miércoles, 31 de diciembre de 2008
Libro para codificación segura en Vista
Me encuentro con una liga de donde es posible bajar gratuita y legalmente un libro de Microsoft Press para aprender a escribir código seguro en Vista. Es de Michael Howard, así es que no debe de ser una pérdida de tiempo su lectura.
Sabemos que muchos de los problemas de seguridad están relacionados con la pobre codificación que se hace en los programas, así es que sobre todo para los programadores no está de más adquirir este PDF y darle lectura.
Un 2009 lleno de éxitos y permanezcan seguros.
martes, 30 de diciembre de 2008
Creando certificados falsos que parecen válidos
Un certificado digital incluye, entre otras cosas, una firma digital de una Autoridad Certificadora y su respectivo hash (huella digital) para efectos de comprobación. Yo no puedo cambiar simplemente esta firma porque el hash no concordaría. ¿O sí puedo? Investigadores de seguridad afirman que esto desafortunadamente es posible y resultaría en poder crear certificados digitales falsos que parecerían válidos para los navegadores, favoreciendo a los ataques phishing que ahora podrían presentarse con certificados digitales válidos.
¿Es una debilidad en SSL o en los navegadores? No, es un error de algunas Autoridades Certificadoras que han seguido usando el algoritmo de hash MD5 para validar sus certificados digitales a pesar de saber que el MD5 ya no es seguro. Este algoritmo MD5 tiene ya desde hace tiempo "colisiones", lo cual significa que es posible crear un contenido con dos hashes MD5 válidos, lo cual debería de ser "imposible". A pesar de esto, algunas importantes Autoridades no han cambiado a algoritmos más robustos como el algoritmo hash SHA-1 o SHA-2.
Esta necedad de seguir usando MD5 causa que un atacante pueda crear un certificado digital falso que aparenta ser de una Autoridad y con éste firmar otros certificados para cualquier sitio y que parezca válido a los "ojos" del navegador. En pocas palabras, el atacante crea un certificado digital falso de una Autoridad y sabemos que las Autoridades firman a su vez otros certificados. Esto crearía una conexión segura SSL hacia un sitio falso sin ninguna advertencia de seguridad ya que el certificado aparentaría ser válido usando obviamente https. Es la combinación perfecta para hacer sitios phishing que ahora parecerán reales. Por ejemplo, creo un sitio phishing https://login.server.yahoo.com con un certificado válido del sitio real y auténtico que en este caso es https://login.yahoo.com. Como puedo aparentar que la Autoridad firma el sitio que yo desee, entonces puedo crear certificados válidos para cualquier sitio de mi elección (esto sólo lo debería de poder hacer la Autoridad).
¿Hay buenas noticias en todo esto? No sé si sean buenas, pero al menos los investigadores han escondido partes de su investigación con la intención de que no "cualquiera" haga este ataque. ¿Cuánto tiempo permanecerán los detalles sin ser conocidos o descubiertos?
¿Qué se puede hacer para protegerse? No mucho (Microsoft ofrece algunos workarounds y afirmaciones tranquilizadoras, pero no puedo por el momento confiar ciegamente en ellos). Esta vez no hay parche. Al parecer nos podemos ver afectados si tenemos certificados digitales emitidos por Autoridades que hacen uso del algoritmo MD5 para efectos de validación.
¿Nos debemos de preocupar? La respuesta es difícil. El ataque requiere un nivel de dificultad importante y los detalles de cómo hacerlo no están publicados aún. Aún así, ya pasamos del terreno teórico al práctico.
Mi pronóstico es que los ataques que seguiremos viendo son donde se crean certificados digitales totalmente falsos con la esperanza de que el usuario lo acepte a pesar de la advertencia de seguridad del navegador. ¿Para qué darse a la tarea de hacer algo tan complicado si seguro tendré mucho más éxito haciendo ataques más primitivos y sencillos? Por otro lado, aún falta ver que tan práctico es este ataque en el "Internet real" y sus implicaciones. En fin, este es otro bug más al cual hay que seguirle la pista.
Sitios para aclarar dudas:
http://www.win.tue.nl/hashclash/rogue-ca/#sec8
http://blog.mozilla.com/security/2008/12/30/md5-weaknesses-could-lead-to-certificate-forgery/
http://blogs.technet.com/msrc/archive/2008/12/30/information-on-microsoft-security-advisory-961509.aspx
http://www.cryptography.com/cnews/hash.html
viernes, 26 de diciembre de 2008
CCTV...alguien está viendo?
Las CCTV...muy útiles para ver lo que pasó (pasado), pero otra historia es qué tan buenas son para ver el presente y poder, por ejemplo, intervenir durante un suceso en progreso. Y para poder intervenir, se requiere que alguien las esté viendo y alerte sobre un robo, una intrusión o algún otro evento relevante. La pregunta es: realmente hay alguien viendo todas y cada una de las imágenes de las CCTV en un edificio, una calle o una ciudad?
Al menos en el Reino Unido y debido a la situación económica actual, existen cámaras CCTV pero pocas son ya realmente atendidas. Se habla de falta de personal. Y sinceramente, esto no creo que sea sólo producto de la "situación económica", ya que me pregunto si sobre todo hablando de una ciudad entera, existe siempre suficiente personal analizando constantemente lo que pasa en los monitores...día y noche. Las CCTV funcionan muy bien como disuasivos, ya que alguien al verlas piensa dos veces si comete algún ilícito. Por otro lado, también funcionan bien para ver el histórico de lo que pasó en un incidente.
Pero no nos sintamos tan seguros al ver una cámara CCTV y creer que si alguien atenta contra nosotros, en minutos habrá fuerzas del orden en el lugar de los hechos. Vemos estas cámaras CCTV pero no se nos informa exactamente para qué sirven y cómo nos ayudarán. Las vemos aquí y allá, ignorando exactamente su función: nos ayudará alguien si somos víctimas de un crimen? ¿Servirá ante el Ministerio Público para constatar los hechos? ¿Sirven únicamente para cuestiones estadísticas? Puede que las CCTV en un edificio de una corporación tengan una función clara...pero las CCTV públicas son otra cuestión separada. Así es que vuelvo a preguntar: alguien está viendo?
Adiós a la Tenencia...pero hasta 2012.
Por fin, adiós a la tenencia. Algo que pensé nunca pasaría, sucedió. Hoy leo con agrado que para el 2012 se eliminará esta obligación nada querida en México. Pero seamos honestos, no creo que simplemente se desprendan de las enormes sumas que genera la tenencia y todo mundo tan feliz. Ya deben de haber ideado un método para sustituirlo...nadie deja ir dinero así porque sí.
viernes, 19 de diciembre de 2008
¿Un "cable" roto en el Mediterráneo?
No es cualquier cable. Es un "backbone" del mediterráneo. Eso es lo que reportan. Al parecer esto causó problemas en las comunicaciones entre Europa y países árabes el día de hoy 19.12.08. ¿Exactamente cómo es que se dañan estos cables submarinos? :-)
jueves, 18 de diciembre de 2008
Ataques de inyección SQL- MS08-078
Como ya lo había mencionado, ya hay ataques de "SQL injection" circulando por Internet. Más vale aplicar el parche Ms08-078.
Obama sin Smart Phone...igual que un CEO?
La pregunta: si Obama por ley no puede tener dispositivos móviles, lo mismo debe de aplicar a un CEO? La respuesta corta: no. De otra manera subámonos a una montaña en la mitad de una selva y permanezcamos ahí el resto de la vida.
La seguridad debe servir como un "habilitador", en este caso, para la movilidad. Podemos tener una blackberry con Internet y si le agregamos los factores de seguridad necesarios, reducimos el riesgo que es el objetivo de la seguridad. Podemos eliminar el riesgo y dejar de usar nuestra iPaq...pero es esto práctico?
Si yo fuera CEO, lo primero que haría es depedir a quien me dijo que no podía usar mi blackberry por motivos de seguridad.
La seguridad debe servir como un "habilitador", en este caso, para la movilidad. Podemos tener una blackberry con Internet y si le agregamos los factores de seguridad necesarios, reducimos el riesgo que es el objetivo de la seguridad. Podemos eliminar el riesgo y dejar de usar nuestra iPaq...pero es esto práctico?
Si yo fuera CEO, lo primero que haría es depedir a quien me dijo que no podía usar mi blackberry por motivos de seguridad.
miércoles, 17 de diciembre de 2008
Crónica de (otra) debilidad día cero de IE
No es la primera vez ni será la última. El miércoles pasado (10.12.08) se advirtió sobre una debilidad de día cero (sin parche) en IE 5, 6, 7 y 8. Se advirtió sobre ataques que usan SQL injection en combinación con esta debilidad y se detectó que sitios en línea de pornografía, juegos y apuestas (principalmente ubicados en China) estaban siendo usados como plataforma para lanzar este tipo de ataques.
Afortunadamente hoy (17.12.08) Microsoft reaccionó y emitió un parche (MS08-078) y se recomienda aplicarlo a la brevedad. Por cierto que los "workarounds" no son nada prácticos ya que giran en torno a deshabilitar el scripting del navegador dejándolo con muy poca funcionalidad. Otra recomendación era no navegar en sitios sospechosos...sugerencia por demás ridícula.
En fin, hay reportes que indican que la debilidad fue publicada por "error" por un grupo de "investigadores" de seguridad chinos. "Pensamos que la debilidad ya estaba solucionada". Sí claro. En fin, se rumora que la debilidad existía desde noviembre y se vendía en el mercado negro por $15,000 USD. La historia está extraña, pero no es casualidad que esta debilidad "apareciera" un día después del segundo martes de publicación de parches por parte de Microsoft (con esto se capitaliza la debilidad esperando que se resuelva hasta dentro de un mes).
Es buen momento para pensar en aplicar el parche en la infraestructura.
Afortunadamente hoy (17.12.08) Microsoft reaccionó y emitió un parche (MS08-078) y se recomienda aplicarlo a la brevedad. Por cierto que los "workarounds" no son nada prácticos ya que giran en torno a deshabilitar el scripting del navegador dejándolo con muy poca funcionalidad. Otra recomendación era no navegar en sitios sospechosos...sugerencia por demás ridícula.
En fin, hay reportes que indican que la debilidad fue publicada por "error" por un grupo de "investigadores" de seguridad chinos. "Pensamos que la debilidad ya estaba solucionada". Sí claro. En fin, se rumora que la debilidad existía desde noviembre y se vendía en el mercado negro por $15,000 USD. La historia está extraña, pero no es casualidad que esta debilidad "apareciera" un día después del segundo martes de publicación de parches por parte de Microsoft (con esto se capitaliza la debilidad esperando que se resuelva hasta dentro de un mes).
Es buen momento para pensar en aplicar el parche en la infraestructura.
viernes, 12 de diciembre de 2008
¿Ayuda la disposición para registrar celulares?
La Cámara de Diputados aprobó ayer jueves una reforma que entre otras cuestiones obliga a todos los usuarios nuevos y ya existentes de celulares a registrarse con las compañías de telefonía con huella dactilar, nombre y dirección; también las compañías deben de mantener conversaciones hasta por 12 meses y otorgarlas a los procuradores. Y eso no es todo.
También se mantendrán durante 12 meses los mensajes SMS y se registrará la ubicación geográfica desde donde se hacen llamadas (leí por ahí que hay dificultades técnicas para lograr esto al 100%); se grabará el registro del número telefónico desde donde se hace la llamada o mensaje SMS y hacia donde va dirigido. Big Brother is watching you. ¿Así o más invasión a la privacidad?
Puntos a considerar sobre esta nueva disposición:
1.- ¿Estamos contentos con dar nuestras huellas dactilares para poder comprar un celular? ¿Las van a resguardar adecuadamente? Si se comente un ilícito, exactamente de qué les servirá la huella?Ahora tendremos que entregar nuestras huellas en cualquier punto de venta...y cada punto de venta se convertirá en una pequeña base de datos que relaciona nombres, direcciones y huellas dactilares.
2.- Ok, me robaron el celular y antes de que lo pueda reportar como robado (recuerden, no tengo ya celular y probablemnete tampoco dinero), cometen un ilícito (secuestro). La policía me buscará y me hará cargos. "Oigan, pero me robaron el celular", diré yo. "Eso es lo que todos dicen", dirán ellos. Verdaderamente será un riesgo tener un celular no sólo porque me lo roben (pérdida monetaria), sino ahora porque me pueden hacer cargos si alguien más hace un mal uso del dispositivo.
3.- ¿Grabar y conservar conversaciones y mensajes SMS por 12 meses? ¿Cualquier procurador podrá pedir la grabación y no por medio de un juez? Ok, eso no me tranquiliza. ¿Se podría dar el caso de que "inventen" un posible ilícito y que justifique así el espionaje? Después dirán "Oh!, lo siento, realmente fue una falsa alarma", pero mientras ya tienen las conversaciones. Políticos, artistas, delincuentes y ciudadanos usan celulares...de quién quieren escuchar conversaciones?
4.- Ahora el robo de celulares podrá venir acompañado del daño al dueño para que no denuncie el robo al menos por un par de horas o de días. ¿Golpiza? ¿Secuestro express? ¿Amenaza (sé dónde vives)? Traer celular ya no será como antes; ahora el riesgo puede ser doble.
5.- ¿Realmente creen que van a detener a los delincuentes con este medida? Usarán celulares de otros países, clonarán, amenazarán al dueño si denuncia, falsificarán documentos, usarán teléfonos públicos e irán al mercado negro de robo de celulares a conseguir alguno. Lo que hace esta medida es dificultar la tarea del delincuente, no sé si realmente la evite. Puede ser que se reduzca este ilícito, pero a qué costo para los ciudadanos que perdieron privacidad y que aumentaron su riesgo de portar un celular?
En fin, no me imagino un buen uso del poder que se tendrá para escuchar conversaciones. No me imagino a los delincuentes que se darán por vencidos ante esta medida. No me imagino a un vendedor de celulares en la vía pública (ambulante) registrando huellas...se les acabó el negocio?
Ahora bien, he leído comentarios a favor de esta medida ya que está orientada a nuestra protección y sí, hay que sacrificar algunas cosas para tener esa ansiada seguridad. También leo que finalmente esta medida dificulta el ilícito al delincuente y reducirá así drásticamente su mal uso. Que las compañías de celulares no desean seguir estas medidas y ponen "pretextos" porque tendrían que invertir una suma importante para cumplir cabalmente con la disposición.
Pensamientos encontrados. Diversas opiniones. Ustedes tienen la palabra.
NOTA: Aquí pueden leer una serie de argumentos en contra de esta medida. Finalmente, busquen en Google "huellas celulares" y podrán encontrar más referencias del tema.
También se mantendrán durante 12 meses los mensajes SMS y se registrará la ubicación geográfica desde donde se hacen llamadas (leí por ahí que hay dificultades técnicas para lograr esto al 100%); se grabará el registro del número telefónico desde donde se hace la llamada o mensaje SMS y hacia donde va dirigido. Big Brother is watching you. ¿Así o más invasión a la privacidad?
Puntos a considerar sobre esta nueva disposición:
1.- ¿Estamos contentos con dar nuestras huellas dactilares para poder comprar un celular? ¿Las van a resguardar adecuadamente? Si se comente un ilícito, exactamente de qué les servirá la huella?Ahora tendremos que entregar nuestras huellas en cualquier punto de venta...y cada punto de venta se convertirá en una pequeña base de datos que relaciona nombres, direcciones y huellas dactilares.
2.- Ok, me robaron el celular y antes de que lo pueda reportar como robado (recuerden, no tengo ya celular y probablemnete tampoco dinero), cometen un ilícito (secuestro). La policía me buscará y me hará cargos. "Oigan, pero me robaron el celular", diré yo. "Eso es lo que todos dicen", dirán ellos. Verdaderamente será un riesgo tener un celular no sólo porque me lo roben (pérdida monetaria), sino ahora porque me pueden hacer cargos si alguien más hace un mal uso del dispositivo.
3.- ¿Grabar y conservar conversaciones y mensajes SMS por 12 meses? ¿Cualquier procurador podrá pedir la grabación y no por medio de un juez? Ok, eso no me tranquiliza. ¿Se podría dar el caso de que "inventen" un posible ilícito y que justifique así el espionaje? Después dirán "Oh!, lo siento, realmente fue una falsa alarma", pero mientras ya tienen las conversaciones. Políticos, artistas, delincuentes y ciudadanos usan celulares...de quién quieren escuchar conversaciones?
4.- Ahora el robo de celulares podrá venir acompañado del daño al dueño para que no denuncie el robo al menos por un par de horas o de días. ¿Golpiza? ¿Secuestro express? ¿Amenaza (sé dónde vives)? Traer celular ya no será como antes; ahora el riesgo puede ser doble.
5.- ¿Realmente creen que van a detener a los delincuentes con este medida? Usarán celulares de otros países, clonarán, amenazarán al dueño si denuncia, falsificarán documentos, usarán teléfonos públicos e irán al mercado negro de robo de celulares a conseguir alguno. Lo que hace esta medida es dificultar la tarea del delincuente, no sé si realmente la evite. Puede ser que se reduzca este ilícito, pero a qué costo para los ciudadanos que perdieron privacidad y que aumentaron su riesgo de portar un celular?
En fin, no me imagino un buen uso del poder que se tendrá para escuchar conversaciones. No me imagino a los delincuentes que se darán por vencidos ante esta medida. No me imagino a un vendedor de celulares en la vía pública (ambulante) registrando huellas...se les acabó el negocio?
Ahora bien, he leído comentarios a favor de esta medida ya que está orientada a nuestra protección y sí, hay que sacrificar algunas cosas para tener esa ansiada seguridad. También leo que finalmente esta medida dificulta el ilícito al delincuente y reducirá así drásticamente su mal uso. Que las compañías de celulares no desean seguir estas medidas y ponen "pretextos" porque tendrían que invertir una suma importante para cumplir cabalmente con la disposición.
Pensamientos encontrados. Diversas opiniones. Ustedes tienen la palabra.
NOTA: Aquí pueden leer una serie de argumentos en contra de esta medida. Finalmente, busquen en Google "huellas celulares" y podrán encontrar más referencias del tema.
lunes, 8 de diciembre de 2008
Correo malicioso: Haz recibido una postal desde Terra!
Otro correo falso que intenta que le demos click en las ligas para bajar código malicioso.
Nótese que las ligas lo llevan REALMENTE a uno a la dirección en Gran Bretaña: http://tckct.co.uk/index_files/viewcard.php?id=0MFF455782275242
Como siempre, hay que leer el correo en texto plano, ignorar este tipo de mensajes y marcarlos como spam.
A continuación el mensaje original:
= = = = = =
Nótese que las ligas lo llevan REALMENTE a uno a la dirección en Gran Bretaña: http://tckct.co.uk/index_files/viewcard.php?id=0MFF455782275242
Como siempre, hay que leer el correo en texto plano, ignorar este tipo de mensajes y marcarlos como spam.
A continuación el mensaje original:
= = = = = =
Hola. Alguien ha elegido una postal de amor para tí, en Terra Para verla simplemente haz click aquí y a continuación ejecutar:
http://postales.terra.es/cat/viewcard.aspx?id=0MFF455782275242
Si no puedes ver la postal:
1) Copia el código de la misma: 0MFF455782275242 2) Entra a: http://postales.terra.es/cat/viewcard.aspx y allí ingresa el código de la postal en el primer casillero en blanco, luego haz click en el botón de Enviar
Esperamos que te guste y que visites http://postales.terra.es/ para enviar tus propias postales electrónicas.
Saludos
Postales en Terra
http://postales.terra.es/
EUA advierte huecos en su seguridad de la información.
La recién creada Comisión de Ciber-Seguridad de los EUA ha efectuado diversas recomendaciones el nuevo presidente electo Obama. Entre las mismas, se menciona la creación de un Centro de Operaciones para la Ciber-Seguridad y que la Casa Blanca tenga un consejero en esta materia. No es para menos.
"Estamos jugando una partida gigantezca de ajedrez y vaya que la estamos perdiendo ", dijo un miembro de la Comisión llamado Tom Kellermann. Y es que los miembros de la Comisión han visto, revisado y analizado diversos incidentes que han hecho perder billones al sector privado de los EUA (por conceptos de propiedad intelectual), sin mencionar las intrusiones al Departamento de la Defensa (se dice que han perdido terabytes de información), la NASA, el Departamento de Comercio y de Estado, entre otros. La Comisión ha sostenido diversas entrevistas con la NSA, el Pentágono, la CIA y el MI5 de Gran Bretaña para llegar a sus conclusiones.
La Comisión ve que las amenazas "electrónicas" no sólo afectan a la seguridad nacional, sino también la economía de los EUA. Este "hallazgo", aunque obvio para algunos, es un gran paso ya que se inlcuye a la economía de un país en lo que debe de proteger la seguridad de la información.
Veo con tristeza que de nueva cuenta los vecinos del norte nos aventajan al atender ya de manera inclusive más seria que antes a la seguridad de la información de su país, y de preocuparse lo suficiente para invertir dinero en la protección de la información a nivel nacional.
Me atrevo a traducir las recomendaciones de la Comisión a una empresa en el sentido de crear un área encargada específicamente de la seguridad de la información y de tener un consejero en este tipo de cuestiones; suena coherente? Sería equivalente a nivel empresarial a tener un SGSI (Sistema de Gestión de Seguridad de la Información) recomendado por ejemplo por el 27001, y tener informes frecuentes con recomendaciones, sugerencias y tendencias del mundo de seguridad de la información e informática.
En fin, parece que el reporte de la Comisión contiene un total de 44 páginas y parte del reporte podría ser público; habrá que leerlo con atención para analizar otros detalles que puedan resultar de interés.
"Estamos jugando una partida gigantezca de ajedrez y vaya que la estamos perdiendo ", dijo un miembro de la Comisión llamado Tom Kellermann. Y es que los miembros de la Comisión han visto, revisado y analizado diversos incidentes que han hecho perder billones al sector privado de los EUA (por conceptos de propiedad intelectual), sin mencionar las intrusiones al Departamento de la Defensa (se dice que han perdido terabytes de información), la NASA, el Departamento de Comercio y de Estado, entre otros. La Comisión ha sostenido diversas entrevistas con la NSA, el Pentágono, la CIA y el MI5 de Gran Bretaña para llegar a sus conclusiones.
La Comisión ve que las amenazas "electrónicas" no sólo afectan a la seguridad nacional, sino también la economía de los EUA. Este "hallazgo", aunque obvio para algunos, es un gran paso ya que se inlcuye a la economía de un país en lo que debe de proteger la seguridad de la información.
Veo con tristeza que de nueva cuenta los vecinos del norte nos aventajan al atender ya de manera inclusive más seria que antes a la seguridad de la información de su país, y de preocuparse lo suficiente para invertir dinero en la protección de la información a nivel nacional.
Me atrevo a traducir las recomendaciones de la Comisión a una empresa en el sentido de crear un área encargada específicamente de la seguridad de la información y de tener un consejero en este tipo de cuestiones; suena coherente? Sería equivalente a nivel empresarial a tener un SGSI (Sistema de Gestión de Seguridad de la Información) recomendado por ejemplo por el 27001, y tener informes frecuentes con recomendaciones, sugerencias y tendencias del mundo de seguridad de la información e informática.
En fin, parece que el reporte de la Comisión contiene un total de 44 páginas y parte del reporte podría ser público; habrá que leerlo con atención para analizar otros detalles que puedan resultar de interés.
miércoles, 3 de diciembre de 2008
Sitio centrado en tema de recuperación de desastres.
Esta vez les comento de un sitio llamado Disaster-Recovery-Guidance, el cual recopila información en torno a la recuperación de desastres en una organización. Tiene secciones de tutoriales, artículos de interés, noticias y recomendaciones de libros que hablan sobre el tema. Es un buen sitio para iniciarse en el tema de recuperación de desastres, sin embargo no contiene información detallada o plantillas útiles para los que ya van en serio a poner en práctica un DRP.
martes, 2 de diciembre de 2008
Satanizan a Google Earth por ataques de Mumbai.
El ataque terrorista en la India de la semana pasada ha arrojado ya investigaciones preliminares y ahora liga a la herramienta Google Earth con dichos ataques. Al parecer, estos terroristas "tenían una formación en Nuevas Tecnologías más que cualificada, ya que, además de los mapas de Google Earth, utilizaron teléfonos satélite, o GPS." Desde mi punto de vista, estos ataques se hubieran hecho de todas maneras con o sin la ayuda de estos elementos tecnológicos y tal vez las autoridades tratan de trasladar la culpa para remover un poco de su responsabilidad.
Los ataques terroristas han estado presentes por ya mucho tiempo sin que existieran "facilitadores" tecnológicos...sería absurdo pensar que quitando Google Earth se eliminarán los ataques terroristas; finalmente se obtendrán los datos de planeación de otra manera. Google Earth pudo ser usado en todo caso como verificador de la información que tenían estos terroristas y dudo que el ataque haya sido concebido, planeado y armado solamente con esta herramienta. Como dije cuando salió la noticia de que Twitter podría ser usado por terroristas, también a las investigaciones de las autoridades de Mumbai se les olvidó mencionar que los terroristas usaron elementos tecnológicos como autos, celulares comunes y corrientes y hasta usaron ¡las calles! y autos para llegar a su destino...ah! también usaron armas y bombas "tecnológicas".
¿Van a clausurar las calles, los autos, los celulares, el correo electrónico, Google Earth, Twitter y mensajes SMS porque podrían ser usados por terroristas para futuros ataques? Desde mi punto de vista, es necesario pensar en mejores estrategias de prevención. Cancelando estos "facilitadores" tecnológicos no se mata la ideología terrorista ni los van a desanimar. Por cierto, existen muchos escritos sobre lo que motiva a los terroristas, pero uno que particularmente me interesó es el de Max Abrahms que lo pueden consultar aquí y que se titula "Lo que los terroristas realmente quieren"; leyendo el artículo sólo nos confirma una cosa ya sabida: los ataques no pararán removiendo estas herramientas de Internet...más efectivo sería controlar el contrabando de armas o invertir dinero en inteligencia de seguridad nacional.
Antes de Twitter y Google Earth había terrorismo y la información estratégica se obtenía por otros medios; si quitamos esos elementos tecnológicos realmente podemos decir que llevamos a cabo una medida efectiva?
Ya finalmente, un muy breve resumen de lo que expone el texto de Abrahms es que los terroristas:
a).- Atacan civiles para presionar y obtener lo que desean.
b).- Tratan al terrorismo como primer recurso, no como el último.
c).- Tienen ideales políticos cambiantes que pueden modificarse sin demasiada dificultad.
e).- Se resisten a dejar el terrorismo, aún cuando fallen en conseguir lo deseado repetidamente o inclusive aunque hayan cumplido sus objetivos.
f).- Se unen a grupos radicales por el hecho de sentirse parte de una comunidad.
g).- Generalmente no son los oprimidos (sobre todo los líderes), sino que se ven como defensores de aquellos que sí lo son.
h).- Están socialmente aislados (hombres solteros, mujeres viudas, etc.)
i).- Se unen a redes terroristas sin saber mucho de la plataforma política, antecedentes y objetivos del grupo subversivo. Tal vez se hayan unido al leer algún texto en Internet, por medio de un familiar o amigo, o al haber escuchado un discurso sobre las "causas" que persigue la red subversiva.
Los ataques terroristas han estado presentes por ya mucho tiempo sin que existieran "facilitadores" tecnológicos...sería absurdo pensar que quitando Google Earth se eliminarán los ataques terroristas; finalmente se obtendrán los datos de planeación de otra manera. Google Earth pudo ser usado en todo caso como verificador de la información que tenían estos terroristas y dudo que el ataque haya sido concebido, planeado y armado solamente con esta herramienta. Como dije cuando salió la noticia de que Twitter podría ser usado por terroristas, también a las investigaciones de las autoridades de Mumbai se les olvidó mencionar que los terroristas usaron elementos tecnológicos como autos, celulares comunes y corrientes y hasta usaron ¡las calles! y autos para llegar a su destino...ah! también usaron armas y bombas "tecnológicas".
¿Van a clausurar las calles, los autos, los celulares, el correo electrónico, Google Earth, Twitter y mensajes SMS porque podrían ser usados por terroristas para futuros ataques? Desde mi punto de vista, es necesario pensar en mejores estrategias de prevención. Cancelando estos "facilitadores" tecnológicos no se mata la ideología terrorista ni los van a desanimar. Por cierto, existen muchos escritos sobre lo que motiva a los terroristas, pero uno que particularmente me interesó es el de Max Abrahms que lo pueden consultar aquí y que se titula "Lo que los terroristas realmente quieren"; leyendo el artículo sólo nos confirma una cosa ya sabida: los ataques no pararán removiendo estas herramientas de Internet...más efectivo sería controlar el contrabando de armas o invertir dinero en inteligencia de seguridad nacional.
Antes de Twitter y Google Earth había terrorismo y la información estratégica se obtenía por otros medios; si quitamos esos elementos tecnológicos realmente podemos decir que llevamos a cabo una medida efectiva?
Ya finalmente, un muy breve resumen de lo que expone el texto de Abrahms es que los terroristas:
a).- Atacan civiles para presionar y obtener lo que desean.
b).- Tratan al terrorismo como primer recurso, no como el último.
c).- Tienen ideales políticos cambiantes que pueden modificarse sin demasiada dificultad.
e).- Se resisten a dejar el terrorismo, aún cuando fallen en conseguir lo deseado repetidamente o inclusive aunque hayan cumplido sus objetivos.
f).- Se unen a grupos radicales por el hecho de sentirse parte de una comunidad.
g).- Generalmente no son los oprimidos (sobre todo los líderes), sino que se ven como defensores de aquellos que sí lo son.
h).- Están socialmente aislados (hombres solteros, mujeres viudas, etc.)
i).- Se unen a redes terroristas sin saber mucho de la plataforma política, antecedentes y objetivos del grupo subversivo. Tal vez se hayan unido al leer algún texto en Internet, por medio de un familiar o amigo, o al haber escuchado un discurso sobre las "causas" que persigue la red subversiva.
Correo malicioso: DECLARACION DE FIN DE AÑO EN LINEA
Me ha llegado un correo más que intenta que un usuario le de click a sus ligas para bajar al equipo programas maliciosos. Este correo aparentemente viene de la SHCP (iforme@shcp.gob.mx) con el Asunto de: "DECLARACION DE FIN DE AÑO EN LINEA".
Adjunto al final de este mensaje el correo entero. Cabe mencionar que todas las ligas llevan al sitio "http://www.cmblind.org/XXXXXX/Instalador.SHCP.php " (he modificado la liga por precaución) y se intenta bajar un archivo llamado SATMEX.exe.
Se ve por el contenido del correo que el creador es mexicano o al menos sabe bien lo que hace el SAT y sus objetivos fiscales en México. Al parecer el servidor www.cmblind.org está registrado en Tailandia.
¿Qué hacer? Ignorar este tipo de correos y siempre leer su correo en texto plano, de esta forma detectarán que las ligas no llevan al sitio del SAT o de la SHCP sino a un servidor llamado CMBLIND. Y claro, tener un antivirus actualizado y un firewall personal.
Aquí el mensaje completo del correo malicioso:
SAT, Servicio de Administración
Tributaria
Descarga de software de libre distribución, ayudas de cómputo y manuales de uso e instalación
Software y Formas Fiscales
El SAT ha desarrollado diversas herramientas electrónicas para facilitarle el cumplimiento de sus obligaciones, estos programas son gratuitos y pueden descargarse directamente desde este sitio.
También se enlistan las formas y formatos fiscales disponibles para consulta y, aquellos que indican que son de libre impresión pueden imprimirse considerando las indicaciones que ahí mismo se señalan. En esta sección encontrará las herramientas de cómputo que puede descargar e instalar en su equipo personal, permitiéndole cumplir con sus obligaciones fiscales de una forma directa, rápida, sencilla, segura y cómoda.
Para obtener cualquiera de las herramientas de libre distribución, solo ponga el puntero sobre la opción deseada y presione 1 sola ves.
Ejemplo: Si usted necesita DEM Centros Cambiarios y de Transmisores de Dinero, solo de clic sobre el mismo.
* Régimen de Micro, Pequeña y Media Empresa
Programa para ayudar micro, pequeña y mediana empresa en el cálculo de sus impuestos y el registro diario de sus ingresos.
* Listado de conceptos del impuesto empresarial a tasa única, IETU
* Listado de conceptos del impuesto empresarial a tasa única, IETU para empresas maquiladoras
Para capturar y enviar la información y el Listado de conceptos que sirvió de base para calcular el IETU
* DeclaraSAT versión 2008
Para elaborar y presentar la Declaración Anual de Personas Físicas y Morales, correspondiente al Ejercicio fiscal 2008 y años anteriores.
* Régimen de pequeños contribuyentes
Programa para ayudar a los pequeños contribuyentes en el cálculo de sus impuestos y el registro diario de sus ingresos.
* Sistema para elaborar y presentar la forma fiscal 74
Esta declaración es para uso exclusivo de Entidades Federativas, Distrito Federal o Municipios.
Adjunto al final de este mensaje el correo entero. Cabe mencionar que todas las ligas llevan al sitio "http://www.cmblind.org/
Se ve por el contenido del correo que el creador es mexicano o al menos sabe bien lo que hace el SAT y sus objetivos fiscales en México. Al parecer el servidor www.cmblind.org está registrado en Tailandia.
¿Qué hacer? Ignorar este tipo de correos y siempre leer su correo en texto plano, de esta forma detectarán que las ligas no llevan al sitio del SAT o de la SHCP sino a un servidor llamado CMBLIND. Y claro, tener un antivirus actualizado y un firewall personal.
Aquí el mensaje completo del correo malicioso:
SAT, Servicio de Administración
Tributaria
Descarga de software de libre distribución, ayudas de cómputo y manuales de uso e instalación
Software
El SAT ha desarrollado diversas herramientas electrónicas para facilitarle el cumplimiento de sus obligaciones, estos programas son gratuitos y pueden descargarse directamente desde este sitio.
También se enlistan las formas y formatos fiscales disponibles para consulta y, aquellos que indican que son de libre impresión pueden imprimirse considerando las indicaciones que ahí mismo se señalan. En esta sección encontrará las herramientas de cómputo que puede descargar e instalar en su equipo personal, permitiéndole cumplir con sus obligaciones fiscales de una forma directa, rápida, sencilla, segura y cómoda.
Para obtener cualquiera de las herramientas de libre distribución, solo ponga el puntero sobre la opción deseada y presione 1 sola ves.
Ejemplo: Si usted necesita DEM Centros Cambiarios y de Transmisores de Dinero, solo de clic sobre el mismo.
* Régimen de Micro, Pequeña y Media Empresa
Programa para ayudar micro, pequeña y mediana empresa en el cálculo de sus impuestos y el registro diario de sus ingresos.
* Listado de conceptos del impuesto empresarial a tasa única, IETU
* Listado de conceptos del impuesto empresarial a tasa única, IETU para empresas maquiladoras
Para capturar y enviar la información y el Listado de conceptos que sirvió de base para calcular el IETU
* DeclaraSAT versión 2008
Para elaborar y presentar la Declaración Anual de Personas Físicas y Morales, correspondiente al Ejercicio fiscal 2008 y años anteriores.
* Régimen de pequeños contribuyentes
Programa para ayudar a los pequeños contribuyentes en el cálculo de sus impuestos y el registro diario de sus ingresos.
* Sistema para elaborar y presentar la forma fiscal 74
Esta declaración es para uso exclusivo de Entidades Federativas, Distrito Federal o Municipios.
lunes, 1 de diciembre de 2008
Buen video: Jeremiah Grossman - TV interview with ABC News
Me topé con este video donde Jeremiah Grossman habla del fraude en línea, específicamente del phishing. No es obviamente un video técnico, ya que es producido por ABC para ser transmitido en su programa y ser escuchado por toda su audiencia. Al principio me pareció alarmista, pero ya viéndolo bien creo que es algo que deben saber las personas, ya que son finalmente sus finanzas las que están en juego y alguien debe de atraer su atención ante la serie de ataques de los que pueden ser víctimas.
Apple recomienda antivirus: no que no?
No lo veíamos venir (jeje), al menos no yo, pero Apple ahora recomienda tener un antivirus en plataformas Mac. ¿No que no? Vayan a cualquier tienda o vean los anuncios de Apple y promueven a los cuatro vientos casi casi que son "inmunes" a los virus y código malicioso. Pues no, no lo son...ya lo sabíamos pero con la publicidad muchos lo llegan a pensar.
Simplemente lo que pasa es que esa plataforma no ha sido jugosa para los atacantes, de ahí que la dejen en paz y se diviertan con Windows que tiene un mayor costo-beneficio al momento de escribir malware. En fin, ahora con la popularidad cada vez mayor de Apple gracias tal vez a sus iPods, se está ya convirtiendo en una plataforma interesante y no es raro que empiece a ser más atacada y así los atacantes obtendrán algún beneficio. El código de Apple no está libre de bugs, sólo que no no hay gente que los desee encontrar, hasta en años recientes que eso ha estado cambiando.
Aún así, y si mi presupuesto lo permite, deseo adquirir una Mac Book el siguiente año (¿tal vez la vendan el el nuevo Best Buy de Mundo E?). La interfaz del sistema operativo es realmente atractiva y aunque exista código malicioso y Apple recomiende tener un antivirus, sigue siendo una plataforma poco atacada y en consecuencia con menos exposición al riesgo.
En fin, leí que Apple hizo esta recomendación muy discretamente, ya que con tanto alboroto contra la inseguridad de Windows en su publicidad, es mejor que estos asuntos queden discretamente publicados...nada más para que no digamos que no nos dijeron.
Nota: por cierto, ya vieron el episodio donde Los Simpsons se ven cara a cara con los iPods de Apple y el mismísimo Steve Jobs? Está divertido, véanlo.
SC World Congress 2008
La revista SC organiza un congreso de seguridad en Nueva York. Los grandes temas a tratar serán Administración de Políticas, Amenazas Emergentes, Gobierno de la Seguridad (me gusta este tema). Algunos de los subtemas serán Prevención de Pérdida de Datos, Seguridad Web y Malware, Tercerizando la Seguridad, entre otros.
El Congreso es en Nueva York el 9 y 10 de diciembre, por si alguien anda por esos lugares en esas fechas. ¿Venderán las pláticas en un tiempo? Algunas parecen interesantes y las compraría si están a precios accesibles y si se pueden comprar por separado.
Errores humanos: preocupación para la seguridad en el Reino Unido (RU).
Una encuesta arroja con un 86% que directivos de TI del RU creen que sus empleados son la causa principal de incidentes de seguridad; y en particular les preocupan los errores humanos, ya que un 37% cree que estos errores son los que pueden conducir a incidentes de seguridad. En segundo lugar (31%) viene el incumplimiento de las políticas de seguridad corporativas.
Bueno, es verdad que muy probablemente uno de los eslabones más delgados de la cadena de seguridad es el factor humano que puede configurar mal un control o que por descuido o ignorancia da información valiosa que puede derivar en un incidente de seguridad.
Sin embargo, el problema con este tipo de encuestas es que no se basan en una métrica, se basan en lo que los directivos creen que es una preocupación de seguridad para las TI. Es decir, es la típica serie de preguntas con respuestas pre-establecidas para que un "directivo" las seleccione. El gran problema para variar es la carencia de métricas, de cifras que confirmen un hecho como el decir que los errores humanos son una causa importante de incidentes de seguridad o que la carencia de un control es una preocupación importante. Sin cifras, sin métricas, nos quedamos en el "creo que mi mayor preocupación es …", sin saber si estamos basándonos en una metodología, en cifras y hechos que sustituyan el "yo creo" con el "yo asevero basado en este análisis".
¿Es la percepción directiva correcta? Podría ser, deben de saber de lo que hablan; sin embargo nada puede sustituir datos duros, en blanco y negro que señalen los hechos tal y como son. El mundo financiero tiene una sobrepoblación de métricas e indicadores para medir casi cualquier cosa; en el mundo de la seguridad de la información estas métricas escasean y son pocas veces usadas. No podemos controlar o administrar algo que no podemos medir. ¿Hasta cuándo dejaremos de percibir en lugar de medir?
domingo, 30 de noviembre de 2008
Mi opinión sobre los comentarios del Ing. Matuk.
Antes de empezar, deseo volverles a invitar a escuchar Dommo que ahora está vía podcast en el sitio www.dommo.net. Muy buen programa de noticias y actualizaciones tecnológicas comentadas por Ricardo Zamora y Javier Matuk. Entremos en materia.
El buen Ing. Matuk escribió en su sitio sobre el tema de Navega Protegido, una iniciativa de Microsoft para protegerse en Internet. Algo de lo que comenta es:
"Una de las pláticas se trató sobre la seguridad de los usuarios en la red, concepto que se engloba en la iniciativa “Navega Protegido”, que la firma y otras empresas impulsan desde hace varios años. La idea, además de ofrecer información para los navegantes adultos es, sobre todo, tratar de hacer de la red un lugar un poco más seguro para los niños y adolescentes.
Todo bien, todo en calma… hasta que me asaltó un pensamiento perturbador. Con el desarrollo de los teléfonos inteligentes con conexión a Internet, ahora es posible navegar en muchas páginas e, incluso, interactuar con las redes sociales más famosas, todo desde la pequeña pantalla del aparatito. Un gran avance en tecnología y disponibilidad, pero una nueva arma contra la que habrá de luchar. ¿Por qué?
Porque el teléfono se usa en cualquier parte. No tiene que estar en un lugar “visible”, los adultos no pueden “echarle un vistazo” si, por ejemplo, el menor o adolescente se mete al cuarto de baño con él. No habrá forma de supervisar lo que está pasando en la pantallita y mucho menos darse cuenta de algo negativo, si es que sucede."
En mi blog había escrito ya sobre esta iniciativa de Navega Protegido. Creo que lo que comenta el Ing. Matuk es correcto pero tengo algunas observaciones:
A).- Creo que por ahora los precios para recibir datos en el celular son caros y ni para uno alcanza el dinero para contratarlo. Ahora bien, qué tendría que hacer un niño con un celular con acceso a Internet? Creo que más que ayudarlo lo perjudica creando distracciones innecesarias y lo haríamos propenso a esa necesidad de estar conectado.
B).- El teléfono para sólo hablar creo que basta para un niño y tal vez hasta para un adolescente y que mejor naveguen en casa bajo la supervisión de los padres.
Es correcto decir que permitir navegar desde un celular a un niño abre inseguridades innecesarias como que pueda ver pornografía y en general que acceda a sitios "inapropiados" fuera de la supervisión en casa. Así es que a parte del precio bastante alto para acceder a Internet desde un celular, habría que pensar en estas otras cuestiones antes de darle esta posibilidad a un niño.
El buen Ing. Matuk escribió en su sitio sobre el tema de Navega Protegido, una iniciativa de Microsoft para protegerse en Internet. Algo de lo que comenta es:
"Una de las pláticas se trató sobre la seguridad de los usuarios en la red, concepto que se engloba en la iniciativa “Navega Protegido”, que la firma y otras empresas impulsan desde hace varios años. La idea, además de ofrecer información para los navegantes adultos es, sobre todo, tratar de hacer de la red un lugar un poco más seguro para los niños y adolescentes.
Todo bien, todo en calma… hasta que me asaltó un pensamiento perturbador. Con el desarrollo de los teléfonos inteligentes con conexión a Internet, ahora es posible navegar en muchas páginas e, incluso, interactuar con las redes sociales más famosas, todo desde la pequeña pantalla del aparatito. Un gran avance en tecnología y disponibilidad, pero una nueva arma contra la que habrá de luchar. ¿Por qué?
Porque el teléfono se usa en cualquier parte. No tiene que estar en un lugar “visible”, los adultos no pueden “echarle un vistazo” si, por ejemplo, el menor o adolescente se mete al cuarto de baño con él. No habrá forma de supervisar lo que está pasando en la pantallita y mucho menos darse cuenta de algo negativo, si es que sucede."
En mi blog había escrito ya sobre esta iniciativa de Navega Protegido. Creo que lo que comenta el Ing. Matuk es correcto pero tengo algunas observaciones:
A).- Creo que por ahora los precios para recibir datos en el celular son caros y ni para uno alcanza el dinero para contratarlo. Ahora bien, qué tendría que hacer un niño con un celular con acceso a Internet? Creo que más que ayudarlo lo perjudica creando distracciones innecesarias y lo haríamos propenso a esa necesidad de estar conectado.
B).- El teléfono para sólo hablar creo que basta para un niño y tal vez hasta para un adolescente y que mejor naveguen en casa bajo la supervisión de los padres.
Es correcto decir que permitir navegar desde un celular a un niño abre inseguridades innecesarias como que pueda ver pornografía y en general que acceda a sitios "inapropiados" fuera de la supervisión en casa. Así es que a parte del precio bastante alto para acceder a Internet desde un celular, habría que pensar en estas otras cuestiones antes de darle esta posibilidad a un niño.
sábado, 29 de noviembre de 2008
Adiós a Guy-Pierre De Poerck del Banco Mundial.
En el Banco Mundial han removido de su puesto a Guy-Pierre De Poerck, que fungía como "Vice President & Chief Information Officer". ¿La razón? Al parecer la poca seguridad de sus sistemas de cómputo provocó una serie de intrusiones. Este es un ejemplo de lo que yo llamo "Learning the hard way". Una lección para que sigamos pensando que "eso" de la seguridad puede esperar...mientras tanto a alguien ya le costó la chamba.
Según lo reporta FoxNews, desde el 2007 han habido varias intrusiones, la última de ellas reportada hace unos meses. Informa que hubo infecciones de software espía (no dice si genérico o específicamente atacando al Banco Mundial) que extrajo información de las redes de la institución.
Se tiene evidencia del hackeo, ya que en un sitio de Internet (no revelado) se publicó al parecer información confidencial de empleados del Banco Mundial. La noticia no dice que hayan despedido al señor De Poerck, pero al menos lo removieron definitivamente de su puesto por no haber protegido debidamente la información de su institución.
Algunos me llegan a preguntar "¿Y en realidad, para qué gastar tiempo y dinero protegiendo a la información? Es lo que menos importa, no pasa nada si dejo las cosas como están." Bueno, tal vez De Poerck se preguntaba lo mismo y ya obtuvo su respuesta. Si no deseamos proteger la información por convicción (es obviamente lo ideal), al menos hagámoslo por temor.
En fin, muchas veces se necesita una "sacudida" de este nivel para que por fin se le de a la información el estatus de "un bien/activo importante" dentro de la institución...apuesto que la seguridad será ahora sí prioridad número uno para el sustituto de Guy-Pierre De Poerck. Ahora sabe las consecuencias.
Nota: supongo que tendrán que actualizar el organigrama del Banco Mundial.
Según lo reporta FoxNews, desde el 2007 han habido varias intrusiones, la última de ellas reportada hace unos meses. Informa que hubo infecciones de software espía (no dice si genérico o específicamente atacando al Banco Mundial) que extrajo información de las redes de la institución.
Se tiene evidencia del hackeo, ya que en un sitio de Internet (no revelado) se publicó al parecer información confidencial de empleados del Banco Mundial. La noticia no dice que hayan despedido al señor De Poerck, pero al menos lo removieron definitivamente de su puesto por no haber protegido debidamente la información de su institución.
Algunos me llegan a preguntar "¿Y en realidad, para qué gastar tiempo y dinero protegiendo a la información? Es lo que menos importa, no pasa nada si dejo las cosas como están." Bueno, tal vez De Poerck se preguntaba lo mismo y ya obtuvo su respuesta. Si no deseamos proteger la información por convicción (es obviamente lo ideal), al menos hagámoslo por temor.
En fin, muchas veces se necesita una "sacudida" de este nivel para que por fin se le de a la información el estatus de "un bien/activo importante" dentro de la institución...apuesto que la seguridad será ahora sí prioridad número uno para el sustituto de Guy-Pierre De Poerck. Ahora sabe las consecuencias.
Nota: supongo que tendrán que actualizar el organigrama del Banco Mundial.
Respaldando la nube con GetMail
Podremos estar a favor o en contra de poner los datos en la nube. Yo estoy a favor de ponerlos en la nube pero inteligentemente, usando siempre que sea posible las opciones de privacidad y seguridad de los sitios online; otra cuestión importante es respaldar la información. En el caso de particular de GMail, me llama la atención GetMail.
La idea es respaldar los correos de GMail localmente al disco duro para tener una copia de los mismos.No debemos confiar ciegamente en la nube y pensar que tenemos el mismo control sobre la información local que "allá arriba".
Usemos la nube, pero inteligentemente.
¿Protección proactiva?
Me encuentro con esta empresa llamada FireEye que ofrece varios productos, entre ellos uno llamado FireEye Security Appliance que al parecer protegen contra debilidades de día cero y tienen una protección un poco más proactiva para protegernos contra el malware. Esto dicen que lo logran al probar potenciales riesgos en máquina virtuales dentro del applicance.
¿Será? No estaría de más probarlo, así como productos similares.
¿Será? No estaría de más probarlo, así como productos similares.
NASA y milicia de EUA: ya basta de usar dispositivos externos
De plano la NASA mandó un memo interno a sus empleados para evitar usar USB personales en las computadoras de la organización y a su vez evitar usar los USB de la NASA para usos personales. De hecho también se refieren a cualquier dispositivo externo. Estos USB son los floppies del pasado, donde el malware se reproducía de computadora a computadora.
También el ejército de los EUA emitió una política similar hace una semana. ¿Es tiempo ya de emitir una política similar en las organizaciones? La medida suena radical, pero vaya, es tan monstruoso decir que sólo los dispositivos de la empresa deben de ser insertados en las computadoras? Es una separación de los dispositivos personales (iPod, USB, discos duros, celulares) con los dispositivos empresariales. Si nos decidimos a seguir esta medida, no estaría de más apoyarla con algún control tecnológico.
Las protecciones perimetrales son brincadas totalmente al usar estos dispositivos de almacenamiento externos, eliminando así varias capas de seguridad. No es algo recomendable.
También el ejército de los EUA emitió una política similar hace una semana. ¿Es tiempo ya de emitir una política similar en las organizaciones? La medida suena radical, pero vaya, es tan monstruoso decir que sólo los dispositivos de la empresa deben de ser insertados en las computadoras? Es una separación de los dispositivos personales (iPod, USB, discos duros, celulares) con los dispositivos empresariales. Si nos decidimos a seguir esta medida, no estaría de más apoyarla con algún control tecnológico.
Las protecciones perimetrales son brincadas totalmente al usar estos dispositivos de almacenamiento externos, eliminando así varias capas de seguridad. No es algo recomendable.
Conficker.A aprovechándose de MS08-067
Ya hace más de un mes que salió el parche MS08-067 y que en su momento comenté de su potencial para ser "wormable". Actualmete Conficker.A se está aprovechando de esta debilidad y no de manera tan pasiva. ¿Recomendación? Parchar y actualizar el antivirus.
Por cierto, este gusano tiene la delicadeza de que una vez que infectó al equipo, aplica el parche MS08-067 con el fin de que ningún otro malware intente aprovecharse de la debilidad.
Todavía no encuentro qué es lo que sucede una vez que esta gusano logra infectar el equipo, Trend tiene una buena descripción, pero tampoco dice qué pasa luego de que infecta a un equipo (¿roba contraseñas bancarias?, ¿lleva a sitios falsos?).
Por cierto, este gusano tiene la delicadeza de que una vez que infectó al equipo, aplica el parche MS08-067 con el fin de que ningún otro malware intente aprovecharse de la debilidad.
Todavía no encuentro qué es lo que sucede una vez que esta gusano logra infectar el equipo, Trend tiene una buena descripción, pero tampoco dice qué pasa luego de que infecta a un equipo (¿roba contraseñas bancarias?, ¿lleva a sitios falsos?).
viernes, 28 de noviembre de 2008
Las 500 peores contraseñas
Veo en un sitio que publican 500 contraseñas que a su juicio son las peores de "todos los tiempos". Está por ejemplo:
123456
password
12345678
1234
dragon
tester
secret
paul
qwerty
La lista continúa con una serie de contraeñas comunes. Si encuentren la suya ahí, es hora de cambiarla.
123456
password
12345678
1234
dragon
tester
secret
paul
qwerty
La lista continúa con una serie de contraeñas comunes. Si encuentren la suya ahí, es hora de cambiarla.
Cinco innovaciones que nos cambiarán la vida (según IBM)
Les comparto las innovaciones que cambiarán nuestras vidas en los siguientes cinco años según IBM.
a).- Tecnología solar para obtener energía en asfalto, pintura y ventanas.
(Muy bueno, ojalá pudiera ser posible).
b).- Bola de cristal para la salud.
(Se basa en saber qué debes de evitar (comida) o de añadir para evitar posibles enfermedades a las que eres propenso).
c).- Hablo a Internet...e Internet me responderá.
(Los que usamos teclado y ratón tendremos un rato difícil en controlar con la voz).
d).- Asistentes (vendedores) digitales.
(¿Serán menos molestos que algunos de carne y hueso?)-:
e).- Olvidar será cuestión del pasado.
(No me gusta la idea de tener mi vida grabada segundo a segundo (¿seré anticuado?). Por otro lado, no es bonito poder olvidar ciertas situaciones?)
Mata a tu notebook robada con un SMS
Me encuentro con una noticia de que Lenovo piensa fabricar laptops que en caso de ser robadas, el usuario podría bloquearla enviando un SMS al BIOS del equipo. Y sólo podría ser desbloqueada con una contraseña que en teoría tendría únicamente el usuario. A primera vista parece buena idea, pero me siento incómodo de que mi laptop pueda tener un mecanismo de control vía SMS y además viéndolo bien, es una medida ineficaz.
Por un lado, estamos abriendo una puerta remota más en el equipo de cómputo que para variar seguro tendrá alguna debilidad para comprometerlo de alguna forma. ¿No sería mejor simplemente cifrar la información del disco? Supongo que si extraigo el disco duro de la laptop robada (y bloqueada) y la conecto a otro equipo…podría tener acceso a los datos?
¿Cuál es la ganancia realmente de que pueda bloquear remotamente mi laptop robada? Me podré reír del ladrón que (en teoría) no podrá usar la laptop…y eso es todo lo que puedo hacer. Él saldrá a buscar otra y yo me tendré que comprar una nueva. Mmmhhh…realmente salí ganando?
jueves, 27 de noviembre de 2008
¿ Compras en línea ponen en peligro a empresas mexicanas?
Según una encuesta en México, la compra en línea podría poner "en peligro" a las empresas que permiten las compras en línea, dando como resultado a empleados haciendo compras en sitios potencialmente "peligrosos". Pues bien, la culpable no es la época navideña sino las propias políticas corporativas (y los controles que se derivan de la misma) y la educación -awareness- en seguridad (si es que la hay).
Las compras las pueden hacer los empleados cualquier día del año, ahora simplemente harán más. Pero si las políticas de alguna u otra forma lo permiten y no existen controles (tecnología) o los controles son muy laxos, bueno, pues ahí tendremos a un empleado metiéndose a www.compre-aqui-y-baja-este-troyano.com.mx. También la escasa educación en seguridad será un factor en contra para mantener "sana" las TI de una empresa.
En resumen:
a).- Las compras navideñas no ponen en peligro a las empresas, sino las propias empresas siendo poco proactivas son las que hacen que esto pueda suceder en principio. No es tanto lo que los empleados dejan de hacer, sino lo que las corporaciones dejan de hacer.
b).- Las empresas deben educar a sus empleados para que hagan compras en línea seguras pero fuera de la empresa.
c).- Respecto a el punto "b", el sitio que publica los resultados de esta encuesta recomienda: "Enseñe a sus empleados cómo usar con seguridad la computadora antes de la temporada de compras de vacaciones".
Yo digo: enseñe a sus empleados que hacer compras en línea desde el trabajo no está permitido desde su lugar laboral y "x" sanciones aplican. Y sí, mostrarles los tips de las compras seguras en línea para que lo hagan en su casa.
No debemos zafarnos de la responsabilidad de mantener la seguridad de la información corporativa y dejarle esto a los empleados. La alta dirección es responsable de marcar el rumbo/estrategia y de gestionar la seguridad. Edúcalos y muchos de ellos entenderán.
martes, 25 de noviembre de 2008
Sistema de Observación para la Seguridad Ciudadana
Veo la creación del sitio Sistema de Observación para la Seguridad Ciudadana. Atrás está el padre de Fernando Martí, el muchacho secuestrado y asesinado por sus captores hace no mucho tiempo. El sitio convoca a registrarse en el sitio con el fin de sumarse “a un esfuerzo por crear una sola voz: la voz del México que rechaza la violencia, la corrupción, la deshonestidad y la impunidad”.
¿Serán efectivas estas iniciativas? El objetivo es ciertamente algo deseado por muchos (me incluyo). ¿Lograrán estas iniciativas cambiar nuestra realidad o será un anhelo más que se esfuma en el tiempo?
Posible nueva debilidad en pila TCP/IP de Vista
La empresa Phion ha alertado sobre una posible debilidad de día cero en Windows Vista. Los detalles se encuentran en SecurityFocus e inclusive Phion ha emitido un parche que supuestamente soluciona la vulnerabilidad. Es necesario mencionar que aún no hay evidencia concluyente en torno a la debilidad y sus impactos (desde mi punto de vista); Microsoft no ha comentado nada al respecto hasta el momento (25/11/08), así es que hasta que se genere más información, yo vería este asunto con reserva.
En el sitio de SecurityFocus se da una explicación (y código C tipo prueba de concepto) de la debilidad; sin embargo a mi no me queda muy claro el impacto de esta vulnerabilidad en la pila de TCP/IP de Vista.
Observaciones:
a).- Esperar más información y no aplicar el parche.
b).- Creo que es la primera vez que tengo noticias de la publicación de un parche no oficial para Vista (XP tiene por ahí un par de parches publicados por empresas ajenas a Microsoft).
c).- El CERT no tiene información al respecto y en mi búsqueda no encontré un CVE relacionado a este debilidad.
lunes, 24 de noviembre de 2008
Convenciendo a la alta dirección de la importancia de la seguridad de la información.
Barbara Morris de Secure Software Advisory nos presenta un artículo donde trata el tema de cómo convencer a la alta dirección respecto a la necesidad de tener seguridad en la información.
El tema más que una cuestión de seguridad, es de relaciones humanas. Para mi no hay una sola respuesta y creo que depende de la organización, de la alta dirección y de que sepamos cómo convencerlos. Aún así, el artículo podría ser de su interés. Lo que sí es innegable, es que la protección de la información necesita de recursos humanos y económicos; la alta dirección no siempre tiene en mente esta cuestión.
Los puntos más relevantes del artículo:
a).- Show how a security problem relates to a business problem.
b).- Correlate business with security issues and concerns.
c).- Build your case with compliance.
domingo, 23 de noviembre de 2008
Video divertido de "I am a Mac"
La campaña de Mac me ha hecho reír con uno de sus comerciales. En el comercial, aparece el ya conocido actor PC juntando mucho dinero para la campaña publicitaria de Vista y sólo un poco de dinero para solucionar los problemas de Vista. A lo cual, el actor Mac pregunta si realmente cree que con publicidad arreglará los problemas de Vista.
El actor PC concuerda y pone todo el dinero para publicitar Vista. Véanlo, está muy divertido.
En lo particular, uso Vista a veces y no me puedo quejar (tal vez si lo usara como mi S.O. principal opinaría otra cosa, no lo sé). Aunque lo cierto que ya hay una percepción en la gente de que Vista no es funcional y que tiene muchos problemas. Independientemente de si es cierto o no, la percepción juega en contra de Vista. Y para muestra un botón: ya viene Windows 7 pegando duro y este tipo de comerciales de "I am Mac" parece que ha incomodado a Microsoft, ya que también sacaron su comercial de "I am a PC".
Por cierto, el comercial de "I am a Mac" que enfrenta a una Mac contra una PC no está un poco extraño? En el sentido de que si lo piensan, una Mac es realmente una PC: una computadora personal. ¿No?
El actor PC concuerda y pone todo el dinero para publicitar Vista. Véanlo, está muy divertido.
En lo particular, uso Vista a veces y no me puedo quejar (tal vez si lo usara como mi S.O. principal opinaría otra cosa, no lo sé). Aunque lo cierto que ya hay una percepción en la gente de que Vista no es funcional y que tiene muchos problemas. Independientemente de si es cierto o no, la percepción juega en contra de Vista. Y para muestra un botón: ya viene Windows 7 pegando duro y este tipo de comerciales de "I am Mac" parece que ha incomodado a Microsoft, ya que también sacaron su comercial de "I am a PC".
Por cierto, el comercial de "I am a Mac" que enfrenta a una Mac contra una PC no está un poco extraño? En el sentido de que si lo piensan, una Mac es realmente una PC: una computadora personal. ¿No?
Morro: antivirus de Microsoft gratuito en 2009.
En un movimiento (a mi gusto) desesperado del musculoso fabricante de software, ahora informó que brindará antivirus gratuito y se llamará Morro. Sin mencionar lo peculiar del nombre Morro, las razones para dar el software gratuito no están claras...de lo que sí podemos partir es que la compañía no da casi nada de forma "libre".
La semana pasada, el fabricante de software anunció que dejará de soportar OneCare (para individuos) y en su lugar, ofrecerá este antivirus gratuito para uso personal y se llamará (al menos inicialmente) Morro. Y si lo va a dar gratis, supongo que es porque su venta no trajo los resultados esperados (yo ya le llamo el fantasma de Vista) y bueno, no se podían simplemente rendir, así es que mejor es regalarlo; de todas maneras sus ventas del antivirus corporativo ForeFront soportará de alguna manera las descargas gratuitas del antivirus personal Morro (las firmas hay que crearlas de igual forma lo mismo que el motor antivirus).
¿Estarán preocupadas las otras firmas antivirus? Tal vez no. Si MS decidió regalar su software, tal vez signifique que no tuvo la preferencia de los clientes jugando al "tú por tú" en la arena de las ventas...así es que ahora decide regalarlo (algo me recuerda a la historia de IE con Netscape, por qué será?). Ahora tratarán de jugar con ventaja en la arena de lo gratuito, uniéndose a otras firmas como Avast (es el que uso) o AVG.
El punto importante aquí es que en primera, ya existen antivirus gratuitos y los grandes antivirus siguen ahí bastante fuertes...aquí simplemente habrá otro más que es gratis; la gente prefiere a otras compañías porque simplemente ofrecen productos más robustos (aunque cuesten). En segunda, no creo que MS decida incluir su antivirus en Windows de manera tan convenientemente como lo hizo con IE para derrotar a Netscape...creo que aprendió la lección de la desgastante ida y venida a los tribunales para defenderse de las leyes antimonopolio.
Mi predicción: este movimiento no logrará herir de muerte a las grandes compañías antivirus y tampoco creo que lo haga con las más pequeñas. Podría fallarme la ecuación a menos que MS ofrezca un producto realmente robusto y eficiente mejor que sus competidores.
Nota: saldrán comerciales como los de "I am a Mac" diciendo "I am a Morro"?
La semana pasada, el fabricante de software anunció que dejará de soportar OneCare (para individuos) y en su lugar, ofrecerá este antivirus gratuito para uso personal y se llamará (al menos inicialmente) Morro. Y si lo va a dar gratis, supongo que es porque su venta no trajo los resultados esperados (yo ya le llamo el fantasma de Vista) y bueno, no se podían simplemente rendir, así es que mejor es regalarlo; de todas maneras sus ventas del antivirus corporativo ForeFront soportará de alguna manera las descargas gratuitas del antivirus personal Morro (las firmas hay que crearlas de igual forma lo mismo que el motor antivirus).
¿Estarán preocupadas las otras firmas antivirus? Tal vez no. Si MS decidió regalar su software, tal vez signifique que no tuvo la preferencia de los clientes jugando al "tú por tú" en la arena de las ventas...así es que ahora decide regalarlo (algo me recuerda a la historia de IE con Netscape, por qué será?). Ahora tratarán de jugar con ventaja en la arena de lo gratuito, uniéndose a otras firmas como Avast (es el que uso) o AVG.
El punto importante aquí es que en primera, ya existen antivirus gratuitos y los grandes antivirus siguen ahí bastante fuertes...aquí simplemente habrá otro más que es gratis; la gente prefiere a otras compañías porque simplemente ofrecen productos más robustos (aunque cuesten). En segunda, no creo que MS decida incluir su antivirus en Windows de manera tan convenientemente como lo hizo con IE para derrotar a Netscape...creo que aprendió la lección de la desgastante ida y venida a los tribunales para defenderse de las leyes antimonopolio.
Mi predicción: este movimiento no logrará herir de muerte a las grandes compañías antivirus y tampoco creo que lo haga con las más pequeñas. Podría fallarme la ecuación a menos que MS ofrezca un producto realmente robusto y eficiente mejor que sus competidores.
Nota: saldrán comerciales como los de "I am a Mac" diciendo "I am a Morro"?
Ahora son los datos de 97,000 empleados de Starbucks
La noticia de la semana no podía falta referente a la pérdida de datos. Esta vez la estrella se la lleva Starbucks en EUA, ya que al parecer y según el sitio LaptopTheft, cerca de 97,000 empleados recibieron una notificación de que sus datos fueron comprometidos.
Entre los datos, se encuentran nombres, direcciones y números de seguro social. Y todo debido a el extravío de una laptop. Esto de la pérdida de laptops se ha vuelto algo ya casi rutinario, es más ya como una tradición global.
Las leyes deberían de sancionar a las empresas que no protejan los datos de sus empleados y clientes cifrando los datos de los equipos móviles. De otra forma, tendremos el típico "usted disculpe".
Entre los datos, se encuentran nombres, direcciones y números de seguro social. Y todo debido a el extravío de una laptop. Esto de la pérdida de laptops se ha vuelto algo ya casi rutinario, es más ya como una tradición global.
Las leyes deberían de sancionar a las empresas que no protejan los datos de sus empleados y clientes cifrando los datos de los equipos móviles. De otra forma, tendremos el típico "usted disculpe".
sábado, 22 de noviembre de 2008
Adiós Firefox 2
Acaba el soporte para Firefox 2 este mismo año. Como saben, es importante mantener actualizadas a las aplicaciones y Firefox no es excepción. Así es que los que no tengan ya Firefox 3, deberán de apurarse...tienen hasta diciembre de 2008. Por cierto, la versión 3 está fabulosa, no se la pueden perder.
El 85% de las empresas usan open source: Gartner
En Asia, Norteamérica y Europa, el 85% de las empresas usan algún software libre; esto según Gartner. Y era de esperarse que el costo fuera el principal motivo para este uso.
El software libre (open source) no está libre de pecado (debilidades), y si bien el costo es un factor pivotal, es necesario recordar que hay que mantenerlo al día.
Por otro lado, algunas empresas han decidido usarlo porque pueden acceder al código fuente y revisar que no tenga nada "extraño" (espionaje u otro comportamiento mal intencionado). Son las menos las que seleccionan este software por este motivo pero sobre todo en organizaciones de importancia de seguridad nacional o gubernamental estratégica, este tipo de software debería de ser la preferencia, y no tanto por el costo, sino por el poder entrar al mismo y revisarlo.
Y si en EUA y Europa muchas organizaciones usan software libre por el cero costo de adquisición, no es hora de que aquí en México también sigamos esa tendencia?
El software libre (open source) no está libre de pecado (debilidades), y si bien el costo es un factor pivotal, es necesario recordar que hay que mantenerlo al día.
Por otro lado, algunas empresas han decidido usarlo porque pueden acceder al código fuente y revisar que no tenga nada "extraño" (espionaje u otro comportamiento mal intencionado). Son las menos las que seleccionan este software por este motivo pero sobre todo en organizaciones de importancia de seguridad nacional o gubernamental estratégica, este tipo de software debería de ser la preferencia, y no tanto por el costo, sino por el poder entrar al mismo y revisarlo.
Y si en EUA y Europa muchas organizaciones usan software libre por el cero costo de adquisición, no es hora de que aquí en México también sigamos esa tendencia?
PCMagazine decide ser digital totalmente
PCMagazine de EUA decide ser 100% digital. Y no es un capricho, ya que la revista está recibiendo la mayoría de sus ganancias de los anunciantes online, no de los anuncios de la revista impresa. No es la primera revista que se vuelve 100% digital y pienso que esta es ya la tendencia.
Aquí en México estamos lejos de tener medios 100% digitales sin opción impresa. Algunos periódicos ya hacen versión digital pero continúan con sus impresiones.
Primero que nada necesitamos acceso a la red más barato, no sólo en nuestras casas, sino en dispositivos móviles. Al menos cuando yo puedo leer un periódico o una revista es en el metro, esperando una consulta médica, en una espera aquí y allá o en la noche antes de dormir...situaciones que son verdaderamente incómodas para prender el lento Windows (y hasta Ubuntu para estos efectos) para leer algo en 5, 10 ó 20 minutos. En mi situación particular, sigo prefiriendo cierto contenido impreso para poder acceder a él en todo momento.
Así es que necesitamos costos accesibles. ¿Qué tal 100 pesos al mes por 100 MB de contenido y que pueda bajar a un dispositivo electrónico especializado en donde pueda acceder a este contenido? Inclusive podría ser un smpartphone.
El precio es una gran limitante. El hardware creo que no lo es.
Aquí en México estamos lejos de tener medios 100% digitales sin opción impresa. Algunos periódicos ya hacen versión digital pero continúan con sus impresiones.
Primero que nada necesitamos acceso a la red más barato, no sólo en nuestras casas, sino en dispositivos móviles. Al menos cuando yo puedo leer un periódico o una revista es en el metro, esperando una consulta médica, en una espera aquí y allá o en la noche antes de dormir...situaciones que son verdaderamente incómodas para prender el lento Windows (y hasta Ubuntu para estos efectos) para leer algo en 5, 10 ó 20 minutos. En mi situación particular, sigo prefiriendo cierto contenido impreso para poder acceder a él en todo momento.
Así es que necesitamos costos accesibles. ¿Qué tal 100 pesos al mes por 100 MB de contenido y que pueda bajar a un dispositivo electrónico especializado en donde pueda acceder a este contenido? Inclusive podría ser un smpartphone.
El precio es una gran limitante. El hardware creo que no lo es.
PayPal ahora en México para evitar usar la tarjeta de crédito
Pude ser que estemos protegidos por el Banco o por Visa/MasterCard en caso de fraude en línea al usar la tarjeta de crédito. Si es así, de todas maneras no evitamos los trámites para reportar el fraude, que se investigue, que haya un dictamen a nuestro favor y el hecho de esperar una nueva tarjeta. Luego a cambiar todos los servicios que hacían cargos automáticos a esa tarjeta.
Mejor evitar todo esto y usar PayPal, que ahora está en México. Evitamos el uso de el número de la tarjeta de crédito.
Me queda la duda: en caso de fraude, realmente va a responder PayPal o deberemos acudir al Banco emisor de la tarjeta?
Creo que voy a abrir una cuenta con ellos y probar su servicio a ver qué tal.
miércoles, 19 de noviembre de 2008
El mensaje debe de llegar a ellos, no ellos llegar al mensaje
Seguro han escuchado de la estafa nigeriana (Nigerian Scam). Lo que no había escuchado es que alguien cayera presa de esta estafa en tiempos recientes (2007-2008). Janella Spears, ciudadana de EUA perdió $400,000 USD a manos de unos estafadores. ¿Hay culpables o sólo ella? Supongo que no le llegó el mensaje sobre cómo navegar protegida que muchos tratamos de transmitir.
Le prometieron cerca de 20 millones de dólares y obvio, no recibió nada. Ahora tiene que pagar las deudas contraídas a causa de los estafadores. En la noticia se menciona que sus familiares le insistieron en que no continuara dando dinero, pero lo hizo durante dos largos años.
Mi primer impulso fue culparla. ¿Cómo puede ser tan inocente? ¿Qué no sabe que estas estafas suceden ya desde hace varios años y TODO mundo está ya alerta? ¿No tiene criterio? Luego vi que había sacado dinero de la jubilación de su esposo…seguramente se trata de una señora con cierta edad, no muy hábil con la tecnología de Internet y con grandes ilusiones de ganar dinero fácil (¿quién no?).
A veces perdemos el rumbo y no nos detenemos a pensar que hay personas que usan lo básico de Internet (correo, tal vez chat) y que no están al tanto del último parche de seguridad, de la debilidad de día cero de “x” aplicación, de la estafa nigeriana que circula ya desde hace años en Internet o bien del último troyano bajado por medio de técnicas de phishing.
¿Cómo llegar a esta audiencia? ¿Cómo hacerles llegar el mensaje para mantenerse a salvo en este mundo complejo de Internet? Existen muy buenas iniciativas como la de Navega Protegido donde la idea (que me parece muy buena) es que en lugar de que la gente llegue a nosotros, nosotros nos debemos de acercar a las personas, a las escuelas y a otros foros para esparcir el mensaje (spread the word, diríamos en inglés).
Finalmente, creo que los que sabemos de tecnologías estamos esperando que la gente (aquí me refiero concretamente a niños y gente adulta) venga a nosotros (los que sabemos) para darles buenos consejos. Este modelo no sirve. No podemos culpar totalmente a las Janella Spears del mundo por no suscribirse a los RSS indicados y estar al pendiente de lo que dice el CERT y los diferentes blogs de tecnología y de seguridad. El mensaje debe de llegar a ellos, no ellos llegar al mensaje.
Le prometieron cerca de 20 millones de dólares y obvio, no recibió nada. Ahora tiene que pagar las deudas contraídas a causa de los estafadores. En la noticia se menciona que sus familiares le insistieron en que no continuara dando dinero, pero lo hizo durante dos largos años.
Mi primer impulso fue culparla. ¿Cómo puede ser tan inocente? ¿Qué no sabe que estas estafas suceden ya desde hace varios años y TODO mundo está ya alerta? ¿No tiene criterio? Luego vi que había sacado dinero de la jubilación de su esposo…seguramente se trata de una señora con cierta edad, no muy hábil con la tecnología de Internet y con grandes ilusiones de ganar dinero fácil (¿quién no?).
A veces perdemos el rumbo y no nos detenemos a pensar que hay personas que usan lo básico de Internet (correo, tal vez chat) y que no están al tanto del último parche de seguridad, de la debilidad de día cero de “x” aplicación, de la estafa nigeriana que circula ya desde hace años en Internet o bien del último troyano bajado por medio de técnicas de phishing.
¿Cómo llegar a esta audiencia? ¿Cómo hacerles llegar el mensaje para mantenerse a salvo en este mundo complejo de Internet? Existen muy buenas iniciativas como la de Navega Protegido donde la idea (que me parece muy buena) es que en lugar de que la gente llegue a nosotros, nosotros nos debemos de acercar a las personas, a las escuelas y a otros foros para esparcir el mensaje (spread the word, diríamos en inglés).
Finalmente, creo que los que sabemos de tecnologías estamos esperando que la gente (aquí me refiero concretamente a niños y gente adulta) venga a nosotros (los que sabemos) para darles buenos consejos. Este modelo no sirve. No podemos culpar totalmente a las Janella Spears del mundo por no suscribirse a los RSS indicados y estar al pendiente de lo que dice el CERT y los diferentes blogs de tecnología y de seguridad. El mensaje debe de llegar a ellos, no ellos llegar al mensaje.
¿Mejoras en la seguridad de MS Office?
Me encuentro con una entrada en el blog de Microsoft (MSDN) cuyo autor es David LeBlanc publicada hace un par de días. Dice que llevó a cabo un estudio de la suite Office en donde establece que ha habido cada vez menos vulnerabilidades (CVE) en Office desde la versión 2000 a la 2007. ¿Realmente el número de debilidades es un indicador de la buena/mala seguridad de un software?
LeBlanc dice que el Office 2000 tuvo un conteo de 33 debilidades, y este número se fue reduciendo en cada versión hasta llegar a un conteo de 16 debilidades en el Office 2007.
A ver, los CVE (Common Vulnerabilities and Exposures) son debilidades enlistadas por el MITRE e indican que una debilidad se ha encontrado en un software por algún especialista de seguridad, por el propio fabricante o por otra persona que encuentra la vulnerabilidad y la reporta.
Bueno, el punto más importante es que una cosa es el número de debilidades encontradas y registradas de un software, y otra muy distinta es el número de debilidades que tiene un programa. Me explico. Una cosa es el número de insectos que conocemos y tenemos registrados, y otra muy distinta es el número de especies de insectos que realmente existen. Los insectos que no conocemos y/o que no tenemos registrados existen a pesar de que el ser humano no los haya identificado y catalogado. Basta que alguien lo haga para agregarlo a la lista de especies conocidas.
Lo mismo con las debilidades de software. Existen por sí solas y lo que hace una persona es encontrarla. Ahora viene otra parte interesante. Ya que esta persona la encuentra, puede decidir darla a conocer y registrarla o bien quedársela y aprovechar la debilidad en su beneficio. Estoy seguro que en este mismo momento hay varias debilidades conocidas en el underground que no han sido expuestas en el mundo de la seguridad y probablemente se están usando en contra de los programas afectados.
Ahora viene alguien a decirme que el número de debilidades encontradas y registradas en Office ha ido reduciéndose y esto es un indicador de mayor seguridad en las versiones recientes de esta suite. Esta afirmación tiene truco, y de hecho el título del post del blog de leBlanc dice así: "Improvements in Office Security", claramente ligando la cantidad de debilidades a la seguridad de la suite. Para mi no es un indicador válido, y en todo caso podría ser tomado como uno de varios indicadores de la seguridad de un software.
Una explicación en la reducción de debilidades de Office probablemente sea que todo mundo se está enfocando más en las debilidades basadas en Internet (páginas web, correo, etc.) y no tanto en debilidades de Office. Sea cual sea la razón, la cantidad de debilidades no es un parámetro del todo válido para medir la seguridad de una aplicación. Me sorprende que esto venga del gigante de software en Redmond.
LeBlanc dice que el Office 2000 tuvo un conteo de 33 debilidades, y este número se fue reduciendo en cada versión hasta llegar a un conteo de 16 debilidades en el Office 2007.
A ver, los CVE (Common Vulnerabilities and Exposures) son debilidades enlistadas por el MITRE e indican que una debilidad se ha encontrado en un software por algún especialista de seguridad, por el propio fabricante o por otra persona que encuentra la vulnerabilidad y la reporta.
Bueno, el punto más importante es que una cosa es el número de debilidades encontradas y registradas de un software, y otra muy distinta es el número de debilidades que tiene un programa. Me explico. Una cosa es el número de insectos que conocemos y tenemos registrados, y otra muy distinta es el número de especies de insectos que realmente existen. Los insectos que no conocemos y/o que no tenemos registrados existen a pesar de que el ser humano no los haya identificado y catalogado. Basta que alguien lo haga para agregarlo a la lista de especies conocidas.
Lo mismo con las debilidades de software. Existen por sí solas y lo que hace una persona es encontrarla. Ahora viene otra parte interesante. Ya que esta persona la encuentra, puede decidir darla a conocer y registrarla o bien quedársela y aprovechar la debilidad en su beneficio. Estoy seguro que en este mismo momento hay varias debilidades conocidas en el underground que no han sido expuestas en el mundo de la seguridad y probablemente se están usando en contra de los programas afectados.
Ahora viene alguien a decirme que el número de debilidades encontradas y registradas en Office ha ido reduciéndose y esto es un indicador de mayor seguridad en las versiones recientes de esta suite. Esta afirmación tiene truco, y de hecho el título del post del blog de leBlanc dice así: "Improvements in Office Security", claramente ligando la cantidad de debilidades a la seguridad de la suite. Para mi no es un indicador válido, y en todo caso podría ser tomado como uno de varios indicadores de la seguridad de un software.
Una explicación en la reducción de debilidades de Office probablemente sea que todo mundo se está enfocando más en las debilidades basadas en Internet (páginas web, correo, etc.) y no tanto en debilidades de Office. Sea cual sea la razón, la cantidad de debilidades no es un parámetro del todo válido para medir la seguridad de una aplicación. Me sorprende que esto venga del gigante de software en Redmond.
martes, 18 de noviembre de 2008
Phishing: Sincronizacion requerida (urgente)
De nueva cuenta otro correo intentando hacer phising con Banamex. El asunto del correo es “Sincronizacion requerida (urgente)”. Como podrán observar en la imagen que incluyo en este post, se ve bastante profesional y bien podríamos caer en la trampa si no nos fijamos bien.
Dentro del cuerpo trae todos los elementos clásicos argumentando que “se han hecho cambios en el esquema de autentificación NetKey” y que debemos entrar al sitio para sincronizar. El phising hace la aclaración de que sólo se debe de hacer una vez. También menciona que esta sincronización es para ofrecer un esquema adicional de seguridad…sí, claro.
En fin, como siempre, está el gancho argumentando cualquier cosa para que el usuario haga click en la liga adjunta y una explicación de por qué debemos hacerlo (por motivos de seguridad).
Cabe mencionar que Firefox 3 ya reconoce a este sitio como malicioso. Como siempre, la recomendación es no hacer click en ligas que lleguen vía correo, ya que por ejemplo en este caso no estamos ingresando al sitio de Banamex real sino a http://www.banamex.com.mx-mx.net/boveda/serban/
Les dejo el texto del mensaje phising:
Banamex le informa que se han hecho cambios en el esquema de autentificación Netkey.
Nota importante: Por ello, es necesario sincronizar su dispositivo Netkey, es necesario realizar esto solamente una vez, simplemente fírmese en su cuenta y el sistema sincronizara su clave automáticamente.
Para Personas
<http://www.banamex.com.mx-mx.net/boveda/serban/>
Para Empresas
<http://www.banamex.com.mx-mx.net/bancanetempresarial/spanishdir/>
Este cambio, ha sido realizado, para ofrecerle un esquema de seguridad adicional al ya disponible, recuerda que esta sincronización NO AFECTA de ninguna manera tus Saldos u Operaciones.
Si usted no ha ingresado a su cuenta en la ultima hora, es necesario que usted sincronice su Netkey Banamex, de lo contrario, su Usuario será suspendido y tendrá que acudir a la sucursal de apertura de su cuenta para reactivar su acceso.
Suscribirse a:
Entradas (Atom)
