miércoles, 30 de noviembre de 2011

QuickPost: Tienda de Aplicaciones Privada.


Me pareció interesante el concepto de tener una tienda de aplicaciones privada dentro de una empresa. La idea general es administrar las aplicaciones de los móviles de los empleados.

Aunque los usuarios podrían acceder a las tiendas de apps “de siempre”, existe la posibilidad de que la tienda privada sea la única que el empleado ve y desde donde baja aplicaciones aprobadas/desarrolladas/compradas por la empresa.

El departamento de TI tendría el control de esta app store© privada aprobando apps para empleados, borrándolas en caso de riesgo y verificándolas. Lo anterior no significaría que se eliminan todos los riesgos en los dispositivos; por ejemplo está el problema de la navegación en sitios maliciosos o por otro lado, el hecho de poder ejecutar attachments infectados del correo.

Todavía no me queda claro cómo se haría lo de "...and each app undergoes a code review before distribution". Para esto se tendría que tener cierto acceso al código fuente de terceros, cuestión que no pienso se pueda llevar a cabo sin problema alguno. Obvio si son apps de la propia empresa no habría obstáculo.

En mi opinión, no todas las organizaciones tendrán los recursos para armar una tienda de apps privada; pero puede ser un mercado que en el futuro lo explote un tercero quien estaría dando este servicio.
En el artículo de ArsTechnica se puede leer que IBM ya tiene algo parecido con su WhirlWind. Así es que esto no sólo es un concepto.

martes, 22 de noviembre de 2011

QuickPost: Penetración a un Sistema de Agua


Las plantas de agua son un ejemplo más de infraestructuras que son administradas con ayuda de sistemas de cómputo SCADA (Supervisory Control And Data Acquisition); así se le llama comúnmente al conjunto de software encargado de manejar plantas de agua, electricidad, etc.
Hace poco, un atacante cuyo nickname es pr0f, logró penetrar al sistema de aguas de Illinois. Al parecer usó una serie de posibles métodos para su ataque: robo de contraseñas de un tercero que da servicios de algún tipo a la planta de agua y acceso a un portal web accesible desde Internet.
¿El daño? Una bomba de agua dejó de funcionar porque se prendió y apagó repetidamente.
Por un lado, no hay que ser alarmistas y pensar que mañana mismo habrá un ataque masivo a infraestructuras SCADA de EUA y de aquellos países que usen sistemas similares. Esta vez fue una bomba de agua; no se envenenó a nadie ni se inundó un pueblo a causa del hackeo. Como siempre, no se puede hacer nada que el propio software no pueda controlar.
Ahora bien, por otro lado, es un hecho que estos sistemas SCADA estimo se pensaron alguna vez inmunes a ataques informáticos y de ahí que desde fábrica (y posteriormente ya implementados), estos sistemas presenten serios huecos de seguridad.
No me explico por qué estos sistemas tendrían que estar conectados a Internet permanentemente y por qué están desprotegidos. Y yo mismo me doy la respuesta: seguramente la gente que administra estos sistemas son expertos en plantas de agua o plantas nucleares, pero NO tienen una noción de los ataques que se pueden llevar a cabo vía Internet y tampoco entienden bien cómo proteger sus sistemas. Tal vez les falta un poco de paranoia.
Lo primero que yo haría es ver la justificación de que estos sistemas sean “vistos” desde Internet. Posteriormente ver la posibilidad de que sólo estén disponibles el tiempo que así se requiere. Y por último y de ser el caso, proteger los diversos accesos a Internet con cifrado y autenticación robusta.
Es sólo el inicio, me parece que la seguridad y protección de este tipo de infraestructuras es un trabajo permanente.

martes, 15 de noviembre de 2011

Seguridad Informática en Casa


Ok, tienes una computadora en casa y deseas tenerla segura. ¿Qué recomendaciones deberías de seguir para mantenerte fuera de problemas? Parto del supuesto que estás usando Windows (pero mucho de lo que digo aplica a otros operativos también).
Manos a la obra. Dividí este post en 2 partes. La primera de ellas tiene 5 recomendaciones y considero que son las básicas por si te da flojera llevar a cabo el resto de las sugerencias. Obvio que entre más consejos sigas estarás incrementando tu seguridad. Revisa todas y decide cuáles podrías seguir.
¡Ah sí! Menciono varios productos. No a todos les puse ligas. Usa Google y llegarás a ellos.
Básica 1: Actualizar sistema operativo y sus aplicaciones.
Cualquier sistema operativo va a requerir actualizarse y tiene mecanismos automáticos para llevar a cabo esta tarea. Asegúrate de activarlos; no cuesta dinero porque esta funcionalidad ya viene integrada (búscala en tu Panel de Control).  
Por otro lado, las aplicaciones que instalas también van a requerir su manita de gato y varias de ellas no proveen actualizaciones automáticas. Adobe Reader, Flash Player, Office o Java JRE son algunos ejemplos de  lo que tendrías que estar actualizando casi cada mes. El PSI de Secunia te puede ayudar a detectar las aplicaciones que necesitan un update.
Básica 2: Suite de seguridad.
Contar con un antivirus, firewall personal y un detector de intrusos es fundamental. Puedes pagar por una suite de seguridad que integre estas herramientas (cuesta alrededor de 700 pesos). O puedes buscar algunas gratuitas. Antivirus como Avast o Microsoft Security Essentials te pueden servir.  Comodo tiene su firewall personal gratuito.
Básica 3: Sesión de Usuario.
Cerciórate de que estás iniciando sesión como usuario y no como administrador del sistema. Trabaja el día a día en tu compu como usuario y sólo cuando lo requieras sé administrador.
Básica 4: Usa tu criterio e Investiga.
¿Eres de los que entra a cuanta página se le antoja porque recibiste el link vía correo/twitter/facebook? ¿Visitas sitios XXX tal vez? ¿Instalas cuanta cosa te late al ir navegando? Bien. ¿Y desde esa misma computadora ingresas a la banca en línea y tecleas los passwords de tus sitios favoritos? Tendremos un problema.
No voy a decirte que no abras adjuntos sospechosos, porque yo soy el primero en criticar estas recomendaciones vagas y absurdas (¿cómo sabría un usuario que algo es sospechoso??).
La sugerencia sería que te mantuvieras atento (por ejemplo leyendo este tipo de blogs o googleando/preguntando algo que no sepas). Usar el sentido común (¿de verdad el hijo del rey de Nigeria te dará dinero si lo ayudas a sacar un dinero de su país?) y sé escéptico (¿en serio tu Banco te dice que si no haces click en esa liga te cancelarán la cuenta? Investiga con tu Banco la veracidad de ese correo).
No hay dinero regalado ni offline ni en Internet. Los atacantes tratarán de que hagas click o visites esa página a como dé lugar.
Y si nuestro sentido común falla (después de todo no somos expertos en seguridad ni debemos de serlo), pues aquí están estas recomendaciones de este post que te podrán ayudar a protegerte (y enfatizo “ayudar”; ningún control tecnológico evitará que pongas por propia voluntad el password de tu Banco en una página maliciosa).
Básica 5: Respalda.
El post original contenía sólo las cuatro recomendaciones básicas arriba enlistadas y este de “Respaldo” iba a estar como no-básica. Pero caramba, finalmente los archivos (fotos, música, documentos relevantes) son los que dan vida a un sistema, no crees? Así es que entra como básica: respalda.
Yo sugiero el respaldo tipo 1-2-3.  Una copia del respaldo offiste. Usando dos diferentes medios (ej: disco duro y DVD). Tres copias de esos respaldos.
Puedes hacer respaldos mensuales en CD o DVD; tal vez en discos duros externos. Puedes usar la nube ahora que está de moda (Carbonite ofrece respaldos automáticos para varias plataformas y usa nube).
Usa el esquema y servicio que más te agrade PERO respalda. Respalda, respalda, respalda. Y que sea frecuente.

El Resto de las Recomendaciones son:
SandBox: la tendencia es que las aplicaciones incorporen una sandbox por default. Las últimas versiones de Chrome lo hacen; Adobe Reader también. Es mejor preferir este tipo de aplicaciones o ahí están productos como SandBoxIE que hacen el trabajo en la aplicación que desees. Una sandbox dificultará un ataque; cuando te manden un exploit le habrás dado una pastilla azul al malware y no dañará tu sistema principal.
WPA2: pensé en poner esta medida como básica, pero ya eran muchas básicas, no crees? En fin, en casa hay que activar el protocolo WPA o mejor el WPA2. Un amigo me comentó que su vecina estaba ofreciendo acceso a Internet a mitad de precio. ¿De dónde crees que “toma” la señal para venderla? Nota: el protocolo WEP “seguro” no es seguro y pueden entrar en tu red inalámbrica en menos de 5 minutos.
Si no sabes bien cómo habilitar WPA2 en tu ruteador inalámbrico en casa, llama a  soporte técnico de tu proveedor para recibir ayuda. Por ejemplo, el Wii, tu iPhone y iPad soportan este protocolo.
Navegación Inteligente: los ataques se centran en Internet Explorer. Luego entonces, usa mejor el Chrome que de hecho tiene una sandbox. O FireFox.
Recomiendo usar el NoScript (o equivalentes). Es un add-on que impide la ejecución de scripts en el navegador; te salvará de más de un problema. Grabémonos esto: los scripts son nuestros enemigos.
Y hablando de add-ons, está el Certificate Patrol que estará al pendiente de tus certificados y alertará de cambios sospechosos. Útil en esta época en que las autoridades certificadoras se tambalean y donde algunas de ellas perdieron nuestra confianza (y precisamente lo que venden es confianza).
Sí, la navegación por Internet se ha vuelto un verdadero paseo por la jungla. Una sugerencia engorrosa pero que te dará un nivel adicional de seguridad es navegar con una máquina virtual. Existen productos gratuitos como VirtualBox, Virtual PC o VMWare Player que te darán la capacidad de montar un sistema operativo “independiente” en tu sistema. Ya que lo instales, puedes arrancar un Linux por ejemplo (Ubuntu, FreeBSD o Linux Mint son buenas opciones). Y ahora sí, desde tu máquina virtual entrar a esa liga que te mandó “el amigo del amigo” o visitar ese tipo de sitios que sabes que te pueden instalar mugre y media sin que te des cuenta. Prueba este esquema de navegación.
También podrías considerar tener un UTM casero (Unified Threat Management) como el que ofrece Astaro (hasta ahora gratuito). O equivalentes. Te dará más protección al navegar, en tu correo y en tu red de casa. Los UTM tratan de darte una seguridad más “integral”.
Por último. ¿Quieres anonimato al navegar? Usa TOR, o como yo le digo: el Ruteador Cebolla. En lo personal ligo mucho esto de la navegación anónima con actividades poco honorables; asegúrate que usas anonimato para algo que valga la pena y no para andar haciendo porquerías. Gracias.
Cifrado de Datos: he escuchado a varias personas decir “pero si en mi compu no tengo nada realmente importante que alguien más quisiera”. Mi respuesta es: “ok, me permites hacer una copia de tu disco duro para llevármela y quedármela?” La respuesta es: “claro que no, tengo fotos personales y ahora que lo recuerdo, a ti qué te importa??”
En fin. Puedes usar TrueCrypt para cifrar tu disco duro entero o parte de él. También lo puedes usar para cifrar tus USB. Hablando de USB, existe un buen software de cifrado llamado Rohos Mini Drive especializado en cifrar dispositivos USB.
Ahora bien, si lo que te interesa es intercambiar correos cifrados, puedes usar opciones gratuitas como OpenPGP o GnuPG. Y una opción más simple y sin costo: HushMail que ofrece proteger tus correos al mismo tiempo que mantiene una interfaz web tipo GMail/HotMail fácil de usar.
Nota: si eres de los que consideran que “no hay nada importante en mi compu” te recuerdo que aun así existe el riesgo de que la conviertan en zombie.
Passwords: hace poco escribí un post de cómo crear contraseñas robustas pero fáciles de recordar. En resumen: personas pueden adivinar tu contraseña. Y si no, ahí están las computadoras para probar N posibles contraseñas hasta que lo logren. Sugerencia: usa contraseñas diferentes para cada sitio/servicio y que sean difíciles de hackear (pero fáciles de recordar).
Puedes usar apps gratuitas para administrar tus passwords. LastPass es una de mis favoritas, úsala y seguro te quedarás con ella.
Hablando de passwords, los servicios online tienen una opción de recuperar tu password en caso de olvido; asegúrate de que las preguntas/respuestas que hiciste sean algo que sólo tu podrías contestar. En medio de una pelea épica, tu compañer@ sentimental podría tratar de hacerse pasar por ti e intentar recuperar tu contraseña; ya le pasó a Palin, por ejemplo (aquí la motivación fue política).
Banca en Línea: prefiere que tu Banco te dé un token para entrar a su sitio (un token es un aparato que te provee de una nueva contraseña –dinámica- cada vez que entras al portal). Existe malware muy especializado cuya finalidad es robar tus credenciales de acceso (username + password estático) y quitarte tu dinero. Ejemplos abundan y constantemente salen nuevas versiones más complejas y difíciles de detectar/erradicar.
El token no es el fin de la historia. Debes fijarte en tener un sistema limpio para poder tranquilamente entrar en tu sesión de banca en línea. Una de las mejores maneras que he encontrado es usar un LiveCD de Linux (por ejemplo Ubuntu) y bootear tu sistema desde ese CD, arrancar FireFox y adelante con tu banca en línea. “Pero qué flojera hacer todo eso para una inche sesión con tu Banco”…ok, no hay problema. Es tu dinero, tú decides. Esta sugerencia te da un sistema limpio cada vez que booteas (sin que instales nada), y si agregas que la gran gran mayoría del malware está enfocado en Windows…ahí lo tienes!
Almacenamiento en la Nube. DropBox y el iCloud son servicios de almacenamiento de documentos en la nube. No son muy seguros pero entiendo que si pones ahí las fotos de tu perro o un trabajo de la escuela pues no tienes de qué preocuparte. Pero si vas a poner ahí la foto del IFE escaneada o documentos corporativos relevantes, es mejor que uses opciones más seguras. Wuala o JungleDisk aplican el PIE (Pre Intnernet Encryption) lo que significa  que automáticamente tus datos se cifran en tu sistema y salen así a la nube. Tú mantienes el control, no la nube.
Sistemas Operativos. Sé que dije que me enfocaría en Windows pero me fue irresistible hablar de este punto y además es a manera de conclusión de este largo y aburrido post.
Finalizaré diciendo que todos los sistemas operativos son inseguros instalados como vienen de fábrica (la gran mayoría de los fabricantes quieren que tengas un sistema funcional lleno de maravillosas monerías y no realmente un operativo seguro y restringido).
Sin embargo a todos ellos se les puede endurecer (hardening) para fortalecerlos. Bien configurados, bien administrados y bien usados no hay operativos mejores ni peores. Sin embargo considero que un buen operativo seguro “de fábrica” es FreeBSD. He de confesar que no lo uso del diario…para eso tengo el poderoso y limpio OSX.
Eso es todo. Y claro, te invito a compartir lo que tú haces para mantenerte fuera de problemas.