lunes, 31 de diciembre de 2007

Feliz año 2008

Simplemente, quería desearles a todos los que lean estas líneas, un muy feliz año 2008, y si es posible, libre de virus y malware.

El próximo año veremos mucho malware orientado, específicamente a seguir robando datos sensibles de los usuarios, a través de múltiples vias, desde mensajes de correo electrónico hasta por sitios web y mensajeros instantáneos, por lo que a tener cuidado.

Qué tengan un excelente año, y que lo disfruten!

martes, 25 de diciembre de 2007

Caso Squirrelmail: Un problema del open-source

Soy partidario del open-source, sinceramente, me encanta. Me gustan las soluciones en si mismas, y el software libre y el open-source son un concepto interesante que nos ha facilitado la vida a los usuarios de Internet en muchos aspectos (¿Dónde estaríamos hoy sin Apache?)

Sin embargo, un problema de seguridad en el software Squirrelmail, uno de los webmail más utilizados a nivel mundial, muestra uno de aspectos del open-source que pueden causar vulnerabilidades por el mero hecho de cómo se crea este software en si mismo.

El software open-source es creado, programado y mantenido por decenas, cientos y/o miles de programadores repartidos por todo el mundo. Para poder trabajar en el mismo, quienes están detrás del software, brindan accesos seguros al código fuente del software a fin de poder trabajar en el mismo.

Recientemente el código fuente de Squirrelmail se vio afectado por una serie de vulnerabilidades incluidas expresamente por uno de los programadores encargados de mantener el software. No se sabe si realmente fue esa persona o alguien qué robó sus credenciales de acceso al código fuente pero eso no quita la inseguridad que esto causó.

Dicha persona modificó el código fuente del software a fin de incluir ciertos cambios que abrían agujeros de seguridad que podían causar accesos irrestrictos a partes del sistema que no deberían existir. Esto es un problema de seguridad inherente al modelo del open-source, basado en la confianza de quien tiene credenciales para acceder y modificar el mismo. Normalmente, esto no sucede dado que existen medidas para auditar el código, pero en este caso, el paquete final que fue descargado por muchos usuarios de Squirrelmail, si salió con agujeros de seguridad incluidos.

El open-source está aquí para quedarse y es parte importante de la Internet y la informática de hoy, pero tampoco es la panacea de la seguridad. Como todo lo relacionado al software, tiene vulnerabilidades, y en algunos casos, no están en el programa en si mismo, sino en quienes lo mantienen. A tenerlo en cuenta...



"is"

lunes, 24 de diciembre de 2007

Consejo navideño: deshabilitar la funcionalidad de autorun de Windows

En estos momentos en que muchos de uds. ya están pensando en la nochebuena, juntarse con la familia y pasar un buen rato con amigos, yo estaba pensando que buen consejo darles, relacionado o no con la navidad, así yo también podía irme tranquilo a disfrutar de la Navidad sintiendo haber dejado algo bueno antes de ello.

Leyendo, como siempre, mis fuentes de confianza, vi como las casas antivirus comenzaron los reportes del malware más reportado del año, del mes, del día y las tendencias varias que se notaron en el 2007 y las que vendrán en el 2008.

Un recurso que mucho malware de la actualidad está aprovechando es la funcionalidad de autorun que brinda Windows. Esta funcionalidad permite que, de acuerdo a cierta metodología, se pueda ejecutar automáticamente contenido incluido en CDs, DVDs, y dispositivos USB. Si alguna vez insertaron un CD/DVD de un juego de PC, habrán visto que el mismo comienza automáticamente... ¡esa es la funcionalidad de autorun!

Esto se logra a través de un archivo llamado autorun.inf, el cual permite la ejecución automática de contenido al insertar en la PC algún medio removible de información.

El recurso es altamente utilizado por el malware actual, infectando dispositivos USB de almacenamiento, para que cuando sean llevados a otro equipo, puedan infectarlo también.

Por lo anterior es importante y recomendable desactivar esta funcionalidad a fin de no ser víctimas de alguno de estos malware cuando un amigo quiere compartir sus fotos y/o documentos con nosotros a través de un dispositivo USB.

En el blog de Steve Riley, uno de los expertos de Technet, encontrarán información de como desactivar la funcionalidad, directamente desde una de las fuentes de Microsoft:

http://blogs.technet.com/steriley/archive/2007/09/22/autorun-good-for-you.aspx

En castellano, podrán encontrar instrucciones aquí:

http://www.raymond.cc/blog/archives/2007/11/24/disable-autorun-cd-in-windows-for-better-security/es/

Saludos y que pasen una feliz navidad, libre de malware y en familia!

"is"

miércoles, 19 de diciembre de 2007

Tarjetas virtuales navideñas – Hagámoslas bien

Desde cierto punto de vista, somos nosotros mismos quienes le damos la oportunidad a los creadores de malware de usar las tarjetas navideñas como una forma de engaño. ¿Por qué digo esto? Las tarjetas navideñas que he recibido dan muestra de ello y ahora les paso a detallar…

Tarjeta con archivo adjunto

La responsable de comunicación de un asociado de negocios mío me hizo llegar, seguramente a través de algún envio masivo, una “muy linda” tarjeta virtual en forma de archivo adjunto a un mensaje de correo electrónico.

Puse comillas en “muy linda” debido a que nunca sabré cómo es, ya que no hay forma alguna de convencerme de que habrá el archivo adjunto en cuestión. Tranquilamente puede ser malicioso, dañino, un malware, etc, enviado en forma selectiva (si, paranoico, pero es así…)

Si ejecuto el archivo adjunto (una animación flash compilada con extensión .swf), el navegador la ejecutará, pero con los privilegios del usuario local, por lo que es altamente inseguro. Es igual que ejecutar un archivo .exe en muchos aspectos.

Tarjeta en formato HTML

Otros varios contactos de negocios y amigos me han enviado tarjetas en formato HTML, algunos simplemente con una imagen, otros con una imagen y un enlace para ver una tarjeta virtual en un sitio web.

La tarjeta con la imagen embebida no me genera ningún problema. Si tuviera mi sistema desactualizado, un email en formato HTML podría aprovechar algún agujero de seguridad para ejecutar código en forma arbitraria, pero como mantengo mi sistema al día, no hay tanto problema, además de que, en realidad, tengo desactivada la recepción de mensajes en formato HTML.

En cambio, la tarjeta en formato HTML que además contiene un enlace a un sitio externo, no me brinda tanta seguridad, dado que en realidad, utilizando esto es como funcionan muchos de los ataques de phishing, dado que el enlace que muestran no es conocido por quien recibe la tarjeta, y por lo tanto, puede llevar a un sitio peligroso.

Por lo anterior, si recibo una tarjeta en formato HTML, con un enlace a un sitio externo que no conozco, y que no puedo comprobar el destino del mismo, dudo que vea la tarjeta completa 

¿Qué me gustaría recibir?

Esto no es un pedido a uds., mis fieles amigos, para que me envíen tarjetas navideñas. Soy un acérrimo enemigo de las cadenas y demás, por lo que el solo hecho de que sigan leyendo este blog es suficiente.

Como profesional de seguridad informática que soy, la paranoia forma parte de mi día a día. Esto genera, por ejemplo, que mis emails siempre, pero siempre salgan en texto plano, y así me gusta recibirlos además.

La única forma en que realmente vería una tarjeta virtual es:

  • Recibir un mensaje en texto plano
  • Que el remitente sea conocido por mí
  • Que haya un enlace a una página HTML en un sitio que me dé confianza y que esté relacionado con el remitente (p.e., si el remitente trabaja en la empresa Ficticia, que el sitio web sea www.ficticia.com)
  • Que cuando habrá la página HTML no me invite a instalar absolutamente nada; si la tarjeta virtual no se ve a la primera, mala suerte, no la veré
Y lo anterior solamente lo haría desde un navegador al que le tenga confianza, completamente actualizado y sin ningún parche de seguridad faltante en cuanto al navegador, sus plug-ins y el sistema operativo.

Incluso teniendo en cuenta lo anterior, puedo llegar a caer en algún riesgo, y ahí tendré que confiar en mi antivirus, y para asegurarme que el antivirus detecte lo que me encuentre, no abriría la tarjeta virtual ni bien la reciba, sino al día siguiente, tras alguna que otra actualización de mi antivirus.

Conclusión

Todo esto lo he comentado no solamente en base a mis gustos personales, sino en realidad como una guía que creo llevaría a que todo lo que no caiga en nuestras bandejas de entrada en un formato confiable, no sea abierto, de manera que no caigamos en la trampa del “malware navideño”.

“is”

lunes, 17 de diciembre de 2007

¿Es navidad una época con más malware?

Desde que uso Internet, allá por los 90, la navidad ha sido siempre un momento en el que distintos códigos maliciosos aparecen para aprovechar la época y engañar a los usuarios de distintas maneras.

En este tiempo de festejo para una gran parte del mundo, tanto sea por la navidad cristiana, como por otras festividades, o tan solo por el propio fin de año y comienzo de uno nuevo, es normal que muchos de nosotros intercambiemos mensajes de correo electrónico, instantáneos y/o tarjetas virtuales para saludar a nuestros amigos, seres conocidos y demás personas conocidas.

Por lo anterior, quienes están detrás de la creación de malware aprovechan esta época haciendo llegar sus troyanos, gusanos y demás a través de alguna de las formas de comunicación que los usuarios normalmente utilizan.

Lo anterior hace pensar que la navidad y las fiestas de fin de año son un tiempo en el que existe más malware, cuando en realidad, a los efectos reales, no es así.

Básicamente, lo que sucede es que los creadores de malware aprovechan las tendencias del uso de Internet de los usuarios al máximo, y cada época en particular en donde la utilización de la web se masifica o centraliza en ciertas acciones es un momento ideal para ellos.

Dado que no hay nadie que no reciba una tarjeta virtual en esta época del año, es común ver malware que nos llega a través de esa vía en las navidades.

La realidad actual del malware nos muestra que no existe una época para infectarse, no es como con la gripe y el invierno, sino que en cualquier momento del año podemos llegar a tener problemas con los códigos maliciosos. Por ende, no es cuestión de redoblar las defensas ahora, porque en todos los medios y pronósticos se diga que va a haber más malware, sino que siempre tenemos que tener las barreras bien altas, y aplicar las más básicas prácticas de uso seguro de computadoras:

  • Utilizar un software anti-malware y actualizarlo periódicamente
  • Utilizar un firewall y tenerlo siempre activo mientras navegamos
  • Utilizar un filtro anti-spam y anti-phishing que nos proteja lo mejor posible contra dichas amenazas
  • No confiar en todo lo que recibimos por Internet, sino que siempre que dudemos de y/o no conozcamos a su destinatario, debemos chequear la validez y seguridad del mensaje y/o comunicación
  • Actualizar nuestro sistema operativo y aplicaciones con las últimas actualizaciones de seguridad
  • Evitar la descarga de software desde fuentes de Internet desconocidas
  • No hacer clic en cada cosa que nos aparece mientras usamos la computadora (ventanas emergentes, emails, enlaces en páginas web, etc)

Siguiendo estas recomendaciones en todo el año, podremos disfrutar de una experiencia informática más segura.

"is"

domingo, 16 de diciembre de 2007

Viajes, blog y Feliz Navidad

Amigos míos, como habrán notado, nuevamente estoy en un momento donde no he tenido tiempo para postear mucho. Esto se debe a mis actividades laborales, que para esta época del año, se complican en demasía.

He estado nuevamente de viaje por el norte del continente americano, entre reuniones y reuniones, y eso me ha tenido no solamente lejos del blog, incluso alejado de la computadora en si misma :)

Por si las dudas, uno nunca sabe que pasará, les dejo un fuerte deseo de que tengan una excelente época navideña y un aún mejor comienzo de año! No es que no piense postear nada hasta el 2008, ... ¡pero nunca se sabe!

Si navegan por internet en estas fiestas, lleven abrigo que hace frio, y no quiero que se me resfrien.

"is"

Comentarios legales sobre el robo virtual

Haciéndose eco de la noticia sobre el robo de muebles virtuales en Habbo que comenté hace tiempo, me encuentro el siguiente enlace, con un interesante análisis de acuerdo a las legislaciones actuales:

http://www.derechonntt.com/?p=124

Leánlo completo, comentarios incluidos, porque nos da una muestra de las diferencias entre lo que la legislación considera y adónde el mundo está yendo. Sigo insistiendo, no creo que haga falta modificar las leyes para incluir los delitos informáticos, sino que será necesario transformar el derecho completamente, desde la base misma...

"is"

miércoles, 5 de diciembre de 2007

El blog de Sergio Hernando

Hace mucho que no escribo sobre algún sitio de internet que recomiendo dentro del ámbito de la seguridad informática, así que me decidí a ver qué no habia comentado aún y aquí estamos.

El blog de Sergio Hernando es un sitio interesante, en formato de blog, sobre seguridad, auditoría y administración de sistemas. Muchos de los contenidos de Sergio son de alto interes, debido a que conllevan análisis y/o experiencias propias, que le dan un valor agregado a la información.

Es una de mis fuentes diarias de información en cuanto a seguridad, en español, y les recomiendo visitarlo y agregarlo a su lector de feeds.

"is"

sábado, 1 de diciembre de 2007

Estadisticas de Phishing desde México

En un artículo de El Universal de México, un gerente de uno de los bancos más importantes del país, comentaba que de cada 100 personas que reciben un correo de electrónico de phishing, 6 de ellas caen en la trampa.

La fuente del artículo se puede encontrar en el siguiente enlace:

http://www.eluniversal.com.mx/tudinero/2264.html

Para más información sobre el phishing, revisen mi post sobre el tema:

http://virusattack.blogspot.com/2007/07/avancemos-qu-es-el-phishing-leccin-8.html

Esta estadística nos muestra que, al menos en lo que respecta a las estadísticas recolectadas por el banco en cuestión, el phishing tiene una "tasa de éxito" del 6 %.

Un dato importante que nos dejan es qué hacer si ya se ha sido víctima, así que les recomiendo la lectura del artículo.

"is"