sueldos atractivos, búsqueda y retención de talentos y calidad en los bienes y servicios ofertados. Olvídense de Monsters Inc, lo nuevo es Malware Inc.

La noticia en:
http://resources.zdnet.co.uk/articles/features/0,1000002000,39291463,00.htm?r=3