Virus Attack!

Estas fiestas no abras tarjetas virtuales si...

2008-12-28T10:54:00.000-02:00

El fin de año y las navidades son momentos en los que nos gusta saludar y recibir saludos, e Internet ha permitido hacerlo mucho más fácil que nunca, gracias a las tarjetas virtuales. Las hay de todo tipo y en todos los idiomas, y a muy poca gente le disgusta recibirlas, porque eso significa que alguien se ha acordado de uno.

Sin embargo, las tarjetas virtuales no dejan de ser uno de los principales vectores de distribución de malware durante estas épocas, ya que al haber tantas legítimas que son enviadas y recibidas es fácil engañar al usuario a que abra una que pueda dañarlo sin que note la diferencia.

La recomendación simplista sería decir "no abras ninguna tarjeta virtual navideña o de fin de año", porque entre medio de las que recibas puede haber alguna que se te haya enviado con fines maliciosos, pero es lógico que nadie - o casi nadie - seguirá ese consejo.

Entonces, lo que personalmente recomiendo es que nadie abra tarjetas virtuales si no lleva a cabo primero los siguientes pasos:

Tiene la última versión de su navegador. No contar con la última versión del navegador que uses (sea Internet Explorer, Firefox ú otro), deja la puerta abierta a que se utilicen vulnerabilidades del mismo para instala malware en tu sistema sin que lo sepas.
Tiene la última versión de Adobe Flash Player. Al ser uno de los componentes de navegación más utilizado, es un vector normal de distribución de malware, por lo que mantenerlo al día es muy importante, sobre todo, porque es lo que necesita un equipo para poder mostrar muchas de las tarjetas virtuales animadas.
Tiene las actualizaciones de su sistema operativo instaladas. Si usas Windows, puedes comprobarlo ingresando a http://www.windowsupdate.com/
La tarjeta virtual tiene tus datos reales y los de un remitente conocido, es decir, que esté dirigida a tí, con tu nombre y el nombre de alguien que conozcas. Si tiene datos genéricos, seguramente no fue enviada solo a tí, sino a mucha otra gente, y entonces hay posibilidades que sea un malware.

Además, si al abrir la tarjeta virtual se te pide que instales o descargues algo adicional para verlo, no lo hagas, porque ese "algo adicional" puede tranquilamente ser un código malicioso y en lugar de recibir un saludo de felices fiestas, terminarás con el equipo infectado por algún malware que te hará pasar un fin de año incomodo intentando quitarlo.

Ahora sí, con estas simples recomendaciones, espero pasen un excelente fin de año, en familia y con amigos, y que comiencen el 2009 un poco más seguros mientras navegan por Internet.

/is

Malas prácticas de seguridad de la información para la casa y la oficina

2008-12-11T19:39:00.002-02:00

Ayer recibí un mensaje de correo electrónico desde BDO Becher, firma argentina de auditores y consultores con la que no tengo relación alguna. El mensaje estaba titulado “Buenas prácticas de seguridad de la información para la casa y la oficina” y pueden verlo a continuación:

Como pueden ver en la imagen, el mensaje contiene un archivo adjunto, que en teoría, tiene consejos sobre seguridad de la información como iniciativa por la Semana de la Seguridad Informática.

Me parece loable la iniciativa, pero la forma de implementarla va completamente en contra de las buenas prácticas que BDO Becher pregona en su correo, e incluso, se contradice con las recomendaciones incluidas en el documento adjunto.

En primer lugar, el correo me fue enviado sin haberlo solicitado, dado que nunca jamás solicite nada de BDO Becher ni tengo relación alguna con ellos, por lo que, en cuanto a mi respecta, esto es simplemente un SPAM (correo no solicitado) y así lo clasifique en mi cliente de correo.

Luego, el mensaje tiene un archivo adjunto, lo cual es una práctica que debe ser evitada por cualquier empresa dedicada a la seguridad informática. Justamente, si recibo un correo de alguien que no solicite (como es este caso) y el mismo tiene un archivo adjunto, lo primero que debo hacer es desconfiar del mismo, porque esa es exactamente la práctica llevada adelante por quienes distribuyen malware.

Llevando adelante esta iniciativa de esta manera, BDO Becher justamente no está promoviendo “Buenas Prácticas” sino todo lo contrario, dado que está haciendo lo completamente opuesto a lo que recomienda.

La intención es buena, pero el método elegido para llevarla a cabo es erróneo, y “enseña” a los usuarios a confiar en cosas (mensajes no solicitados, archivos adjuntos) de las que deben desconfiar en forma automática y eso, indirectamente, incrementa la inseguridad informática.

/is

NOTA: Vale aclarar que el correo NO contiene malware y el contenido del documento, pese a todo, incluye buenas recomendaciones...

Cuidado donde metes la memoria

2008-11-27T19:40:00.000-02:00

El buen Microsaurio de Tecnozona comentó esta semana una interesante anécdota que sirve para entender que el malware está en todos lados y no solo te puede llegar a infectar por andar navegando por Internet.

En la noticia en cuestión, comenta el caso de una persona cuya memoria de la cámara de fotos terminó infectada por un código malicioso solamente por llevarla a una casa de fotografía para realizar copias a través de las terminales de autoservicio cada vez más comunes.

Resulta que dichas terminales utilizan, en muchos casos, sistemas operativos como Windows, y por ende, pueden infectarse como cualquier otra cosa. Al meter tu memoria en uno de ellos terminas ante la posibilidad de que en ella se copie un malware y luego cuando la conectes a tu computadora para ver las fotos que sacaste con tu cámara, también termine infectado tu equipo informático.

Es muy importante que tengamos en cuenta que cualquier medio de almacenamiento (tarjetas de memoria, llaves usb, etc) puede ser utilizado para distribuir malware, y que muchos de los creadores de código malicioso agregan rutinas a sus desarrollos para que detecten si se conecta algo a la computadora a fin de automáticamente copiar un malware allí.

La noticia original está en:

http://www.tecnozona.com/?q=node/2208

/is

Blogueando en Revista ITNow

2008-11-26T21:32:00.000-02:00

Desde hace poco fui inviado a bloguear en una nueva sección de la revista ITNow, uno de los principales medios de tecnología de Centroamérica. La idea me pareció muy interesante dado que me permitió tratar otros temas distintos a los que, ahora esporadicamente, suelo tratar aquí, dado que tiene un perfil de lector bien homogeneo.

Para quienes deseen seguir lo que vaya publicando allí, los invito a visitar el sitio donde se van publicando esos posts:

http://www.revistaitnow.com/blog/category/14

Hasta ahora, he venido tratando temas relacionados al manejo del presupuesto en TI y Seguridad de la Información. Espero les resulte interesante y estoy abierto a escuchar ideas para seguir desarrollando nuevos temas.

/is

Malware desde fábrica (IV), esta vez le toca a Lenovo

2008-11-25T18:55:00.000-02:00

Mes y medio atrás comentaba como se hizo público que como unas máquinas de Asus habían sido lanzadas al mercado con un malware. Ahora, se está comentando uno de los últimos casos que está relacionado con Lenovo.

Este tipo de incidentes no es ninguna novedad, y en realidad es algo cada vez más común, y es un reflejo claro de la falta de políticas de seguridad informática por parte de las compañías donde empresas como Lenovo tercerizan procesos y servicios.

Lenovo (y otras empresas como ellos) seguramente tiene políticas internas de seguridad informática con altos niveles de control y monitoreo, pero para ciertas cosas, tienen proveedores externos que se encargan, de entre otras cosas, liberar software, actualizaciones, hacer controles, etc.

Estos proveedores externos seguramente no tienen tan férreas políticas internas de control, o incluso es posible que también tercericen parte de su carga laboral.

Es ahí donde está la debilidad de dicho modelo de lanzamiento de hardware y software, dado que esos entornos tercerizados pueden incluso no tener software antivirus actualizado y/o controles de liberación de software basados en criterios de control de calidad.

Tanta noticia en este año respecto a esto debería llevar a replantear estos procesos, porque más allá que luego empresas como Lenovo provean soluciones, con el objetivo económico que existe detrás del malware, los usuarios pueden verse altamente perjudicados sin saberlo.

/is

Feliz Año Mundo Binario!

2008-11-23T22:43:00.000-02:00

Hace tan solo unos días, el blog de Sebastián, Un Mundo Binario, alcanzó su primer año de vida, así que aprovecho este espacio para felicitarlo, y además invitarlos a todos a que lo visiten, dado que tiene contenidos y aportes de alta calidad.

¡Seguí así Sebastián! ¡Felicidades!

/is

La crisis y el malware

2008-11-22T22:41:00.002-02:00

Cuando algún evento de alcance mundial alcanza gran relevancia, es lógico que quienes están detrás de la creación de malware y otras amenazas informáticas intenten aprovecharlo de alguna forma.

Una de las primeras formas en que lo hacen es modificando sus ataques para aprovechar el momento, a través de distintas técnicas de lo que se conoce como Ingeniería Social.

Con la actual incertidumbre financiera y económica mundial era de esperarse que el tema comenzara a aprovecharse, y ya se están comenzando a ver modificaciones en los mensajes utilizados en los ataques de phishing.

Lo que están haciendo es agregar comentarios más actuales a los contenidos de dichos mensajes, sobre adquisiciones de distintos bancos, a fin de que el recipiente del correo crea que realmente está recibiendo el mensaje porque su banco fue adquirido por otro y que por eso debe confirmar sus datos.

En uno de los tantos blogs de Microsoft, el de “Security Tips & Talk”, se hicieron eco de esto recientemente.

A estar atentos, la mejor forma de evitar el phishing es nunca jamás hacer click en los enlaces de mensajes de correo electrónico recibidos y que no fueron solicitados, sin importar de donde vengan.

/is

AMTSO

2008-11-21T20:57:00.001-02:00

AMTSO es la Organización de Estándares de Evaluación Anti-Malware, que fue fundada este año y núclea a más de 40 miembros de la industria antivirus, organizaciones de evaluación y laboratorios independientes, entre otros.

El objetivo de AMTSO es trabajar en el desarrollo de metodologías válidas para la evaluación y comparación de las soluciones de seguridad informática contra códigos maliciosos de todo tipo, con el fin de que las mismas tengan una base científica de desarrollo, así como que sus resultados sean de relevancia para usuarios y empresas.

Uno de los aspectos más interesantes de esta iniciativa es que la gran mayoría de las casas antivirus forman parte de ella y trabajan por un interés común, lo cual es algo inédito en la industria.

Hace tan solo unas semanas han publicado sus primeros documentos, los cuales están disponible en su sitio web (en inglés) así como han sido traducidos al español y publicados por varios de los miembros de AMTSO, como por ejemplo, Hispasec.

Los mismos pueden ser descargados desde las siguientes direcciones:

- Documentos AMTSO en Inglés
- Documentos AMTSO en Español

Les recomiendo visitar el sitio y su blog, dado que permiten conocer mucho sobre lo realmente necesario para entender las evaluaciones de productos de seguridad y las formas correctas de llevarlas a cabo.

/is

Cuando el filtro de spam se pasa de listo

2008-11-10T20:25:00.000-02:00

Como varios habrán visto en posts anteriores, soy un fanático de Dilbert y realmente me gusta mucho como Scott Adams, su creador, presenta algunas situaciones relacionadas con la seguridad informática.

En la última tira de cómic - en inglés - Dilbert se encuentra con un problema en el filtro antispam de la empresa:

Para los que no leen inglés, se los traduzco a continuación:

- Dilbert: "Nuestro filtro antispam se ha vuelto consciente de si mismo"
- Dilbert: "Está administrando la compañía, decidiendo qué mensajes debe dejar pasar."
- Jefe de Dilbert: "Todo lo que estoy recibiendo son mensajes sobre la caída del cabello y... Oh! Otro acierto más..."

Más allá del humor, en más de una empresa se debe uno sentir "manejado" por su filtro antispam...

/is

Vulnerabilidades en reproductor Adobe Flash

2008-11-09T20:09:00.003-02:00

Unos 20 días atrás les avisaba que habia una nueva versión del Adobe Flash Player pero que al momento de lanzarla no se conocía ninguna vulnerabilidad.

En un boletín de seguridad reciente de Adobe se informaron varias vulnerabilidades existentes en la versión anterior del reproducto (9.0.0.124) por lo que ahora si les recomiendo sí o sí actualizarse a la última versión del navegador (10.0.12.36) a través del siguiente enlace:

http://www.adobe.com/go/getflash

Haganme caso...

/is

PD: Como siempre, si no saben que versión del reproductor de Adobe Flash tienen, el detector de versión que está en la barra derecha de este blog se lo informará :-)

10 años de una-al-dia... ¡Felicitaciones!

2008-11-02T19:19:00.002-02:00

El boletín una-al-dia de los amigos de Hispasec ha cumplido 10 años y quiero aprovechar este especio para felicitarlos por tamaño logro... Creo que debe ser uno de los pocos boletines de seguridad informática que han alcanzado 10 años ininterrumpidos de existencia, y sin perder nunca la calidad de sus publicaciones.

Soy un seguidor del trabajo realizado por Bernardo, Antonio (x2), Sergio y el resto de los pioneros españoles que están detrás de Hispasec. Sin dudas, expertos de verdad en materia de seguridad informática y cuyo trabajo merece el debido reconocimiento.

Así que, ¡felicitaciones y enhorabuena!

/is

Grave vulnerabilidad en Windows (en serio)

2008-10-23T20:07:00.002-02:00

No me gustan los títulos que parecen sensacionalistas pero este tema amerita llamar la atención mediante un titulo igualmente llamativo.

Microsoft liberó hoy un boletín de seguridad, con actualización de software incluida, debido a una grave vulnerabilidad descubierta en casi todas las versiones vigentes de Windows, desde 2000 hasta el Server 2008.

No quiero entrar en detalles técnicos ya que el mismo boletín los cubre en detalle, pero básicamente, el problema se encuentra en que debido a un agujero de seguridad en el servicio RPC de Windows es posible realizar ataques remotos a equipos vulnerables a fin de ejecutar cualquier tipo de acción en los mismos sin el consentimiento del usuario.

Este tipo de vulnerabilidad es de gravedad crítica aunque existen varios aspectos que la mitigan notablemente:

Dentro de una red corporativa con un firewall correctamente configurado no debería existir la posibilidad de que se den ataques externos (aunque si internos)
Si el usuario utiliza otro firewall distinto del de Windows en su equipo, y dicho firewall bloquea las conexiones externas al servicio RPC en los puertos 139 y 445 (lo lógico por defecto), tampoco podría darse el ataque
Si la conexión de la red hogareña es a través de un router que también bloquea dichas conexiones, tampoco se podrían dar los ataques desde el exterior

La mayor preocupación que produce esta vulnerabilidad yace en el hecho de que ya se han visto ataques, debido a que ya se han publicado, en ciertos círculos, los exploits necesarios para aprovecharla.

Esto motivó que Microsoft liberará un boletín de seguridad, con los parches necesarios para resolver el problema, fuera de su ciclo normal de actualizaciones.

A parchear (instalar la actualización) para evitar caer victima de alguno de los ataques que se pueden llegar a producir.

Más información en:

http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx
http://blogs.technet.com/swi/archive/2008/10/23/More-detail-about-MS08-067.aspx

/is

Nuevas herramientas del Microsoft SDL próximamente

2008-10-22T22:33:00.002-02:00

En Junio comentaba la apertura del Microsoft Security Development Lifecycle, una interesante iniciativa de la empresa de Bill Gates para el desarrollo de aplicaciones en forma segura.

Hasta ahora, dicha iniciativa constaba principalmente de una serie de documentaciones y recomendaciones describiendo lo que Microsoft propone para lograr la creación y mantenimiento de soluciones de software con un alto grado de seguridad.

Ahora, se están agregando varias herramientas a la iniciativa, que estarán disponibles en breve, y de las cuales existen dos de alto interes para aquellos equipos de programadores que quieran mejorar los procesos de desarrollo de sus aplicaciones.

Una de ellas es un modelo de optimización (SDL Optimization Model) que estará pronto disponible para descarga desde el sitio de Microsoft y tiene como objetivo facilitar la implementación de SDL.

La otra que me ha resultado interesante es una herramienta de modelaje de amenazas (Microsoft SDL Threat Modeling Tool 3.0) que permitirá realizar un analisis estructurado para la mitigación de potenciales riesgos de seguridad en el desarrollo de aplicaciones.

La iniciativa SDL de Microsoft me parece que tiene varios aspectos muy positivos, tanto para la comunidad de desarrolladores como para conocer en detalle cómo son pensadas y desarrolladas las aplicaciones de la empresa.

Interesante lectura para todos los interesados, que está disponible en el siguiente enlace:

http://msdn.microsoft.com/es-es/security/cc967276(en-us).aspx

/is

Nueva versión de Adobe Flash Player

2008-10-15T02:18:00.002-03:00

Adobe lanzó una nueva versión de los plugin para navegadores del Adobe Flash Player, la 10.0.12.36, la cual reemplaza a la anterior 9.0.0.124. Sin embargo, no se debió a problemas de seguridad, sino a la actualízación necesaria para soportar las nuevas funcionalidades de las aplicaciones de Adobe.

Si quieren actualizar, o consultar qué versión tienen instalada, podrán hacerlo desde este blog, donde encontrarán en la barra derecha la información que brinda la herramienta que hice para chequear la versión de Adobe Flash Player que tienen instalada quienes visitan la página.

/is

Mes del Cyber Security Awareness del ISC / SANS

2008-10-09T09:33:00.000-03:00

Tal como comenté el año pasado, Octubre es el mes de la campaña de awareness del Internet Security Center del SANS, y en esta ocasión, en el Handler's Diary, están dando consejos diarios sobre manejo de incidentes relacionados a la seguridad informática.

Estos consejos han comenzado desde la preparación previa necesaria para poder luego responder a incidentes, para luego pasar por las distintas etapas propuestas por el SANS, como la identificación, la Contención, la Erradicación, la Recuperación y las lecciones aprendidas por el incidente.

Les recuerdo que la información está en inglés, y les recomiendo leer estos consejos, dado que dan un paneo interesante de lo necesario para detectar y responder ante un incidente de seguridad.

8 años después, la futurología acierta en una

2008-10-08T19:10:00.000-03:00

Hace casi ocho años escribí un artículo llamado “Virus: ayer, hoy y mañana”, el cual volvió a mi mente luego de ver en el blog de Segu-info un interesante artículo que no sé como se me pasó de largo.

En aquel artículo me animaba a hacer algo de futurología, así como a comentar otras tantas “profecías” de otros tantos que escribían sobre seguridad en aquellas épocas.

Releer ese artículo (además de hacerme sentir un tanto “antiguo” por no decir viejo) y conectarlo al que comentaré a continuación, realmente, me ha sorprendido en cuanto al acierto de uno de los párrafos donde hacía futurología.

En dicho párrafo hablaba sobre cómo se venía comentando que a medida que se conectaran más y más dispositivos a Internet, también se ampliaba el horizonte a los virus informáticos y demás amenazas similares.

Bueno, un artículo escrito por David Martin para Muy Computer hace referencia a una vulnerabilidad (o serie de ellas) en una cafetera inteligente con conexión a Internet que permitiría no solo atacar a dicho dispositivo sino también utilizarlo como puente para acceder a otros equipos en la misma red donde se encuentre.

Esto es posible a que dicha cafetera tiene un pequeño sistema operativo, con el objetivo de que pueda ser más inteligente, conectarse a Internet e incluirse ser reparada, lógicamente hablando, a través de la red por los técnicos del fabricante.

Al tener dicho software (o firmware, hablando en mejores terminos) incluido, la cafetera es susceptible de los mismos fallos que cualquier otro dispositivo conectado a la red, y por ende, puede tener agujeros de seguridad, tal como se comenta en el artículo de David que se descubrió en este caso.

Este hecho demuestra claramente que los ataques y amenazas informáticos van teniendo otros lugares adonde ir, tal y como se pensaba en aquella época, y que a veces, solo a veces, cuando se habla de lo que se viene, no es por alarmar infundadamente, ya que, aunque lleve tiempo, si la advertencia tiene fundamento técnico, puede llegar a hacerse realidad.

/is

Malware desde fábrica (III) y ¡atenti periodistas!

2008-10-08T19:04:00.000-03:00

En sendos posts hace unos meses informaba sobre cómo es posible que algunos dispositivos de hardware, e incluso software varios, completamente legales, pueden llegar a nosotros con malware incluido, por errores de control de calidad en el proceso de liberación de nuevos productos por parte de los fabricantes.

¡Ojo! No lo hacen a propósito, sino que debido a que los procesos internos de algunos fabricantes son bastante "complejos" y que no siempre incluyen todas las medidas de seguridad que harían falta, se dan casos esporádicos donde nuevos productos salen al mercado con códigos maliciosos incluidos.

El último caso detectado fue reportado hoy por el medio británico “The Register” e informa sobre como una partida del modelo desktop de la Asus Eee PC (no las mini-notebooks, sino las PCs de escritorios) estaban infectados por un malware.

Según Asus, esto solo pasó con un modelo particular, el Asus Eee Box de 80 GB y en la partida que se envió a Japón para su comercialización.

El problema no tiene nada de “anormal” respecto a los anteriores, pero nos recuerda que debemos estar atentos a que tan seguras son las cosas que adquirimos, aunque segundos antes los hayamos sacado, nuevos y relucientes, de su caja.

Ahora bien, lo interesante de la noticia escrita por Tony Smith para The Register, es el comentario que hace respecto a que un Eee Box que recibió para hacer una revisión (review en inglés) también estaba infectado por malware.

La duda que le quedó al periodista es si eso se debio a problemas de fábrica o a que la misma se hubiera infectado por aquellos que hayan recibido la máquina para probar antes de ellos…

En sus propias palabras:

“En este momento, no queda claro si la infección que encontramos estaba presente desde el comienzo, o si fue accidentalmente agregada por un revisor anterior.”

Entonces, ¡Atenti periodistas! Es claro que no todos utilizamos las recomendaciones de seguridad básicas en nuestras computadoras personales, por lo que seguramente menos lo haremos en equipos que nos presten, sobre todo cuando los mismos andan pasando de mano en mano porque son provistos para los fabricantes para las pruebas.

Por lo que si ud., querido lector, es un periodista y/o blogger que reviews sobre software y/o hardware en su medio, antes de “enchufarlo”, revise si el mismo no trae de “regalo sorpresa” algún bichito. Si esto pasa en Inglaterra, ¿por qué no va a pasar por estos lugares?”

/is

¿Se puede alguna vez estar seguro?

2008-10-06T23:54:00.000-03:00

Hace unos días, Sebastián publicaba un post titulado “¿Cómo sé que estoy seguro?” en su blog Un Mundo Binario que me llevó a reflexionar sobre el tema y si realmente en algún momento es posible estar seguro.

En su entrada, Sebastián comenta cómo el tema surgió en una de las listas de correo de Security Focus y distintas impresiones de los que participaron del tema así como de las suyas propias. Recomiendo su lectura porque realmente el post da en el clavo en muchos temas.

La conclusión a la que se llega tras analizar en detalle la pregunta y las posibles respuestas que se puedan dar la misma en que uno nunca puede saber si está realmente seguro.

Suena melodramático, alarmista y muy pesimista, pero como siempre digo, la informática e Internet, en cuanto a seguridad, no son otra cosa que un reflejo del mundo “real”. ¿Podemos saber con certeza si cuando salimos a la calle todos los días estamos 100 % seguros? No; por lo tanto, tampoco podemos responder afirmativamente a la pregunta de si nuestra computadora de casa, nuestra red hogareña o la propia infraestructura tecnológica de nuestra empresa lo están.

Existen un sinfín de medidas de seguridad y recaudos que podemos tomar para estar seguros en Internet, desde la instalación de software antivirus y firewall, la actualización de nuestro sistema operativo, navegador y demás aplicaciones que tengamos, el llevar adelante prácticas seguras al utilizar la PC, pero pese a ello, podemos igual seguir teniendo una probabilidad de enfrentarnos a problemas de seguridad.

Aunque nos diga que estamos protegidos, el antivirus puede haber dejado pasar una amenaza sin detectarla y comprometer la seguridad de nuestro equipo; nuestro sistema operativo o navegador puede ser vulnerable a algún agujero de seguridad desconocido (0-day) y nosotros no saberlo; ese sitio de Internet al que le tenemos confianza e ingresamos siempre, puede haber sido comprometido por un atacante y por ello ser un riesgo para nosotros visitarlo…. La lista de posibilidades podría seguir indefinidamente.

La búsqueda de un entorno seguro, ya sea en el hogar como en la empresa, puede tener como objetivo último alcanzar un 100 % de protección, pero dicho número “mágico” es un tanto utópico.

Dada la gran cantidad de problemas de seguridad a los que podemos enfrentarnos en la Internet de estos días, es cada vez más importante que tengamos en cuenta que tomar medidas preventivas y educarnos (y educar a otros) en materia de seguridad es primordial para maximizar la seguridad al máximo posible. Y si queremos agregar medidas, tenemos que realizar resguardos (backups), y en las empresas debemos contar con planes de contingencia y de continuidad del negocio.

Pero, más allá de lo anterior, siempre debemos tener en cuenta que no importa lo que hagamos, siempre existe la posibilidad de un incidente de seguridad, porque no es posible responder afirmativamente, con un 100 %, a la pregunta que planteo en mi post, pero si podemos responder que hemos tomado todas las medidas necesarias para intentar lograrlo.

Conocer el alcance de nuestras acciones y las debilidades que podemos tener en nuestros sistemas es uno de los primeros pasos para poder realmente alcanzar un alto nivel de seguridad.

/is

Actualicen Flash de una vez (III)

2008-10-05T13:36:00.001-03:00

Pasaron varias veces desde que implementé la pequeña herramienta que ven a la derecha de este blog y que detecta que versión de Adobe Flash Player tienen instalada uds. en sus computadoras.

Adobe Flash Player es uno de los plugin de navegadores más utilizados dado que es el que permite visualizar muchas de las animaciones que se encuentran en millones de páginas de Internet. Por ejemplo, sin dicho plugin, no podrías ver los videos de Youtube.

Luego de crear dicha herramienta, escribí dos veces sobre qué porcentaje de uds., los visitantes de este blog, tienen actualizado dicho plugin y cuántos no. Esto debido a que tener un plugin vulnerable, hace que tu equipo sea susceptible de verse afectado por un malware que aproveche dicho agujero de seguridad, y siendo el Adobe Flash Player tan utilizado (+99 % de los visitantes del blog lo tienen instalado) es algo que da para preocuparse.

Sin embargo, habiendo pasado casi 4 meses desde entonces, las estadísticas de actualización no han mejorado demasiado...

Al 21 de Julio pasado, el 55 % de los visitantes del blog tenían la última versión de Adobe Flash Player
Hoy, solo son el 62,83 %, es decir, un 7 % más que hace 3 meses y tantos días. Hablando en cristiano, más de 1 de cada 3 visitantes son vulnerables.

El mayor problema de esto es que el Adobe Flash Player es multiplataforma, ya que existen versiones para los principales sistemas operativos, incluyendo Windows y Linux, así como los principales navegadores, sino todos ellos, y si tenés una versión vulnerable del mismo, no importa qué tan seguro creas que estás, dado que estás dejando una ventana abierta a cualquier tipo de ataque que aproveche esta vulnerabilidad.

Por ello, chequea si tenés la última versión, y si no es así, instala ya mismo la última versión del Adobe Flash Player. Después, no digas que no te avisé...

/is

Si no evolucionamos nosotros, menos lo hará el resto

2008-10-04T20:32:00.001-03:00

El otro día, Martín publicó un post en su blog sobre un tema que muestra una triste involución en la industria antivirus, titulado "Antivirus, y la eterna guerra por ver quién la tiene más larga".

Antes de seguir leyendo, tengan en cuenta que trabajo en una empresa antivirus que no es nombrada en el post. Daré mi opinión personal pero obviamente se pueden dar lecturas subjetivas de la misma :-)

Martín hace referencia a una "lucha" que existe desde los inicios de la industria antivirus, y está basada en la cuestionable cantidad de malware que cada compañía antivirus informa detectar. Cuando los antivirus comenzaban y estaban estrictamente basados en firmas únicas, es decir, por cada virus existente debían agregar un registro en su base de datos de detecciones, el número de códigos maliciosos reconocidos era un valor muy importante para comparar soluciones.

Pero eso fue quedando en el tiempo a medida que las detecciones genéricas comenzaron a aparecer a partir de los virus polimorficos y las familias de malware que mantenían similitudes entre ellas. A partir de entonces, un registro en la base de datos de firmas podía llegar a detectar 1 o varios códigos maliciosos distintos, por lo que el número informado por los antivirus comenzó a ser relativo. Con la aparición de distintas técnicas proactivas de detección como la heurística y los bloqueadores de comportamiento, que se enfocan no en los códigos conocidos sino en los desconocidos, el número no solo dejó de tener valor, sino que pasó a ser completamente inútil, dado que no se puede enumerar la cantidad de códigos susceptibles de ser detectados por cada tecnología proactiva.

Desterrar ese concepto de la mente de los usuarios llevó años, y ahora cuando la mayoría de los mismos entiende que es un dato inocuo, parece que la guerra se reaviva, tal y como marca Martín, lo cual es una triste involución de la industria, al menos desde el punto de vista de la comunicación.

Lamentablemente, esta es una clara muestra de que a la educación de los usuarios no está en la agenda de todos los que formamos parte de la industria, y que es dañino para que la seguridad de internet siga mejorando. Si no informamos y educamos responsablemente a los usuarios, estamos atentando contra su seguridad, y yendo en contra de la realidad. Hablar de cantidades que detecta o no un antivirus es realmente denostar los avances en los campos de detección proactiva. Si el mensaje que comunica la industria no evoluciona, menos podremos hacer que la seguridad evolucione y mejore.

Espero, sinceramente, que esto solo quede como una anecdota pasajera...

/is

El MSN y el malware

2008-10-03T21:18:00.000-03:00

El otro día una visitante de este blog dejó un comentario preguntando sobre si una cosa que había recibido por MSN era un malware o no, y que debía hacer al respecto.

Como no estaba relacionado directamente con el post donde se comentó, preferí moderarlo y aprovechar otra entrada para contestar algo que, seguramente, muchos se preguntan o tienen dudas al respecto.

Hace un par de meses, como parte de la serie de aprendizaje, escribí sobre cómo la mensajería instantánea (por ejemplo, el MSN) es una de las formas a través de la que el malware puede ingresar a un sistema.

Lo que le sucedió a este visitante en particular (a.k.a. foxycar) fue:

Recibió un enlace a través de un mensaje del MSN por parte de un amigo
Hizo click en el enlace, descargó el ZIP al que apuntaba, lo descomprimió
Ejecuto el contenido del mensaje
Aparentemente nada pasó...

Lo que en realidad terminó sucediendo fue:

El amigo de foxycar estaba infectado por un malware
Dicho malware envió mensajes instantáneos con un enlace para seguir reproduciendose a toda la lista de contactos de ella
foxycar no se dió cuenta que era un malware, su antivirus tampoco lo detectó y por ende, lo ejecutó
El malware, al ejecutarse, no muestra ninguna ventana ni nada, sino que realiza todas sus acciones en forma oculta
El equipo de foxycar ahora está infectado

Lo que debería haber hecho ella es:

Al recibir un enlace a través del MSN que no solicitó, debería haber confirmado con el usuario que lo envió para saber qué era
Seguramente el usuario no le hubiera respondido porque no estaba frente a la computadora y/o le hubiera dicho "¿qué enlace?"
foxycar debería haber entonces dudado de la "seguridad" de dicho enlace y no haberlo descargado y asi su equipo no estaría hoy infectado

Este tipo de situaciones son muy normales día a día dado que la mensajería instantánea es un vector relevante de distribución de malware y mucha gente no está al tanto de ello. Es prioritario que todos tengamos un poco más de precaución al manejarnos por internet dado que el malware no solo llega a través de personas desconocidas, sino que si nuestros conocidos se infectan con el mismo, también por ellos podremos llegar a recibirlo.

A estar atentos, que hay mucho malware dando vuelta...

/is

CEOs y CIOs no se ponen de acuerdo

2008-09-18T20:29:00.000-03:00

De acuerdo a la información recolectada y analizada por IDC Cono Sur, los CEOs (Ejecutivos Generales) y CIOs (Gerentes y/o Directores de Sistemas y/o Informática) de las empresas no están de acuerdo en el grado de importancia que tiene la seguridad de la información en la compañía.

Esto se desprende de lo comunicado hoy en el 2008 Information Security & Business Continuity Conference de IDC.

Por un lado, los CEOs le dan mayor importancia a la confiabilidad, costo y performance de todo lo relacionado con la IT, mientras que los CIOs invierten más en seguridad, luego en el ERP y luego en el CRM de la empresa. Los datos se basan en encuestas a empresas de más de 100 empleados en el Cono Sur de América.

Para los CEOs, la seguridad queda en el cuarto puesto, mientras que para los CIOs en el primero, una clara muestra de la diferencia de prioridad entre los que definen la estrategia de la empresa y de los que deben dar el soporte de sistemas para que el negocio pueda desarrollarse.

Esto nos lleva a darnos cuenta de las razones del por qué aún falta mucho por hacer en materia de concientización sobre la relevancia de la seguridad informática como parte inherente al negocio en si mismo y la necesidad de trabajar arduamente para que todos los elementos de la pirámide corporativa se enteren de ellos. Claramente, hace falta más y más capacitación en el tema.

Fuente: Bloggers Report

Un par de cursos de seguridad informática en línea

2008-09-12T22:43:00.003-03:00

Durante esta semana me enteré que Microsoft lanzó su Value Academy, una plataforma de educación virtual, gratuita, que entre otras cosas, incluye una carrera de seguridad que por lo que estuve revisando está bastante interesante.

Esto me dio pie también para comentar la existencia de otra plataforma gratuita de educación en seguridad informática que lleva adelante la empresa ESET (*).

Les recomiendo darle una visita a ambas plataformas porque el contenido es interesante, se dan certificados (en línea) y sirven para aprender más sobre seguridad informática:

http://www.mslatam.com/latam/technet/mva/home.aspx
http://edu.eset-la.com

Que aprendan mucho :-)

(*) Disclaimer: desempeño mi carrera profesional en dicha empresa desde mediados del 2004.

Confirme el Acuerdo de Licencia (Beta) para continuar

2008-09-09T10:49:00.000-03:00

Bastante lío se armó la semana pasada con el Acuerdo de Licencia de Usuario Final (EULA en inglés) del nuevo navegador Google Chrome. El mismo contenía una sección, más específicamente, la número 11, que se reservaba algunos derechos interesantes y un tanto “amplios”, por llamarlos de alguna manera.

Para el que no conozca lo que es el Acuerdo de Licencia de Usuario Final, les recomiendo leer al respecto en el siguiente enlace:

http://es.wikipedia.org/wiki/CLUF

La sección 11 del EULA de Chrome decía lo siguiente:

"a perpetual, irrevocable, worldwide, royalty-free, and non-exclusive license to reproduce, adapt, modify, translate, publish, publicly perform, publicly display and distribute any Content which you submit, post or display on or through, the Services"

Para el que no sabe inglés, dice algo como “una licencia perpetua, irrevocable, mundial, sin costo y no exclusiva para reproducir, adaptar, modificar, traducir, publicar, utilizar y mostrar públicamente, y distribuir cualquier contenido que Ud. envíe, publique o muestre en o a través de los Servicios” de Google.

Al día siguiente Google la cambió, y en los siguientes posts hay varias respuestas oficiales al respecto:

http://googleblog.blogspot.com/2008/09/update-to-google-chromes-terms-of.html
http://www.mattcutts.com/blog/google-chrome-license-agreement/

Según Google, todo se debió a un error, se utilizaron partes de EULA que usan en otros servicios, y “bueno, lo sentimos mucho”.

El problema con esto es que normalmente ninguno de nosotros lee los acuerdos de licencia, y ésta es una clara muestra de ello. El acuerdo de licencia es lo que dictamina los términos del servicio o software que estamos utilizando, y si los aceptamos, estamos aceptando también dichas condiciones. Y si las condiciones dicen que se puede hacer lo que el fabricante o proveedor quiera con los datos que incluyamos en el servicio o software, nosotros las habremos aprobado al aceptar el EULA.

Con tanto software beta dando vueltas, los EULA beta ya están entre nosotros, y bueno, los fabricantes los cambiarán cuando tengan ganas y nosotros no les prestaremos atención. Y un día vamos a ver las fotos de nuestras vacaciones en algún otro sitio, iremos a protestar, y será porque utilizamos algún software cuyo EULA decía que podía tomar nuestra información sin problemas (y cosas como estas ya han pasado ;-P)

A prestar un poco de atención a donde hacemos click, que no hace daño, al menos no tanto como el que podemos sufrir luego del click :-)

Una nueva fuente de vulnerabilidades: Google Chrome

2008-09-03T16:16:00.003-03:00

El título puede ser un tanto "tremendista", pero hace honor a la realidad que la Internet nos depara a diario. Google ha lanzado ayer su propio navegador web, que competirá por el gusto de los usuarios contra Internet Explorer, Mozilla Firefox y Opera, y se llama Google Chrome.

No pasaron 24 horas que ya se encontró que este nuevo navegador contiene vulnerabilidades y agujeros de seguridad. Aviv Raff, un conocido especialista en seguridad, lo informó en su blog e incluso puso a disposición una prueba de concepto, tal como informa The Register, a través de John Leyden hoy:

http://www.theregister.co.uk/2008/09/03/google_chrome_vuln/

La vulnerabilidad es la misma que se anunció hace un tiempo atrás para Safari, el navegador de Apple, y esto se debe a que Google Chrome está basado en Webkit, motor de navegación web de código abierto, y que también es utilizado por el explorador web de la manzanita. El problema es que mientras Safari ya no cuenta con esa vulnerabilidad, Chrome está usando una versión no actualizada de Webkit, y por ende, vulnerable.

Teniendo en cuenta la eterna lucha de los departamentos de marketing y seguridad de las empresas ("¡Necesito sacar este producto YA!" vs. "Espera que tenemos que evaluar la seguridad del producto antes de lanzarlo, por favor"), es más que lógico que
pasen este tipo de cosas.

Es una lástima que este apuro opaque el hecho de que Chrome parece tener unos cuantos aspectos interesantes en materia de seguridad.

"is"