Por un lado nos dicen que cuando no estemos en nuestro lugar debemos de bloquear la sesión para que nadie más haga uso de ella e ingrese a nuestro equipo e información. Por otro lado nos da flojera teclear la contraseña tantas veces al día; hay innumerables ocasiones en las que uno se levanta al sanitario, a una junta relámpago con el jefe o por una taza de café y preferimos no bloquear la sesión para no tener que ingresar la contraseña a causa de unos segundos o minutos que nos retiramos de nuestro lugar.
Hay por ejemplo tarjetas inteligentes que facilitan y fortalecen el proceso de autenticación, pero igual requerimos de darle una contraseña o PIN. Hay otras soluciones pero hoy se me ocurrió una ideal: no habrá un dispositivo que cuando estemos a digamos tres metros de nuestro equipo la sesión permanezca abierta, y cuando nos alejemos de esos tres metros la sesión se bloquee automáticamente? Y cuando volvamos a regresar al perímetro de los tres metros otra vez se abra la sesión.
Esto obviamente permite que el que tenga el dispositivo pueda abrir la sesión, es decir, se requiere únicamente un factor de autenticación: alguien que tiene algo. Debemos agregar otro factor de autenticación para fortalecerlo: algo que eres. Por ejemplo, que cuando estemos dentro de los tres metros pongamos nuestra huella del dedo y así sea la manera de abrir la sesión. El que tenga el dispositivo cerca del equipo y posea la huella dactilar correcta podrá trabar con la sesión.
Ejemplo: estoy en mi lugar trabajando y voy por café. La sesión se bloquea automáticamente porque yo me llevo el dispositivo cuando voy por mi taza y ambos salimos del perímetro de los tres metros. Regreso, me siento y pongo mi dedo en el dispositivo y listo: sesión abierta. Obviamente este dispositivo deberá tener ciertas características inalámbricas para saber cuándo se está adentro o fuera del perímetro de los tres metros y para transmitir información de autenticación del dispositivo hacia la computadora.
No sé si haya en el mercado algo por el estilo. ¿Es buena idea? Habría que pensarla bien y diseñar exactamente el mecanismo de seguridad de este dispositivo, ya que cuando hay información de autenticación que viaja inalámbricamente a mi me pone nervioso.
En fin, se me ocurrió hoy cuando me levanté de mi lugar al sanitario y pensé: por qué bloquear mi sesión si nada más me voy tres o cuatro minutos? La dejé abierta y estos momentos son precisamente los que espera un atacante; ahora que lo pienso, no recuerdo haber visto antes al señor de la limpieza que pasó por mi lugar cuando me levanté. Habrá que formatear, no hay remedio.
viernes, 30 de noviembre de 2007
jueves, 29 de noviembre de 2007
El mejor antivirus para vulnerabilidades de día cero...según Sophos
Apareció un estudio donde ponen a prueba a Sophos, Symantec y McAfee (los tres grandes del mercado antivirus según Gartner).
El estudio arroja que Sophos es el mejor para detectar debilidades día cero (son las que no tienen parche ni "workaround").
Si están por comprar un antivirus, pueden dejarse guiar por este análisis. Aunque habrá que tomar las conclusiones con reserva, ya saben, los estudios pueden ser tendenciosos en muchos sentidos.
Por cierto, al final del estudio, dice que el patrocinio fue de Sophos y de hecho el estudio se puede bajar de la página de Sophos. No me sorprende que adivinen-quién sea el ganador.
http://www.sophos.com/sophos/docs/eng/marketing_material/cascadia-sesc-review.pdf
El estudio arroja que Sophos es el mejor para detectar debilidades día cero (son las que no tienen parche ni "workaround").
Si están por comprar un antivirus, pueden dejarse guiar por este análisis. Aunque habrá que tomar las conclusiones con reserva, ya saben, los estudios pueden ser tendenciosos en muchos sentidos.
Por cierto, al final del estudio, dice que el patrocinio fue de Sophos y de hecho el estudio se puede bajar de la página de Sophos. No me sorprende que adivinen-quién sea el ganador.
http://www.sophos.com/sophos/docs/eng/marketing_material/cascadia-sesc-review.pdf
Crece robo de laptops en DF
El día 26 de noviembre, el periódico El Economista publicó una noticia respecto a que se ha incrementado el robo de computadoras portátiles principalmente en estacionamientos con valet parking y en cafeterías que se ubican en Reforma, Insurgentes y Lomas de Chapultepec.
El robo se produce cuando la víctima se descuida en una cafetería o cuando deja su aparato dentro de su auto en el valet parking. Estas computadoras son luego vendidas a "buenos precios".
Lo primero que a uno le viene a la mente es el costo de la laptop, que puede rondar entre $10,000 pesos o hasta $30,000 pesos más o menos. Sin embargo, aquí hago hincapié en el costo del robo de la información que contiene este aparato. Sobre todo si la laptop es de la empresa, seguro contendrá información corporativa; no quiero pensar si esa laptop es de una persona de nivel gerencial, entonces la información será aún más valiosa.
También siendo sinceros, los ladrones de este tipo de aparatos en el DF pocas veces van a husmear en la computadora para buscar información. Tal vez todavía nadie les ha dicho que no sólo pueden vender el hardware, sino que pueden ver el contenido en datos y decidir si tiene valor. Por otro lado, vayamos a un extremo donde el robo de la laptop no es casualidad, sino resultado de un ataque dirigido para obtener su contenido.
Los individuos dueños de laptops deben preocuparse por el costo del hardware a menos que tengan información financiera o de algún otro valor personal. Por otro lado, definitivamente para las empresas la preocupación no es el costo del hardware (es lo de menos), sino el costo de haber perdido la información y el uso que alguien más le pueda dar.
Recomendación: no dejar laptops en el valet y asegurar la laptop a la mesita del café.
La noticia en: http://www.eleconomista.com.mx/sinprivilegios/articulos/2007-11-26-49902
El robo se produce cuando la víctima se descuida en una cafetería o cuando deja su aparato dentro de su auto en el valet parking. Estas computadoras son luego vendidas a "buenos precios".
Lo primero que a uno le viene a la mente es el costo de la laptop, que puede rondar entre $10,000 pesos o hasta $30,000 pesos más o menos. Sin embargo, aquí hago hincapié en el costo del robo de la información que contiene este aparato. Sobre todo si la laptop es de la empresa, seguro contendrá información corporativa; no quiero pensar si esa laptop es de una persona de nivel gerencial, entonces la información será aún más valiosa.
También siendo sinceros, los ladrones de este tipo de aparatos en el DF pocas veces van a husmear en la computadora para buscar información. Tal vez todavía nadie les ha dicho que no sólo pueden vender el hardware, sino que pueden ver el contenido en datos y decidir si tiene valor. Por otro lado, vayamos a un extremo donde el robo de la laptop no es casualidad, sino resultado de un ataque dirigido para obtener su contenido.
Los individuos dueños de laptops deben preocuparse por el costo del hardware a menos que tengan información financiera o de algún otro valor personal. Por otro lado, definitivamente para las empresas la preocupación no es el costo del hardware (es lo de menos), sino el costo de haber perdido la información y el uso que alguien más le pueda dar.
Recomendación: no dejar laptops en el valet y asegurar la laptop a la mesita del café.
La noticia en: http://www.eleconomista.com.mx/sinprivilegios/articulos/2007-11-26-49902
Dime tu contraseña.
¿Se han encontrado con aplicaciones web que piden contraseñas y le dicen a uno qué tan "segura" es? Yo sí en varias ocasiones aunque nunca he puesto mis contraseñas a prueba en estas aplicaciones online. ¿La razón? Puede ser un truco para conseguir mi contraseña o alimentar a un diccionario de contraseñas para elaborar ataques de fuerza bruta.
En esta ocasión me encontré con una aplicación web (http://www.codeassembly.com/examples/passwordstrength.php) que curiosamente no sólo me pide mi contraseña, sino mi correo electrónico, nombre y apellido. ¿Por qué querrán saber mi correo y nombre si lo que quiero ver es la fortaleza de mi contraseña y puedo ver los resultados en la misma página web?
Se me ocurrió que alguien mal intencionado puede enviarnos correos diciendo que hay una fabulosa aplicación online para ver qué tan segura es mi contraseña. Y hasta nos puede pedir nuestra cuenta de correo para mandarnos la información analizada con gráficas y recomendaciones. Tal vez no recibamos el correo esperado y mientras tanto alguien más tendrá ya una contraseña nuestra junto con la cuenta de correo. Apuesto a que la contraseña que dan los usuarios en este tipo de páginas será funcional (servirá para entrar a la computadora del usuario, o para el correo web, etc.)
Esto puede ser la base para idear algo más "grande" a nivel empresarial o puede servir para propósitos más "mundanos" y obtener la contraseña y cuenta de correo de esa persona que tan mal me cae e inclusive husmear en la computadora o correo de una pareja sentimental. Todo depende de que la víctima acceda a probar la fortaleza de su contraseña y listo, a empezar a ver si es la del correo, la de la computadora, la de MySpace o FaceBook.
PD: en todo caso que deseen probar este tipo de aplicaciones, asegúrense de haber buscado ustedes mismos esta aplicación y que nadie se las haya enviado; y no dar ninguna información adicional que no sea la contraseña.
En esta ocasión me encontré con una aplicación web (http://www.codeassembly.com/examples/passwordstrength.php) que curiosamente no sólo me pide mi contraseña, sino mi correo electrónico, nombre y apellido. ¿Por qué querrán saber mi correo y nombre si lo que quiero ver es la fortaleza de mi contraseña y puedo ver los resultados en la misma página web?
Se me ocurrió que alguien mal intencionado puede enviarnos correos diciendo que hay una fabulosa aplicación online para ver qué tan segura es mi contraseña. Y hasta nos puede pedir nuestra cuenta de correo para mandarnos la información analizada con gráficas y recomendaciones. Tal vez no recibamos el correo esperado y mientras tanto alguien más tendrá ya una contraseña nuestra junto con la cuenta de correo. Apuesto a que la contraseña que dan los usuarios en este tipo de páginas será funcional (servirá para entrar a la computadora del usuario, o para el correo web, etc.)
Esto puede ser la base para idear algo más "grande" a nivel empresarial o puede servir para propósitos más "mundanos" y obtener la contraseña y cuenta de correo de esa persona que tan mal me cae e inclusive husmear en la computadora o correo de una pareja sentimental. Todo depende de que la víctima acceda a probar la fortaleza de su contraseña y listo, a empezar a ver si es la del correo, la de la computadora, la de MySpace o FaceBook.
PD: en todo caso que deseen probar este tipo de aplicaciones, asegúrense de haber buscado ustedes mismos esta aplicación y que nadie se las haya enviado; y no dar ninguna información adicional que no sea la contraseña.
martes, 27 de noviembre de 2007
Otro día cero para Windows.
Cuando se descubren vulnerabilidades sin que exista un parche o solución se le llama ataques de día cero. Varias fuentes respetables de seguridad (abajo citadas) han alertado de una debilidad al parecer en todas las versiones recientes de Windows. La información apunta a una vieja debilidad que aparentemente fue parchada pero que continúa de algún modo vulnerable.
Como podrán ver, la información de esta debilidad es muy general y hasta ambigua; esto debido a que la empresa está trabajando en un parche y no desea que se publique información sobre la misma para no dar datos que aproveche gente mal intencionada. Este anuncio de la debilidad se dio en una conferencia de hackers en Nueva Zelanda por el señor Beau Butler.
Particularmente interesante es que según parece, esta debilidad afecta a sistemas Windows que no estén en Estados Unidos. Alguien paranoico pudiera pensar que esto es intencional para afectar a equipos de otras naciones pero no del país en donde la empresa tiene su centro de operaciones.
Finalmente, si esta debilidad se confirma, volvería a decirnos lo que ya sabemos: que los sistemas que las organizaciones y personas usan, tienen debilidades a pesar de que estén parchadas "al día de hoy"; siempre hay una vulnerabilidad que no ha sido descubierta y que alguien podría encontrar y usarla en su beneficio sin que la víctima se de cuenta. Y claro, esto no sólo pasa en Windows, también usuarios de Linux o Mac OS X están en la misma situación aunque con un riesgo menor por el bajo interés que estos sistemas pueden tener.
Dependiendo de cómo funcionan las debilidades, algo que nos puede ayudar es un firewall personal que puede mitigar algunos riesgos de los ataques de día cero. Los antivirus y anti spyware realmente no tienen mucho qué hacer ante este tipo de ataques que yo considero por sus características los más peligrosos, ya que el crimen organizado y hasta gobiernos podrían hacer uso de ellos, cada uno con diferentes fines.
La información en:
http://www.virusbtn.com/news/2007/11_26.xml?rss=
http://www.theage.com.au/news/technology/flaw-leaves-microsoft-looking-like-a-turkey/2007/11/23/1195975914416.html
http://www.theregister.co.uk/2007/11/26/wpad_vuln_investigated/
Como podrán ver, la información de esta debilidad es muy general y hasta ambigua; esto debido a que la empresa está trabajando en un parche y no desea que se publique información sobre la misma para no dar datos que aproveche gente mal intencionada. Este anuncio de la debilidad se dio en una conferencia de hackers en Nueva Zelanda por el señor Beau Butler.
Particularmente interesante es que según parece, esta debilidad afecta a sistemas Windows que no estén en Estados Unidos. Alguien paranoico pudiera pensar que esto es intencional para afectar a equipos de otras naciones pero no del país en donde la empresa tiene su centro de operaciones.
Finalmente, si esta debilidad se confirma, volvería a decirnos lo que ya sabemos: que los sistemas que las organizaciones y personas usan, tienen debilidades a pesar de que estén parchadas "al día de hoy"; siempre hay una vulnerabilidad que no ha sido descubierta y que alguien podría encontrar y usarla en su beneficio sin que la víctima se de cuenta. Y claro, esto no sólo pasa en Windows, también usuarios de Linux o Mac OS X están en la misma situación aunque con un riesgo menor por el bajo interés que estos sistemas pueden tener.
Dependiendo de cómo funcionan las debilidades, algo que nos puede ayudar es un firewall personal que puede mitigar algunos riesgos de los ataques de día cero. Los antivirus y anti spyware realmente no tienen mucho qué hacer ante este tipo de ataques que yo considero por sus características los más peligrosos, ya que el crimen organizado y hasta gobiernos podrían hacer uso de ellos, cada uno con diferentes fines.
La información en:
http://www.virusbtn.com/news/2007/11_26.xml?rss=
http://www.theage.com.au/news/technology/flaw-leaves-microsoft-looking-like-a-turkey/2007/11/23/1195975914416.html
http://www.theregister.co.uk/2007/11/26/wpad_vuln_investigated/
viernes, 23 de noviembre de 2007
MAC OS X también inseguro
Regla: la cantidad de vulnerabilidades encontradas en el software es directamente proporcional al número de líneas de código fuente, e inversamente proporcional al tiempo de uso del software en cuestión y a su popularidad.
Siguiendo esta regla, Windows Vista tiene pocas vulnerabilidades (en uso desde hace algunos meses) en comparación de Windows XP (en uso desde hace varios años). Ambos productos tienen una enorme cantidad de líneas de código fuente y son muy populares.
Aplicando la misma regla, el nuevo sistema operativo de Apple, "Leopard" debe de contar con pocas debilidades encontradas, pero también las tiene y esto es un hecho después de que ya varios investigadores (y también gente que no pertenece precisamente al gremio de investigación) ha encontrado algunas debilidades en el sistema operativo de la Manzana.
Y aunque la regla mencionada al principio no es infalible ni científicamente probada, en mi opinión se puede aplicar bastante bien a varios productos de software y la pueden usar para decidir qué sistema operativo es más confiable que otro.
Cuidado. La regla habla de "cantidad de vulnerabilidades encontradas", que es diferente a las debilidades existentes. Una cosa es lo que logro encontrar y otra cosa las debilidades que en realidad posee. En pocas palabras, si un software tiene un tamaño considerable de líneas de código, su propia complejidad hace que tenga varias debilidades; la diferencia radicará en su popularidad y en el tiempo que lleva en el mercado lo cual hace que haya más gente dedicada a encontrar debilidades que un software poco usado y/o con pocos años de vida.
¿Sistema operativo seguro? ¿Linux? ¿Mac OS? ¿Son seguros o no son tan populares como para ser un blanco para la delincuencia? Si nos dejamos guiar por la regla mencionada al principio, podríamos obtener una respuesta. Por cierto, yo uso Linux Ubuntu, menos atacado que los sistemas de las ventanas.
El sitio donde se publican las debilidades para Mac OS: http://docs.info.apple.com/article.html?artnum=307004
Siguiendo esta regla, Windows Vista tiene pocas vulnerabilidades (en uso desde hace algunos meses) en comparación de Windows XP (en uso desde hace varios años). Ambos productos tienen una enorme cantidad de líneas de código fuente y son muy populares.
Aplicando la misma regla, el nuevo sistema operativo de Apple, "Leopard" debe de contar con pocas debilidades encontradas, pero también las tiene y esto es un hecho después de que ya varios investigadores (y también gente que no pertenece precisamente al gremio de investigación) ha encontrado algunas debilidades en el sistema operativo de la Manzana.
Y aunque la regla mencionada al principio no es infalible ni científicamente probada, en mi opinión se puede aplicar bastante bien a varios productos de software y la pueden usar para decidir qué sistema operativo es más confiable que otro.
Cuidado. La regla habla de "cantidad de vulnerabilidades encontradas", que es diferente a las debilidades existentes. Una cosa es lo que logro encontrar y otra cosa las debilidades que en realidad posee. En pocas palabras, si un software tiene un tamaño considerable de líneas de código, su propia complejidad hace que tenga varias debilidades; la diferencia radicará en su popularidad y en el tiempo que lleva en el mercado lo cual hace que haya más gente dedicada a encontrar debilidades que un software poco usado y/o con pocos años de vida.
¿Sistema operativo seguro? ¿Linux? ¿Mac OS? ¿Son seguros o no son tan populares como para ser un blanco para la delincuencia? Si nos dejamos guiar por la regla mencionada al principio, podríamos obtener una respuesta. Por cierto, yo uso Linux Ubuntu, menos atacado que los sistemas de las ventanas.
El sitio donde se publican las debilidades para Mac OS: http://docs.info.apple.com/article.html?artnum=307004
Gobierno del Reino Unido pierde datos
En el Reino Unido (RU), existe un programa que otorga beneficios a los padres de niños de ese país. El gobierno obviamente pide y almacena información de estas familias que reclaman el beneficio, como lo pueden ser nombre y apellidos, números de servicio social, cuentas bancarias y otros datos financieros, direcciones, años de nacimiento, etc.
A alguien que trabaja en esta organización gubernamental se le ocurrió mandar datos de 25 millones de personas en dos CD por correo. Sí, leyeron bien, en dos CD típicos y por correo no certificado. Para la mala suerte de esta persona, el envío se extravió y no ha sido encontrado. ¡Ah!, pero no está todo perdido, los CD fueron protegidos con contraseña, lo cual significa en pocas palabras que no está cifrada la información, por eso el término de "protegido con contraseña". Bueno, será fácil para alguien curioso poder leer los datos de los CD.
El punto aquí es que las políticas de seguridad de esa organización o fallaron o son inexistentes. Hoy en día una organización seria debe tener estas políticas que dictan la manera en que se pretende proteger la información que se maneja; en este caso el documento de la política de seguridad debería decir que no se debe enviar información en CD, y en el peor de los casos si lo haces que sea cifrado y con mensajería, por lo menos.
Esta es una lección para las organizaciones, ya que una falla de este tipo es realmente desde mi punto de vista, imperdonable. Es un ejemplo de lo que nos puede suceder si no manejamos la información como lo que es: un bien con valor. Por cierto, al empleado que hizo esto se le despidió y al Director de esa organización. Otro miembro del gobierno dijo que "siente profundamente este hecho y que se disculpa por la ansiedad que esto pudiera causar". Después de niño ahogado, ya para qué las disculpas.
Desde mi punto de vista y sin saber detalles del incidente, pienso que es esto se debió a un error de la política de seguridad, no debemos culpar al empleado que los mandó, sino a los altos mandos que no tuvieron el cuidado de impulsar a la seguridad en la organización, de implementar programas de concientización de seguridad, de no hacer del conocimiento de los empleados lo importante que es la información que manejan. Habría que ver si fue negligencia del empleado o más bien indiferencia de esa institución y del ya típico "eso aquí no nos va a pasar". Finalmente, podrán despedir a gente o sancionarlos de otra manera, pero el daño ya está hecho.
La noticia en:
http://www.infosecurity-magazine.com/news/071120_hmrc_lost_in_post.html
A alguien que trabaja en esta organización gubernamental se le ocurrió mandar datos de 25 millones de personas en dos CD por correo. Sí, leyeron bien, en dos CD típicos y por correo no certificado. Para la mala suerte de esta persona, el envío se extravió y no ha sido encontrado. ¡Ah!, pero no está todo perdido, los CD fueron protegidos con contraseña, lo cual significa en pocas palabras que no está cifrada la información, por eso el término de "protegido con contraseña". Bueno, será fácil para alguien curioso poder leer los datos de los CD.
El punto aquí es que las políticas de seguridad de esa organización o fallaron o son inexistentes. Hoy en día una organización seria debe tener estas políticas que dictan la manera en que se pretende proteger la información que se maneja; en este caso el documento de la política de seguridad debería decir que no se debe enviar información en CD, y en el peor de los casos si lo haces que sea cifrado y con mensajería, por lo menos.
Esta es una lección para las organizaciones, ya que una falla de este tipo es realmente desde mi punto de vista, imperdonable. Es un ejemplo de lo que nos puede suceder si no manejamos la información como lo que es: un bien con valor. Por cierto, al empleado que hizo esto se le despidió y al Director de esa organización. Otro miembro del gobierno dijo que "siente profundamente este hecho y que se disculpa por la ansiedad que esto pudiera causar". Después de niño ahogado, ya para qué las disculpas.
Desde mi punto de vista y sin saber detalles del incidente, pienso que es esto se debió a un error de la política de seguridad, no debemos culpar al empleado que los mandó, sino a los altos mandos que no tuvieron el cuidado de impulsar a la seguridad en la organización, de implementar programas de concientización de seguridad, de no hacer del conocimiento de los empleados lo importante que es la información que manejan. Habría que ver si fue negligencia del empleado o más bien indiferencia de esa institución y del ya típico "eso aquí no nos va a pasar". Finalmente, podrán despedir a gente o sancionarlos de otra manera, pero el daño ya está hecho.
La noticia en:
http://www.infosecurity-magazine.com/news/071120_hmrc_lost_in_post.html
Suscribirse a:
Entradas (Atom)
