Un año del blog.netmedia.info.

El blog de netmedia cumple un año y yo, como colaborador de dicho blog no me queda mas que felicitar a los creadores del blog, a todos los que participamos con las contribuciones y sobre todo a los que dan lectura a las entradas del blog, sin olvidar a los que envían sus opiniones. Sin duda, Efraín ha sido un importante impulsor/coordinador de este esfuerzo que se lleva a cabo día a día.

Para mi, escribir un blog con temas de seguridad resulta una labor interesante, pero requiere de constancia y de estar constantemente encontrando temas que de alguna manera le interesen a los que están relacionados de algún modo u otro con la seguridad de la información.

Pienso que entre más estemos enterados de lo que sucede en torno a la seguridad de la información e informática, estaremos más preparados para proteger eso que muchos llaman "uno de los activos más importantes de una organización". En fin, a lo largo del tiempo este blog de Netmedia se ha enriquecido y es algo positivo para fomentar los temas tecnológicos y -particularmente para mi-, tratar de"esparcir" los temas de seguridad de la información.

Sin más por el momento, hasta la próxima entrada!

Medidas a seguir ante un retén de la policía.

 

¿Si ves un retén de la policía te detienes y lo atiendes? Fernando Martí fue secuestrado mientras un falso retén de policía lo detuvo y desencadenó la serie de trágicos eventos que ya conocemos. Vuelvo a preguntar: tú qué harías ante un retén? ¿Y si siembran droga? ¿Y si no son policías? ¿Y si...?

 

Santander en su boletín de seguridad aborda este tema y ofrece varios tips. Desgraciadamente desde el punto de vista legal no puedo dar mi opinión (¿hay algún abogado en la audiencia que nos oriente?) y algunas sugerencias me quedo con la duda de si realmente las podemos hacer sin meternos en líos con la ley. En fin, incluyo aquí algunos de los tips más relevantes pero no está de más que visiten la página donde viene la información completa.

 

+ Si nos detienen, apuntar el número de patrulla de inmediato.

+ Abrir parcialmente ventana para entregar documentos al agente; no abrir la puerta.

+ Exigir identificación del policía.

+ No bajar del auto.

+ No permitir la revisión del auto (cajuela, interior del carro); ver el siguiente punto:

+ Antes de inspeccionar un auto, se debe presentar una orden de cateo.

+ Si nos remiten al MP, manejar uno mismo y al llegar al destino, bajar del auto, cerrarlo y no entregar las llaves.

+ Si nos detienen, llamar de inmediato a familiares e informar (número de patrulla, ubicación, etc).

 

Hasta dónde hemos llegado que debemos desconfiar de los que nos protegen. Es un artículo escrito por César Ortiz a petición del banco Santander.

 

Antes de la seguridad de la información está la seguridad personal.

Conciencia ambiental

 

¿Qué relación tiene la conciencia ambiental con la seguridad de la información? No mucha. Sin embargo deseaba compartir esta página que llegó a mis manos recientemente y me pareció interesante, sobre todo porque es una página hecha en México y tiene información útil a mi parecer. He de decir que algunas recomendaciones las considero muy generales, por ejemplo comentan sobre la conveniencia de la energía alternativa pero no dicen dónde puedo comprar esta tecnología en México ni más tips de su adquisición, instalación, uso, costos o fabricantes.

 

En fin, será cuestión de que ustedes mismos ingresen al sitio y vean si hay algo que pueden hacer para cooperar con el planeta.

 

También les dejo una liga de Microsoft que trata del tema ambiental y hasta se puede bajar software para ahorrar energía en los equipos de cómputo (con Windows, claro está).

¿Saben de otras páginas similares ambientales que consideren de utilidad?

¿Y dónde quedó mi USB?

Sucedió de nuevo: pierden USB en Inglaterra con información confidencial de todos los prisioneros del Reino Unido. Para variar, la culpa es de un contratista y ahora andan por ahí los nombres, fechas de nacimiento y otros datos más relacionados a las sentencias de los prisioneros.

 

 

Y aún siendo información de convictos, finalmente demuestra una vez más el "cuidado" con que se pueden llegar a tratar los datos. Ya las historias de laptops perdidas con información confidencial se ha vuelto algo rutinario, y con la capacidad de los USB (4 GB, 8 GB, etc.), ahora parece que la tendencia será perder este tipo de dispositivos donde pueden caber bases de datos enteras. Y esperen a que los discos duros externos bajen aún más de precio.

 

 

Las protecciones tradicionales (antivirus, firewall, antispam) no van a evitar que un empleado o contratista copie información en un USB. ¿Cuánta información valiosa (y en claro) andará por los bolsillos de empleados de empresas, contratistas y gobiernos?

 

 

No seamos parte de la estadística. Por cierto, los dejo porque debo ir a buscar mi USB; hubiera jurado que lo traía conmigo...

La noticia completa.

US Department of Homeland Security: hackeado.

Intrusos lograron hacer llamadas por un valor de $12,000 USD cuando penetraron al US DHS. El comunicado oficial dice que un contratista dejó abierto un "hueco" en el sistema de telefonía de esta agencia de seguridad nacional. Lograron efectuar diversas llamadas de larga distancia, principalmente a países del Medio Oriente.

¿No es irónico que la intrusión exitosa haya sucedido en una agencia que supuestamente debe de encargarse de la seguridad de EUA? En fin, supongo que no han escuchado eso de "predicar con el ejemplo". ¿Cómo puedes dictar la estrategia de seguridad y "empujar" iniciativas si tú mismo no puedes mantenerte protegido? De hecho en 2003 ellos mismos hicieron la advertencia de la vulnerabilidad en el sistema telefónico, la cual fue aprovechada por los intrusos. Claro, esta vez la culpa es de un "contratista"...seguro que sí.

En fin: en casa del herrero, azadón de palo. ¿Será que esto de la seguridad es realmente difícil? :-)

La noticia <http://www.msnbc.msn.com/id/26319201/> completa.

Google y Apple salen en busca de expertos de seguridad.

Apple contrata y Google pide expertos de seguridad. Por una lado Apple
tiene (¿tenía) al menos una plaza libre para que la ocupe un experto
de seguridad que se dedique al iPhone. Google no ofrece plazas pero
pide a la comunidad de expertos en seguridad que vigilen de cerca su
plataforma de celulares Android. ¿Algún ineteresado?

En fin, curioso que el iPhone y Android están relacionados a le
telefonía móvil; y realmente no es tan curioso, ya que por algo Google
y Apple se preocupan por aspectos de seguridad. Bien saben que la
"movilidad" es el futuro no sólo en plataformas (Android) sino en
servicios (iTunes). También está la promesa de pagar con celulares. No
me extraña que se preocupen por la seguridad sobre todo en estos
celulares que ya son pequeñas computadoras.

La pregunta es: estarán haciendo lo suficiente? ¿Será Android una
plataforma segura para hacer pagos y/o transacciones? ¿Lo es el
iPhone? Tampoco Windows lo es y muchos hacemos pagos y transacciones
siguiendo ciertas medidas de seguridad. En fin, la historia móvil está
iniciando.

Google pide ayuda:
http://news.cnet.com/8301-1009_3-10020274-83.html?hhTest=1&tag=cd.blog
Apple contrata:
http://jobs.apple.com/index.ajs?BID=1&method=mExternal.showJob&RID=12150

La inseguridad del protocolo IP.

Todos sabemos que los protocolos de Internet no fueron diseñados realmente pensando en cuestiones de seguridad. Aunque estoy seguro de que habrá estudios que traten sobre este tema, no recuerdo haber visto un análisis serio y así de completo sobre la seguridad del protocolo IP.

Les ofrezco la liga para que si es de su interés, bajen el PDF y le den lectura. Prepárense, porque es una lectura que les llevará un tiempo, pero bien vale la pena. El autor de este trabajo es Fernando Gont a petición del "Centre for the Protection of National Infrastructure".

http://www.cpni.gov.uk/Docs/InternetProtocol.pdf

La debilidad DNS de Dan Kaminsky.

Dan Kaminsky subió recientemente a la fama en el mundo de la seguridad informática. ¿La razón? Su "infame" análisis sobre una debilidad bastante seria en el sistema DNS (responsable de traducir nombres a direcciones IP en Internet). En la conferencia ya famosa de Black Hat llevada a cabo hace unas semanas, Dan hizo por fin su presentación de la debilidad de la cual se especulaba desde el mes de julio. Por cierto varios fabricantes han publicado ya un parche para solucionar
el problema (Microsoft, Solaris, IBM , etc.).

Ha pasado ya la presentación de Dan en Black Hat y para los que requieren una explicación más detallada y en "cristiano" de lo que implica esta nueva vulnerabilidad de DNS, les ofrezco una página web http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html donde podrán encontrar una muy buena explicación de cómo funciona un DNS en general, así cómo el envenenamiento del DNS y finalmente una descripción del ataque que explota la debilidad descrita por Dan.

Lo que debemos saber es que la debilidad permite hacer que las computadoras vayan a un sitio falso cuando un usuario teclea www.bancoautentico.com, y desgraciadamente en este sentido estamos a merced de que los ISP (proveedores de Internet) también apliquen el parche correspondiente para que que siempre vayamos al sitio "real" y no a uno "fake". Por cierto hoy leí una noticia de Websense donde se alerta de un envenenamiento de un ISP chino:
http://securitylabs.websense.com/content/Alerts/3163.aspx

Un posible "workaround" que pudiera funcionar es teclear directamente la IP del sitio en el navegador en lugar del nombre; por ejemplo en lugar de www.amazon.com, podríamos teclear 72.21.206.5 en nuestro navegador; así no estaríamos usando el DNS. Nada fácil, así es que esperemos que los ISP hagan su trabajo y nos cubran las espaldas. Otra solución es que siempre que sea posible, verifiquemos el certificado¿ digital del sitio visitado y estar pendientes de que existe una sesión SSL válida. Cabe mencionar que esto último es siempre un buen hábito
al navegar en Internet.

Naveguen seguros y hasta la próxima.

Análisis de Riesgos Nacional.

En México son pocas las organizaciones que tienen y mantienen un análisis de riesgos. Sí, ese análisis tan útil pero tan poco usado. Si en las organizaciones es escasamente llevado a cabo, olvidémonos de un análisis de riesgos a nivel nacional. Pero esta situación es muy diferente en países como el Reino Unido. Allá están poniendo en marcha un análisis de riesgos llamado "National Risk Register" que pretende registrar las posibles debilidades y amenazas que pueden afectar a esa región del mundo y con este estudio tratar de reducir los riesgos.
 
En este análisis de riesgos se toman en cuenta cuestiones como accidentes que afectan al transporte, accidentes industriales, inundaciones, cambios severos climáticos, ataques a la infraestructura crítica nacional y claro, no podían dejar de lado los ataques electrónicos.
 
Vaya que se sorprende uno con lo que están haciendo en otras latitudes ya que cuando les digo que hacer un análisis de riesgos en una organización es difícil, es porque he estado directamente involucrado con uno de estos estudios y créanme, no es es nada fácil. Ahora cuando me pongo a pensar que están haciendo un esfuerzo por hacer un análisis de riesgos a nivel nacional, bueno, eso sí es un esfuerzo que nos hace pensar que todavía nos hace falta bastante por hacer acá en México.
 
Tal vez el análisis del Reino Unido no resulte cumplir las expectativas o no resulte ser "lo que todo mundo esperaba", pero el solo hecho de estar preocupado por hacer un estudio de esta naturaleza significa que la mentalidad de los gobiernos de esos países es más visionaria y claro, significa que tienen los recursos para hacer estos esfuerzos.
 
En fin, para los lectores que tengan un interés especial en estos temas de vulnerabilidades, amenazas y riesgos llevados a un nivel "macro", les dejo la siguiente liga:
http://www.cabinetoffice.gov.uk/reports/national_risk_register.aspx

"Explotabilidad" en debilidades de Microsoft.

Los que analizamos los parches de Microsoft mensualmente cada segundo martes, sentimos que nos falta información para hacer mejores decisiones de qué prioridad tienen los parches y poder así empezar por el más prioritario o de plano iniciar de "inmediato" con la aplicación de parches porque es una emergencia.  Aunque esta falta de información también la tienen otras compañías, esta vez Microsoft ha dado un paso adelante y ha anunciado que incluirá cada martes la probabilidad de que la debilidad de un parche sea explotada. Será una especie de predicción para ver qué tan "explotable" es una debilidad y esto en teoría debe de ayudar al usuario o administrador a establecer prioridades.

Otra cosa que hará Microsoft es enviar información adelantada de las debilidades a algunos fabricantes de soluciones de seguridad para que puedan incluir firmas de detección en su productos.

Respecto a la "explotabilidad", pienso que puede ser de utilidad, aunque habrá que ver qué tan atinados son los señores de Redmond en sus predicciones; por otro lado cada organización tiene un ambiente diferente que hace que un parche tenga una prioridad diferente. Muchas veces un parche puede ser catalogado como "crítico" por el fabricante pero por las protecciones perimetrales organizacionales se vuelve de criticidad normal.

Por otro lado, si tenemos software de seguridad que tenga que ver con debilidades de Microsoft, habrá que averiguar si nuestro software de seguridad  incluirá detecciones preliminares como parte de una trato con Microsoft.

El dato en:
http://www.gcn.com/online/vol1_no1/46823-1.html?topic=security&CMP=OTC-RSS

Recuperación de laptops sin costo

¿Un servicio gratuito de recuperación de laptops perdidas? Demasiado bueno para ser verdad, sobre todo con los costos que ciertas compañías cobran por ofrecer este tipo de servicios, sin mencionar la falta de empresas que proporcionen este servicio en nuestro país.

Pues bien, un proyecto (llamado Adeona) de código abierto de las Universidades de Washington y California San Diego parece que da una solución para todos aquellos que deseamos la recuperación de nuestras laptops sin gastar un centavo. La idea es instalar una aplicación  (en la laptop) que manda constantemente señales cifradas a servidores predefinidos de Internet. Estas señales contienen la dirección IP de la laptop (que en ese momento posea) y otra información útil de la ubicación geográfica de los ruteadores usados .  Como ya mencioné esas señales son cifradas y "sólo" el usuario podría descifrarlas.

Cuando somos víctimas del robo de nuestra laptop, utilizamos esas señales que contienen información que nos es útil para identificar la ubicación geográfica de la laptop y de esta manera poder proporcionarla a la policía. No es un esquema perfecto, ya que dependemos de que la laptop sea conectada a Internet una vez robada y que obviamente no haya sido formateada, por ejemplo.  También hay que trabajar un poco para averiguar más de la localización geográfica de la laptop, ya que no debemos esperar que tengamos la dirección y código postal de donde está nuestro equipo. En fin, pienso que es un buen esfuerzo y si en la práctica hace lo que promete, bien valdría la pena darle una oportunidad.

Finalmente y por otro lado, ya quiero ver la cara de los policías mexicanos cuando les diga que tengo la IP de la laptop y de los ruteadores para ayudarlos a encontrar mi laptop. En el mejor de los casos si entienden los términos tecnológicos, tal vez de plano me sugieran "amablemente"  comprarme otra.  Con la ola de crímenes que estamos viviendo, atenderán mi solicitud para recuperar mi laptop? No pongamos a prueba a las autoridades, porque saldremos comprando otra laptop. Es mejor ser precavidos, a menos que al más puro estilo de Batman intentemos recuperarla nosotros mismos.

 

Mas información en:

http://adeona.cs.washington.edu/index.html