domingo, 13 de diciembre de 2009

Pensamientos Aleatorios del Cisco Security Report 2009.


Cisco publicó recientemente su “Cisco 2009 Annual Security Report”. Lo leí y me fueron surgiendo algunas ideas, comentarios y pensamientos que comparto con ustedes.

De Redes Sociales.

La interacción con clientes/proveedores/futuros clientes ya no es únicamente por medio el correo/teléfono, sino usando redes sociales. Varias cuestiones de la "vida" laboral se estarán publicando en dichas redes. La pregunta es: las políticas y políticas de seguridad corporativas incluyen el uso aceptable/seguro de las redes sociales por parte de los empleados? ¿Qué tipo de información puedo postear en Twitter? ¿Es correcto hablar negativamente de la empresa como empleado? ¿Puedo decir en LinkedIn sobre el proyecto en que estoy trabajando? ¿Puedo darle click a una liga que me manda mi amigo de la red social? ¿Bajo qué términos puedo atraer nuevos clientes usando una red social?

Por otro lado, no es nuevo decir que el malware ha encontrado un nuevo canal de distribución en las redes sociales y conforme se usen con mayor frecuencia que el correo en futuros años, es correcto predecir que el spam de correo disminuirá drásticamente para mejor explotar las muy usadas redes sociales?

De los Achicadores de URL.

Las chocantes y enormes ligas siempre han sido un dolor de cabeza (para mí, por lo menos) y ahora con redes como Twitter se hace más necesario que antes el poder "achicar" estas enormes URL. Hasta se antoja usar los servicios en línea como TinyURL o Bit.ly no sólo para redes sociales sino para las ligas internas corporativas. Sin embargo, algunos "creativos" han visto en esto un uso malicioso al esconder sus ligas "www.hacker.com/getVirus.exe" usando estos servicios para que los usuarios (avanzados o no) le den click y se puedan llevar una sorpresa. Aunque siendo honestos y aún viendo la liga frente a nosotros, realmente hace la diferencia en todos los usuarios? ¿http://www.google.analytics.com/ es una liga a la que le daríamos click o no? No es tan evidente, o si?

Del Malware que Gusta del $$$.

El malware bancario/financiero llegó para quedarse. Ya no es una tendencia sino una realidad, el malware está enfocado a robar dinero de cualquiera y de cualquier forma posible. Es posible comprar un toolkit del troyano bancario Zeus por $700.00 USD, creando nuevas versiones de sí mismo en cada compra para evadir a los antivirus. Otro "ganador" en 2009 es todo el software que ostenta ser un antivirus, pero que realmente es código malicioso. Los falsos antivirus han probado ser un éxito entre los usuarios de Internet, cosa que alegra a los maestros de este tipo de programas.

Del Problema de los N Passwords.

Contraseñas para Twitter, FaceBook, Bit.ly, Amazon, Cinemark en línea, Delicious, Digg, EverNote, GMail, Hotmail, YahooMail, Hi5, Telmex en línea, Liverpool en línea, OCC Mundial, iTunes, periódicos en línea y banca en línea. ¡YA NO QUIERO USAR MÁS CONTRASEÑAS PARA CADA SERVICIO EN LÍNEA! Punto. De otro modo la verdad estaré reciclando passwords y usando como máximo tres para todos los servicios en línea que uso. ¿Los “expertos” en seguridad dicen que es mala idea? Lo siento, pero para la gran mayoría de los usuarios es una buena idea dado que es fácil de administrar. Y mientras no haya otra solución, esto sí que será una tendencia 2010, 2011, etc.

De las N Ligas en una Liga.

Entren a una liga legítima de su preferencia. Probablemente este sitio “jale” N ligas de otros sitios mientras uno navega. Entren a www.ElUniversal.com, cuántas ligas jala el sitio que no es de El Universal? Entren a www.thesun.co.uk y pasen el ratón por encima de la página y verán N ligas que no son de TheSun. Ahora me explico por qué páginas legítimas y válidas pueden contener malware al visitarlas: por la cantidad de páginas foráneas que usan.

De la Fórmula de la Inseguridad.

Junten varios (o todos) de estos factores y los llevarán a la inseguridad según Cisco:

+ Contraseñas fáciles de adivinar; y re-uso de contraseñas.

+ Parchado inconsistente/nulo de aplicaciones y S.O.

+ Publicar “demasiada” información personal en línea.

+ Navegar con demasiada confianza (o como se conoce en México: el “a mí no me pasa”).

+ Protección antivirus nula o des-actualizada.

+ Sólo el antivirus es necesario para tener seguridad (sí, claro).