domingo, 25 de octubre de 2009

Sé normal, Java.


¿Qué podríamos pensar de una aplicación que al actualizarse no desinstala versiones anteriores? Desde el punto de vista operativo, nos preocuparía que esté ocupando espacio necesario en nuestro equipo de cómputo. Desde el punto de vista de seguridad, podría ser posible que se invocaran a las versiones anteriores para explotar esas antiguas vulnerabilidades?

La versión más reciente de Java JRE es la 6-16 y al instalarla no remueve ninguna versión anterior de este programa que esté presente en el equipo. La idea de actualizar o parchar es remover las debilidades encontradas en las versiones anteriores de un programa, pero si la versión anterior vulnerable permanece “viva” en el sistema, entonces sirve de algo instalar el programa más reciente?

Java de alguna manera inhabilita –en la navegación web- las versiones anteriores al momento de instalar la más reciente; sin embargo, ya ha sido posible en el pasado invocar a versiones vulnerables anteriores y explotar sus debilidades, haciendo inútil el intento del usuario por permanecer al día.

Por ejemplo, hace un par de años, el Bug ID 6281384 del fabricante describía cómo era posible para un applet decidir qué versión de Java usar dentro del sistema. Claramente, lo anterior permitiría a un atacante fabricar un sitio con un script malicioso que precisamente decidiera usar las viejas versiones de JAVA para explotar sus debilidades y a partir de ahí llevar a cabo acciones no autorizadas. El bug fue resuelto, pero siempre está latente que alguien encuentre un nuevo bug que permita lo ya descrito.

Algunos programadores que desarrollan programas en la empresa (in-house), se podrían quejar de que sus aplicaciones dejan de funcionar si se desinstalan las versiones anteriores de Java, ya que la ejecución de lo que han desarrollado se “amarra” a una de las viejas versiones.

Una buena práctica es no anclar de esta manera a las aplicaciones e invocar y usar en todo momento la versión más reciente de Java; esto da libertad operativa y propicia un ambiente más protegido.

La recomendación para ambientes caseros y empresariales, es desinstalar manualmente -siempre que sea posible- las versiones anteriores de Java, ya que esto no sucede automáticamente como se podría esperar. A mí me dejó tres versiones anteriores de Java en un equipo, las quité y no experimenté ningún problema. ¿Y ustedes, a cuántas versiones de este programa le dan hospitalidad en sus equipos?


domingo, 18 de octubre de 2009

Volvámonos invisibles ante sus ojos.


¿Permitiríamos que nos robaran aún pudiendo hacer algo al respecto? No voy a repetir lo que hemos escuchado cientos de veces respecto a lo “malignas” que son las amenazas en línea ni de la necesidad de extremar precauciones online. Ha llegado la hora de ir más allá, a territorios inexplorados; a tierras donde seremos “invisibles”.

Usar esa computadora donde trabajamos, navegamos, jugamos, bajamos e instalamos todo tipo software y ¡ah!, también hacemos transacciones en línea, es hoy en día estar jugando a la ruleta rusa. ¿Problema exclusivo de usuarios caseros? Ya no tienen la exclusividad.

Pymes: el objetivo (también).

Las empresas pequeñas y medianas en EUA están perdiendo millones de dólares debido al código malicioso que se centra en transacciones en línea. Son ya un objetivo debido a que las PyME (en cualquier parte del mundo) manejan mayores montos de dinero que un usuario y es más lucrativo encargase de ellas, a la vez que no tienen departamentos de TI y/o de seguridad robustos para hacerle frente de manera eficaz a los criminales en línea como lo hacen los corporativos con más recursos.

Amenazas: las sabemos.

No voy a repetir que este año aparecieron troyanos que intervienen la sesión del navegador “on the fly” de la transacción (retirando montos tal cual fuera el usuario mismo, como reportó la revista del MIT), tampoco que han crecido los correos phishing o que varios sitios “buenos” alojan código “malo”, sin mencionar las decenas de vulnerabilidades que diariamente salen a la luz.

En fin, el punto es que por diversas causas, el crimen en línea sigue prosperando con quien se deje, tanto que se ha dicho que rebasa al narco. ¿Qué hacer? Cambiar de paradigma.

La solución.

Nuevo paradigma: invisibilidad. Olvidémonos de Windows o de mantener un antivirus actualizado. Olvidémonos de conseguir costosas soluciones de seguridad y aún seguir con la maldita duda de si nuestro equipo está infectado; tener miedo de iniciar esa transacción en línea porque navegué a ese sitio inapropiado. Hoy en día hasta los sitios apropiados pueden resultar peligrosos (¿verdad NYT?).

Usemos un live CD de Linux. Eso es todo. Podría dejar de escribir en este momento, pero ahondaré.

Problema: usar la misma computadora para el quehacer diario y también para transacciones financieras; uno nunca sabe qué es lo que se pudo haber instalado, si el sitio a donde navegamos era malicioso o si aquel CD pirata contenía algún regalito o si ese USB prestado que usamos era más peligroso que la death star.

Solución: un live CD de Linux (mi preferido es Ubuntu) que inicia un sistema operativo limpio en cada ocasión y la propuesta es usarlo solamente para hacer las transacciones en el sitio financiero; cuando acabamos, lo apagamos y regresamos a nuestra computadora de siempre. Recordemos que un live CD es aquel que puede “bootear” -iniciar- un sistema operativo (en este caso Linux) desde la memoria del equipo sin instalar nada en el sistema, dejando intacta nuestra computadora.

Problema: prácticamente todo el código malicioso (incluido obviamente el dedicado a robar dinero), está escrito para trabajar con Windows y al usarlo, navegamos con un barco de madera en un río de lava, esperando que las protecciones aguanten el incesante deseo de la roca ardiente por tomar el control.

Solución: un live CD de Linux. Este sistema no es objetivo de los atacantes y aunque lo fuera (hipotéticamente), recordemos que en este live CD nos iremos directamente a hacer las transacciones deseadas; no es para navegar, leer correos, jugar o instalar; nace para nuestro propósito y muere una vez que se logra.

Conclusión.

Un antivirus ineficaz o inexistente, un antivirus no actualizado, tal vez un parche de seguridad no instalado. Una des-habilitación momentánea del firewall personal, un CD pirata, un USB contaminado, un “sí” al sistema cuando debimos de decir “no”. Un descuido de un segundo, una confusión, un error pequeño: es todo lo que se requiere para perder el control del sistema ante un poderoso Troyano.

Si usamos la sesión del live CD de Linux únicamente para hacer las transacciones financieras en línea, estaremos reduciendo enormemente el riesgo y seremos casi invisibles ante los ojos de los atracadores digitales. Restaría fijarse en el certificado digital de la página web para completar el círculo de invisibilidad.

¿En qué me baso? Ya había pensado en este tipo de solución que de hecho es la que yo uso para mis transacciones personales. Pero fue hasta que leí un ensayo del SANS (Protecting Your Business from Online Banking Fraud) que mis ideas aterrizaron ya que ahí se analiza precisamente este esquema (entre otros) y donde se establece que la problemática ya no sólo es del usuario, sino de los corporativos también.

¿Suena ridículo? ¿A mucho trabajo? ¿Con un buen antivirus y/o un firewall personal es suficiente? ¿En nuestra corporación se tienen todo tipo de protecciones? No hay problema, olvídense de lo que dije, ni vale la pena poner un cometario de lo absurdo que suena todo esto. En cuanto a mí, prefiero pecar de precavido. “Sabed, piratas, que os costará trabajo arrebatarme mi oro, porque he logrado convertir mi navío en algo fuera de este mundo: un barco fantasma; invisible para sus ojos inundados de avaricia. Id a otras aguas, allá encontrareis fortuna”.

domingo, 11 de octubre de 2009

Estás perdiendo tiempo en el tráfico.

¿Cuántas horas pasamos en el tráfico a diario? Muchos de nosotros tenemos que gastar un tiempo considerable (¿dos horas por día?) en medio del tráfico. ¿Pérdida de tiempo? Sí, porque es un tiempo improductivo. Algunos escuchan noticias tratando de sacarle algo bueno a esta situación, tú haces algo para no perder sino ganar tiempo?

Yo escucho podcasts de seguridad. Me compré un iPod, bajé el iTunes y me dediqué (lo sigo haciendo) a buscar podcasts que me interesaran, en este caso, de seguridad y de tecnología. Quisiera enlistar algunos de los podcasts de seguridad que escucho a ver si se animan a copiar la idea y convierten así un tiempo perdido en un tiempo ganado. Ya no le temo al tráfico, lo veo como una oportunidad de ponerme al día.


Recomendaciones.

1.- Security Now [inglés]: definitivamente el mejor podcast de seguridad que he escuchado. Afortunadamente se publica semanalmente y de forma amena y profunda, Steve Gibson (acompañado de Leo Laporte) nos explica todo tipo de temas, desde tecnologías de seguridad informática hasta las noticias relevantes semanales. Podemos encontrar temas como “Crackeando GSM”, “Hackeando máquinas de votar electrónicas” o “Protocolo SSL/TLS” entre muchos otros temas muy interesantes. Yo me podría perder todos los podcasts menos este: http://www.grc.com/securitynow.htm

2.- The Silver Bullet Security Podcast [inglés]: mensualmente, Gary McGraw nos entrega una entrevista con líderes de seguridad como Ed Amoroso, Eric Cole, Peter Neumann, Dorothy Denning o Bruce Schneier. Definitivamente resulta interesante lo que estos líderes de opinión nos quieren decir: http://www.cigital.com/

3.-The SCMagazine Podcast [inglés]: en este podcast se tratan las noticias relevantes de seguridad informática de manera semanal.

4.- CERT’s Podcast Series Security for Business Leaders [inglés]: si bien se tratan temas de seguridad corporativos interesantes, lo cierto es que no lo hacen de una manera amena para el podescucha, cuestión que también es importante para mantener el interés del público.

5.- SANS Internet Storm Center Threat Update [inglés]: la reconocida organización de seguridad SANS nos trae diariamente las noticias relevantes de la semana en menos de diez minutos. Al igual que el podcast del CERT, aunque aborda temas interesantes no lo hacen de una manera muy amena que digamos, habrá que escucharlo y decidir.

Conclusiones.

El mensaje al final es que aprovechemos el tiempo escuchando estos podcasts mientras manejamos, hacemos ejercicio, viajamos en el metro o mientras regamos el jardín.

Por cierto, también hay otros podcasts que si bien no son de seguridad, son de tecnología en general y pueden resultar de interés, como Dommo con Javier Matuk y Ricardo Zamora, el New York Times Tech Talk o Byte con David Ochoa.

Yo sólo los escucho mientras manejo y creo que aprovecho bien esas horas, ya no lo veo como pérdida de tiempo, sino como una inversión para estar al tanto de temas de mi interés y lo mejor es que en lugar de estar horas leyendo, estoy horas escuchando. Es un buen negocio. ¿Y ustedes matan el tiempo o lo aprovechan?



lunes, 5 de octubre de 2009

Una propuesta que cambiará el mundo.

Al menos, cambiaría el mundo de la seguridad de la información. Mi propuesta es simple: un actualizador global de aplicaciones. Le podríamos llamar “Total Updater” o “Global Updater” y sería el encargado de actualizar todas las aplicaciones de un sistema de forma automática y transparente. ¿Les suena interesante?

 

Codificar es un proceso complejo y eso influye enormemente en las debilidades que son diariamente encontradas en todo tipo de aplicaciones. Los sistemas ejecutan decenas de ellas y de todo tipo. Ya sean procesadores de palabras, lectores de PDF o navegadores y todas estas aplicaciones requieren ser actualizadas más temprano que tarde.

 

Las empresas por lo general de alguna forma u otra le siguen el paso a las debilidades de su infraestructura y parchan. ¿Y los usuarios caseros? ¿Cómo saber que hay una nueva versión de nuestro antivirus o de ese programa con el cual disfrutamos de nuestros videos?

 

Mi propuesta: un software encargado de identificar todas las aplicaciones instaladas en un sistema y en base a ello que no sólo “sepa” de cada nueva versión, sino que se  encargue de bajarla y de instalarla, no importa de qué fabricante sea. Y preferentemente, que este proceso de actualización sea transparente para el usuario.

 

¿Ventajas? Una sola y muy poderosa: que todas las aplicaciones de un sistema se mantengan actualizadas, librando al usuario de diversas afectaciones derivadas de vulnerabilidades. Sería un gran mitigador de riesgo y al menos habríamos minimizado un vector de ataque.

 

Claro, este “Global Updater” también se actualizaría a sí mismo y la pregunta que queda en el aire es: quién debería de desarrollar esta “aplicación de aplicaciones”? ¿Los fabricantes de los sistemas operativos? ¿Un tercero? ¿Ya existe algo así? No sé de una solución que haga todo lo que aquí describimos. Por ejemplo el PSI de Secunia (gratuito) identifica parches faltantes de las aplicaciones, pero no los busca en los sitios de los fabricantes para instalarlos.

 

Cambiaría el mundo de la seguridad “casera” como lo conocemos, ya que este “Total Updater” sería el dolor de cabeza de los crackers y demás atacantes, que verían sus poderes reducidos. Encontrarían otras maneras, lo sé, pero pondríamos más piedras en su camino. El reto es que la mayoría de los equipos lo tuviera, pero eso escapa ya de las manos de este humilde bloguero.