Para la seguridad, siempre hay tiempo (más de Dilbert)

Aunque no está directamente relacionado con la seguridad informático, hay partes del diálogo entre Dilbert y el guardia de seguridad, que realmente, dan que pensar...



"is"

Una de cal, otra de arena

Bien sabido es que la televisión y el cine no suelen retratar en forma acertada las realidades de la informática, menos aún cuando se tocan los temas de malware, hackers, y demás. Todos (aquellos que vimos la peli) recordaremos la película Swordfish, y el "gusano hidra" que era creado en una super computadora con 9 monitores y un compilador en 3D que creo ningún programador ha visto en su vida.

Estaba leyendo el Blog de Fabio el día de hoy y su post sobre la película Duro de Matar 4, y me encontré con comentarios similares a los que un amigo investigador de malware, Pierre-Marc Bureau, me hizo sobre el mismo tema: los realizadores de cine ni se gastan en ver si lo que hacen, en cuanto a seguridad informática, es válido o no. Los "hackers" en Duro de Matar 4, poco más que son capaces de hacer cualquier cosa, sin importar las medidas de seguridad que puedan existir, y todo en cuestión de segundos. ¿Cómo quieren que aprendamos con seguridad informática así? ;-P

Pero, más allá las mil y un veces que nos encontraremos con todo ese tipo de situaciones sin sentido en las películas, siempre habrá una excepción.

Cambiando de canal en la televisión me encontré con un capítulo de la serie Close to Home, donde se trata un caso en el que las famosas estafas nigerianas por internet son parte esencial, y lo más importante de todo, lo tratan de manera muy seria y detallada. Realmente, para aquellos que nunca han entendido de que se trata una estafa a la nigeriana, les recomiendo ver el capítulo
30 de dicha serie!

Mensaje a todos: lo que vean en la televisión o el cine sobre virus y hackers... ¡no lo crean! Seguramente, va a ser sobredimensionado y/o inexistente... Preferible leer en lugares serios sobre seguridad informática que aprender a través de esos medios :)

"is"

PD: Creo que este es mi post con mayor cantidad de enlaces de la historia ;-P

¡Estoy cansado de las tarjetas virtuales!

Todos los días estoy recibiendo varios mensajes de correo que me dicen que un amigo me ha enviado una tarjeta virtual o ecard. "Hey, you have received an ecard from a mate", "Here is your ecard!", es lo que suelen decir los asuntos... entre otras tantas opciones diferentes entre asunto, remitente, contenido, etc...

Lo que es igual en estos casos es el hecho de que no es que sea una persona con tantos amigos como para recibir tantas tarjetas virtuales sino que todas, pero absolutamente todas las que recibo, tienen un enlace que lleva a una página donde, en realidad, no hay ninguna tarjeta virtual, sino un malware de algún tipo y con, seguramente, un fin non-santo.

Tengo que reconocerles que este método realmente debe estar dandoles muchos resultados a los creadores de malware, porque de otra manera, no podría comprender el masivo uso que están haciendo de las falsas tarjetas virtuales para la distribución de códigos maliciosos.

Hay que tener cuidado. Por más lindo que sea que nos envíen tarjetas virtuales nuestros amigos, es necesario buscar la forma de evitar abrirlas, dado que como están las cosas, en el 99.99% de las veces, se va a tratar de un malware. Utilicen un antivirus, no acepten correos no solicitados, y sean un poco más paranoicos...

"is"

¿Qué es un keylogger? (Lección 9)

Vamos a seguir hablando un poco más sobre los distintos miembros de la fauna del malware que siguen existentes en la actualidad.

En este caso, vamos a hablar de los keyloggers. La denominación viene de juntar las palabras keystroke y logger, que en español viene a significar “registrador de teclado”, o similar.

Básicamente, un keylogger es un software capaz de registrar todo aquello que el usuario tipea (ingresa por el teclado de la computadora), guardándolo en un archivo local. Si lo tenemos instalado en nuestro equipo, todo aquello que nosotros tecleemos, será almacenado, ya sean largos textos, usuarios, contraseñas, números de tarjetas de crédito, etc., sin discriminar el contenido.

Desde el comienzo del uso de los keyloggers hasta ahora, estos han evolucionado hasta volverse bastante específicos y ser capaces de saber qué programa se está usando en el momento que el usuario está tecleando, de manera de poder distinguir el contenido.

Existen keyloggers por software (aquellos que se instalan como cualquier otro programa) y por hardware (por ejemplo, dispositivos USB que realizan la misma acción).

El uso que se le da actualmente a este tipo de aplicaciones es el robo de información sensible por parte de los usuarios, para poder luego realizar estafas. Además, los keyloggers han avanzado notablemente, incluyendo la posibilidad de obtener impresiones de pantalla cuando el usuario está en algún sitio en particular, e incluso tomar videos (lo que podría llamarse videologging).

“is”

¿Cuanto dura un sitio de phishing activo?

Uno de los factores que permite que el phishing sea un ataque informático exitoso es el tiempo en que un sitio falso se pueda mantener activo.

Cuando nos referimos al tiempo activo, hablamos del tiempo entre que es lanzado hasta que el proveedor de internet lo da de baja por ser fraudulento.

Dancho Danchev, experto en seguridad y blogger, nos acerca un estudio sobre el tema, donde comenta que el tiempo activo de un sitio de phishing cambia mucho de país a país. Por ejemplo, en Taiwan, el tiempo promedio según el estudio es de 19 horas, mientras que en Australia es de una semana.

De acuerdo al Anti-Phishing Working Group, el tiempo promedio es de 3.8 días por sitio fraudulento. Esto es sin discriminar por país.

La causa por la que sea más fácil o díficil dar de baja un sitio de estos varia de acuerdo al caso. Por ejemplo:

1. En algunos países existen trabas legales.
2. En otros se tarda menos porque hay menor cantidad de casos, lo cual permite que las fuerzas del orden puedan trabajar mejor.
3. Algunos kits de phishing permiten instalar varios sitios en un solo servidor, así que al dar de baja uno, se dan de baja todos.
4. Cuando el sitio está alojado en la PC de un usuario infectado, la baja es más compleja.
5. Vulnerabilidades XSS que no se corrigen a tiempo en sitios de banca en línea.

El phishing es uno de los mayores problemas de la actualidad, permitiendo a los atacantes usar Internet para realizar estafas, y es importante que toda la comunidad tome conciencia del tema y dedique recursos para intentar resolver esta situación.

El usuario puede colaborar teniendo una protección contra malware activa y actualizada para evitar que su equipo se convierta en un servidor de phishing; las empresas deben tener en cuenta medidas de seguridad para evitar errores en sus plataformas web que faciliten la acción del phishing; los bancos y financieras deben considerar pautas de educación para sus clientes. Combinando esos esfuerzos podemos mejorar la seguridad contra el phishing.

"is"

Más información (en inglés):

• Blog de Dancho Danchev
• Reporte de APWG (Mayo 2007)

Seguridad en mensajeria instantánea

Les dejo un video con consejos de especialistas sobre seguridad en mensajeria instantánea, que seguramente les va a ser de utilidad.



"is"

Formar, Informar, Educar

En una reciente charla escuché conceptos varios sobre la necesidad de formar en materia de seguridad informática al usuario de computadoras.

Cuando comencé Virus Attack!, allá lejos en la década del 90, la idea siempre fue informar, con el objetivo de educar, en materia de seguridad informática, con el fin de que los usuarios sean capaces de prevenirse de los virus informáticos, tan comúnes en aquel momento.

Con el tiempo, compromisos laborales y la ida de algunos colaboradores llevaron a la necesidad de poner un freno al sitio, que recién pudo "volver" con este blog, que tampoco es sencillo de llevar todavía (verán como fluctúa la cantidad de posts mes a mes).

Sin embargo, dentro de los objetivos profesionales, planteamos la necesidad de educar... el problema es que formar en seguridad informática implica primero formar en informática en general, y creo yo, ahi está el problema a resolver.

Antes de poder explicar la necesidad de instalar actualizaciones de software, por nombrar un ejemplo, el usuario debe saber qué es el software y qué es una actualización. Internet hoy núclea a un sinfin de usuarios con diversos conocimientos de PC, desde muy muy básicos hasta avanzadisimos, y eso lleva a la educación en informática se haga más complicada.

Es prácticamente imposible, con las herramientas de hoy en día más la dinámica de Internet lograr que todo el mundo sepa lo que necesita saber para prevenirse de la inseguridad informática. Más aún con la diversidad de conocimientos en informática que hay.

Todos nos mandamos a hacer cosas aunque no las sepamos y eso trae problemas siempre; los automoviles están entre nosotros desde hace más de 100 años pero todavía hay accidentes, tanto por culpa de los peatones como de los conductores. La electricidad hace más tiempo que existe, y aún así, hay gente que se electrocuta... ¿La educación en informática es causa perdida entonces?

Creo que no, pero implica un compromiso mayor... Mientras que las empresas trabajan para implementar normas como las ISO 27000, no dedican tanto esfuerzo a formar a sus empleados en materia de informática y su seguridad... Eso va a implicar siempre agujeros que van a ser díficiles de cerrar.

El compromiso de la seguridad informática debe partir desde todas las partes: empresas, usuarios, gobierno, universidades, etc, donde es importante que las iniciativas por lograr una Internet más segura tomen en cuenta todas las variables y no solo nos dediquemos a publicar notas sobre vulnerabilidades sino también a formar ... esa es la cuestión.

Tenemos que preocuparnos porque las siguientes generaciones estén correctamente formadas en informática, y desde mi humilde opinión, la seguridad informática debe enseñarse en las escuelas. Si, como sucede en mi país (Argentina), la informática se imparte en las escuelas para que los alumnos solamente sepan usar el Office, nunca lograremos tener una Internet más segura. Se deben dedicar recursos para que la educación sea completa, o se acerque lo más posible, y de esa manera, podremos lograr que la seguridad sea más alta.

Si no le enseñamos al futuro usuario de internet lo que debe y no debe hacer y le damos las bases del por qué, siempre encontraremos brechas de seguridad que no podremos cerrar. Caso contrario, solamente queda en nosotros mismos hacer lo posible por aprender más, y eso nunca cerrará muchos de los agujeros actuales que, en realidad, podrían ser resueltos...

La informática está entre nosotros para quedarse, eso no es ninguna novedad, aprendamos a usarla responsablemente... Sino, siempre tendremos inseguridad informática...