miércoles, 31 de diciembre de 2008

Libro para codificación segura en Vista


Me encuentro con una liga de donde es posible bajar gratuita y legalmente un libro de Microsoft Press para aprender a escribir código seguro en Vista. Es de Michael Howard, así es que no debe de ser una pérdida de tiempo su lectura.

Sabemos que muchos de los problemas de seguridad están relacionados con la pobre codificación que se hace en los programas, así es que sobre todo para los programadores no está de más adquirir este PDF y darle lectura.

Un 2009 lleno de éxitos y permanezcan seguros.

martes, 30 de diciembre de 2008

Creando certificados falsos que parecen válidos


Un certificado digital incluye, entre otras cosas, una firma digital de una Autoridad Certificadora y su respectivo hash (huella digital) para efectos de comprobación. Yo no puedo cambiar simplemente esta firma porque el hash no concordaría. ¿O sí puedo? Investigadores de seguridad afirman que esto desafortunadamente es posible y resultaría en poder crear certificados digitales falsos que parecerían válidos para los navegadores, favoreciendo a los ataques phishing que ahora podrían presentarse con certificados digitales válidos.

¿Es una debilidad en SSL o en los navegadores? No, es un error de algunas Autoridades Certificadoras que han seguido usando el algoritmo de hash MD5 para validar sus certificados digitales a pesar de saber que el MD5 ya no es seguro. Este algoritmo MD5 tiene ya desde hace tiempo "colisiones", lo cual significa que es posible crear un contenido con dos hashes MD5 válidos, lo cual debería de ser "imposible". A pesar de esto, algunas importantes Autoridades no han cambiado a algoritmos más robustos como el algoritmo hash SHA-1 o SHA-2.

Esta necedad de seguir usando MD5 causa que un atacante pueda crear un certificado digital falso que aparenta ser de una Autoridad y con éste firmar otros certificados para cualquier sitio y que parezca válido a los "ojos" del navegador. En pocas palabras, el atacante crea un certificado digital falso de una Autoridad y sabemos que las Autoridades firman a su vez otros certificados. Esto crearía una conexión segura SSL hacia un sitio falso sin ninguna advertencia de seguridad ya que el certificado aparentaría ser válido usando obviamente https. Es la combinación perfecta para hacer sitios phishing que ahora parecerán reales. Por ejemplo, creo un sitio phishing https://login.server.yahoo.com con un certificado válido del sitio real y auténtico que en este caso es https://login.yahoo.com. Como puedo aparentar que la Autoridad firma el sitio que yo desee, entonces puedo crear certificados válidos para cualquier sitio de mi elección (esto sólo lo debería de poder hacer la Autoridad).

¿Hay buenas noticias en todo esto? No sé si sean buenas, pero al menos los investigadores han escondido partes de su investigación con la intención de que no "cualquiera" haga este ataque. ¿Cuánto tiempo permanecerán los detalles sin ser conocidos o descubiertos?
¿Qué se puede hacer para protegerse? No mucho (Microsoft ofrece algunos workarounds y afirmaciones tranquilizadoras, pero no puedo por el momento confiar ciegamente en ellos). Esta vez no hay parche. Al parecer nos podemos ver afectados si tenemos certificados digitales emitidos por Autoridades que hacen uso del algoritmo MD5 para efectos de validación.
¿Nos debemos de preocupar? La respuesta es difícil. El ataque requiere un nivel de dificultad importante y los detalles de cómo hacerlo no están publicados aún. Aún así, ya pasamos del terreno teórico al práctico. 

Mi pronóstico es que los ataques que seguiremos viendo son donde se crean certificados digitales totalmente falsos con la esperanza de que el usuario lo acepte a pesar de la advertencia de seguridad del navegador. ¿Para qué darse a la tarea de hacer algo tan complicado si seguro tendré mucho más éxito haciendo ataques más primitivos y sencillos? Por otro lado, aún falta ver que tan práctico es este ataque en el "Internet real" y sus implicaciones. En fin, este es otro bug más al cual hay que seguirle la pista.

Sitios para aclarar dudas:
http://www.win.tue.nl/hashclash/rogue-ca/#sec8
http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/
http://blogs.technet.com/msrc/archive/2008/12/30/information-on-microsoft-security-advisory-961509.aspx
http://www.cryptography.com/cnews/hash.html


viernes, 26 de diciembre de 2008

CCTV...alguien está viendo?


Las CCTV...muy útiles para ver lo que pasó (pasado), pero otra historia es qué tan buenas son para ver el presente y poder, por ejemplo, intervenir durante un suceso en progreso. Y para poder intervenir, se requiere que alguien las esté viendo y alerte sobre un robo, una intrusión o algún otro evento relevante. La pregunta es: realmente hay alguien viendo todas y cada una de las imágenes de las CCTV en un edificio, una calle o una ciudad?

Al menos en el Reino Unido y debido a la situación económica actual, existen cámaras CCTV pero pocas son ya realmente atendidas. Se habla de falta de personal. Y sinceramente, esto no creo que sea sólo producto de la "situación económica", ya que me pregunto si sobre todo hablando de una ciudad entera, existe siempre suficiente personal analizando constantemente lo que pasa en los monitores...día y noche. Las CCTV funcionan muy bien como disuasivos, ya que alguien al verlas piensa dos veces si comete algún ilícito. Por otro lado, también funcionan bien para ver el histórico de lo que pasó en un incidente.

Pero no nos sintamos tan seguros al ver una cámara CCTV y creer que si alguien atenta contra nosotros, en minutos habrá fuerzas del orden en el lugar de los hechos. Vemos estas cámaras CCTV pero no se nos informa exactamente para qué sirven y cómo nos ayudarán. Las vemos aquí y allá, ignorando exactamente su función: nos ayudará alguien si somos víctimas de un crimen? ¿Servirá ante el Ministerio Público para constatar los hechos? ¿Sirven únicamente para cuestiones estadísticas? Puede que las CCTV en un edificio de una corporación tengan una función clara...pero las CCTV públicas son otra cuestión separada. Así es que vuelvo a preguntar: alguien está viendo?

Adiós a la Tenencia...pero hasta 2012.


Por fin, adiós a la tenencia. Algo que pensé nunca pasaría, sucedió. Hoy leo con agrado que para el 2012 se eliminará esta obligación nada querida en México. Pero seamos honestos, no creo que simplemente se desprendan de las enormes sumas que genera la tenencia y todo mundo tan feliz. Ya deben de haber ideado un método para sustituirlo...nadie deja ir dinero así porque sí.

viernes, 19 de diciembre de 2008

¿Un "cable" roto en el Mediterráneo?


No es cualquier cable. Es un "backbone" del mediterráneo. Eso es lo que reportan. Al parecer esto causó problemas en las comunicaciones entre Europa y países árabes el día de hoy 19.12.08. ¿Exactamente cómo es que se dañan estos cables submarinos? :-)


jueves, 18 de diciembre de 2008

Ataques de inyección SQL- MS08-078

Como ya lo había mencionado, ya hay ataques de "SQL injection" circulando por Internet. Más vale aplicar el parche Ms08-078.

Obama sin Smart Phone...igual que un CEO?

La pregunta: si Obama por ley no puede tener dispositivos móviles, lo mismo debe de aplicar a un CEO? La respuesta corta: no. De otra manera subámonos a una montaña en la mitad de una selva y permanezcamos ahí el resto de la vida.

La seguridad debe servir como un "habilitador", en este caso, para la movilidad. Podemos tener una blackberry con Internet y si le agregamos los factores de seguridad necesarios, reducimos el riesgo que es el objetivo de la seguridad. Podemos eliminar el riesgo y dejar de usar nuestra iPaq...pero es esto práctico?

Si yo fuera CEO, lo primero que haría es depedir a quien me dijo que no podía usar mi blackberry por motivos de seguridad.

miércoles, 17 de diciembre de 2008

Crónica de (otra) debilidad día cero de IE

No es la primera vez ni será la última. El miércoles pasado (10.12.08) se advirtió sobre una debilidad de día cero (sin parche) en IE 5, 6, 7 y 8. Se advirtió sobre ataques que usan SQL injection en combinación con esta debilidad y se detectó que sitios en línea de pornografía, juegos y apuestas (principalmente ubicados en China) estaban siendo usados como plataforma para lanzar este tipo de ataques.

Afortunadamente hoy (17.12.08) Microsoft reaccionó y emitió un parche (MS08-078) y se recomienda aplicarlo a la brevedad. Por cierto que los "workarounds" no son nada prácticos ya que giran en torno a deshabilitar el scripting del navegador dejándolo con muy poca funcionalidad. Otra recomendación era no navegar en sitios sospechosos...sugerencia por demás ridícula.

En fin, hay reportes que indican que la debilidad fue publicada por "error" por un grupo de "investigadores" de seguridad chinos. "Pensamos que la debilidad ya estaba solucionada". Sí claro. En fin, se rumora que la debilidad existía desde noviembre y se vendía en el mercado negro por $15,000 USD. La historia está extraña, pero no es casualidad que esta debilidad "apareciera" un día después del segundo martes de publicación de parches por parte de Microsoft (con esto se capitaliza la debilidad esperando que se resuelva hasta dentro de un mes).

Es buen momento para pensar en aplicar el parche en la infraestructura.

viernes, 12 de diciembre de 2008

¿Ayuda la disposición para registrar celulares?

La Cámara de Diputados aprobó ayer jueves una reforma que entre otras cuestiones obliga a todos los usuarios nuevos y ya existentes de celulares a registrarse con las compañías de telefonía con huella dactilar, nombre y dirección; también las compañías deben de mantener conversaciones hasta por 12 meses y otorgarlas a los procuradores. Y eso no es todo.

También se mantendrán durante 12 meses los mensajes SMS y se registrará la ubicación geográfica desde donde se hacen llamadas (leí por ahí que hay dificultades técnicas para lograr esto al 100%); se grabará el registro del número telefónico desde donde se hace la llamada o mensaje SMS y hacia donde va dirigido. Big Brother is watching you. ¿Así o más invasión a la privacidad?

Puntos a considerar sobre esta nueva disposición:

1.- ¿Estamos contentos con dar nuestras huellas dactilares para poder comprar un celular? ¿Las van a resguardar adecuadamente? Si se comente un ilícito, exactamente de qué les servirá la huella?Ahora tendremos que entregar nuestras huellas en cualquier punto de venta...y cada punto de venta se convertirá en una pequeña base de datos que relaciona nombres, direcciones y huellas dactilares.

2.- Ok, me robaron el celular y antes de que lo pueda reportar como robado (recuerden, no tengo ya celular y probablemnete tampoco dinero), cometen un ilícito (secuestro). La policía me buscará y me hará cargos. "Oigan, pero me robaron el celular", diré yo. "Eso es lo que todos dicen", dirán ellos. Verdaderamente será un riesgo tener un celular no sólo porque me lo roben (pérdida monetaria), sino ahora porque me pueden hacer cargos si alguien más hace un mal uso del dispositivo.

3.- ¿Grabar y conservar conversaciones y mensajes SMS por 12 meses? ¿Cualquier procurador podrá pedir la grabación y no por medio de un juez? Ok, eso no me tranquiliza. ¿Se podría dar el caso de que "inventen" un posible ilícito y que justifique así el espionaje? Después dirán "Oh!, lo siento, realmente fue una falsa alarma", pero mientras ya tienen las conversaciones. Políticos, artistas, delincuentes y ciudadanos usan celulares...de quién quieren escuchar conversaciones?

4.- Ahora el robo de celulares podrá venir acompañado del daño al dueño para que no denuncie el robo al menos por un par de horas o de días. ¿Golpiza? ¿Secuestro express? ¿Amenaza (sé dónde vives)? Traer celular ya no será como antes; ahora el riesgo puede ser doble.

5.- ¿Realmente creen que van a detener a los delincuentes con este medida? Usarán celulares de otros países, clonarán, amenazarán al dueño si denuncia, falsificarán documentos, usarán teléfonos públicos e irán al mercado negro de robo de celulares a conseguir alguno. Lo que hace esta medida es dificultar la tarea del delincuente, no sé si realmente la evite. Puede ser que se reduzca este ilícito, pero a qué costo para los ciudadanos que perdieron privacidad y que aumentaron su riesgo de portar un celular?

En fin, no me imagino un buen uso del poder que se tendrá para escuchar conversaciones. No me imagino a los delincuentes que se darán por vencidos ante esta medida. No me imagino a un vendedor de celulares en la vía pública (ambulante) registrando huellas...se les acabó el negocio?

Ahora bien, he leído comentarios a favor de esta medida ya que está orientada a nuestra protección y sí, hay que sacrificar algunas cosas para tener esa ansiada seguridad. También leo que finalmente esta medida dificulta el ilícito al delincuente y reducirá así drásticamente su mal uso. Que las compañías de celulares no desean seguir estas medidas y ponen "pretextos" porque tendrían que invertir una suma importante para cumplir cabalmente con la disposición.

Pensamientos encontrados. Diversas opiniones. Ustedes tienen la palabra.

NOTA: Aquí pueden leer una serie de argumentos en contra de esta medida. Finalmente, busquen en Google "huellas celulares" y podrán encontrar más referencias del tema.

lunes, 8 de diciembre de 2008

Correo malicioso: Haz recibido una postal desde Terra!

Otro correo falso que intenta que le demos click en las ligas para bajar código malicioso.
Nótese que las ligas lo llevan REALMENTE a uno a la dirección en Gran Bretaña: http://tckct.co.uk/index_files/viewcard.php?id=0MFF455782275242

Como siempre, hay que leer el correo en texto plano, ignorar este tipo de mensajes y marcarlos como spam.

A continuación el mensaje original:
= = = = = =
Hola. Alguien ha elegido una postal de amor para tí, en Terra  Para verla simplemente haz click aquí y a continuación ejecutar:
http://postales.terra.es/cat/viewcard.aspx?id=0MFF455782275242
Si no puedes ver la postal:
1) Copia el código de la misma: 0MFF455782275242 2) Entra a: http://postales.terra.es/cat/viewcard.aspx y allí ingresa el código de la postal en el primer casillero en blanco, luego haz click en el botón de Enviar
Esperamos que te guste y que visites http://postales.terra.es/ para enviar tus propias postales electrónicas.
Saludos
Postales en Terra
http://postales.terra.es/

EUA advierte huecos en su seguridad de la información.

La recién creada Comisión de Ciber-Seguridad de los EUA ha efectuado diversas recomendaciones el nuevo presidente electo Obama. Entre las mismas, se menciona la creación de un Centro de Operaciones para la Ciber-Seguridad y que la Casa Blanca tenga un consejero en esta materia. No es para menos.

"Estamos jugando una partida gigantezca de ajedrez y vaya que la estamos perdiendo ", dijo un miembro de la Comisión llamado Tom Kellermann. Y es que los miembros de la Comisión han visto, revisado y analizado diversos incidentes que han hecho perder billones al sector privado de los EUA (por conceptos de propiedad intelectual), sin mencionar las intrusiones al Departamento de la Defensa (se dice que han perdido terabytes de información), la NASA, el Departamento de Comercio y de Estado, entre otros. La Comisión ha sostenido diversas entrevistas con la NSA, el Pentágono, la CIA y el MI5 de Gran Bretaña para llegar a sus conclusiones.

La Comisión ve que las amenazas "electrónicas" no sólo afectan a la seguridad nacional, sino también la economía de los EUA. Este "hallazgo", aunque obvio para algunos, es un gran paso ya que se inlcuye a la economía de un país en lo que debe de proteger la seguridad de la información.

Veo con tristeza que de nueva cuenta los vecinos del norte nos aventajan al atender ya de manera inclusive más seria que antes a la seguridad de la información de su país, y de preocuparse lo suficiente para invertir dinero en la protección de la información a nivel nacional.

Me atrevo a traducir las recomendaciones de la Comisión a una empresa en el sentido de crear un área encargada específicamente de la seguridad de la información y de tener un consejero en este tipo de cuestiones; suena coherente? Sería equivalente a nivel empresarial a tener un SGSI (Sistema de Gestión de Seguridad de la Información) recomendado por ejemplo por el 27001, y tener informes frecuentes con recomendaciones, sugerencias y tendencias del mundo de seguridad de la información e informática.

En fin, parece que el reporte de la Comisión contiene un total de 44 páginas y parte del reporte podría ser público; habrá que leerlo con atención para analizar otros detalles que puedan resultar de interés.

miércoles, 3 de diciembre de 2008

Sitio centrado en tema de recuperación de desastres.

 

Esta vez les comento de un sitio llamado Disaster-Recovery-Guidance, el cual recopila información en torno a la recuperación de desastres en una organización. Tiene secciones de tutoriales, artículos de interés, noticias y recomendaciones de libros que hablan sobre el tema. Es un buen sitio para iniciarse en el tema de recuperación de desastres, sin embargo no contiene información detallada o plantillas útiles para los que ya van en serio a poner en práctica un DRP.

 

martes, 2 de diciembre de 2008

Satanizan a Google Earth por ataques de Mumbai.

El ataque terrorista en la India de la semana pasada ha arrojado ya investigaciones preliminares y ahora liga a la herramienta Google Earth con dichos ataques. Al parecer, estos terroristas "tenían una formación en Nuevas Tecnologías más que cualificada, ya que, además de los mapas de Google Earth, utilizaron teléfonos satélite, o GPS." Desde mi punto de vista, estos ataques se hubieran hecho de todas maneras con o sin la ayuda de estos elementos tecnológicos y tal vez las autoridades tratan de trasladar la culpa para remover un poco de su responsabilidad.

Los ataques terroristas han estado presentes por ya mucho tiempo sin que existieran "facilitadores" tecnológicos...sería absurdo pensar que quitando Google Earth se eliminarán los ataques terroristas; finalmente se obtendrán los datos de planeación de otra manera. Google Earth pudo ser usado en todo caso como verificador de la información que tenían estos terroristas y dudo que el ataque haya sido concebido, planeado y armado solamente con esta herramienta. Como dije cuando salió la noticia de que Twitter podría ser usado por terroristas, también a las investigaciones de las autoridades de Mumbai se les olvidó mencionar que los terroristas usaron elementos tecnológicos como autos, celulares comunes y corrientes y hasta usaron ¡las calles! y autos para llegar a su destino...ah! también usaron armas y bombas "tecnológicas".

¿Van a clausurar las calles, los autos, los celulares, el correo electrónico, Google Earth, Twitter y mensajes SMS porque podrían ser usados por terroristas para futuros ataques? Desde mi punto de vista, es necesario pensar en mejores estrategias de prevención. Cancelando estos "facilitadores" tecnológicos no se mata la ideología terrorista ni los van a desanimar. Por cierto, existen muchos escritos sobre lo que motiva a los terroristas, pero uno que particularmente me interesó es el de Max Abrahms que lo pueden consultar aquí y que se titula "Lo que los terroristas realmente quieren"; leyendo el artículo sólo nos confirma una cosa ya sabida: los ataques no pararán removiendo estas herramientas de Internet...más efectivo sería controlar el contrabando de armas o invertir dinero en inteligencia de seguridad nacional.

Antes de Twitter y Google Earth había terrorismo y la información estratégica se obtenía por otros medios; si quitamos esos elementos tecnológicos realmente podemos decir que llevamos a cabo una medida efectiva?

Ya finalmente, un muy breve resumen de lo que expone el texto de Abrahms es que los terroristas:

a).- Atacan civiles para presionar y obtener lo que desean.

b).- Tratan al terrorismo como primer recurso, no como el último.

c).- Tienen ideales políticos cambiantes que pueden modificarse sin demasiada dificultad.

e).- Se resisten a dejar el terrorismo, aún cuando fallen en conseguir lo deseado repetidamente o inclusive aunque hayan cumplido sus objetivos.

f).- Se unen a grupos radicales por el hecho de sentirse parte de una comunidad.

g).- Generalmente no son los oprimidos (sobre todo los líderes), sino que se ven como defensores de aquellos que sí lo son.

h).- Están socialmente aislados (hombres solteros, mujeres viudas, etc.)

i).- Se unen a redes terroristas sin saber mucho de la plataforma política, antecedentes y objetivos del grupo subversivo. Tal vez se hayan unido al leer algún texto en Internet, por medio de un familiar o amigo, o al haber escuchado un discurso sobre las "causas" que persigue la red subversiva.

Correo malicioso: DECLARACION DE FIN DE AÑO EN LINEA

Me ha llegado un correo más que intenta que un usuario le de click a sus ligas para bajar al equipo programas maliciosos. Este correo aparentemente viene de la SHCP (iforme@shcp.gob.mx) con el Asunto de: "DECLARACION DE FIN DE AÑO EN LINEA".

Adjunto al final de este mensaje el correo entero. Cabe mencionar que todas las ligas llevan al sitio "http://www.cmblind.org/XXXXXX/Instalador.SHCP.php" (he modificado la liga por precaución) y se intenta bajar un archivo llamado SATMEX.exe.

Se ve por el contenido del correo que el creador es mexicano o al menos sabe bien lo que hace el SAT y sus objetivos fiscales en México. Al parecer el servidor www.cmblind.org está registrado en Tailandia.

¿Qué hacer? Ignorar este tipo de correos y siempre leer su correo en texto plano, de esta forma detectarán que las ligas no llevan al sitio del SAT o de la SHCP sino a un servidor llamado CMBLIND. Y claro, tener un antivirus actualizado y un firewall personal.

Aquí el mensaje completo del correo malicioso:

SAT, Servicio de Administración
Tributaria
Descarga de software de libre distribución, ayudas de cómputo y manuales de uso e instalación

Software y Formas Fiscales


El SAT ha desarrollado diversas herramientas electrónicas para facilitarle el cumplimiento de sus obligaciones, estos programas son gratuitos y pueden descargarse directamente desde este sitio.
También se enlistan las formas y formatos fiscales disponibles para consulta y, aquellos que indican que son de libre impresión pueden imprimirse considerando las indicaciones que ahí mismo se señalan. En esta sección encontrará las herramientas de cómputo que puede descargar e instalar en su equipo personal, permitiéndole cumplir con sus obligaciones fiscales de una forma directa, rápida, sencilla, segura y cómoda.

Para obtener cualquiera de las herramientas de libre distribución, solo ponga el puntero sobre la opción deseada y presione 1 sola ves.
Ejemplo: Si usted necesita DEM Centros Cambiarios y de Transmisores de Dinero, solo de clic sobre el mismo.

* Régimen de Micro, Pequeña y Media Empresa

Programa para ayudar micro, pequeña y mediana empresa en el cálculo de sus impuestos y el registro diario de sus ingresos.



* Listado de conceptos del impuesto empresarial a tasa única, IETU
* Listado de conceptos del impuesto empresarial a tasa única, IETU para empresas maquiladoras

Para capturar y enviar la información y el Listado de conceptos que sirvió de base para calcular el IETU



* DeclaraSAT versión 2008

Para elaborar y presentar la Declaración Anual de Personas Físicas y Morales, correspondiente al Ejercicio fiscal 2008 y años anteriores.



* Régimen de pequeños contribuyentes

Programa para ayudar a los pequeños contribuyentes en el cálculo de sus impuestos y el registro diario de sus ingresos.



* Sistema para elaborar y presentar la forma fiscal 74

Esta declaración es para uso exclusivo de Entidades Federativas, Distrito Federal o Municipios.

lunes, 1 de diciembre de 2008

Buen video: Jeremiah Grossman - TV interview with ABC News


Me topé con este video donde Jeremiah Grossman habla del fraude en línea, específicamente del phishing. No es obviamente un video técnico, ya que es producido por ABC para ser transmitido en su programa y ser escuchado por toda su audiencia. Al principio me pareció alarmista, pero ya viéndolo bien creo que es algo que deben saber las personas, ya que son finalmente sus finanzas las que están en juego y alguien debe de atraer su atención ante la serie de ataques de los que pueden ser víctimas.


Apple recomienda antivirus: no que no?


No lo veíamos venir (jeje), al menos no yo, pero Apple ahora recomienda tener un antivirus en plataformas Mac. ¿No que no? Vayan a cualquier tienda o vean los anuncios de Apple y promueven a los cuatro vientos casi casi que son "inmunes" a los virus y código malicioso. Pues no, no lo son...ya lo sabíamos pero con la publicidad muchos lo llegan a pensar.

Simplemente lo que pasa es que esa plataforma no ha sido jugosa para los atacantes, de ahí que la dejen en paz y se diviertan con Windows que tiene un mayor costo-beneficio al momento de escribir malware. En fin, ahora con la popularidad cada vez mayor de Apple gracias tal vez a sus iPods, se está ya convirtiendo en una plataforma interesante y no es raro que empiece a ser más atacada y así los atacantes obtendrán algún beneficio. El código de Apple no está libre de bugs, sólo que no no hay gente que los desee encontrar, hasta en años recientes que eso ha estado cambiando.

Aún así, y si mi presupuesto lo permite, deseo adquirir una Mac Book el siguiente año (¿tal vez la vendan el el nuevo Best Buy de Mundo E?). La interfaz del sistema operativo es realmente atractiva y aunque exista código malicioso y Apple recomiende tener un antivirus, sigue siendo una plataforma poco atacada y en consecuencia con menos exposición al riesgo.

En fin, leí que Apple hizo esta recomendación muy discretamente, ya que con tanto alboroto contra la inseguridad de Windows en su publicidad, es mejor que estos asuntos queden discretamente publicados...nada más para que no digamos que no nos dijeron.

Nota: por cierto, ya vieron el episodio donde Los Simpsons se ven cara a cara con los iPods de Apple y el mismísimo Steve Jobs? Está divertido, véanlo.

SC World Congress 2008


La revista SC organiza un congreso de seguridad en Nueva York. Los grandes temas a tratar serán Administración de Políticas, Amenazas Emergentes, Gobierno de la Seguridad (me gusta este tema). Algunos de los subtemas serán Prevención de Pérdida de Datos, Seguridad Web y Malware, Tercerizando la Seguridad, entre otros.

El Congreso es en Nueva York el 9 y 10 de diciembre, por si alguien anda por esos lugares en esas fechas. ¿Venderán las pláticas en un tiempo? Algunas parecen interesantes y las compraría si están a precios accesibles y si se pueden comprar por separado.


Errores humanos: preocupación para la seguridad en el Reino Unido (RU).


Una encuesta arroja con un 86% que directivos de TI del RU creen que sus empleados son la causa principal de incidentes de seguridad; y en particular les preocupan los errores humanos, ya que un 37% cree que estos errores son los que pueden conducir a incidentes de seguridad. En segundo lugar (31%) viene el incumplimiento de las políticas de seguridad corporativas.

Bueno, es verdad que muy probablemente uno de los eslabones más delgados de la cadena de seguridad es el factor humano que puede configurar mal un control o que por descuido o ignorancia da información valiosa que puede derivar en un incidente de seguridad.

Sin embargo, el problema con este tipo de encuestas es que no se basan en una métrica, se basan en lo que los directivos creen que es una preocupación de seguridad para las TI. Es decir, es la típica serie de preguntas con respuestas pre-establecidas para que un "directivo" las seleccione. El gran problema para variar es la carencia de métricas, de cifras que confirmen un hecho como el decir que los errores humanos son una causa importante de incidentes de seguridad o que la carencia de un control es una preocupación importante. Sin cifras, sin métricas, nos quedamos en el "creo que mi mayor preocupación es …", sin saber si estamos basándonos en una metodología, en cifras y hechos que sustituyan el "yo creo" con el "yo asevero basado en este análisis".

¿Es la percepción directiva correcta? Podría ser, deben de saber de lo que hablan; sin embargo nada puede sustituir datos duros, en blanco y negro que señalen los hechos tal y como son. El mundo financiero tiene una sobrepoblación de métricas e indicadores para medir casi cualquier cosa; en el mundo de la seguridad de la información estas métricas escasean y son pocas veces usadas. No podemos controlar o administrar algo que no podemos medir. ¿Hasta cuándo dejaremos de percibir en lugar de medir?