jueves, 30 de abril de 2009

FYI: Irish reject e-voting, go back to paper

La mejor decisión que pudieron tomar, sobre todo desde el punto de vista de seguridad...

"The Irish government has given up on e-voting and is moving back to paper. The cost of continuing with the failed system is too high, and the crisis-stricken country is too cash-strapped."

http://arstechnica.com/tech-policy/news/2009/04/irish-reject-e-voting-go-back-to-paper.ars

Puntos a tomar en cuenta en el Trabajo Remoto.

La influenza ha puesto a las empresas a pensar en un esquema de trabajo remoto para seguir operando en contingencia y las que ya tienen este esquema probablemente lo estén usando. Dejando de lado el aspecto tecnológico y de infraestructura, aquí anoto algunas cuestiones más del lado "humano" que podrían afectar al trabajo remoto.

+ Electricidad: no es raro estar en casa y que se vaya la luz, al menos en México. Una tormenta, mucho aire u otros factores hacen que se vaya la luz por un corto o largo periodo de tiempo. Esto definitivamente afecta al trabajador remoto ya que por lo menos se queda sin Internet y las baterías de una laptop tienen un periodo de tiempo finito. Un "no-break" se hace imprescindible en esta situación como parte del "kit" de trabajo remoto.

+ Distracciones: en casa, las distracciones están a la orden del día.  Tocan el timbre, llaman por teléfono, llega el cartero o el del gas a inspeccionar las instalaciones. Quiero conocer a la persona que no atienda el timbre o la llamada telefónica, que ignore la música a todo volumen del vecino o a la televisión que ruge con explosiones y diálogos pegajosos de "Batman" y las risas y expresiones de quienes la están viendo.

+ Incredulidad: a los que vivan en familia, les será difícil explicar a los seres queridos que están en casa para trabajar, a ellos simplemente no les cae el veinte. Se les tiene que hacer entender que no podemos/debemos ayudar a tender la ropa, ir por la comida al súper o jugar "sólo un ratito". Realmente es difícil ignorar estas peticiones que se traducen en distracciones menores o mayores.

+ Espacio adecuado: ¿tenemos el espacio adecuado para estar 8 horas trabajando en casa? Esa mesa y silla están bien para navegar un rato, pero aguantamos estar ahí ocho horas? ¿La iluminación es la correcta? ¿La ubicación para evitar distracciones es la adecuada? ¿Realmente podemos decir que es un buen espacio para trabajar en casa?

+ Internet: para trabajar remotamente se necesita Internet y simplemente se vuelve irresistible navegar "un ratito" o de cuando en cuando, sin mencionar que "el jefe" no nos ve mientras navegamos. Más aún si en la empresa nos restringían el acceso a páginas de deportes o de otro tipo, en casa simplemente tenemos la puerta abierta a cuento sitio deseemos entrar. La empresa no estará muy de acuerdo en que gastemos tiempo en cuestiones no relacionadas con el trabajo.

+ Experiencia remota: este punto depende mucho del esquema tecnológico que se implante. Pero en muchas ocasiones simplemente estar trabajando en casa no es como estar en la computadora del trabajo y tener disponible la extensión telefónica correspondiente. Esos archivos que están en el disco duro del equipo de pronto nos hacen falta al trabajar remotamente, esa llamada que tanto nos importa no la podemos recibir. Ese archivo PST de Outlook donde se guardan correos, datos y teléfonos necesarios simplemente lo llegamos a extrañar de inmediato. Por ejemplo, algunas empresas dan acceso al correo electrónico y ya es "trabajo remoto"…¿lo es? Por otro lado, las aplicaciones que normalmente usamos tal vez no las podamos usar remotamente o tienen funcionalidad limitada.

+ Desembolsos: ¿El pago de acceso a Internet lo hace la empresa o la persona? La misma pregunta es válida para el costo del equipo que se usará en casa.

Conclusión. Se requiere disciplina por parte del trabajador para que realmente esté trabajando remotamente; aquí se vuelve todavía más importante la cuestión de trabajar por objetivos cumplidos y no pagar por estar "x" horas sentados. También la empresa tiene algunos pendientes de su lado que deberá de tomar en cuenta.


miércoles, 29 de abril de 2009

Deshabilitar AutoRun: buena medida pero tardía.

En el blog de Microsoft se anunció el martes 28 que se deshabilitaría la funcionalidad de AutoRun en Windows 7 y que enviarían una actualización a Vista y XP. Lo anterior, principalmente, para impedir que gusanos como el Conficker abusen de esta función para "brincar" desde un USB a la computadora. Bien para la versión 7, no tanto para XP y Vista.

Recordemos que AutoRun tiene como objetivo principalmente ejecutar automáticamente un archivo de un USB o CD de manera automática, muy usado en los medios de instalación o que incluyen propaganda con el fin de evitar que un usuario tenga que buscar en la raíz de un medio el archivo adecuado (por ejemplo, un setup.exe). Esta funcionalidad la aprovechan varios gusanos –worms- y otros códigos maliciosos para ejecutarse de manera automática e infectar al equipo.

Deshabilitarlo en Windows 7 es una buena idea. Pero si quieren deshabilitar esta función para XP y Vista siento opinar que es una medida tardía; por ejemplo los equipos infectados con Conficker se infectaron precisamente por no tener habilitada la actualización de software automática. Millones de equipos no actualizan Windows ya sea porque son piratas o porque alguna vez presentaron un error que impidió futuras actualizaciones, etc.

Así es que cuando manden la actualización y se deshabilite este AutoRun, sólo será en los Windows que continuamente actualizan. El resto simplemente no lo hará…y cuando me refiero al resto no son ni cientos ni miles de equipos. Por cierto, a los usuarios caseros muchas veces no les importa en lo absoluto si sus equipos se actualizan, y siendo francos, no tendrían por qué hacerlo.

Mi pregunta es: qué van a hacer con los Windows que no reciben actualizaciones? Dejarlos como están significa que los códigos maliciosos seguirán aprovechándose de ellos. Y me temo que así será.

lunes, 27 de abril de 2009

Ataque de día cero: H1N1

En el mundo informático, un ataque de día cero se caracteriza por explotar una vulnerabilidad para la cual no hay parche. Los exploits y virus no se hacen esperar y muchos usuarios quedan indefensos ante estos ataques. Ahora y como ya es sabido por todos, tenemos un ataque de día cero biológico por un nuevo virus proveniente de los cerdos (influenza porcina). Tenemos la “debilidad”, el “exploit” y el virus pero no el “parche”. Anoto a continuación algunas reflexiones, pero desde el punto de vista de las TI:

 

Necesidad de Trabajo Remoto.- esta alerta de influenza plantea a las organizaciones la conveniencia de tener (o en su caso empezar a planear) la infraestructura necesaria de trabajo remoto para que los empleados (al menos los críticos) pudieran trabajar remotamente desde su casa en caso de una emergencia que recomiende o de plano impida salir de casa. Como siempre, el trabajo remoto abre puertas al exterior y se deben de tomar las precauciones de seguridad necesarias en la infraestructura.

 

Procedimientos de alerta/emergencia.- ¿cómo proceder en los lugares de trabajo en caso de que haya una alerta por ejemplo de influenza? Si por disposición nos piden quedarnos a todos en casa, cómo se llevará a cabo el esquema de comunicación entre los empleados o qué se debe de hacer ante un caso de infección? Indudablemente, practicamos seguido para estar preparados ante incendios o sismos, sin embargo hay que pensar y planear lo que se debe de hacer (procedimientos) en caso de una alerta de este tipo.

 

BCP (continuidad del negocio).- ligado al punto anterior, el tema de continuidad de negocio se ve afectado por un virus como el que nos está afectando; se debe de analizar cómo dicho virus va a “pegarle” a la continuidad del negocio de una empresa y qué podemos hacer para contrarrestar los efectos adversos .

 

Análisis de riesgos.- las empresas que llevan a cabo sus análisis de riesgos, pocas veces incluirán a los virus biológicos como una amenaza, tal vez es tiempo de re-revisar estos análisis e incluir a esta amenaza para tomarla en cuenta y considerar el riesgo asociado (recordemos que en general un riesgo lo podemos aceptar, eliminar, transferir o mitigar).

 

Aprender a trabajar con “la mitad”.- un escenario nada descabellado (algunas empresas lo pusieron en marcha este lunes) es trabajar con personal reducido, con el ánimo de dividir a los empleados y contrarrestar la exposición del personal al virus. ¿Lo llevarían a cabo en sus empresas? ¿Quién se queda en casa y quién viene a trabajar?

 

Vocero interno.- ¿Existe la figura en cada organización del “vocero” que oficialmente dará las indicaciones pertinentes ante una alerta de virus biológico? ¿O simplemente habrá indicaciones de cada miembro de la alta dirección son el peligro de contradecirse?

 

Sitios maliciosos/poco éticos y spam.- ante una alerta como la de influenza, se han levantado ya sitios relacionados que buscan la des-información o bien que los usuarios bajen código malicioso. Ya les puedo decir que se crearon sitios como “swineflu”, “swinefluremedy”, “swineflusafe”, entre otros; algunos de ellos venden “remedios” contra la influenza o “guías” para sobrevivir en medio de esta alerta. También ya hay spam que aprovecha esta situación de alerta.

 

Notas adicionales:

1.- Google reporta ya una tendencia a la alza por búsquedas de “swine flu”.

2.- Existe desde hace un tiempo el sitio Google Flu Trends, el cual trata de indicar tendencias relacionadas a la gripa basándose en las búsquedas que las personas hacen en Google.

miércoles, 22 de abril de 2009

Modelo de Madurez para el Desarrollo de Software Seguro.

Recientemente tuve noticias de una nueva iniciativa relacionada a la creación de software seguro. Esta nueva iniciativa lleva el nombre de "Building Security In Maturity Model (BSIMM)". Intenta recopilar las propuestas de diversas metodologías del desarrollo de software seguro (OWASP, CLASP, etc.) y presentarlo ya agrupado y ordenado bajo el nombre de “BSIMMM” para que una organización pueda seguirlo y de paso averiguar qué nivel de madurez  tiene una organización respecto al desarrollo seguro de software.

 

El BSIMM dice que no es una guía tipo "how-to", sino una "colección de buenas ideas y actividades que están siendo usadas hoy en día" en el marco del desarrollo seguro de aplicaciones. Entre los autores de esta iniciativa se encuentra Gary McGraw, reconocido experto en el desarrollo de software seguro y que ha escrito varios libros sobre este tema, entre otras contribuciones.

 

El BSIMM propone un marco de referencia de seguridad de software (Software Security Framework) que viene siendo el eje de la iniciativa. En general es un documento extenso y sí, está enfocado específicamente a las áreas de desarrollo de software de una empresa para que lo entiendan y vean si es posible aplicar algo (o todo) de lo propuesto por esta iniciativa.

 

Finalmente, alrededor del mundo (y México no es la excepción) la seguridad del software que se desarrolla es todo un tema y si grandes fabricantes desarrolladores de software tienen problemas de seguridad en su código, casi es una garantía que las áreas desarrolladoras de una empresa codificarán software funcional pero inseguro.

 

El mensaje es que nos preocupemos por poner en producción aplicaciones no sólo funcionales sino también seguras (o lo más seguras posibles) siguiendo la iniciativa o metodología preferida que tenga como objetivo final hacer desarrollos lo más estables posibles desde el punto de vista de seguridad. ¿Y en su empresa, desarrollan programas seguros o sólo funcionales?

 

Demos un vistazo a este documento, tal vez de buenas ideas: http://www.bsi-mm.com/

 

martes, 21 de abril de 2009

Adiós al diseño del caza Strike Fighter.

Cuando en diversos foros o pláticas digo que "la información tiene valor" y que es uno de los “principales activos” de una organización, a veces veo caras incrédulas, como cuestionando "¿En qué sentido tiene valor?", "¿Cómo es que la información puede tener valor monetario?". El valor está en los productos, en la maquinaria, en el hardware, no en bits y bytes.

 

Y he aquí un buen ejemplo (y no aislado) de cómo el diseño de un jet caza de los EUA ha sido comprometido; se estima que el diseño ha costado alrededor de 300 billones de dólares. Ahora se sabe que varios terabytes de datos del diseño están ya en la computadora de alguien más. El intruso no tuvo que invertir en la creación del diseño, sólo unos cuantos dólares para bajar estos datos. Listo, así es como uno se roba algunos billones de dólares.

 

En este ejemplo claramente se puede encontrar una relación "datos-dinero". Y sí, la información que tiene valor existe y es codiciada.

 

Creador de gusano es contratado.

La semana pasada salió una noticia de que el creador de un gusano para el famoso sitio de micro-blogging Twitter, fue contratado por una empresa desarrolladora de software. En mi opinión, encuentro este hecho como un factor para alentar a que haya más gente que desee crear malware con el fin en mente de conseguir un empleo de esta manera, o bien que haya ataques más peligrosos para impresionar a posibles empleadores de las habilidades  del creador.

 

Premiar la creación de malware no es algo que en mi opinión ayude a la comunidad en Internet.

 

http://www.theregister.co.uk/2009/04/17/twitter_worm_job/

 

viernes, 3 de abril de 2009

Fácil prueba para ver si estamos infectados con Conficker

Ya sé que he hablado mucho de Conficker, pero esta página vale la pena mencionarla. Usando un navegador y observando si se ven algunas imágenes de un sitio, se puede saber si uno probablemente está infectado por este gusano. Interesante.

 

http://www.confickerworkinggroup.org/infection_test/cfeyechart.html

 

Una de PowerPoint día cero (CVE-2009-0556)

Nuevo ataque de día cero en PowerPoint (sin parche). Para variar, el fabricante dice que sólo existen ataques “limitados y dirigidos” y que mejor no se abran archivos sospechosos. Bonita recomendación. La versión 2007 se salva y no es vulnerable. En fin, es un alivio que sólo existan ataques limitados y dirigidos (es sarcasmo). Claro, mientras nuestra empresa no sea el objetivo de estos ataques dirigidos supongo que todo debe de estar bien??

 

http://www.microsoft.com/technet/security/advisory/969136.mspx

http://blogs.technet.com/msrc/archive/2009/04/02/microsoft-security-advisory-969136.aspx

 

 

 

Expo Seguridad

Llega a mis manos una publicidad de la Expo Seguridad a llevarse a cabo los días 21 a 23 de abril de 2009. Está centrada en seguridad física, pero vaya, con la integración de las áreas de seguridad física e informática es una Expo que puede resultar interesante.

 

Dejo la liga: http://www.exposeguridadmexico.com/

 

 

 

 

jueves, 2 de abril de 2009

Sitios maliciosos ofrecen ayuda vs Conficker

Es normal que con el alboroto del Conficker uno busque información sobre este gusano no sólo para saber cómo opera, sino para informarse de cómo removerlo o también cómo protegerse de él. Pues nada tontos, algunas personas se dieron a la tarea de crear sitios de “ayuda” o información de Conficker, pero lejos de ayudar, son sitios maliciosos que de hecho intentan infectar un equipo.

 

Estos sitios se han aprovechado de la publicidad y son cero confiables; ejemplos: conficker.biz, conficker.net, confickervirus.info o conficker-removal-tool.com. Tal vez usando Google uno pudiera llegar a este tipo de sitios, así es que a extremar precauciones en las búsquedas. Por este motivo ofrezco algunos sitios confiables para obtener información o ayuda:

 

Quitar Conficker:

https://securecloud.com/support/sysclean

ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

http://www.microsoft.com/security/malwareremove/default.mspx

 

Información General:

http://download.nai.com/products/mcafee-avert/documents/combating_w32_conficker_worm.pdf

http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx

http://blogs.technet.com/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx

http://www.confickerworkinggroup.org/

 

miércoles, 1 de abril de 2009

Espionaje estilo película de Hollywood.

Una red de espionaje infiltrada en más de 1,000 computadoras alrededor del mundo pertenecientes a oficinas gubernamentales, grupos activistas y organizaciones no gubernamentales. Documentos robados, correos interceptados, archivos desviados, minutas de juntas y otra información de los equipos de secretarías de estado relacionadas con Asuntos Internacionales de Irán, India, Alemania y Taiwán entre otros. Estamos hablando de la ya llamada "GhostNet".

 

Todo apunta a China. La investigación empezó en 2008 cuando personal encargado de las oficinas del Dalai Lama en India llamó a investigadores de la Universidad de Toronto (Canadá). Sospechaban de infecciones “extrañas”.

 

La investigación llevó a que no sólo equipos y servidores de las oficinas del Dalai estaban comprometidos y espiados de manera constante, sino que también computadoras de otros países (la mayoría en Asia) estaban siendo activamente espiadas; y no computadoras cualquiera, sino de embajadas, de secretarías de estado y de medios de comunicación. Las conexiones de la GhostNet se dirigían (dirigen) a China; sin embargo el gobierno de China se deslinda de estos hechos, pero el hecho es que el objetivo era estar monitoreando aquellas cuestiones relacionadas con el Dalai, las visitas que recibía, los apoyos obtenidos y las noticias que hablaban en torno a este líder espiritual que como sabemos no es para nada bien visto por el gobierno chino.

 

El resultado del estudio se puede obtener en estos sitios y se titula: “The snooping dragon: social-malware surveillance of the Tibetan movement”. Usaron todo tipo de artimañas como enviar adjuntos maliciosos, correos con ligas a sitios comprometidos, etc.

 

Una reflexión. ¿Hay alguien interesado en infiltrarse en las computadoras de nuestra empresa? ¿No? Tal vez los dueños de las más de mil computadoras bajo el mando de la GhostNet también pensaron que a nadie le interesaría o simplemente ni siquiera se detuvieron a pensar en ello.

 

Los dejo con un pensamiento de la investigación canadiense:

Organisations that maintain sensitive information on network-attached computers and that may have such opponents had better think long and hard. The implications are serious already for people and groups who may become the target of hostile state surveillance. In the medium term we predict that social malware will be used for fraud, and the typical company has really no defence against it. We expect that many crooks will get rich before effective countermeasures are widely deployed.”

 

Conficker Working Group

Por si es de su interés, el Conficker working Group: http://www.confickerworkinggroup.org.
Colaboran varios fabricantes, pero siendo sinceros podría tener más información que por cierto sí tienen varios de estos fabricantes pero en sus propias páginas web. Hay que reconocer el esfuerzo, pero ya que crearon el sitio tal vez hubiera sido bueno que le hubieran puesto más información y por cierto con una mejor interfaz.

Versión C de Conficker: predicciones exageradas fallan.

El día de hoy primero de abril se activó la versión "C" del gusano Conficker que incorpora mejoras a las versiones "A" y "B".

Las noticias hasta el momento indican que esta activación se produjo sin contratiempos visibles en Internet; se habló en días pasados de negaciones de servicio masivas a páginas web de organizaciones o consumo excesivo de ancho de banda entre otras afectaciones graves.

 

Por el momento, la activación de la versión “C” no ha tenido mayores implicaciones;  aunque en realidad una afectación podría dejarse venir en cualquier instante si los maestros del gusano así lo desean. Así es que de todas maneras habrá que asegurarse de tener el parche MS08-067 instalado, la funcionalidad Autorun deshabilitada, un firewall personal operando y el antivirus actualizado.

 


Worm attack chaos fails to strike.

The chaos predicted by some as the Conficker worm updates itself have so far failed to materialise.

 

http://news.bbc.co.uk/2/hi/technology/7976099.stm


Conficker activation passes quietly, but threat isn't over.

An expected activation of the Conficker.c worm at midnight on April 1 passed without incident […]

 

http://www.networkworld.com/news/2009/040109-conficker-activation-passes-quietly-but.html


Conficker tracking - all's quiet, so far.

So it's been April 1st for almost 18 hours now in New Zealand and it's the early hours of April 1st on the east coast of the United States. So what's going on? So far -- nothing.

 

http://news.zdnet.com/2100-9595_22-283883.html?part=rss&tag=feed&subj=zdnn


Conficker worm creates no reported instances on 1st April.

There have been no reported incidents as the world braced itself for the Conficker worm to strike.

 

http://www.scmagazineuk.com/Conficker-worm-creates-no-reported-instances-on-1st-April/article/129868/


Conficker botnet remains dormant - for now.

All quiet on the malware front.

 

http://www.theregister.co.uk/2009/04/01/conficker_activation/