domingo, 21 de marzo de 2010

Una Webcam nos Vigila.


¿Para qué sirve una webcam incorporada en una lapotp? Tiene varios usos: para poder mandar video cuando se está chateando o cuando se hace una conferencia en línea; también para sacar un par de fotos (probablemente de nosotros mismos) entre otros fines. Todo lo anterior implica que la webcam está a mi servicio y la activo cuando quiero pero tal vez sea un error asumirlo.

Los alumnos de una escuela de Philadelphia (Lower Merion School District) aprendieron la lección a la mala: el colegio les dio una computadora para hacer sus trabajos académicos y tiempo después se sospecha que las autoridades escolares usaron la webcam incorporada en la computadora para espiar, al menos, a uno de sus estudiantes.

La sospecha se basa en la llamada de la Dirección a un alumno para explicar un “comportamiento atípico” en la casa del chico; al negar dicho comportamiento, se le mostró evidencia al alumno usando para este fin una fotografía tomada en su domicilio proveniente de la computadora otorgada al estudiante.

La escuela comentó que efectivamente instaló un programa en las computadoras en caso de que éstas fueran robadas (supongo que de esta manera podrían tener al menos una imagen del ladrón). Negó que utilizaran su software espía, digo, su programa de recuperación para usarlo con “otros fines”.

Actualmente, el FBI se encuentra investigando el caso, ya que podrían haberse violado algunas regulaciones de ese país, sin mencionar que la instalación del software espía jamás fue informado a los estudiantes o a sus padres.

Las webcams vaya que son de utilidad, principalmente para el ocio y hasta para cuestiones más serias. Sin embargo pueden ser usadas para otros fines (concretamente para espiar) y aunque esto suene remoto y “aquí eso no pasa” o “no imagino que eso me pase a mí”, piensen que algo similar pudieron asumir los alumnos y papás que vivieron esta situación.

La recomendación por el momento es fijarse que las laptops adquiridas tengan un indicador (una pequeña luz) para saber en qué momento están en uso y cuándo no. Y comento que es por el momento porque realmente esos indicadores están probablemente controlados por software y no de manera física (conectadas a la alimentación eléctrica, por ejemplo). Y si están controlados por software, bien podrían apagarse cuando la webcam realmente sí está en uso, bajo intervención claro del propio software espía.

Los alumnos de la escuela donde se dio el caso de espionaje empezaron a poner un pequeño papel sobre las webcams para estar seguros de que no se les estaría espiando. Y esa es una gran idea ya que la mejor manera de controlar el uso de la webcam sería a través de una tapa que cubriera físicamente la cámara.

Nuestras webcams pueden activarse a voluntad de un tercero como en el caso de la escuela, por troyanos, para cuestiones de pedofilia, o para otros fines.

En lo personal, hasta que encuentre una laptop con una webcam y su correspondiente cubierta de plástico no estaré totalmente tranquilo sentado frente a mi equipo (o pasando frente a él), ya que estaré preguntándome si una webcam me vigila.

lunes, 15 de marzo de 2010

Mantenerse en forma: tarea compleja.


El mes pasado, Secunia ofreció su reporte llamado “An empirical analysis of the patching challenge faced by the average private user”, que traduciéndolo diría algo así como “La tarea casi imposible de mantener un sistema al día”.

Secunia es una empresa que ofrece varios productos y servicios relacionados a las vulnerabilidades de software y también realiza trabajo de investigación en el mismo tema.

Esta empresa ofrece una herramienta gratuita (para Windows) llamada PSI (Personal Software Inspector), orientada a revisar un sistema de un usuario final y reportar parches (o en su caso) versiones faltantes de aplicaciones y el sistema operativo. De esta herramienta se extrajo información que ayudó a elaborar el reporte en cuestión.

En general, llamó mi atención la siguiente cifra: el usuario final promedio tiene alrededor de 66 programas instalados, provenientes de -más o menos- 22 fabricantes de software.

Lo anterior significa (a grandes rasgos) que el usuario promedio (de Windows) debe estar al pendiente de lo que 22 diferentes fabricantes de software publican en cuestión de parches y nuevas versiones para sus programas. Es de todos conocido que cada fabricante tiene diferentes esquemas de parchado (asumiendo que de hecho los tienen): unos parchan cada mes, otros publican nuevas versiones poco después de que sale una debilidad crítica y otros más esperan un tiempo para sacar sus parches “cumulativos”.

Secunia nos comenta que de su muestra, el 50% de usuarios se vieron afectados por alrededor de 80 actualizaciones a lo largo de 12 meses (en base a sus aplicaciones instaladas). Por otro lado, Secunia también nos dice que hablando de cifras generales, podríamos decir que muchos usuarios deben de actualizar/parchar alguna de sus aplicaciones o sistema operativo cada 5 días, o bien, llevar a cabo esta tarea 75 veces al año.

Algunas actualizaciones son automáticas, otras más serán manuales; algunas serán acompañadas de avisos y otras más tendrán que ser buscadas por el usuario en las páginas web de los fabricantes.

Puntualicemos: los datos de Secunia se extrajeron de su herramienta instalada en equipos de cómputo; es de suponer que los usuarios que tienen esta herramienta instalada se preocupan de una u otra forma por la seguridad de su sistema que los lleva a instalar una herramienta que (mundialmente) no es la más popular.

Lo anterior puede tener varias implicaciones; una de ellas podría ser que no es totalmente representativa. Pero lo anterior nos distraería del punto principal que es la tarea molesta, frecuente y a veces desconocida de parchar/actualizar.

Ya sea que se tengan 25, 50 ó 100 aplicaciones instaladas (y claro, el sistema operativo), lo cierto es que varias de ellas deberán de actualizarse para mantener al día el sistema. Se puede decir que el tener un antivirus y un firewall personal instalado (entre otras protecciones) pueden mitigar el riesgo de dejar a la deriva a un sistema en cuestión de actualizaciones, pero vaya, en lo personal me pondría nervioso dejar al SO/aplicaciones caducas aún con protecciones adicionales.

Los diversos esquemas de actualización y sus diferentes frecuencias dejan al usuario promedio en un estado de eterna persecución por el nuevo parche o versión.

En mi opinión, un esquema “exitoso” es aquél que actualiza automáticamente y donde el fabricante la empuja (a discusión estaría si es mejor pedir permiso o no al usuario). Cabe mencionar que este esquema “exitoso” no es usado por todos los fabricantes, por lo que igual hay que estar persiguiendo los parches. Y digo que es un esquema –entre comillas- “exitoso” porque en principio y en un mundo ideal (e inexistente, al menos actualmente), deberíamos de tener un software de calidad desde el punto de vista de seguridad que requiriera si bien no nulas actualizaciones, al menos un número muy reducido de debilidades que debieran de ser parchadas.

¿Y usted, cómo mantiene su sistema al día?

lunes, 8 de marzo de 2010

Los infectados a Cuarentena.


¿Cómo lograr un nivel aceptable de seguridad en Internet? A Scott Charney se le ocurrió una idea: poner en cuarentena a los equipos infectados con malware hasta su recuperación. Scott es vicepresidente de Cómputo Confiable (Trustworthy Computing) en Microsoft.

La propuesta gira en torno a que los ISP (Internet Service Provdier) bloqueen el acceso a Internet de las computadoras que se conectan a Internet a través de ellos. Scott indica que los gobiernos deberían obligar a los ISP a llevar a cabo estas cuarentenas.

Yo no comparto la idea.

Decir que hay que poner en cuarentena a los equipos infectados es trasladar el problema hacia un tercero (ISP/gobiernos) y evadir una responsabilidad; recordemos que muchos de los equipos infectados tienen un sabor de Windows.

Elaborando la idea de Charney, todos los gobiernos deberían de crear leyes para que los ISP pongan en cuarentena a los infectados…todos los gobiernos lo van a hacer? ¿La mayoría? De otro modo no será una medida eficaz. ¿Quién va a pagar la infraestructura de soporte técnico para responder las llamadas pidiendo explicaciones del bloqueo y luego asesoría para limpiar los equipos? ¿De quién es la responsabilidad de limpiar un equipo y mantenerlo seguro: de los ISP o –por ejemplo- de los fabricantes de los sistemas operativos?

En los corporativos, se tiene la opción de usar NAC: Network Access Control. La idea detrás de NAC es que un equipo deba de cumplir con ciertos requisitos antes de establecer comunicación con el resto de los sistemas en la red. Estos equipos deben de tener por ejemplo un nivel de parches aceptable (ej: al menos los del mes pasado), un antivirus actualizado (ej: al menos la firma de hace dos días) y un firewall personal activado; también pueden verificar que el AV de un equipo reporte que está limpio para finalmente dejarlo “entrar” a la red. Las características de cada producto de NAC varían, pero esa es la idea que al parecer el vicepresidente de Cómputo Confiable desea instaurar para los clientes de los ISP.

Bien, pero en los corporativos hay por lo general un área de sistemas que implementa el NAC y que lo administra para los equipos de la red informática empresarial; esta misma área y/o la de soporte técnico se encarga de los casos de soporte que lleguen a surgir debido al NAC. Es diferente llevar este esquema corporativo a una escala mundial donde los diversos ISP implementen una especie de NAC con –potencialmente- miles de usuarios que pedirán ayuda porque “de repente” no tienen “salida” a Internet.

Alrededor del mundo son millones los sistemas que están infectados, llámese botnet Conficker, botnet Mariposa, botnet ZeuS, troyano X y gusano W. Limpiar esos equipos y mantenerlos limpios es una tarea de grandes proporciones. Por otro lado pensemos que el negocio de los ISP es recibir dinero por permitir que sus clientes se conecten a Internet y es poco probable que por su voluntad impidan el acceso a sus clientes; muchos de ellos estarán furiosos: “¿Qué mi equipo está infectado de qué?”, “Páseme con su supervisor”, “Estoy pagando por Internet y quiero Internet”, “Entonces buscaré otro proveedor de Internet”, “Mi equipo no está infectado, cometieron un error”.

El malware es un problema. Afecta a usuarios en sus casas y a corporativos de todos los sectores y de todos tamaños. La solución no es trivial. Abro paréntesis: por ahí leí que se deberían de eliminar a los sistemas Windows y con eso se eliminaba el problema –esta solución no le gustaría al vicepresidente de Cómputo Confiable de Microsoft-, sin embargo por más tentador que la propuesta de eliminar Windows pueda resultar a los fans de Linux/Mac, esta no es una solución real y práctica; sin mencionar que –si se lo proponen- los creadores de malware también podrían infestarlos. Cierro paréntesis.

¿Qué se puede hacer para eliminar el problema del malware? Cada cabeza tendrá soluciones diversas, algunas prácticas y efectivas y otras no tanto. Yo empezaría por atacar donde les duele más a los creadores de malware actuales: sus ganancias. ¿Cómo? Con autenticación robusta en donde se involucren transacciones financieras. Autenticación para el usuario y por cada transacción/pago (o al menos las que involucren terceros). En vez de obligar a los ISP a bloquear a los equipos de sus clientes, se puede obligar a las entidades que tengan que ver algo con transacciones y pagos a que lleven a cabo autenticación robusta.

No es “La Solución”, y de hecho sería sólo una de las medidas por donde se podría iniciar. ¿A usted se le ocurren otras ideas?