lunes, 31 de diciembre de 2007

Feliz año 2008

Simplemente, quería desearles a todos los que lean estas líneas, un muy feliz año 2008, y si es posible, libre de virus y malware.

El próximo año veremos mucho malware orientado, específicamente a seguir robando datos sensibles de los usuarios, a través de múltiples vias, desde mensajes de correo electrónico hasta por sitios web y mensajeros instantáneos, por lo que a tener cuidado.

Qué tengan un excelente año, y que lo disfruten!

martes, 25 de diciembre de 2007

Caso Squirrelmail: Un problema del open-source

Soy partidario del open-source, sinceramente, me encanta. Me gustan las soluciones en si mismas, y el software libre y el open-source son un concepto interesante que nos ha facilitado la vida a los usuarios de Internet en muchos aspectos (¿Dónde estaríamos hoy sin Apache?)

Sin embargo, un problema de seguridad en el software Squirrelmail, uno de los webmail más utilizados a nivel mundial, muestra uno de aspectos del open-source que pueden causar vulnerabilidades por el mero hecho de cómo se crea este software en si mismo.

El software open-source es creado, programado y mantenido por decenas, cientos y/o miles de programadores repartidos por todo el mundo. Para poder trabajar en el mismo, quienes están detrás del software, brindan accesos seguros al código fuente del software a fin de poder trabajar en el mismo.

Recientemente el código fuente de Squirrelmail se vio afectado por una serie de vulnerabilidades incluidas expresamente por uno de los programadores encargados de mantener el software. No se sabe si realmente fue esa persona o alguien qué robó sus credenciales de acceso al código fuente pero eso no quita la inseguridad que esto causó.

Dicha persona modificó el código fuente del software a fin de incluir ciertos cambios que abrían agujeros de seguridad que podían causar accesos irrestrictos a partes del sistema que no deberían existir. Esto es un problema de seguridad inherente al modelo del open-source, basado en la confianza de quien tiene credenciales para acceder y modificar el mismo. Normalmente, esto no sucede dado que existen medidas para auditar el código, pero en este caso, el paquete final que fue descargado por muchos usuarios de Squirrelmail, si salió con agujeros de seguridad incluidos.

El open-source está aquí para quedarse y es parte importante de la Internet y la informática de hoy, pero tampoco es la panacea de la seguridad. Como todo lo relacionado al software, tiene vulnerabilidades, y en algunos casos, no están en el programa en si mismo, sino en quienes lo mantienen. A tenerlo en cuenta...



"is"

lunes, 24 de diciembre de 2007

Consejo navideño: deshabilitar la funcionalidad de autorun de Windows

En estos momentos en que muchos de uds. ya están pensando en la nochebuena, juntarse con la familia y pasar un buen rato con amigos, yo estaba pensando que buen consejo darles, relacionado o no con la navidad, así yo también podía irme tranquilo a disfrutar de la Navidad sintiendo haber dejado algo bueno antes de ello.

Leyendo, como siempre, mis fuentes de confianza, vi como las casas antivirus comenzaron los reportes del malware más reportado del año, del mes, del día y las tendencias varias que se notaron en el 2007 y las que vendrán en el 2008.

Un recurso que mucho malware de la actualidad está aprovechando es la funcionalidad de autorun que brinda Windows. Esta funcionalidad permite que, de acuerdo a cierta metodología, se pueda ejecutar automáticamente contenido incluido en CDs, DVDs, y dispositivos USB. Si alguna vez insertaron un CD/DVD de un juego de PC, habrán visto que el mismo comienza automáticamente... ¡esa es la funcionalidad de autorun!

Esto se logra a través de un archivo llamado autorun.inf, el cual permite la ejecución automática de contenido al insertar en la PC algún medio removible de información.

El recurso es altamente utilizado por el malware actual, infectando dispositivos USB de almacenamiento, para que cuando sean llevados a otro equipo, puedan infectarlo también.

Por lo anterior es importante y recomendable desactivar esta funcionalidad a fin de no ser víctimas de alguno de estos malware cuando un amigo quiere compartir sus fotos y/o documentos con nosotros a través de un dispositivo USB.

En el blog de Steve Riley, uno de los expertos de Technet, encontrarán información de como desactivar la funcionalidad, directamente desde una de las fuentes de Microsoft:

http://blogs.technet.com/steriley/archive/2007/09/22/autorun-good-for-you.aspx

En castellano, podrán encontrar instrucciones aquí:

http://www.raymond.cc/blog/archives/2007/11/24/disable-autorun-cd-in-windows-for-better-security/es/

Saludos y que pasen una feliz navidad, libre de malware y en familia!

"is"

miércoles, 19 de diciembre de 2007

Tarjetas virtuales navideñas – Hagámoslas bien

Desde cierto punto de vista, somos nosotros mismos quienes le damos la oportunidad a los creadores de malware de usar las tarjetas navideñas como una forma de engaño. ¿Por qué digo esto? Las tarjetas navideñas que he recibido dan muestra de ello y ahora les paso a detallar…

Tarjeta con archivo adjunto

La responsable de comunicación de un asociado de negocios mío me hizo llegar, seguramente a través de algún envio masivo, una “muy linda” tarjeta virtual en forma de archivo adjunto a un mensaje de correo electrónico.

Puse comillas en “muy linda” debido a que nunca sabré cómo es, ya que no hay forma alguna de convencerme de que habrá el archivo adjunto en cuestión. Tranquilamente puede ser malicioso, dañino, un malware, etc, enviado en forma selectiva (si, paranoico, pero es así…)

Si ejecuto el archivo adjunto (una animación flash compilada con extensión .swf), el navegador la ejecutará, pero con los privilegios del usuario local, por lo que es altamente inseguro. Es igual que ejecutar un archivo .exe en muchos aspectos.

Tarjeta en formato HTML

Otros varios contactos de negocios y amigos me han enviado tarjetas en formato HTML, algunos simplemente con una imagen, otros con una imagen y un enlace para ver una tarjeta virtual en un sitio web.

La tarjeta con la imagen embebida no me genera ningún problema. Si tuviera mi sistema desactualizado, un email en formato HTML podría aprovechar algún agujero de seguridad para ejecutar código en forma arbitraria, pero como mantengo mi sistema al día, no hay tanto problema, además de que, en realidad, tengo desactivada la recepción de mensajes en formato HTML.

En cambio, la tarjeta en formato HTML que además contiene un enlace a un sitio externo, no me brinda tanta seguridad, dado que en realidad, utilizando esto es como funcionan muchos de los ataques de phishing, dado que el enlace que muestran no es conocido por quien recibe la tarjeta, y por lo tanto, puede llevar a un sitio peligroso.

Por lo anterior, si recibo una tarjeta en formato HTML, con un enlace a un sitio externo que no conozco, y que no puedo comprobar el destino del mismo, dudo que vea la tarjeta completa 

¿Qué me gustaría recibir?

Esto no es un pedido a uds., mis fieles amigos, para que me envíen tarjetas navideñas. Soy un acérrimo enemigo de las cadenas y demás, por lo que el solo hecho de que sigan leyendo este blog es suficiente.

Como profesional de seguridad informática que soy, la paranoia forma parte de mi día a día. Esto genera, por ejemplo, que mis emails siempre, pero siempre salgan en texto plano, y así me gusta recibirlos además.

La única forma en que realmente vería una tarjeta virtual es:

  • Recibir un mensaje en texto plano
  • Que el remitente sea conocido por mí
  • Que haya un enlace a una página HTML en un sitio que me dé confianza y que esté relacionado con el remitente (p.e., si el remitente trabaja en la empresa Ficticia, que el sitio web sea www.ficticia.com)
  • Que cuando habrá la página HTML no me invite a instalar absolutamente nada; si la tarjeta virtual no se ve a la primera, mala suerte, no la veré
Y lo anterior solamente lo haría desde un navegador al que le tenga confianza, completamente actualizado y sin ningún parche de seguridad faltante en cuanto al navegador, sus plug-ins y el sistema operativo.

Incluso teniendo en cuenta lo anterior, puedo llegar a caer en algún riesgo, y ahí tendré que confiar en mi antivirus, y para asegurarme que el antivirus detecte lo que me encuentre, no abriría la tarjeta virtual ni bien la reciba, sino al día siguiente, tras alguna que otra actualización de mi antivirus.

Conclusión

Todo esto lo he comentado no solamente en base a mis gustos personales, sino en realidad como una guía que creo llevaría a que todo lo que no caiga en nuestras bandejas de entrada en un formato confiable, no sea abierto, de manera que no caigamos en la trampa del “malware navideño”.

“is”

lunes, 17 de diciembre de 2007

¿Es navidad una época con más malware?

Desde que uso Internet, allá por los 90, la navidad ha sido siempre un momento en el que distintos códigos maliciosos aparecen para aprovechar la época y engañar a los usuarios de distintas maneras.

En este tiempo de festejo para una gran parte del mundo, tanto sea por la navidad cristiana, como por otras festividades, o tan solo por el propio fin de año y comienzo de uno nuevo, es normal que muchos de nosotros intercambiemos mensajes de correo electrónico, instantáneos y/o tarjetas virtuales para saludar a nuestros amigos, seres conocidos y demás personas conocidas.

Por lo anterior, quienes están detrás de la creación de malware aprovechan esta época haciendo llegar sus troyanos, gusanos y demás a través de alguna de las formas de comunicación que los usuarios normalmente utilizan.

Lo anterior hace pensar que la navidad y las fiestas de fin de año son un tiempo en el que existe más malware, cuando en realidad, a los efectos reales, no es así.

Básicamente, lo que sucede es que los creadores de malware aprovechan las tendencias del uso de Internet de los usuarios al máximo, y cada época en particular en donde la utilización de la web se masifica o centraliza en ciertas acciones es un momento ideal para ellos.

Dado que no hay nadie que no reciba una tarjeta virtual en esta época del año, es común ver malware que nos llega a través de esa vía en las navidades.

La realidad actual del malware nos muestra que no existe una época para infectarse, no es como con la gripe y el invierno, sino que en cualquier momento del año podemos llegar a tener problemas con los códigos maliciosos. Por ende, no es cuestión de redoblar las defensas ahora, porque en todos los medios y pronósticos se diga que va a haber más malware, sino que siempre tenemos que tener las barreras bien altas, y aplicar las más básicas prácticas de uso seguro de computadoras:

  • Utilizar un software anti-malware y actualizarlo periódicamente
  • Utilizar un firewall y tenerlo siempre activo mientras navegamos
  • Utilizar un filtro anti-spam y anti-phishing que nos proteja lo mejor posible contra dichas amenazas
  • No confiar en todo lo que recibimos por Internet, sino que siempre que dudemos de y/o no conozcamos a su destinatario, debemos chequear la validez y seguridad del mensaje y/o comunicación
  • Actualizar nuestro sistema operativo y aplicaciones con las últimas actualizaciones de seguridad
  • Evitar la descarga de software desde fuentes de Internet desconocidas
  • No hacer clic en cada cosa que nos aparece mientras usamos la computadora (ventanas emergentes, emails, enlaces en páginas web, etc)

Siguiendo estas recomendaciones en todo el año, podremos disfrutar de una experiencia informática más segura.

"is"

domingo, 16 de diciembre de 2007

Viajes, blog y Feliz Navidad

Amigos míos, como habrán notado, nuevamente estoy en un momento donde no he tenido tiempo para postear mucho. Esto se debe a mis actividades laborales, que para esta época del año, se complican en demasía.

He estado nuevamente de viaje por el norte del continente americano, entre reuniones y reuniones, y eso me ha tenido no solamente lejos del blog, incluso alejado de la computadora en si misma :)

Por si las dudas, uno nunca sabe que pasará, les dejo un fuerte deseo de que tengan una excelente época navideña y un aún mejor comienzo de año! No es que no piense postear nada hasta el 2008, ... ¡pero nunca se sabe!

Si navegan por internet en estas fiestas, lleven abrigo que hace frio, y no quiero que se me resfrien.

"is"

Comentarios legales sobre el robo virtual

Haciéndose eco de la noticia sobre el robo de muebles virtuales en Habbo que comenté hace tiempo, me encuentro el siguiente enlace, con un interesante análisis de acuerdo a las legislaciones actuales:

http://www.derechonntt.com/?p=124

Leánlo completo, comentarios incluidos, porque nos da una muestra de las diferencias entre lo que la legislación considera y adónde el mundo está yendo. Sigo insistiendo, no creo que haga falta modificar las leyes para incluir los delitos informáticos, sino que será necesario transformar el derecho completamente, desde la base misma...

"is"

miércoles, 5 de diciembre de 2007

El blog de Sergio Hernando

Hace mucho que no escribo sobre algún sitio de internet que recomiendo dentro del ámbito de la seguridad informática, así que me decidí a ver qué no habia comentado aún y aquí estamos.

El blog de Sergio Hernando es un sitio interesante, en formato de blog, sobre seguridad, auditoría y administración de sistemas. Muchos de los contenidos de Sergio son de alto interes, debido a que conllevan análisis y/o experiencias propias, que le dan un valor agregado a la información.

Es una de mis fuentes diarias de información en cuanto a seguridad, en español, y les recomiendo visitarlo y agregarlo a su lector de feeds.

"is"

sábado, 1 de diciembre de 2007

Estadisticas de Phishing desde México

En un artículo de El Universal de México, un gerente de uno de los bancos más importantes del país, comentaba que de cada 100 personas que reciben un correo de electrónico de phishing, 6 de ellas caen en la trampa.

La fuente del artículo se puede encontrar en el siguiente enlace:

http://www.eluniversal.com.mx/tudinero/2264.html

Para más información sobre el phishing, revisen mi post sobre el tema:

http://virusattack.blogspot.com/2007/07/avancemos-qu-es-el-phishing-leccin-8.html

Esta estadística nos muestra que, al menos en lo que respecta a las estadísticas recolectadas por el banco en cuestión, el phishing tiene una "tasa de éxito" del 6 %.

Un dato importante que nos dejan es qué hacer si ya se ha sido víctima, así que les recomiendo la lectura del artículo.

"is"

martes, 27 de noviembre de 2007

La inseguridad en el software de seguridad y un estudio amarillista

Si, señores, el software de seguridad no es invulnerable. Cerremos todo, guardemos la computadora en la caja y vamos a vivir al campo que es más tranquilo. :)

Hay algo que todos tenemos que entender es que no existe un software invulnerable, en ningún sentido. Siempre existe la posibilidad de que cualquier software tenga algún tipo de error de programación que devenga en un agujero potencial de seguridad.

Lo anterior también se aplica a antivirus, antispam, firewall, IDS, IPS, filtros de contenidos, protección de datos, programas de encriptación, etc, etc, etc.

Este hecho no es discutido por nadie (y quien lo discuta, mejor que se dedique a otra cosa), y hay que tenerlo en cuenta cuando diseñamos la seguridad de nuestro entorno informático, sea hogareño y/o empresarial.

Los agujeros de seguridad en las aplicaciones que están destinadas a protegernos suelen ser de importancia y ponen de manifiesto la necesidad de una clara comunicación entre los desarrolladores y los usuarios, tanto en materia de información del problema como en soluciones lo más automáticas posibles.

Un reciente estudio, un tanto amarillista en la forma de expresarlo, informa sobre vulnerabilidades pasadas y posibles en los antivirus en particular.

El nombre del estudio, realizado por una empresa alemana, es “La muerte de la defensa antivirus”. Cuando uno lee eso, dan ganas de dejar de usar una computadora, ¿no?

Más allá del nombre, el estudio muestra algunos puntos interesantes en factores como el procesamiento de distintos tipos de archivos por los antivirus, los cuales pueden llevar a potenciales vulnerabilidades relacionadas con desbordamiento de buffers y demás.

Negar que los antivirus tienen o pueden tener vulnerabilidades es imposible, dado que es cierto, como con cualquier software. Lo interesante de este estudio es la forma en que lo presenta, pero no por la veracidad del mismo en muchos aspectos, sino por lo que hace la empresa que lo realizó.

N.runs, la empresa tras este estudio, es de origen alemán y está desarrollando un software que… sirve para parsear archivos y su objetivo es prevenir que se puedan realizar ataques contra los antivirus. Es más, dicen que los antivirus son aliados tecnológicos muy importantes para ellos (ver última página del estudio). ¿En qué quedamos? ¿¡No era que estaban muertos los antivirus!?

Básicamente, el estudio marca algunos factores reales, pero dudo del interes detrás de su realización. El título es amarillista, con la intención clara de llamar la atención, tanto de potenciales clientes como de las propias casas antivirus, y lo que se desprende a leer entre líneas es que están presentando el problema de una forma enteramente comercial para luego poder vender su solución… :)

Más allá de esa práctica tan poco “convencional” (esa no sería la palabra), quiero remarcar que la existencia de vulnerabilidades en software antivirus existe, y basta con navegar por Internet para encontrar información sobre las conocidas y ya solucionadas. Es otro factor más que tenemos que tener en cuenta al planear nuestra seguridad.

“is”

Un ejemplo sobre la publicidad tercerizada y el malware

Hace 4 meses escribí un post sobre la publicidad tercerizada en sitios web y lo que eso implica en materia de riesgos para los visitantes.

Para quien no lo haya leído, pueden verlo en "Publicidad tercerizada en Internet: las llaves de la seguridad de sus visitantes".

Ahora veo que reportan un caso en uno de los sitios más visitados de España, el del diario El País:

http://nv1962.net/2007/11/24/el-pais-no-evita-anuncios-enganosos-de-malware/
http://seguinfo.blogspot.com/2007/11/el-pas-no-evita-anuncios-engaosos-de.html

Justamente a esto es lo que me refería en mi post sobre el tema. Le hubiera venido bien leerlo a los de El País, ¿no? :)

sábado, 24 de noviembre de 2007

¿Qué es un bot? (Lección 11)

Seguimos con la serie de aprendizaje sobre el mundo del malware, y esta vez vamos a referirnos a los bots.

Los bots son un tipo de troyano que tienen una función específica: que el equipo infectado forme parte de una botnet.

Las botnets, o redes de PC zombies, son un conjunto de equipos infectados por un troyano del tipo bot, que permite al creador del malware poder realizar acciones a través de ella.

Entre las acciones que el creador del malware puede realizar, se encuentran, entre otras, las siguientes:

• Enviar grandes volúmenes de spam
• Enviar más malware
• Recolectar información de los equipos infectados
• Realizar ataques distribuidos de denegación de servicios
• Ejecutar cualquier tipo de acción en todos los equipos infectados

Una de las más grandes botnet de la actualidad es la que se ha creado, y se sigue ampliando, a partir del conocido Storm Worm.

Un troyano bot puede ser distribuido de múltiples formas, como por correo electrónico, mensajería instantánea, sitios web, etc., pero en si mismo, no es capaz de reproducirse. Normalmente, existen gusanos de Internet que se encargan de distribuidor a los troyanos bots, como una especie de transportador.

En la actualidad, este tipo de troyanos son muy comunes, dado que son una de las bases fundamentales para las estafas a través de Internet, dado que les brindan la posibilidad a los atacantes de maximizar el efecto de su accionar.

Técnicamente, son un programa que al instalarse en un equipo, abren un puerto TCP y/o UDP (puerta trasera), y se quedan en espera de instrucciones de su creador, las cuales se les envían a través de otro programa que tiene el atacante, como una especie de controlador remoto.

Los troyanos bots, así como las botnets, son los grandes responsables de la gran cantidad de spam que existe en la actualidad. Combatirlos, al tener un antivirus que nos proteja adecuadamente así como practicando computación segura, ayuda a reducir el correo electrónico basura que recibimos.

“is”

viernes, 23 de noviembre de 2007

Superamos los 100 posts!

Increíble... Cuando comencé esta aventura del blog, no sabía como iba a seguir. Con algunos altibajos, llegué hoy a superar los 100 posts, una interesante medida.

Este que están leyendo ahora sería el post 102 y reivindica la aventura comenzada allá por finales de Febrero de este año.

Les agradezco a todos los que se suman y leen este blog, y espero les resulte interesante y útil. La idea es seguir creciendo, agregando más material, compartiendo y ayudando a que Internet sea un lugar más seguro.

¡Gracias a todos!

Análisis de los robots de spammers

Un reciente post en el blog de Sergio Hernando explica claramente, a través de un caso práctico, algunos conceptos sobre los robots que usan los spammers para encontrar y guardar direcciones de correo electrónico, conocidos normalmente como spiders.

El artículo es muy interesante y recomiendo su lectura:

http://www.sahw.com/wp/archivos/2007/11/13/analisis-de-aranas-de-spam-en-servidores-web/

El análisis paso a paso es muy bueno, y sirve de aprendizaje.

"is"

miércoles, 21 de noviembre de 2007

Bancos de SecondLife bajo ataque

El mundo virtual de SecondLife tiene de todo, bancos incluidos, y como en la vida real, estos son atacados en línea.

Informa Reuters hoy que por un bug en el software que utilizan estos bancos de SecondLife, se sustrajeron un par de millones de Linden dollars (la moneda local, equivalente a unos U$S 11.500) de al menos 5 entidades financieras de Second Life.

Fuente original:

http://secondlife.reuters.com/stories/2007/11/20/second-life-banks-hacked-in-virtual-crime-wave/


iPhone: un lindo chiche, con una base inestable

Soy el feliz poseedor de un iPhone, desde hace unas pocas semanas, y desde entonces ya me he encontrado con cosas que me fascinan, así como con otras que no me gustan, me resultan incompletas, o sencillamente, inseguras.



El iPhone es un dispositivo precioso por donde se lo miré, un hermoso avance de la compañía Apple en otros mercados, cuyo destinto, desconozco, pero si es interesante. Algunas de sus funcionalidades son muy interesantes, pero yo no lo considero un gran teléfono, sino que es básicamente un nuevo iPod con teléfono, wifi, bluetooth y cámara.

Está basado sobre un sistema BSD, lo que le da la posibilidad de ejecutar software para esta plataforma (normalmente, previa modificación y/o adaptación). Por ejemplo, es posible instalarle hasta un servidor web Apache, entre muchas otras cosas.

Así como lo anterior lo hace un juguete muy interesante para los informáticos, también lo hace muy inseguro para los no-técnicos. Todo lo que se ejecuta en el iPhone, lo hace como root (el super-usuario administrador de cualquier sistema operativo basado en Unix, como BSD).

Esto hace que cualquier brecha de seguridad pueda permitir a terceros realizar acciones bastante complejas en nuestro teléfono (llamados, envios de SMS, transferencia de archivos, bloqueo completo, etc).

Justamente, una de las formas en que se está pudiendo desbloquear el iPhone para poder utilizarlo con otros proveedores de telefonía móvil (incluso en países donde aún no se comercializa el producto), es a través de exploits de vulnerabilidades conocidas en el dispositivo, y al poder ejecutar programas como super-usuario, el dispositivo puede ser desbloqueado.

No sólo esto: Apple planea liberar un SDK (Kit de Desarrollo de Software) para que cualquier programador pueda crear aplicaciones para el iPhone, el cual, obviamente, también podrá ser utilizado por programadores maliciosos para conocer más sobre la arquitectura del dispositivo.

Uno de los mayores problemas que se le ha encontrado a Windows durante este tiempo es la posibilidad de los usuarios de realizar cualquier acción, dado que la hacían como administradores. Esto se comenzó a cambiar levemente desde Windows XP SP 2 y Windows Vista, pero a costa de funcionalidades más sencillas (leer Seguridad vs. Usabilidad).

Ahora Apple se lanza al mercado de los dispositivos de telefonía móvil, y comienza con el pie izquierdo en materia de seguridad. ¿Cuándo iremos a aprender? ;-P

“is”

(*) Un chiche es, básicamente, un juguete :)

Más sobre esto (en inglés):

lunes, 19 de noviembre de 2007

Arrestado por robar muebles virtuales...

Interesante la nota que nos hace llegar la BBC sobre el arresto de un adolescente de 17 años, usuario de la comunidad en línea Habbo, donde robó muebles de otro usuario.

Habbo es una comunidad en línea basada en un mundo virtual, orientada a adolescentes y jovenes, donde sus usuarios pueden alojarse en una especie de gran hotel virtual, y crear sus propios cuartos, con todo tipo de comodidades.


El usuario en cuestión, holandés, está acusado de haber robado alrededor de 4,000 euros en muebles comprados por otros usuarios de Habbo, moviéndolos a su propio cuarto.

Lo interesante de esto es cómo la acusación derriba la barrera entre lo real y lo virtual, dado que el objeto del robo fueron simples bytes, pero que representan muebles virtuales, que a su vez se compraron con dinero real.

Esperemos que esta tendencia siga, porque no importa qué se robe, virtual o real, físico o lógico, siempre y cuando le cause una pérdida económica de algún tipo a alguien, seguirá siendo un robo.

> FUENTE: http://news.bbc.co.uk/2/hi/technology/7094764.stm

"is"

domingo, 18 de noviembre de 2007

Estadísticas de Spam desde Gmail

Si hay algo que anda inundando nuestras casillas de correo, no son las buenas noticias, sino el spam, el correo no solicitado.

Tal como comentaba hace tiempo en un post sobre estadísticas de spam, éste llega a altísimos niveles, siendo en realidad mucho más el correo no solicitado el que recibimos, que el que realmente queremos leer.

En una reciente noticia del equipo desarrollador del muy utilizado servicio Gmail, el correo clasificado como spam en dicho servicio supera el 70 % del total del correo procesado.

Es decir, 7 de cada 10 correos que reciben los usuarios de Gmail, es no solicitado. Este correo es directamente clasificado de esta manera por el servicio de Google, a través de distintas técnicas antispam implementadas allí.

¿Cómo luchamos contra esto? Mi humilde aporte, es una recomendación antispam, la cual creo nos ayudará mucho a mantenernos fuera de la lista de los spammers (no por siempre, pero al menos durante un buen tiempo ;-P).

“is”

sábado, 17 de noviembre de 2007

Seguridad vs. Usabilidad

Si hay dos conceptos que se enfrentan, en muchos casos en una lucha que ninguno parece tener las de ganas, son la seguridad y la usabilidad.

Según la UPA (Usability Professionals Association), la usabilidad es el grado en que algo – software, hardware o cualquier otra cosa – es fácil de usar y adecuado para la gente que lo usa.

En muchos casos, sucede que algunas de las cosas que mayor nível de usabilidad tienen, no son tan seguras, y viceversa. Tal como se puede ver en una reciente edición de la tira cómica de Dilbert, muchos llegan a pensar que en un mundo completamente seguro, “nadie tendría que ser capaz de usar nada”:


Esto sucede debido a que, por ejemplo en el software, aquello que es muy fácil de usar, pasa de largo en su diseño ciertos aspectos básicos de seguridad informática, para que el usuario pueda hacer las cosas de una forma más sencilla.

A su vez, en sistemas extremadamente seguros, el usuario casi no es capaz de hacer nada sin tener que realizar montones de acciones previas de autenticación y configuración, que se basan en distintos principios de seguridad.

Vayamos por ejemplo a un ejemplo claro: las contraseñas. Normalmente se recomienda que las contraseñas que se utilicen deben ser fáciles de recordar y difíciles de descifrar, al mismo tiempo.

Para el común de los usuarios, que hoy en día tienen usuarios y contraseñas para acceder a múltiples servicios (homebanking, email, sitios varios, webmail, mensajero instantáneo, etc), lograr cumplir esa máxima es muy difícil. Para que sus servicios sean más usables, fáciles, suelen utilizar una o dos contraseñas sencillas (cumpleaños, nombres de mascotas, etc) en todos los servicios, lo cual es altamente inseguro… Sino, terminamos en el otro extremo, como yo, que tengo varias decenas de contraseñas distintas, con diversas formas de crearlas y recordarlas, pero que en algún momento llevan a que no recuerde alguna de ellas.

En el caso anterior, vemos claramente el enfrentamiento entre usabilidad y seguridad; cuanto más usable una contraseña es (más fácil de recordar), más fácil suele ser de descifrar… Esta es una de las razones de muchos de los problemas de seguridad de la actualidad.

Luego nos encontramos con otros casos, donde muchos de los estándares de seguridad más importantes, son diseñados sin tener la usabilidad en mente, llevando a que sean difícil de aplicar y comprender, y hasta molestos para utilizar, tales como los controles de acceso de usuario de Windows Vista (UAC). (Esa ventanita me vuelve loco! ;-P, así que la terminé desactivando...)

El problema es claro y requiere de un factor importante que aún nos llevará mucho tiempo lograr: la educación de los usuarios. Nos encontramos hoy con unas tres generaciones de individuos utilizando computadoras: los que nacieron mucho antes de que estas existan, los que nacimos casi al mismo tiempo y tuvimos que aprenderlo durante el camino, y los que están naciendo junto a las nuevas tecnologías. Cada una de estas generaciones le dan un uso distinto a las tecnologías, y las encuentran más o menos fáciles de usar… y cuando se diseña software, se debe hacer que todos lo puedan usar, lo cual lleva a que bajemos los estándares de seguridad a fin de que incluso el usuario con menos conocimientos pueda usar los nuevos productos tecnológicos.

La única forma de lograr que los productos tengan un grado adecuado de seguridad al mismo tiempo que un alto nivel de usabilidad es a través de la educación de los usuarios en general, desde la base, enseñándoles lo que se debe hacer y lo que no, al mismo tiempo que aprenden a cómo usar las tecnologías. Solo así, lograremos que la tecnología sea segura y usable al mismo tiempo.

“is”

viernes, 16 de noviembre de 2007

Super-inversión de IBM

Según nos cuentan en un comunicado de prensa, IBM planea invertir la friolera de 1,5 mil millones de dólares en una nueva estrategia de seguridad informática.

El monto es significativo ya que es la mayor inversión en el ramo que se haya realizado jamás, aunque veremos como resulta y si realmente eso se invierte en algo bueno. La gente de IBM dice que se van a enfocar en la protección de datos comerciales...

Si el malware genera 105.000 mil millones de dólares en ganancias para quienes lo crean y distribuyen, esta inversión puede parecer poco, ¿no?

Más info sobre la noticia de IBM en:

http://www.canal-ar.com.ar/Noticias/NoticiaMuestra.asp?Id=5087

domingo, 11 de noviembre de 2007

Volviendo lentamente...

Este último mes fue complejo... Mucho trabajo, algunos temas personales de mucha importancia (como casamiento, luna de miel, etc), me han dejado fuera de la web un buen tiempo, pero ya estamos volviendo...

En poco, vuelvo a bloggear más seguido... Keep tuned :-)

"is"

domingo, 14 de octubre de 2007

¿Qué es un antivirus? (Lección 10)

Después de un tiempo y ahora que ya hemos repasado varios temas relacionados con las amenazas existentes, vamos a hablar en claro de lo que es un antivirus.

Los antivirus nacieron al poco tiempo de la aparición de los virus informáticos, de ahí su nombre. Primero fueron pequeñas utilidades capaces de desinfectar equipos infectados por un virus en particular, para ir convirtiéndose luego en aplicaciones capaces de reconocer decenas de virus informáticos y eliminarlos a todos.

Con el tiempo, han ido evolucionando hacia lo que podría llamarse “antimalware”, dado que ahora no sólo detectan y eliminan virus informáticos, sino que se encargan de proteger a los equipos contra todo tipo de malware, desde troyanos hasta rootkits. Se sigue hablando de antivirus por una cuestión de facilidad de comprensión del termino, pero hace rato que estas aplicaciones han dejado de ser simples detectores de virus.

Para clarificar qué es un antivirus y cómo funcionan, vamos a dedicar algunos párrafos a continuación.

Básicamente, un antivirus es un programa como cualquier otro, que se ejecuta sobre un sistema operativo (por ejemplo, Windows), y cuya función principal es la protección del sistema contra amenazas informáticas de los distintos tipos del malware.

Para lograr eso, utiliza varios métodos, siendo el más común y difundido, la detección basada en firmas. Esto lo logra manteniendo una base de datos interna con todos los malware conocidos por el antivirus, información sobre ellos, y una especie de “huella digital” de cada uno.

Cuando el antivirus analiza un archivo (por ejemplo, cuando abrimos uno nosotros o lo recibimos por email), lo compara contra la base de datos de firmas (recuerden, huellas digitales), y si encuentra que el archivo tiene dicha huella, lo cataloga como malware y lo bloquea, y en caso contrario, lo deja ejecutarse o ser abierto.

Esto hace que los antivirus requieran una constante actualización de su base de datos, para poder ir reconociendo los nuevos malware que aparecen a diario (de a decenas o cientos en muchos casos).

Resumiendo, el antivirus es como una especie de policía revisando fotos de posibles maleantes, y en caso de encontrar uno de ellos, lo “arresta”.

El antivirus es una de las principales armas que tenemos los usuarios para poder protegernos de las amenazas informáticas de hoy en día.

Más adelante hablaremos de otros tipos y formas en que los antivirus intentan detectar aquellos malware que aún no conoce, es decir, que no tiene en su base de datos.

“is”

domingo, 7 de octubre de 2007

El Storm Worm en las primeras planas

Si hay un malware del que se viene hablando largo y tendido en cuanto blog, medio de comunicación, sitio web y demás en estos días es el famoso gusano Storm Worm (también conocido como Peacomm, Nuwar, etc).

Les dejo aquí algunos enlaces para su lectura (estar al día, es un paso más hacia nuestra protección contra el malware):

¡Que les sea provechoso!

“is”

sábado, 6 de octubre de 2007

Nombres de archivos y el malware

Así como recientemente recomendé una serie de artículos del SANS, revisando algo de material viejo, hoy tengo que llamarles la atención y, de paso, aprovechar el tema para explicar algo muy importante en cuestión de malware.

Recientemente uno de los que mantiene el Handler’s Diary de ISC, comentó algunos nombres de archivos que en ese día en particular se estaban usando para distribuir malware.

La lista de archivos puede ser interesante como dato, pero no el recomendar que se les preste especial atención. ¿Por qué? Porque el nombre no hace al animal, sino que lo que lo hace un animal, es lo que realmente es, y no como se llama.

Para clarificar lo anterior, tomemos como ejemplo uno de los nombres de la lista, en este caso, first.exe.

Ahora, vayamos a cualquier archivo que tengamos en nuestra PC, y cambiémosle el nombre (en Windows, click derecho sobre el archivo, opción Cambiar nombre y escribir el que queremos). ¿Esto lo hace un malware?

Y al contrario, si tenemos un archivo que contiene un código malicioso, y le cambiamos el nombre a, por ejemplo, word.exe (el nombre del archivo que nos permite ejecutar el Microsoft Word), ¿esto lo va a hacer dejar de ser un malware?

Es como pensar que por ponerle a nuestro hijo el nombre de un superhéroe o un villano de historietas esto lo va a hacer más o menos “bueno”.

Lo que hace que un archivo sea un malware es su contenido y no el nombre que tiene, por lo que es importante que nos fijemos en otras cosas más allá del nombre en si mismo.

  • Tenemos que tener un antivirus para ver que analice nuestros archivos
  • Tenemos que analizar de donde viene y si lo solicitamos, y sino lo solicitamos, no debemos abrirlo
  • Si el archivo lo recibimos vía correo o mensajero instantáneo o cualquier otro canal de comunicación y tiene una extensión de archivo ejecutable (por ejemplo, .exe), probablemente sea un malware.
  • Y más consejos que se aplican a la seguridad en general… (instalar actualizaciones de software, informarnos, educarnos, etc)

Siempre es importante no confundir, y este tipo de recomendaciones, confunden al usuario promedio de computadoras. A prestar atención, no todo consejo es valido para todos…

“is”

Algunas cosas sobre el robo de identidad

Si hay algo de lo que se habla mucho hoy en día es sobre el robo de identidad, un método ampliamente utilizado para que criminales puedan hacerse con un beneficio económico suplantando a una persona.

Para lograr su propósito, deben poseer información sobre la víctima, toda la información posible, y si aparte pueden tener alguna documentación, mejor.

La razón por la que se habla tanto de algo que es bastante antiguo es que la tecnología brinda nuevas opciones a los criminales para que puedan llevar adelante un robo de identidad.

Existen casos a la antigua, obviamente, como el que se comenta en el blog de Segu-info sobre una argentina que ha tenido varios problemas porque le robaron su documento de identidad.

Pero también se dan casos donde se utiliza la tecnología, como por ejemplo el malware que recolecta información de los equipos infectados, o los ataques para obtener bases de datos de sitios de Internet a través de explotación de vulnerabilidades.

Siguiendo esta última línea de pensamiento, hay veces que los gobiernos en lugar de ayudar contra el robo de identidad, toman acciones que, con un fin distinto, tienen como probable causa indirecta, facilitar las tareas a los atacantes.

Un caso de esto es la decisión del gobierno británico de que sus ciudadanos estén obligados a brindar información privada e importante, como claves criptográficas, PINs de tarjetas de crédito y/o contraseñas, en caso de una investigación judicial.

Lo anterior no hace más que acumular en algún punto de los sistemas informáticos británicos una gran cantidad de información que de ser accedida por atacantes, sería la meca de los ladrones de identidad.

Por ello nos sumamos a campañas como las que piden en Argentina (Campaña Nacional de Prevención del Robo de Identidad), dado que cuánto más se tarde en tomar acciones, más víctimas habrá.

NOTA: Si ni el alcalde de Nueva York se salva de un robo de identidad, mejor que comencemos a pensar dos veces a quienes le damos información privada, y cómo protegemos nuestra computadora.

viernes, 5 de octubre de 2007

Recomendaciones del ISC

ISC es el Internet Storm Center, un sitio web y proyecto que monitorea lo que sucede en Internet para encontrar tendencias en cuestiones de seguridad y tomar iniciativas al respecto.

Entre muchas de sus opciones, encontramos una especie de blog (Handler's Diary), que algunas veces tiene cosas muy interesantes.

En este mes, que nombraron el "Ciber Security Awareness month", están lanzando conceptos y recomendaciones de seguridad en forma diaria (lamentablemente para los hispano-parlantes, en inglés), que tienen explicaciones interesantes en lo que se debe hacer para estar más seguro.

Los primeros son cinco consejos son:

Los consejos están más bien pensados para administradores de sistemas, pero son interesantes para todo lector, por lo que se los recomiendo.

La agenda completa puede encontrarse también en un post del Handler's Diary.

"is"

domingo, 23 de septiembre de 2007

Asi no vamos a estar protegidos nunca

Estoy en tono pesimista, pero bueno, así es la cosa si tras tantos años, siguen pasando cosas que uno no puede creer. Un fabricante alemán de computadoras puso en venta más de 10.000 equipos, con Windows Vista infectado por un virus de 13 años de antigüedad (Stoned.Angelina):

http://www.kriptopolis.org/ordenadores-con-vista-y-virus-incorporado

sábado, 22 de septiembre de 2007

FIRST Technical Colloquium (Lima, Perú)

Interesante evento sobre vulnerabilidades, incidentes, herramientas y otros temas relacionados a lo que una empresa debe considerar para proteger su información y tomar acciones para resolver problemas, organizado por FIRST, y realizado por primera vez en Perú.

Más información en:

http://www.first.org/events/colloquia/oct2007/

Algunos números (y conclusiones) del “cibercrimen”

Para empezar, no me convence mucho el termino cibercrimen, pero parece que es el más aceptado, así que no queda otra que utilizarlo. Me gusta más hablar de estafas en línea, principalmente porque en muchos países, una gran parte de lo que se considera cibercrimen, no está realmente tipificado, legalmente hablando, como un crimen real.

Más allá de eso, leyendo en algunos sitios de Internet, me encuentro alarmantes afirmaciones, como las que detallo a continuación:

  • El llamado “negocio del malware” supera los 105.000 millones de dólares anuales.
  • Lo anterior sobrepasa al negocio del tráfico de drogas y estupefacientes
  • Lo anterior sobrepasa varias veces a los ingresos de las compañías que desarrollan soluciones Anti-Malware (entre 5.000 y 10.000 millones de dólares estimados para este año, según Frost & Sullivan e IDC)
  • Se puede contratar un ataque de denegación de servicios contra un sitio de Internet por solo 10 a 20 dólares la hora
  • Se puede alquilar un servidor para enviar spam por 500 dólares al día
  • Se puede comprar una lista de direcciones de correo electrónico de 32 millones de personas por 1500 dólares

Los números son convincentes y claros: el malware es un negocio que está dando muchos beneficios, a costa nuestra, para quienes están creando y distribuyéndolo a diario. Hay un mercado en línea de malware, donde se venden servicios de todo tipo para incrementar aún más los ingresos de esta gente. Preocupante, ¿no?

Incluso, lo redituable de este “negocio” hace que cada vez más criminales dedicados a otro tipo de ilegalidades se sumen al mismo y creen más opciones y modelos de negocios. Siempre a costa de nuestras PCs, servidores, y de nuestro dinero, obviamente (¿De dónde creen que salen esos 105.000 millones de dólares).

Y aún más “interesante” (irónicamente hablando) es ver que los “malos” ganan más que los “buenos”. Clarificando, los creadores de malware, en su totalidad, generan más dinero que las compañías que ofrecen soluciones contra el malware (como antivirus, antispyware y demás).

Esto último es preocupante y mucho… Si quienes les toca en suerte luchar contra el malware ganan menos que quienes lo crean, estamos en problemas, porque así, los “malos” tienen más recursos que los buenos. Y esto se debe a que quienes también deberían tener responsabilidades en el tema, no las asumen. ¿A quienes me refiero? A los gobiernos del mundo, que ven pasar el tema del malware, y como este afecta a sus ciudadanos, y hacen poco o nada para detenerlo.

¿Es responsabilidad de las compañías antivirus hacer de policía contra el malware? No, no lo es, la seguridad tiene que venir de los gobiernos, pero estos no hacen nada o no saben cómo hacerlo. En nuestro mundo latino, no hay leyes que castiguen la distribución del malware, salvo en pocos lugares. Y esto se debe a la inoperancia de los gobiernos de turno.

Mientras los gobiernos no persigan a quienes no puedo llamar criminales porque no hay leyes para llamarlos así, la responsabilidad solamente cae en las compañías antivirus, y viendo quién tiene más recursos económicos, realmente, podemos entender porque las batallas son cada vez más complicadas para ganar.

“is”

viernes, 21 de septiembre de 2007

Second Life y Robo de Identidades

Esta semana se descubrió un simple ataque mediante el cual, una persona podría llegar a robar el acceso de un usuario de Second Life solamente haciendo que este vea una página web mediante Internet Explorer.

Esto fue comentado en Kripotopolis recientemente y la sencillez del ataque hace pensar de quién es la responsabilidad. Mientras que en el blog de un MVP de Microsoft se dice que la empresa desarrolladora del Internet Explorer no tiene la culpa, en el blog de Second Life se hicieron cargo y anunciaron una nueva versión que parece resolver el problema.

A los usuarios de Second Life les recomiendo descargar la última versión del software si no quieren que en algún momento su identidad en el juego sea robada. Ya bastante tenemos con los malware que roban datos de la identidad real de la persona, como para preocuparnos por la segunda. ¿Será hora de una tercera identidad?

Esto pasa la misma semana en la que una empresa argentina, Quick Supplies, anuncia que construyó una réplica del obelisco argentino.

"is"

lunes, 17 de septiembre de 2007

¿Hace falta que volvamos a lo mismo otra vez y otra vez y otra vez?

La semana pasada apareció un nuevo gusano capaz de reproducirse a través de MSN Messenger, enviando archivos infectados a los contactos de la lista de una persona ya afectada.

La noticia salió publicada en varios medios, como el diario argentino La Nación, debido a que este gusano en particular realmente se reprodujo en forma masiva entre usuarios hispanoparlantes en cuestión de pocas horas.

El gusano en cuestión envía un archivo comprimido (.ZIP) a los usuarios, y si los mismos abren el ZIP, y ejecutan el archivo en su interior, se infectan, y desde allí, el gusano se enviará a los contactos de la nueva víctima.

El método es viejo, muy viejo... y requiere que el usuario acepte la dudosa transferencia, abra un archivo comprimido con su decompresor habitual (por ejemplo, Winzip), y luego haga click en un archivo ejecutable.

Lo que no termino de entender es como se puede caer una y otra vez en trucos tan conocidos, y cuando se han hecho recomendaciones una y otra vez de evitarlos.

Entonces, parece que hace falta que sigamos repitiendo que:

  • No importa si les parece verídico, no acepten cualquier transferencia de archivos via MSN sin confirmar realmente que el contacto se los haya enviado
  • No abrir programas ejecutables de origen dudoso, como puede ser, los que se hacen pasar por fotos (en el paso de este gusano). Una foto no está en un archivo con terminación .exe, .com, etc., sino que solamente estará en archivos con extensión .jpg o similar. Si les dicen que es una foto, pero no termina en lo anterior, ¡no lo ejecuten!
Creo que esto se viene recomendando desde que existió el primer gusano de correo electrónico, hacia más de 10 años. Lo increíble no es que el problema no se resuelva, dado que lo que es claro es que la gente en general no presta atención a las recomendaciones de seguridad o las mismas no les llegan.

Si quieren evitar problemas con malware y virus informáticos, hagan caso a las recomendaciones; si tienen dudas sobre dichas recomendaciones, pregunten; y si no les importa tener problemas con malware ni generarlos, no hagan caso, pero tengan en cuenta que al no hacer caso, pueden infectarse, perder datos y ayudar a que otros se infecten.

Ojalá algún día tengamos que recomendar una y otra vez lo mismo, y alguien comience a prestar atención a las recomendaciones...

"is"

miércoles, 12 de septiembre de 2007

¡Wow 2! Dicen que el spam llega a más del 90 % del correo electrónico total

Sigo con lo que me encontré leyendo algunas noticias por ahí, y que me ha generado un Wow (onomatopeya de sorpresa) más! En este caso, es sobre lo que un proveedor de servicios de análisis antispam informó recientemente.

Según Vnunet.com, este proveedor dice que, durante Agosto, del total de correos que su servicio analiza, más del 92 % es spam (correo no deseado). Incluso, en un día en particular, llega al 96.9 %.

El proveedor brinda un servicio de análisis de correo electrónico que luego bloquea o filtra aquellos maliciosos (con malware o phishing) o que son correo no deseado o basura. Lo que quiere decir esta noticia es que de cada 100 mensajes que se envían a través de ese servicio, solamente 8 son correos electrónicos reales, mientras que 92 de ellos son correo basura.

Realmente, el spam está saturando las casillas de correo de todo el mundo, y cada vez en mayo medida. Más razón aún para seguir recomendaciones antispam.

La fuente original de la noticia se encuentra en:

http://www.vnunet.com/computing/news/2198251/spam-levels-reach-record

"is"

Wow... El crimen en línea está dando que hablar

Leía recién una noticia que comenta que durante el último año, de acuerdo a un estudio, se llevaron a cabo 3 millones de acciones criminales en línea, solamente en lo que respecta al Reino Unido.

Esto sale de un informe realizado recientemente, que está disponible a continuación:

http://www.first.org/newsroom/globalsecurity/147872.html

Lo interesante es la comparación contra el crimen en el "mundo real": hay el doble de crimenes en línea, que en el mundo fuera de línea.

Una barbaridad, realmente, y una clara marca de adonde apunta gran parte del crimen organizado, entre ellos, quienes crean malware con fines de fraudes financieros.

"is"

martes, 4 de septiembre de 2007

Ingeniería Social

En este video podemos ver algunas explicaciones de qué es la ingeniería social y qué podemos hacer al respecto.



Que lo disfruten...

"is"

lunes, 3 de septiembre de 2007

Cambios de Roles

No se preocupen. El blog sigue siendo sobre seguridad informática pese a lo sugestivo del título.

Anda circulando por la red una noticia que comenta el interés de la policía alemana en crear un programa que sea capaz de instalarse en los equipos informáticos de aquellas personas sospechadas de actividades delictivas, analizar el uso que el usuario le da a su equipo, y remitir información a las autoridades.

Ahora bien, reemplacemos algunas palabras en el párrafo anterior, específicamente, las que están marcadas en cursivas, y tendremos el siguiente texto:

Anda circulando por la red una noticia que comenta el interés de algunos criminales en crear un programa que sea capaz de instalarse en los equipos informáticos de los usuarios de Internet, analizar el uso que el usuario le da a su equipo y remitir la información a los criminales.

¿Que tenemos ahora? ¡Un troyano como cualquier otra, que podría caer en la categoría de spyware, dependiendo exactamente como funcione! (1)

No es la primera vez que un rumor como este aparece por ahí, pero lo que remarcan algunos medios es que no se trataría de un rumor.

Algunas implicancias de esto:
  • Habría que ver cómo se define quién es sospechoso, y no sea que si esto se aprueba, la oposición política, medios y otros tantos sean quienes se vean afectados por este programa
  • Si las autoridades ahora crean malware, ¿los creadores de malware empezarán a crear sus propios antivirus? Eso si que sería interesante
  • ¿Qué pasa si el sospechoso está en un país donde distribuidor malware es ilegal? ¿Habría que iniciar un juicio a las autoridades alemanas?
Más allá de tono jocoso de alguna de las cosas que digo más arriba, la noticia es grave, muy grave. Que las autoridades empiecen a usar las mismas estrategias que los criminales lleva a puntos donde realmente, los que se terminarán perjudicando, seremos los usuarios de Internet.

En lugar de gastar tiempo y dinero en esas acciones, sería mejor que analicen la aprobación de leyes y medidas que realmente brinden una mejor protección a sus ciudadanos, y se involucren en la educación de los usuarios, a fin de aminorar los efectos que causa el malware.

Realmente, hay gente para todo… Como algunos dicen en mi país, “así estamos”…

“is”

(1) Las autoridades alemanas dicen que lo harían con permiso judicial, ¡por supuesto!

domingo, 2 de septiembre de 2007

A ese avión no me subo...

Airbus anunció que su modelo 380 tendrá un servidor Linux, y PCs instaladas en cada asiento, con la posibilidad de conectar un dispositivo USB de almacenamiento para que los viajeros puedan editar documentos, además de conectar un mouse y/o teclado y usarlo sin necesidad de tener que desgastar la batería de su laptop durante el vuelo.

Seguramente quienes están detrás del proyecto son gente altamente capaz, y deben tener la seguridad en mente, como todo lo relacionado a aerolíneas, aeropuertos y vuelos, pero realmente, la puerta que se abre para la inseguridad es muy grande.

Todos los sistemas tienen agujeros de seguridad, y eso conlleva un riesgo. ¿Qué tan riesgoso será que el sistema que tendrá el Airbus 380 sea hackeado? Con tanto malware dando vuelta que aprovecha USBs, ¿Qué puede pasar?

Si alguien encuentra una forma de explotar una vulnerabilidad en el sistema, ¿hasta donde podrá llegar?

Falta mucho para ver este tema en funcionamiento, pero si ponen eso en un avión, yo creo que no me vuelvo a subir a uno en mi vida...

"is"

Tomado de: Slashdot

PD: ¡Gracias Randy por remitirme esta noticia!

Propuesta para regular el phishing en Argentina

El título puede sonar extraño para los no-abogados, o no expertos en legislación, pero entraña algo positivo.

En Argentina, un legislador está presentando un proyecto de declaración para que el phishing tenga legislación que ayude a mejorar la situación, desde un punto de vista completamente legal.

Más información en: IdentidadRobada

"is"

sábado, 1 de septiembre de 2007

Expo Seminario Seguridad Informática (Chile)

Esta semana se llevará a cabo un evento de seguridad en Chile, organizado por la revista Gerencia, llamado Expo Seminario Seguridad Informática.

La fecha del evento es el 6 de Septiembre, comenzando a las 9.00 hs, en el hotel Pablo Neruda. La inscripción es gratuita, y se puede hacer desde el siguiente formulario:

http://www.emb.cl/suscripciones/form.mv?fid=77

Los veo por ahí :)

"is"

jueves, 30 de agosto de 2007

Costos del Cibercrimen

Desde hace tiempo, cuando hablamos de seguridad, tenemos que además estar aprendiendo de economía, dado que los creadores de malware están dedicando sus esfuerzos a engrosar sus cuentas bancarias.

En una encuesta hecha por un organismo estadounidense nos encontramos que el cibercrimen, es decir, el crimen que usa medios tecnológicos a través de Internet, ha tenido ingresos que están entre los 70 y 130 billones de dólares (para que quede claro... 70,000,000,000 dólares!).

A cuidarnos del malware que busca nuestros bolsillos.

"is"

Fuente:
http://esj.com/security/article.aspx?EditorialsID=2777

lunes, 27 de agosto de 2007

"Se debe enfatizar en la educación y entrenamiento de los empleados"

Me gusta mucho leer artículos antiguos sobre el tema de seguridad informática para ver cuánto evolucionamos en los conceptos básicos, y cuánto se ha aprendido desde entonces. En esa línea, cayó en mis manos un artículo de 1989, titulado "El impacto de los virus de computadoras en la sociedad" (The Impact of Computer Viruses on Society), escrito por Jimming Lin y Chia-Hao Chang, quienes, con todo respecto, son dos personas cuya trayectoria en el área de la seguridad desconozco completamente.

El artículo no es una joya de la seguridad, pero es un análisis serio, y muy avanzado en el tiempo, de las consecuencias causadas y que causarían los virus informáticos, y el malware, en nuestra sociedad.

En el mismo, nos encontramos frases como la del título, donde dicen "La administración (de sistemas) debe también enfatizar sobre una mejor educación y capacitación para sus empleados." Esto está claramente relacionado con mi divague sobre la educación en seguridad informática, dónde comento exactmante lo mismo.

Lo interesante (y preocupante) es que pasaron 18 años, y seguimos instando a hacer lo mismo, dado que realmente, faltan iniciativas serias sobre el tema por parte de las empresas. Van casí dos décadas en que los especialistas en seguridad proponen esto, y todavía estamos en pañales, mientras la inseguridad informática sigue avanzando.

Otras partes interesantes del artículo son las que, por ejemplo, dicen:

  • "El intercambio de archivos en los BBS (anterior a Internet) se ve también afectado por las epidemias de virus"
  • "El efecto inmediato en los usuarios puede poner un fin al intercambio de archivos que se ha hecho tan común desde los primeros días de la revolución informática"
  • "Los usuarios deben protegerse entendiendo en mayor medida su equipo y las formas en qué los virus informáticos operan"
Si nos ponemos a analizar esas tres frases, vemos que la primera sigue siendo válida. Una forma común en que el malware se reproduce es a través de los programas de intercambios de archivos y el software pirata, pero la conclusión que sacan los autores de lo que podía suceder (el usuario dejando de compartir), nunca ha sucedido.

En el artículo comparan al virus del SIDA con los virus informáticos, diciendo que así como la gente se ha vuelto más cautelosa para evitar el HIV, también lo hará con los virus de computadoras. Eso nunca se hizo realidad, dado que la gente sigue compartiendo archivos infectados sin saberlo, y tomandos muy pocas medidas de prevención contra el malware.

Lo que si es interesante es la tercera afirmación sobre la necesidad de la prevención, que sigue el enfoque de la necesidad de la educación, en este caso, autodidáctica.

Pasaron 18 años de ese artículo, que seguramente no ha sido el único de esos días en el que se analizaba este tipo de cosas, y en muchos aspectos, seguimos igual que antes. Debemos comprender que una parte importante del problema es la capacitación de los usuarios de computadoras. Sin eso, siempre será una carrera contra el tiempo...

"is"

PD: Ah... se me acaba de ocurrir que la razón de que no se tome en serio o no se dediquen recursos a la educación de los usuarios hasta ahora es que nadie leyó este artículo al que hago referencia (ironía pura!)

Más sobre el gusano storm

Esta vez, el gusanillo de moda en estos días, ya no llega como una tarjeta virtual o como un mensaje de correo con usuario y contraseña de un servicio, sino con un enlace a un supuesto video de Youtube, que en realidad, nos lleva a una página donde se nos intenta descargar el malware.

A tener cuidado, que estos muchachos parecen estar buscando nuevos enfoques que les den resultados, así que seguramente seguiremos viendo más sobre el gusano Storm.

Leído en: SANS.

"is"

jueves, 23 de agosto de 2007

Publicidad tercerizada en Internet: las llaves de la seguridad de sus visitantes

No es ninguna novedad que uno de las formas en que se sustentan muchos sitios y servicios de Internet (incluyendo los blogs) es la publicidad. La necesidad de solventar gastos y obtener rentabilidad es el motor que lleva a la necesidad de utilizar publicidad como medio para lograrlo.

Ahora bien, existen básicamente dos formas de tener publicidad en un sitio de Internet (sin contar cosas como Google AdWords):

  • Administrándola uno mismo
  • Vendiendo el espacio a un tercero
La primera conlleva un tiempo y dedicación que muchos grandes sitios de Internet no tienen o no están dispuestos a invertir, por lo que en muchos casos, terminan vendiendo el espacio a una empresa especializada en el tema.

Desde el punto de vista del negocio, la motivación es clara: maximizar la rentabilidad. Pero desde el ángulo de la seguridad, se abre una puerta para que los visitantes del sitio puedan ser víctimas de algún tipo de ataque informático.

Esto se debe a que la empresa que administra el espacio publicitario del sitio web, puede comercializar dicho lugar a quien quiera, y entre ellos puede encontrarse una empresa que intente distribuir alguna forma de malware (como spyware) a través de dichos banners, aprovechando publicidad engañosa o simplemente a través de vulnerabilidades.

Esto no es algo nuevo y existen múltiples casos que lo respaldan. ¿Vieron alguna vez banners publicitarios que dicen cosas como “Su PC infectada. Haga clic aquí para desinfectarla”? ¡Voilá! Ahí tienen un ejemplo…

La solución a este problema es el compromiso de todas las partes involucradas (el sitio de Internet donde se muestra la publicidad, la empresa que comercializa el espacio publicitario y el usuario mismo), para mejorar la seguridad y evitar que los visitantes salgan perjudicados por el modelo económico publicitario del sitio que visitan.

Las empresas que tercerizan su espacio publicitario deben analizar el tema con la seriedad que se merece, evitando contratar empresas que no tengan una clara y completa política de seguridad.

Quienes explotan económicamente el espacio publicitario de un tercero, no deben permitir que los anunciantes realicen prácticas engañosas o que simplemente distribuyan malware a través de este medio.

El usuario debe ser cuidadoso, prestar atención donde hace clic, ser un poco más paranoico en ese sentido, actualizar su sistema operativo y navegador constantemente, y utilizar antivirus actualizado.

Ahora bien, además de lo anterior, tenemos casos que también se han visto en los servicios AdWords/AdSense, en donde atacantes contratan espacio publicitario en el servicio de Google, para engañar así a los usuarios.

Como ven, ningún servicio “tercerizado” de publicidad se queda fuera… ni siquiera el gigante Google.

Por esto, cuando pensamos en tercerizar nuestro espacio publicitario, si no tomamos las precauciones necesarias, estamos entregando las llaves de la seguridad de nuestros visitantes. Y si un usuario se infecta al visitar nuestra página, por culpa de un banner, ¿creen que no pensará dos veces antes de volver a visitarnos? Yo, realmente, me cuidaría de volver a visitar un sitio que distribuye publicidad sin control que pueda llevar a la posibilidad de una infección por malware…

“is”

PD: Ampliando el espectro de la publicidad, la utilización de cualquier servicio que no controlemos en su totalidad puede llevar a una situación similar, incluyendo aún el de Blogger (donde está este blog). Por suerte, este servicio no distribuye publicidad (hasta ahora), y si lo hiciera, realmente tendría que ver adonde mudarme para evitar que mis usuarios se vean en riesgo…

Nos van prestando atención

Con el tiempo, y el trabajo, se va notando que de a poco nos van prestando algo de atención como fuente fidedigna de información, lo cual me pone muy contento, y les agradezco expresamente a quienes nos leen.

Algunos lugares donden nos han usado de fuente recientemente:

"Ladran, Sancho. Señal que cabalgamos", decía el Quijote!

"is"

miércoles, 22 de agosto de 2007

El modelo Kübler-Ross de la administración de vulnerabilidades

Esta es una interesante y cómica aplicación de un modelo psicológico de cómo las personas se enfrentan con las tragedias y aquello que los afecta internamente (ver más sobre Kübler-Ross).

  • Negación: Esto no me está pasando a mí, así como con la totalidad del mercado “interno” de software empresarial. Se puede ver por la falta de cualquier contacto de seguridad, vulnerabilidades que deben ser enviadas a soporte técnico, desarrolladores que necesitan que se le explique el concepto de “desbordamiento de pila” (stack overflow). Errores de expansión de meta-caracteres Unix en protocolos de red son un claro indicador.
  • Enojo: ¿Por qué a mí?, así como con Oracle. Se denota por la condena pública de toda investigación en seguridad, a pesar de que 50 billones de dólares invertidos en seguridad apenas es una fracción de lo que Oracle gasta en Control de Calidad básico.

  • Negociando: Solamente dejame vivir para mantener Internet funcionando, como con Cisco. Se ve por políticas ambiguas de revelación de información, parches solamente distribuidos a clientes seleccionados, boletines de seguridad que hablan sobre vulnerabilidades que “pueden, quizás, bajo ciertas circunstancias” permitir ejecución de código en forma remota.

  • Depresión: Ya no puedo soportar continuar, ¿cuál es el sentido de esto?, como sucede con iDefense y Zero Day Initiative. Se denota por la ambivalencia en cuanto a la revelación de información, rendida ante cualquier pretensión de estar trabajando para el bien común.

  • Aceptación: Necesito seguir adelante, como con cualquier proyecto de código abierto, o Microsoft, cuando no están murmullando contra los investigadores de seguridad.
Claramente podemos ver, más allá del tono irónico, varias cosas relacionadas a cómo se manejan los agujeros de seguridad y cómo se quieren comunicar en el ambiente actual.

Fuente: Matasanochargen
Traducción: Mía

martes, 21 de agosto de 2007

El gusano Storm cambia de piel

Internet viene siendo inundada de mensajes de correo electrónico relacionados con un malware en particular conocido como Storm Worm y/o Nuwar, entre varios nombres.

El mismo es una de las razones de los mil y un correos que veníamos recibiendo con tarjetas virtuales, que en realidad, llevaban a sitios de internet desde donde se descargaba el gusano.

En estos días, el gusano ha cambiado de piel, y los correos electrónicos, al menos por el momento, ya no son de tarjetas virtuales (ecards), sino que ahora se trata de mensajes de correo electrónico que incluyen información de acceso a supuestos sitios de descargas de, por ejemplo, ringtones.

Los mensajes están en inglés, e incluyen una dirección web en forma de dirección IP (4 grupos de 2 a 3 números separados por puntos), desde los cuales, si los accedemos, terminaremos descargando el gusano Storm en lugar de lo que se nos invita a descargar.

Este gusano es el responsable de una de las botnets más grandes que se conocen en la actualidad, así que a tener cuidado de no terminar siendo parte de esta red masiva de envio de spam.

"is"

sábado, 18 de agosto de 2007

La importancia de una política de seguridad en las empresas

Una de las cosas que siempre me gusta destacar es que para lograr un alto nivel de seguridad informática es necesario combinar una buena estrategia de implementación y uso de software de seguridad sumada a la educación y formación.

Cuando pensamos en empresas, hay otros factores a considerar, entre ellos, la definición, implementación y constante actualización y monitoreo de una política de seguridad. En términos sencillos, una política de seguridad es una lista detallada de temas sobre lo qué se debe hacer y lo qué no se debe hacer en materia de seguridad de la información.

Incluye aspectos que cubren temas tan diversos como los procesos que deben tenerse en cuenta, el software a utilizar, seguridad física, backup (resguardo), contraseñas, autentifación, control de riesgos, protección, etc.

Resume, en un documento único, más o menos extensa, todo lo que el responsable de seguridad de la información de la empresa debe llevar adelante y controlar, así como lo que todos los recursos y empleados de la empresa deben tener en cuenta para mantener la información lo más segura posible.

Aquí les dejo algunos enlaces para explorar más en el tema:

En toda empresa se debe comprender que una política de seguridad no es necesaria, sino que es una prioridad básica, tan importante como el uso de antivirus y/o la educación de los usuarios, y si realmente quieren tener un nível de seguridad alta, deben contemplarla, implementarla y ejecutarla.

"is"

lunes, 13 de agosto de 2007

Spam en PDF, ZIP, y ahora, FDF...

La tecnología evoluciona, junto con ella también lo hace la informática y la Internet, y obviamente, los creadores de malware así como los responsables detrás del spam no se quedan atrás.

Desde este año hemos visto varios cambios en el spam, específicamente, en el formato en que se envía. De ser simples mensajes de texto plano, texto enriquecido y/o HTML (simil páginas web), ahora estamos viendo otros métodos usados por los "chicos malos".

Primero, se vió el spam en imagenes, sin nada de texto en el mensaje, de manera que las soluciones antispam tuvieran más trabajo que hacer para poder reconocer una imagen que tuviera spam dentro de otra que no.

Luego comenzamos a ver spam en archivos adjuntos; en lugar de enviar el texto del spam en el mismo cuerpo del mensaje, ahora vemos como los spammers envían archivos adjuntos en distintos formatos, como por ejemplo, PDF y algunos pocos casos que he visto por ahí, en formato ZIP.

Este fin de semana me encontré con otro spam en mi bandeja de entrada, que tenía como adjunto un archivo FDF. Ese tipo de archivo puede ser abierto por el mismo software Acrobat Reader que sirve para abrir archivos PDF.

Un análisis reciente de Hispasec mostró que en realidad, internamente, el archivo es un PDF, pero con la extensión cambiada a FDF, seguramente, para poder pasar por sobre los filtros de correo que tengan instaladas las empresas.

Más allá de la noticia en sí, y sin ahondar en ese tema en particular, lo que se está viendo en el bienio 2006-2007 es el hecho de la evolución del spam en materia de contenido, y estamos siendo testigos de las pruebas que los spammers están haciendo, a fin de encontrar nuevas técnicas que puedan darles mejor provecho.

Seguramente, esto no se quede acá. La innovación en materia de spam y malware tiene sus picos y llanos, momentos en los que una técnica es efectiva y usada masivamente, y otros momentos donde vemos saltos a técnicas nuevas. Ahora estamos viendo pruebas, y seguramente los spammers estarán analizando cuál les es más beneficiosa.

La regla en estos casos de spam mediante archivos adjuntos es la misma que se aplica al malware: no abrir archivos adjuntos en mensajes que no hayamos solicitados. Los administradores deben analizar la forma de implementar filtros para evitar que ese tipo de archivos pase por sus servidores de correo.

...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ...... ......

Imaginemos por un momento que el spam en formato PDF se populariza, ya que muchos usuarios hacen click en los mismos, los leen y prestan atención a su contenido (p.e., comprando los productos que allí se ofrecen). En ese caso, ese formato seguramente será también utilizado por los creadores de malware, dado que sabrán que es un vector de ataque posible.

Tengan en cuenta que los creadores de malware analizan las tendencias de los usuarios de internet, y en base a ello deciden sus métodos de propagación. Si prestamos atención al correo no deseado en archivos adjuntos, le estamos diciendo a los creadores de códigos maliciosos que eso es algo que nos interesa, y en cuestión de muy poco tiempo, ellos intentarán aprovechar ese interés enviando malware a través de formatos que sean también utilizados por los spammers.

"is"

domingo, 12 de agosto de 2007

Virus Revealed: Libro sobre virus informáticos

Hay mucha literatura sobre virus informáticos, malware y seguridad de la información, pero en su gran mayoría está en inglés, salvos contados casos. Más allá de eso, hay muchos más libros sobre seguridad informática, que sobre malware.

En este caso, me encontré disponible en Internet (publicado el día de hoy por un sitio web), el libro "Virus Revealed: Understanding and Counter Malicious Software", escrito en el 2001 por David Harley, Robert Slade and Urs Gattiker.

Aunque no es lo más nuevo en cuestión de malware, dado que no contiene información sobre las novedades después del año de publicación, es una buena forma de iniciar la lectura en materia de virus informáticos y relacionados, desde sus comienzos, hasta el pasado reciente, y con bastante información conceptual, bien explicada, que ayudará a muchos a comprender mejor el mundo del malware y cómo mejorar la seguridad de sus computadoras.

Los 3 autores son ampliamente reconocidos en el ambiente de la seguridad, y tienen pergaminos suficientes como para que confíemos en los que nos cuentan en su libro. El único "problema": está en inglés... :)

"is"

PD: ¿Algún voluntario interesado en traducirlo? ;-P

Para la seguridad, siempre hay tiempo (más de Dilbert)

Aunque no está directamente relacionado con la seguridad informático, hay partes del diálogo entre Dilbert y el guardia de seguridad, que realmente, dan que pensar...



"is"

sábado, 11 de agosto de 2007

Una de cal, otra de arena

Bien sabido es que la televisión y el cine no suelen retratar en forma acertada las realidades de la informática, menos aún cuando se tocan los temas de malware, hackers, y demás. Todos (aquellos que vimos la peli) recordaremos la película Swordfish, y el "gusano hidra" que era creado en una super computadora con 9 monitores y un compilador en 3D que creo ningún programador ha visto en su vida.

Estaba leyendo el Blog de Fabio el día de hoy y su post sobre la película Duro de Matar 4, y me encontré con comentarios similares a los que un amigo investigador de malware, Pierre-Marc Bureau, me hizo sobre el mismo tema: los realizadores de cine ni se gastan en ver si lo que hacen, en cuanto a seguridad informática, es válido o no. Los "hackers" en Duro de Matar 4, poco más que son capaces de hacer cualquier cosa, sin importar las medidas de seguridad que puedan existir, y todo en cuestión de segundos. ¿Cómo quieren que aprendamos con seguridad informática así? ;-P

Pero, más allá las mil y un veces que nos encontraremos con todo ese tipo de situaciones sin sentido en las películas, siempre habrá una excepción.

Cambiando de canal en la televisión me encontré con un capítulo de la serie Close to Home, donde se trata un caso en el que las famosas estafas nigerianas por internet son parte esencial, y lo más importante de todo, lo tratan de manera muy seria y detallada. Realmente, para aquellos que nunca han entendido de que se trata una estafa a la nigeriana, les recomiendo ver el capítulo
30
de dicha serie!

Mensaje a todos: lo que vean en la televisión o el cine sobre virus y hackers... ¡no lo crean! Seguramente, va a ser sobredimensionado y/o inexistente... Preferible leer en lugares serios sobre seguridad informática que aprender a través de esos medios :)

"is"

PD: Creo que este es mi post con mayor cantidad de enlaces de la historia ;-P

miércoles, 8 de agosto de 2007

¡Estoy cansado de las tarjetas virtuales!

Todos los días estoy recibiendo varios mensajes de correo que me dicen que un amigo me ha enviado una tarjeta virtual o ecard. "Hey, you have received an ecard from a mate", "Here is your ecard!", es lo que suelen decir los asuntos... entre otras tantas opciones diferentes entre asunto, remitente, contenido, etc...

Lo que es igual en estos casos es el hecho de que no es que sea una persona con tantos amigos como para recibir tantas tarjetas virtuales sino que todas, pero absolutamente todas las que recibo, tienen un enlace que lleva a una página donde, en realidad, no hay ninguna tarjeta virtual, sino un malware de algún tipo y con, seguramente, un fin non-santo.

Tengo que reconocerles que este método realmente debe estar dandoles muchos resultados a los creadores de malware, porque de otra manera, no podría comprender el masivo uso que están haciendo de las falsas tarjetas virtuales para la distribución de códigos maliciosos.

Hay que tener cuidado. Por más lindo que sea que nos envíen tarjetas virtuales nuestros amigos, es necesario buscar la forma de evitar abrirlas, dado que como están las cosas, en el 99.99% de las veces, se va a tratar de un malware. Utilicen un antivirus, no acepten correos no solicitados, y sean un poco más paranoicos...

"is"

martes, 7 de agosto de 2007

¿Qué es un keylogger? (Lección 9)

Vamos a seguir hablando un poco más sobre los distintos miembros de la fauna del malware que siguen existentes en la actualidad.

En este caso, vamos a hablar de los keyloggers. La denominación viene de juntar las palabras keystroke y logger, que en español viene a significar “registrador de teclado”, o similar.

Básicamente, un keylogger es un software capaz de registrar todo aquello que el usuario tipea (ingresa por el teclado de la computadora), guardándolo en un archivo local. Si lo tenemos instalado en nuestro equipo, todo aquello que nosotros tecleemos, será almacenado, ya sean largos textos, usuarios, contraseñas, números de tarjetas de crédito, etc., sin discriminar el contenido.

Desde el comienzo del uso de los keyloggers hasta ahora, estos han evolucionado hasta volverse bastante específicos y ser capaces de saber qué programa se está usando en el momento que el usuario está tecleando, de manera de poder distinguir el contenido.

Existen keyloggers por software (aquellos que se instalan como cualquier otro programa) y por hardware (por ejemplo, dispositivos USB que realizan la misma acción).

El uso que se le da actualmente a este tipo de aplicaciones es el robo de información sensible por parte de los usuarios, para poder luego realizar estafas. Además, los keyloggers han avanzado notablemente, incluyendo la posibilidad de obtener impresiones de pantalla cuando el usuario está en algún sitio en particular, e incluso tomar videos (lo que podría llamarse videologging).

“is”

jueves, 2 de agosto de 2007

¿Cuanto dura un sitio de phishing activo?

Uno de los factores que permite que el phishing sea un ataque informático exitoso es el tiempo en que un sitio falso se pueda mantener activo.

Cuando nos referimos al tiempo activo, hablamos del tiempo entre que es lanzado hasta que el proveedor de internet lo da de baja por ser fraudulento.

Dancho Danchev, experto en seguridad y blogger, nos acerca un estudio sobre el tema, donde comenta que el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.

De acuerdo al Anti-Phishing Working Group, el tiempo promedio es de 3.8 días por sitio fraudulento. Esto es sin discriminar por país.

La causa por la que sea más fácil o díficil dar de baja un sitio de estos varia de acuerdo al caso. Por ejemplo:

1. En algunos países existen trabas legales.
2. En otros se tarda menos porque hay menor cantidad de casos, lo cual permite que las fuerzas del orden puedan trabajar mejor.
3. Algunos kits de phishing permiten instalar varios sitios en un solo servidor, así que al dar de baja uno, se dan de baja todos.
4. Cuando el sitio está alojado en la PC de un usuario infectado, la baja es más compleja.
5. Vulnerabilidades XSS que no se corrigen a tiempo en sitios de banca en línea.

El phishing es uno de los mayores problemas de la actualidad, permitiendo a los atacantes usar Internet para realizar estafas, y es importante que toda la comunidad tome conciencia del tema y dedique recursos para intentar resolver esta situación.

El usuario puede colaborar teniendo una protección contra malware activa y actualizada para evitar que su equipo se convierta en un servidor de phishing; las empresas deben tener en cuenta medidas de seguridad para evitar errores en sus plataformas web que faciliten la acción del phishing; los bancos y financieras deben considerar pautas de educación para sus clientes. Combinando esos esfuerzos podemos mejorar la seguridad contra el phishing.

"is"

Más información (en inglés):

miércoles, 1 de agosto de 2007

Seguridad en mensajeria instantánea

Les dejo un video con consejos de especialistas sobre seguridad en mensajeria instantánea, que seguramente les va a ser de utilidad.



"is"

lunes, 23 de julio de 2007

Formar, Informar, Educar

En una reciente charla escuché conceptos varios sobre la necesidad de formar en materia de seguridad informática al usuario de computadoras.

Cuando comencé Virus Attack!, allá lejos en la década del 90, la idea siempre fue informar, con el objetivo de educar, en materia de seguridad informática, con el fin de que los usuarios sean capaces de prevenirse de los virus informáticos, tan comúnes en aquel momento.

Con el tiempo, compromisos laborales y la ida de algunos colaboradores llevaron a la necesidad de poner un freno al sitio, que recién pudo "volver" con este blog, que tampoco es sencillo de llevar todavía (verán como fluctúa la cantidad de posts mes a mes).

Sin embargo, dentro de los objetivos profesionales, planteamos la necesidad de educar... el problema es que formar en seguridad informática implica primero formar en informática en general, y creo yo, ahi está el problema a resolver.

Antes de poder explicar la necesidad de instalar actualizaciones de software, por nombrar un ejemplo, el usuario debe saber qué es el software y qué es una actualización. Internet hoy núclea a un sinfin de usuarios con diversos conocimientos de PC, desde muy muy básicos hasta avanzadisimos, y eso lleva a la educación en informática se haga más complicada.

Es prácticamente imposible, con las herramientas de hoy en día más la dinámica de Internet lograr que todo el mundo sepa lo que necesita saber para prevenirse de la inseguridad informática. Más aún con la diversidad de conocimientos en informática que hay.

Todos nos mandamos a hacer cosas aunque no las sepamos y eso trae problemas siempre; los automoviles están entre nosotros desde hace más de 100 años pero todavía hay accidentes, tanto por culpa de los peatones como de los conductores. La electricidad hace más tiempo que existe, y aún así, hay gente que se electrocuta... ¿La educación en informática es causa perdida entonces?

Creo que no, pero implica un compromiso mayor... Mientras que las empresas trabajan para implementar normas como las ISO 27000, no dedican tanto esfuerzo a formar a sus empleados en materia de informática y su seguridad... Eso va a implicar siempre agujeros que van a ser díficiles de cerrar.

El compromiso de la seguridad informática debe partir desde todas las partes: empresas, usuarios, gobierno, universidades, etc, donde es importante que las iniciativas por lograr una Internet más segura tomen en cuenta todas las variables y no solo nos dediquemos a publicar notas sobre vulnerabilidades sino también a formar ... esa es la cuestión.

Tenemos que preocuparnos porque las siguientes generaciones estén correctamente formadas en informática, y desde mi humilde opinión, la seguridad informática debe enseñarse en las escuelas. Si, como sucede en mi país (Argentina), la informática se imparte en las escuelas para que los alumnos solamente sepan usar el Office, nunca lograremos tener una Internet más segura. Se deben dedicar recursos para que la educación sea completa, o se acerque lo más posible, y de esa manera, podremos lograr que la seguridad sea más alta.

Si no le enseñamos al futuro usuario de internet lo que debe y no debe hacer y le damos las bases del por qué, siempre encontraremos brechas de seguridad que no podremos cerrar. Caso contrario, solamente queda en nosotros mismos hacer lo posible por aprender más, y eso nunca cerrará muchos de los agujeros actuales que, en realidad, podrían ser resueltos...

La informática está entre nosotros para quedarse, eso no es ninguna novedad, aprendamos a usarla responsablemente... Sino, siempre tendremos inseguridad informática...