sábado, 28 de mayo de 2011

¿Por Qué No Actualizas?


“La verdad por flojera o porque no me acuerdo”, dicen algunos. Mantener el software de un equipo al día es difícil o al menos así lo comprueban los cientos de miles de sistemas (muchos de ellos Windows) que viven en la red y cuyo sistema operativo y/o aplicaciones están en el olvido. ¿Es realmente taaan difícil mantener actualizado el software?

Si la pregunta inicial que un usuario se hace es “¿Y para qué rayos debo de actualizar?” entonces tenemos un primer problema. Una búsqueda en YouTube de “aurora metasploit” arrojará diversas demostraciones del famoso hackeo a Google donde la respuesta del por qué actualizar vendrá en multimedia..caray, hay videos que hasta vienen con música! Luego de ver este y otros videos demostrativos donde llegamos a obtener un shell (es decir, entrar a la computadora de la víctima), restará ir a sitios como el de US-CERT, Vupen o Secunia donde al ver la cantidad y variedad de debilidades que se publican por semana, la persona se convertirá por convencimiento a la religión del Update. Si no es suficiente, la lectura de diversos blogs de seguridad (como este) deberá de bastar –creo- al ver la cantidad de ataques e inseguridades a las que nos enfrentamos.

Una vez que se entiende la importancia de actualizar, entonces sí viene la pregunta de por qué no lo hacemos si sabemos que es importante; existen varias posibles respuestas, de entre las que destacan:

+ “No me acuerdo”: pasan meses y meses sin que nos acordemos de actualizar. Ni que fuera la fecha de pago de la tarjeta de crédito.

+ “Tarda mucho”: hoy en día la frecuencia con la que se nos pide actualizar (si es que al menos el software nos lo recuerda) y el tamaño de muchos de los benditos updates da como resultado que tarde horas en bajar el mentado parche o peor cuando toca un “major update”. La conexión se alenta y literalmente tarda horas. Por lo cual es mejor posponerlo indefinidamente hasta que tengamos el tiempo y la paciencia de actualizar.

+ “No me avisan”: algunas aplicaciones y sistemas operativos nos avisan que hay una nueva versión esperando en Iternet. Otros (la mayoría) simplemente no lo hacen y dejan esta labor al usuario para que cheque sus versiones y vaya al sitio del fabricante para ver si hay una nueva versión. Sobra decir que es una tarea por demás aburrida y tediosa, más cuando hablamos de varias docenas de apps.

+ “Es pirata y no jala”: los que usan software pirata se pueden enfrentar a que el programa no se actualiza porque detecta “algo raro”, o simplemente porque se pide una licencia válida o bien porque se actualiza pero pide que se pague por el producto. ¿Qué les puedo decir? Hay algo que se llama Linux y que ¡sorpresa! no cuesta (ni sus apps).

+ “¿Y si no vuelve a funcionar?”: más de uno se pregunta si al actualizar su aplicación o sistema operativo volverá a funcionar o simplemente se dañará irremediablemente dejándonos la penosa tarea de re-instalar. Como dicen por ahí “si no está roto, no lo compongas”.

+ “Flojera”: esos minutos desperdiciados en dar clicks para actualizar o revisar el estado del sistema simplemente es aburrido. Es verdad. Se nos va la vida en estas tareas de flojerísima pudiendo estar viendo nuestro muro de Facebook, el útimo video en Youtube del perro que se persigue su cola o nuestro timeline de Twitter. Hay prioridades.

+ “Uso Linux/Mac”: no necesito explicar más. Desde el punto de vista de estos usuarios, ellos están más allá del update.

+ “Está hardenizado”: usuarios avanzados y de una secta obscura se atreven a endurecer su sistema operativo. Es broma señores, endurecer es una práctica excelente. La justificación es que como el sistema está endurecido, pues simplemente no es necesario actualizar o se puede hacer 2 ó 3 veces en el año (y dependiendo del nivel de endurecimiento esto último bien puede ser cierto).

¿Tú por qué no actualizas? Cada quien tiene una historia propia como cuando te preguntan “¿y qué estabas haciendo cuando pasó el temblor?” En fin, viene la pregunta obligada: y yo qué hago al respecto? Muy salsa y cual que mi sistema está con telarañas, no?

Tengo 3 equipos. Uno es de “producción” (o sea mi sistema primario), otro es para dar clases y uno más es de pruebas (a estos dos últimos no les presto demasiada atención). Al que le pongo más dedicación obviamente es al primario. Le doy una revisada una vez al mes y un fin de semana lo dejo actualizándose mientras voy al cine o veo una película. Si me avisa una app entre semana que hay una nueva versión, antes de apagar la compu dejo que se actualice y mientras realizo otra actividad.

Creo que todo se resume a actualizar mientras uno sabe que no va a usar el equipo o la red de casa y claro, tener un poco de disciplina para cada mes acordarse de que hay que hacer esta actividad (se pueden auto-recompensar cada mes que se acuerden y que actualicen). Otra recomendación es quitar todo lo que no uses: sí, así es. Des-instalar todo eso que ni usan y que no sólo ocupa espacio en disco duro sino que también los expone (así tendrán menos apps que actualizar). Ah sí, para los que tienen Windows, el PSI de Secunia puede ser un auxilio gratuito para estos menesteres.

Y si eres de los que actualiza, sigues alguna estrategia kung-fu en particular? ¿Algún rito que quieras compartir? ¿Una app que uses? Por cierto, hay geeks que me dicen que hacerlo sólo una vez al mes es una barbaridad..no hay nada como hacerlo varias veces a la semana o en cuanto salga el update.

Mantener el sistema operativo y sus aplicaciones razonablemente actualizadas es una de las bases para reducir el riesgo de infección o hackeo. Y como dijo Galileo “Y sin embargo no actualizan…”

PD: en otro post exploraremos esta problemática en una empresa donde puede haber miles de sistemas con cientos y cientos de apps. Si pensabas que actualizar un sistema es latoso, imagina un escenario con el problema multiplicado.

domingo, 8 de mayo de 2011

Dime dónde estas ¡AHORITA!


En un día de ocio visité Reino Animal para ver si estaba tan divertido como otros parques similares cerca del DF. Usé FourSquare para tuitear mi ubicación. Algunas horas después, un usuario de Twitter me cuestionó el hecho de anunciar el sitio exacto donde estaba. Pues bien, eso me dio la pauta para este blogpost.

No voy a explicar qué es FourSquare más allá de decir que es para juntar amigos y decirles dónde estás (con mapa y toda la cosa) y que opcionalmente puedes mandar dicha ubicación a Twitter o FaceBook. El servicio tiene otras características que podrás encontrar en su sitio.

Dicho esto, aquí van mis reglas de uso de FourSquare.

1. Sólo amigos en persona. En FourSquare sólo acepto amigos que he conocido en persona y que sé quiénes son en la vida real. Esto me ha llevado a tener sólo dos amigos dados de alta y que son de mi confianza. Por lo tanto, el servicio lo uso realmente para publicar esporádicamente ubicaciones a Twitter. Aquí en FourSquare me olvido de eso del “es casi imposible tener sólo a conocidos en nuestras redes sociales”.

2. No domicilio o lugar de trabajo. No hago check-in de mi lugar de trabajo ni de mi casa. Punto. De hecho extiendo esto a lugares que voy con frecuencia (parques, mi súper de preferencia, universidades donde doy clases, etc.). Pienso que este punto no requiere de mayor explicación, cierto?

3. No frecuente. No ando diariamente publicando dónde estoy. Si hago un check-in a la semana es mucho. No elimino, pero sí minimizo el riesgo que representa el hecho de ir haciendo una “ruta” diaria de ubicaciones para publicar mis hábitos de lunes a domingo.

4. Hacer check-in al salir. Por costumbre hago check-in de una ubicación al ir saliendo de un lugar y no al ir entrando o mientras estoy en él. En lo personal, deseo decir dónde estuve y no tengo el objetivo de encontrarme con alguien en algún lugar..y tampoco deseo que “alguien” vaya a mi encuentro porque está seguro de que ando ahí.

5. Publicar lo público. Cuando voy a dar una conferencia uso FourSquare para decir dónde estoy y que los interesados puedan ir. De todas maneras la dirección va a ser pública de una forma u otra. O cuando voy a un evento público como charlas de seguridad o similares, bueno, el sólo hecho de decir que estoy asistiendo a X evento es decir dónde estoy (bastará googlear el evento para obtener la dirección). Claro, si no deseas usar FourSquare para decir dónde estás, sé congruente y tampoco uses Twitter para decir que estás en Campus Party (no hay muchos lugares donde se lleve a cabo, cierto?).

6. Lugares con cientos de personas. El ejemplo sería un concierto en el Palacio de los Deportes. Aquí haría la excepción de publicar mi ubicación al salir (regla 4) y tal vez lo haría al entrar. Entre más personas es más difícil que me ubiquen y en mi caso tendrían que empezar por conocerme físicamente.

7. Lugares con teléfono. Estoy en un conocido restaurante esperando mi cena. Hago check-in casi al salir (sigo regla 4) y lo mando a Twitter. Alguien que me sigue lo ve, busca el teléfono del restaurante y pide hablar con Fausto Cepeda de parte de X o por el motivo W. A partir de ahí las posibilidades son varias, desde jugar alguna broma hasta algo más serio. Evito hacer check-in de este tipo de lugares o las veces que lo hago soy escéptico por ejemplo ante llamadas inesperadas.

Bueno, y cuáles son los riesgos de FourSquare?

El principal es de la privacidad (y no de seguridad informática; no estamos hablando de troyanos ni de exploits). Aunque varios de los que te dan esa respuesta no saben explicar exactamente por qué atenta a tu privacidad y se limitan a responder que porque “todos sabrían dónde estás”. Bueno sí, y? En serio, vuelvo a preguntar..bueno sí, y? Si no podemos listar algunas respuestas concretas, aquí van algunas.

1. Secuestro. Una persona (obvio no diré su nombre) me contestó claramente que por quien es y a lo que se dedica sería un error claro publicar su ubicación. En México el secuestro es algo serio y real. Aunque él mismo me confesó al final que independientemente de si usa o no FourSquare (o Facebook o Twitter), si alguien quisiera secuestrarlo lo iba a hacer (o al menos lo iba a intentar). Punto. Muchas veces la gente que se dedica a esta asquerosa actividad ilícita es cercana al secuestrado o tiene contactos que le informan de los pormenores de la víctima. Si FourSquare o Facebook pudiesen llegar a ser usados en tu contra es porque tú así lo permitiste (aquí no discutiré si ya ha sido usado porque no poseo datos duros); por si las moscas, echa mano de las características de privacidad de los servicios, sigue reglas e infórmate..ante la duda, no los uses.

2. Robo a casa. Que tal que al publicar mi ubicación en un concierto o en un lugar vacacional, unos hampones deciden robar mi casa ya que obviamente está vacía. No me he enterado de casos concretos y reales de que esto haya sucedido en México pero existen ciertos sitios que llaman nuestra atención a este hecho. Yo en lo particular me preocuparía más del poli de la entrada a un fraccionamiento o de ese vecino; ambos saben tus movimientos casi a la perfección (entre otros más). Además recordemos que el hecho de decir que estás en X lugar efectivamente sugiere que no estás en casa; pero volvemos a la regla 2 de no publicar la dirección de tu domicilio; entonces sólo las personas que sepan dónde vives y que te sigan en medios sociales podrían ir a robar tu casa mientras estás fuera (y recordemos que el hecho de que tú te encuentres fuera no quiere decir automáticamente que tu casa o depa está totalmente vacío sin alguien más en casa). Tal vez no venga al caso, pero un amigo me llegó a comentar “En el México de hoy, ya no es requerimiento que te encuentres fuera de casa para robártela y de hecho es preferible estar fuera de ella mientras la roban”.

Conclusiones.

Al final de cuentas, el que decide usar servicios como FourSquare eres tú. Como dicen por ahí, el problema no es el servicio sino cómo lo usamos. Yo te di algunas reglas que aplico..te pueden parecer muy buenas o francamente malas. Arma tus propias reglas para usar el servicio.

Y por supuesto, si estás dudando en usarlo..mejor no lo uses. De hecho, unos dicen que sólo le haces publicidad gratuita a X sito; otros más comentan que cuál es “el chiste” de andar diciendo dónde estás “porque a nadie le interesa”.

Por otro lado, un amigo usa FourSquare para estar en contacto con sus seres más cercanos (papás, esposa) quienes saben dónde está. No manda nada a Twitter o FaceBook.

En fin. ¿Qué te ha parecido este post? ¿Tienes algunas reglas para FourSquare que desees compartir? ¿Crees que usarlo tiene más riesgos que supuestos beneficios?

En fin, nos estamos tuiteando @FaustoCepeda.