martes, 27 de noviembre de 2007

La inseguridad en el software de seguridad y un estudio amarillista

Si, señores, el software de seguridad no es invulnerable. Cerremos todo, guardemos la computadora en la caja y vamos a vivir al campo que es más tranquilo. :)

Hay algo que todos tenemos que entender es que no existe un software invulnerable, en ningún sentido. Siempre existe la posibilidad de que cualquier software tenga algún tipo de error de programación que devenga en un agujero potencial de seguridad.

Lo anterior también se aplica a antivirus, antispam, firewall, IDS, IPS, filtros de contenidos, protección de datos, programas de encriptación, etc, etc, etc.

Este hecho no es discutido por nadie (y quien lo discuta, mejor que se dedique a otra cosa), y hay que tenerlo en cuenta cuando diseñamos la seguridad de nuestro entorno informático, sea hogareño y/o empresarial.

Los agujeros de seguridad en las aplicaciones que están destinadas a protegernos suelen ser de importancia y ponen de manifiesto la necesidad de una clara comunicación entre los desarrolladores y los usuarios, tanto en materia de información del problema como en soluciones lo más automáticas posibles.

Un reciente estudio, un tanto amarillista en la forma de expresarlo, informa sobre vulnerabilidades pasadas y posibles en los antivirus en particular.

El nombre del estudio, realizado por una empresa alemana, es “La muerte de la defensa antivirus”. Cuando uno lee eso, dan ganas de dejar de usar una computadora, ¿no?

Más allá del nombre, el estudio muestra algunos puntos interesantes en factores como el procesamiento de distintos tipos de archivos por los antivirus, los cuales pueden llevar a potenciales vulnerabilidades relacionadas con desbordamiento de buffers y demás.

Negar que los antivirus tienen o pueden tener vulnerabilidades es imposible, dado que es cierto, como con cualquier software. Lo interesante de este estudio es la forma en que lo presenta, pero no por la veracidad del mismo en muchos aspectos, sino por lo que hace la empresa que lo realizó.

N.runs, la empresa tras este estudio, es de origen alemán y está desarrollando un software que… sirve para parsear archivos y su objetivo es prevenir que se puedan realizar ataques contra los antivirus. Es más, dicen que los antivirus son aliados tecnológicos muy importantes para ellos (ver última página del estudio). ¿En qué quedamos? ¿¡No era que estaban muertos los antivirus!?

Básicamente, el estudio marca algunos factores reales, pero dudo del interes detrás de su realización. El título es amarillista, con la intención clara de llamar la atención, tanto de potenciales clientes como de las propias casas antivirus, y lo que se desprende a leer entre líneas es que están presentando el problema de una forma enteramente comercial para luego poder vender su solución… :)

Más allá de esa práctica tan poco “convencional” (esa no sería la palabra), quiero remarcar que la existencia de vulnerabilidades en software antivirus existe, y basta con navegar por Internet para encontrar información sobre las conocidas y ya solucionadas. Es otro factor más que tenemos que tener en cuenta al planear nuestra seguridad.

“is”

Un ejemplo sobre la publicidad tercerizada y el malware

Hace 4 meses escribí un post sobre la publicidad tercerizada en sitios web y lo que eso implica en materia de riesgos para los visitantes.

Para quien no lo haya leído, pueden verlo en "Publicidad tercerizada en Internet: las llaves de la seguridad de sus visitantes".

Ahora veo que reportan un caso en uno de los sitios más visitados de España, el del diario El País:

http://nv1962.net/2007/11/24/el-pais-no-evita-anuncios-enganosos-de-malware/
http://seguinfo.blogspot.com/2007/11/el-pas-no-evita-anuncios-engaosos-de.html

Justamente a esto es lo que me refería en mi post sobre el tema. Le hubiera venido bien leerlo a los de El País, ¿no? :)

sábado, 24 de noviembre de 2007

¿Qué es un bot? (Lección 11)

Seguimos con la serie de aprendizaje sobre el mundo del malware, y esta vez vamos a referirnos a los bots.

Los bots son un tipo de troyano que tienen una función específica: que el equipo infectado forme parte de una botnet.

Las botnets, o redes de PC zombies, son un conjunto de equipos infectados por un troyano del tipo bot, que permite al creador del malware poder realizar acciones a través de ella.

Entre las acciones que el creador del malware puede realizar, se encuentran, entre otras, las siguientes:

• Enviar grandes volúmenes de spam
• Enviar más malware
• Recolectar información de los equipos infectados
• Realizar ataques distribuidos de denegación de servicios
• Ejecutar cualquier tipo de acción en todos los equipos infectados

Una de las más grandes botnet de la actualidad es la que se ha creado, y se sigue ampliando, a partir del conocido Storm Worm.

Un troyano bot puede ser distribuido de múltiples formas, como por correo electrónico, mensajería instantánea, sitios web, etc., pero en si mismo, no es capaz de reproducirse. Normalmente, existen gusanos de Internet que se encargan de distribuidor a los troyanos bots, como una especie de transportador.

En la actualidad, este tipo de troyanos son muy comunes, dado que son una de las bases fundamentales para las estafas a través de Internet, dado que les brindan la posibilidad a los atacantes de maximizar el efecto de su accionar.

Técnicamente, son un programa que al instalarse en un equipo, abren un puerto TCP y/o UDP (puerta trasera), y se quedan en espera de instrucciones de su creador, las cuales se les envían a través de otro programa que tiene el atacante, como una especie de controlador remoto.

Los troyanos bots, así como las botnets, son los grandes responsables de la gran cantidad de spam que existe en la actualidad. Combatirlos, al tener un antivirus que nos proteja adecuadamente así como practicando computación segura, ayuda a reducir el correo electrónico basura que recibimos.

“is”

viernes, 23 de noviembre de 2007

Superamos los 100 posts!

Increíble... Cuando comencé esta aventura del blog, no sabía como iba a seguir. Con algunos altibajos, llegué hoy a superar los 100 posts, una interesante medida.

Este que están leyendo ahora sería el post 102 y reivindica la aventura comenzada allá por finales de Febrero de este año.

Les agradezco a todos los que se suman y leen este blog, y espero les resulte interesante y útil. La idea es seguir creciendo, agregando más material, compartiendo y ayudando a que Internet sea un lugar más seguro.

¡Gracias a todos!

Análisis de los robots de spammers

Un reciente post en el blog de Sergio Hernando explica claramente, a través de un caso práctico, algunos conceptos sobre los robots que usan los spammers para encontrar y guardar direcciones de correo electrónico, conocidos normalmente como spiders.

El artículo es muy interesante y recomiendo su lectura:

http://www.sahw.com/wp/archivos/2007/11/13/analisis-de-aranas-de-spam-en-servidores-web/

El análisis paso a paso es muy bueno, y sirve de aprendizaje.

"is"

miércoles, 21 de noviembre de 2007

Bancos de SecondLife bajo ataque

El mundo virtual de SecondLife tiene de todo, bancos incluidos, y como en la vida real, estos son atacados en línea.

Informa Reuters hoy que por un bug en el software que utilizan estos bancos de SecondLife, se sustrajeron un par de millones de Linden dollars (la moneda local, equivalente a unos U$S 11.500) de al menos 5 entidades financieras de Second Life.

Fuente original:

http://secondlife.reuters.com/stories/2007/11/20/second-life-banks-hacked-in-virtual-crime-wave/


iPhone: un lindo chiche, con una base inestable

Soy el feliz poseedor de un iPhone, desde hace unas pocas semanas, y desde entonces ya me he encontrado con cosas que me fascinan, así como con otras que no me gustan, me resultan incompletas, o sencillamente, inseguras.



El iPhone es un dispositivo precioso por donde se lo miré, un hermoso avance de la compañía Apple en otros mercados, cuyo destinto, desconozco, pero si es interesante. Algunas de sus funcionalidades son muy interesantes, pero yo no lo considero un gran teléfono, sino que es básicamente un nuevo iPod con teléfono, wifi, bluetooth y cámara.

Está basado sobre un sistema BSD, lo que le da la posibilidad de ejecutar software para esta plataforma (normalmente, previa modificación y/o adaptación). Por ejemplo, es posible instalarle hasta un servidor web Apache, entre muchas otras cosas.

Así como lo anterior lo hace un juguete muy interesante para los informáticos, también lo hace muy inseguro para los no-técnicos. Todo lo que se ejecuta en el iPhone, lo hace como root (el super-usuario administrador de cualquier sistema operativo basado en Unix, como BSD).

Esto hace que cualquier brecha de seguridad pueda permitir a terceros realizar acciones bastante complejas en nuestro teléfono (llamados, envios de SMS, transferencia de archivos, bloqueo completo, etc).

Justamente, una de las formas en que se está pudiendo desbloquear el iPhone para poder utilizarlo con otros proveedores de telefonía móvil (incluso en países donde aún no se comercializa el producto), es a través de exploits de vulnerabilidades conocidas en el dispositivo, y al poder ejecutar programas como super-usuario, el dispositivo puede ser desbloqueado.

No sólo esto: Apple planea liberar un SDK (Kit de Desarrollo de Software) para que cualquier programador pueda crear aplicaciones para el iPhone, el cual, obviamente, también podrá ser utilizado por programadores maliciosos para conocer más sobre la arquitectura del dispositivo.

Uno de los mayores problemas que se le ha encontrado a Windows durante este tiempo es la posibilidad de los usuarios de realizar cualquier acción, dado que la hacían como administradores. Esto se comenzó a cambiar levemente desde Windows XP SP 2 y Windows Vista, pero a costa de funcionalidades más sencillas (leer Seguridad vs. Usabilidad).

Ahora Apple se lanza al mercado de los dispositivos de telefonía móvil, y comienza con el pie izquierdo en materia de seguridad. ¿Cuándo iremos a aprender? ;-P

“is”

(*) Un chiche es, básicamente, un juguete :)

Más sobre esto (en inglés):

lunes, 19 de noviembre de 2007

Arrestado por robar muebles virtuales...

Interesante la nota que nos hace llegar la BBC sobre el arresto de un adolescente de 17 años, usuario de la comunidad en línea Habbo, donde robó muebles de otro usuario.

Habbo es una comunidad en línea basada en un mundo virtual, orientada a adolescentes y jovenes, donde sus usuarios pueden alojarse en una especie de gran hotel virtual, y crear sus propios cuartos, con todo tipo de comodidades.


El usuario en cuestión, holandés, está acusado de haber robado alrededor de 4,000 euros en muebles comprados por otros usuarios de Habbo, moviéndolos a su propio cuarto.

Lo interesante de esto es cómo la acusación derriba la barrera entre lo real y lo virtual, dado que el objeto del robo fueron simples bytes, pero que representan muebles virtuales, que a su vez se compraron con dinero real.

Esperemos que esta tendencia siga, porque no importa qué se robe, virtual o real, físico o lógico, siempre y cuando le cause una pérdida económica de algún tipo a alguien, seguirá siendo un robo.

> FUENTE: http://news.bbc.co.uk/2/hi/technology/7094764.stm

"is"

domingo, 18 de noviembre de 2007

Estadísticas de Spam desde Gmail

Si hay algo que anda inundando nuestras casillas de correo, no son las buenas noticias, sino el spam, el correo no solicitado.

Tal como comentaba hace tiempo en un post sobre estadísticas de spam, éste llega a altísimos niveles, siendo en realidad mucho más el correo no solicitado el que recibimos, que el que realmente queremos leer.

En una reciente noticia del equipo desarrollador del muy utilizado servicio Gmail, el correo clasificado como spam en dicho servicio supera el 70 % del total del correo procesado.

Es decir, 7 de cada 10 correos que reciben los usuarios de Gmail, es no solicitado. Este correo es directamente clasificado de esta manera por el servicio de Google, a través de distintas técnicas antispam implementadas allí.

¿Cómo luchamos contra esto? Mi humilde aporte, es una recomendación antispam, la cual creo nos ayudará mucho a mantenernos fuera de la lista de los spammers (no por siempre, pero al menos durante un buen tiempo ;-P).

“is”

sábado, 17 de noviembre de 2007

Seguridad vs. Usabilidad

Si hay dos conceptos que se enfrentan, en muchos casos en una lucha que ninguno parece tener las de ganas, son la seguridad y la usabilidad.

Según la UPA (Usability Professionals Association), la usabilidad es el grado en que algo – software, hardware o cualquier otra cosa – es fácil de usar y adecuado para la gente que lo usa.

En muchos casos, sucede que algunas de las cosas que mayor nível de usabilidad tienen, no son tan seguras, y viceversa. Tal como se puede ver en una reciente edición de la tira cómica de Dilbert, muchos llegan a pensar que en un mundo completamente seguro, “nadie tendría que ser capaz de usar nada”:


Esto sucede debido a que, por ejemplo en el software, aquello que es muy fácil de usar, pasa de largo en su diseño ciertos aspectos básicos de seguridad informática, para que el usuario pueda hacer las cosas de una forma más sencilla.

A su vez, en sistemas extremadamente seguros, el usuario casi no es capaz de hacer nada sin tener que realizar montones de acciones previas de autenticación y configuración, que se basan en distintos principios de seguridad.

Vayamos por ejemplo a un ejemplo claro: las contraseñas. Normalmente se recomienda que las contraseñas que se utilicen deben ser fáciles de recordar y difíciles de descifrar, al mismo tiempo.

Para el común de los usuarios, que hoy en día tienen usuarios y contraseñas para acceder a múltiples servicios (homebanking, email, sitios varios, webmail, mensajero instantáneo, etc), lograr cumplir esa máxima es muy difícil. Para que sus servicios sean más usables, fáciles, suelen utilizar una o dos contraseñas sencillas (cumpleaños, nombres de mascotas, etc) en todos los servicios, lo cual es altamente inseguro… Sino, terminamos en el otro extremo, como yo, que tengo varias decenas de contraseñas distintas, con diversas formas de crearlas y recordarlas, pero que en algún momento llevan a que no recuerde alguna de ellas.

En el caso anterior, vemos claramente el enfrentamiento entre usabilidad y seguridad; cuanto más usable una contraseña es (más fácil de recordar), más fácil suele ser de descifrar… Esta es una de las razones de muchos de los problemas de seguridad de la actualidad.

Luego nos encontramos con otros casos, donde muchos de los estándares de seguridad más importantes, son diseñados sin tener la usabilidad en mente, llevando a que sean difícil de aplicar y comprender, y hasta molestos para utilizar, tales como los controles de acceso de usuario de Windows Vista (UAC). (Esa ventanita me vuelve loco! ;-P, así que la terminé desactivando...)

El problema es claro y requiere de un factor importante que aún nos llevará mucho tiempo lograr: la educación de los usuarios. Nos encontramos hoy con unas tres generaciones de individuos utilizando computadoras: los que nacieron mucho antes de que estas existan, los que nacimos casi al mismo tiempo y tuvimos que aprenderlo durante el camino, y los que están naciendo junto a las nuevas tecnologías. Cada una de estas generaciones le dan un uso distinto a las tecnologías, y las encuentran más o menos fáciles de usar… y cuando se diseña software, se debe hacer que todos lo puedan usar, lo cual lleva a que bajemos los estándares de seguridad a fin de que incluso el usuario con menos conocimientos pueda usar los nuevos productos tecnológicos.

La única forma de lograr que los productos tengan un grado adecuado de seguridad al mismo tiempo que un alto nivel de usabilidad es a través de la educación de los usuarios en general, desde la base, enseñándoles lo que se debe hacer y lo que no, al mismo tiempo que aprenden a cómo usar las tecnologías. Solo así, lograremos que la tecnología sea segura y usable al mismo tiempo.

“is”

viernes, 16 de noviembre de 2007

Super-inversión de IBM

Según nos cuentan en un comunicado de prensa, IBM planea invertir la friolera de 1,5 mil millones de dólares en una nueva estrategia de seguridad informática.

El monto es significativo ya que es la mayor inversión en el ramo que se haya realizado jamás, aunque veremos como resulta y si realmente eso se invierte en algo bueno. La gente de IBM dice que se van a enfocar en la protección de datos comerciales...

Si el malware genera 105.000 mil millones de dólares en ganancias para quienes lo crean y distribuyen, esta inversión puede parecer poco, ¿no?

Más info sobre la noticia de IBM en:

http://www.canal-ar.com.ar/Noticias/NoticiaMuestra.asp?Id=5087

domingo, 11 de noviembre de 2007

Volviendo lentamente...

Este último mes fue complejo... Mucho trabajo, algunos temas personales de mucha importancia (como casamiento, luna de miel, etc), me han dejado fuera de la web un buen tiempo, pero ya estamos volviendo...

En poco, vuelvo a bloggear más seguido... Keep tuned :-)

"is"