Monthly Archives: January 2008

Los últimos días del Internet Explorer 6

Posted on by
Reply

Microsoft anunció que el Internet Explorer 7.0, estará
disponible cada vez más fácilmente para todos, y ya lo está
enviando a través de su servicio de actualizaciones
automáticas (Windows Update Services), además de Windows
Update (Actualizaciones de Windows).

Es tiempo de que quienes utilizan aún Internet Explorer 6 se
pregunten porqué lo siguen usando. Muchos sitios, sobre todo
bancarios, requieren de Internet Explorer, y por lo tanto,
para muchas personas otro navegador no es una opción.

Sin embargo, el IE6 ya ha cumplido su ciclo, y seguramente
Microsoft dejará de darle soporte para solventar sus fallos,
por la sencilla razón que IE7 es más seguro que el 6, y tiene
muchas menos vulnerabilidades documentadas que éste último.

Del mismo modo que existen sitios que prefieren el Internet
Explorer para una mejor visualización y productividad,
también están aquellos que lo prefieren porque es más
sencillo atacar sus vulnerabilidades.

El Internet Explorer 7, con su modo protegido activado
(Windows Vista), realmente protege más al usuario de ataques
e intrusiones producidas por malwares y por personas
malintencionadas que intentan apoderarse de la máquina de
víctimas desprevenidas.

Sin dudas que todavía hay aplicaciones y sitios que trabajan
en IE6, pero no en IE7. Pero es hora de que estos sitios se
actualicen. Ya hace más de 15 meses que el IE7 está
disponible, y es tiempo más que suficiente para que los
cambios necesarios se hayan realizado.

Los usuarios de IE6 están ya desactualizados. Según
Microsoft, el IE7 es ya el navegador más utilizado en los
Estados Unidos.

Cómo prueba, hicimos un chequeo de los usuarios que visitan
nuestro sitio (VSAntivirus.com), a través de Google
Analytics, y el resultado es que el 68,16 por ciento de los
navegantes prefieren Internet Explorer (le sigue Firefox con
el 27,72 por ciento).

En nuestro caso, la diferencia entre las versiones 6 y 7 es
mínima, pero marca claramente una tendencia de aumento de las
preferencias hacia el IE7. Del 68,16 por ciento mencionado
antes, un 50,55% utiliza IE6, y el 48,91% el IE7. Hace unos 6
meses, el IE7 tenía de un 20 a un 30 por ciento de entradas
registradas en nuestro sitio.

Actualmente, IE7 puede ser descargado sin que se requiera la
comprobación de Windows Original, como al principio lo hacía.
La política de Microsoft es la misma que ya aplicó con Live
Messenger, al obligar a los usuarios a actualizarse a
versiones más recientes.

La razón principal es muy sencilla de entender. Mientras más
usuarios utilicen IE7, más seguros estaremos todos, ya que
habrán más sistemas que serán menos vulnerables a los ataques
más comunes vía Internet.

Sin olvidar que cada vez serán más los lugares y aplicaciones
que requieran IE7 para que usted pueda utilizarlos a pleno.

Si en las últimas actualizaciones de Windows Update, el
sistema le informa que tiene la actualización a la nueva
versión del IE disponible, hágale caso, e instálelo.

Más allá de preferencias personales, y aunque el IE no sea su
navegador por defecto, será muy provechoso para la seguridad
de su máquina tenerlo instalado, debido a su integración con
Windows.

* Relacionados:
Página principal de Internet Explorer 7

http://www.microsoft.com/spain/windows/products/winfamily/ie/default.mspx

¿Es el IE 7 realmente más seguro que el IE 6?

http://www.vsantivirus.com/ws-29-10-06.htm

Nuestra seguridad no solo depende del antivirus

http://www.vsantivirus.com/21-05-07.htm

Fuente: http://www.vsantivirus.com/22-01-08.htm

“Hackers” entran a la página web del Congreso de Panamá

Posted on by
Reply

Los “hackers” entraron en el sitio en Internet de la Asamblea Legislativa de Panamá y colocaron allí una bandera estadounidense, cuatro meses después de que el Congreso eligiera como su presidente a un hombre acusado de asesinar a un soldado norteamericano.

Agencias – Responsables de la Asamblea, que pidieron no ser identificados, dijeron que la página, www.asamblea.gob.pa no funciona desde el 9 de enero, cuando una bandera estadounidense apareció allí por un breve espacio de tiempo.

Uno de los responsables dijo que es casi seguro que el ataque a la página procedía de Estados Unidos.

Pedro Miguel González fue elegido presidente de la legislatura panameña en septiembre, a pesar de estar requerido en Estados Unidos por el asesinato, en 1992, del sargento del Ejército estadounidense Zac Hernández.

Su candidatura recibió una fuerte oposición de Washington, que advirtió que su nombramiento dañaría las relaciones entre los dos países.

Congresistas destacados como la candidata presidencial demócrata Hillary Clinton han defendido que no se ratifique un tratado de libre comercio con Panamá, a menos que González sea cesado de su cargo.

La página de la Asamblea fue intervenida el Día de los Mártires en Panamá, cuando el país conmemora la muerte de cerca de 20 personas en 1964 durante los enfrentamientos entre manifestantes y soldados basados en la Zona del Canal de Panamá, entonces bajo control norteamericano.

Fuente: http://www.noticiasdot.com/wp2/2008/01/22/los-hackers-entran-a-la-pagina-web-del-congreso-de-panama/

El 61% de la gente usa la misma contraseña para todo

Posted on by
Reply

Una agencia de comunicación con el orginal nombre de @www ha publicado recientemente un estudio según el cual más del 60% de la población que hace uso de contraseñas siempre utilizan la misma en todos los servicios que utilizan. Qué miedito.

El informe también especifica datos importantes, como que más de 1 de cada 10 usuarios disponen de 50 cuentas online de distintos tipos, lo que hace que manejar tantas contraseñas y usuarios distintos sea tan complejo que acaban haciendo uso de las mismas para todo.

Precisamente para tratar de evitar la ‘fatiga’ ante la gestión de passwords llega al rescata OpenID, del que ya hemos comentado que será impulsado gracias a la apuesta de Yahoo!. Las ventajas de OpenID se hacen patentes si tenemos en cuenta algunas de sus propiedades:

- Recordando un usuario y contraseña podremos tener acceso a varios servicios distintos, cada uno incluso con usuario y contraseña distintos, pero asociados a la cuenta OpenID.

- En algunos servicios no tendremos más que proporcionar el usuario y contraseña OpenID para registrarnos en el servicio, sin tener que dar el resto de datos tradicionales, que se importarán de esa cuenta.

- No será necesario controlar la confianza que debemos depositar en sitios web aleatorios a los que vamos accediendo: OpenID se encarga.

Obviamente, si alguien descubre esa cuenta OpenID tendrá acceso a lo mismo que el usuario convencional, lo que representa un peligro importante, pero teniendo en cuenta la realidad expuesta en el informe, puede que ese riesgo no tenga mucha importancia.

Fuentes:

http://www.readwriteweb.com/archives/majority_use_same_password.php

http://www.theinquirer.es/2008/01/18/el_61_de_la_gente_usa_la_misma_contrasena_para_todo.html

Estrategia de protección de la información

Posted on by
Reply

Desde hace algunos años han aparecido en el mercado diversas soluciones de seguridad para limitar los malos manejos y las fugas de información en las empresas. Las soluciones van desde controles aplicados a dispositivos de almacenamiento para restringir el copiado y la extracción de información, hasta controles lógicos en aplicativos y formatos de documentos, que limitan ciertas acciones como la edición, impresión o copiado del contenido.

Sin embargo, antes de adquirir e instalar este tipo de herramientas se debe definir una estrategia de protección de la información en la organización. Si bien es cierto que los medios electrónicos permiten la extracción de grandes volúmenes de información de manera sencilla y sin levantar sospechas (lo que implica un alto impacto para la empresa), en mi experiencia, los casos de fuga de información más frecuentes consisten de pequeños volúmenes de información que se filtran principalmente por deficiencias en los procesos y en la separación de funciones en las organizaciones.

En otras palabras. La principal causa de incidencias relacionadas con un mal manejo de la información no radican en la falta de este tipo de controles técnicos. De hecho, una buena parte de la información involucrada en incidencias se encuentra impresa o se transmite verbalmente.

Mediante una estrategia de protección de información es más sencillo encontrar el balance adecuado de controles para ambos tipos de amenazas, además de que ayuda a justificar la adquisición de dichos controles.

Primer paso: el inventario
Antes de decidir qué controles aplicar es necesario conocer lo que se va a proteger. Para ello debemos levantar un catálogo que contenga al menos los siguientes datos:

  • Tipo de información y breve descripción
  • Lugares donde se almacena, procesa o transmite
  • Responsable de esta información en la organización

El nivel de detalle es sumamente importante. Si pretenden manejar como tipo de información cada tipo de dato posible (ej. nombre de cliente, dirección de cliente,, teléfono del cliente, etc.), les garantizo que el proyecto va a fallar:

  • Es dificil ubicar todos los datos (en dónde se almacenan, procesan o transmiten).
  • Es probable que olvidemos catalogar algún dato importante.
  • Es probable que terminemos con un catálogo de varios miles de registros que sea inmanejable para nuestros propósitos

Regresando a nuestro ejemplo, en vez de pretender registrar todos los datos de un cliente podríamos catalogar en un mismo grupo todos estos datos: información de clientes. En este nivel no sabremos con exactitud en que archivos o bases de datos se ubican o a través de qué paquetes de red se transmiten, pero sí podemos saber a grandes razgos en qué aplicativos se almacenan y procesan estos datos, en dónde se imprimen y qué área de la organización es responsable de forma general de este tipo de información.

Una vez que tenemos este inventario sabremos qué información existe en la organización, donde se ubica y tendremos también una lista de personas o áreas responsables de la misma.

Para terminar listo algunos ejemplos de tipos de información que se pueden clasificar (típicamente una empresa debería tener entre 30 y 50 tipos de información distintos, lo cual es un número manejable):

  • Información de clientes
  • Información de proveedores
  • Información contable
  • Información legal
  • Información de nuevos productos
  • Información de productos actuales
  • Información sobre investigación y desarrollo
  • Información sobre configuración y arquitectura de sistemas
  • Información de mercado
  • Información del personal de la empresa
  • Información sobre sistemas de seguridad (ésta no se les puede olvidar ;-) )

Segundo paso: el análisis de impacto
Lo siguiente que debemos hacer es priorizar los registros de nuestro inventario de información para saber en dónde vamos a invertir más recursos (la idea es obviamente invertir más en lo que es más importante para el negocio). Para esto lo que recomiendo realizar es un análisis de impacto de negocio (ojo que impacto al negocio suele ser diferente de impacto a áreas específicas dentro de la empresa).

Para cada registro debemos estimar su impacto en casos de incidencias de seguridad. Recomiendo tratar 3 dimensiones relacionadas con la triada contestando preguntas simples para cada tipo de incidente (conviene pensar en el peor escenario para este efecto):

  • Confidencialidad: ¿Qué pasa si la información cae en manos de personas no autorizadas, como por ejemplo un delincuente, un reportero o un competidor?
  • Integridad: ¿Qué pasa si la información se corrompe, se pierde o se altera accidentalmente o intencionalmente?
  • Disponibilidad: ¿Qué pasa si la información no está accesible por cierto tiempo (ej. si se cae el sistema donde está almacenada)? ¿Cuánto tiempo puede el negocio tolerar esta falta de disponibilidad antes de que empiece a tener un impacto? ¿En qué fechas u horarios es más crítica una falla de disponibilidad?

No hay que romperse la cabeza tratando de determinar el impacto de forma cuantitativa (recuerden que aquí no hablamos de probabilidades). Simplemente traten de estimar junto con los usuarios y responsables de la información si el impacto es alto, medio o bajo para cada uno de los 3 tipos de incidentes. En el caso de disponibilidad es conveniente registrar además los tiempos máximos de tolerancia y los horarios críticos.

Tercer paso: la clasificación
Tras haber determinado el impacto conviene clasificar la información (también en las para las 3 dimensiones antes comentadas). Por lo tanto, por cada registro definiremos lo siguiente:

  • Confidencialidad: Información clasificada como:
    • Secreta si el impacto es alto (muy pocos dentro de la empresa tienen acceso)
    • Restringida si el impacto es alto (varias áreas o toda la empresa tiene acceso)
    • Uso interno o pública, si el impacto es bajo
  • Integridad y disponibilidad: Información clasificada como:
    • Nivel alto si el impacto es alto (típicamente requiere redundancia y alta disponibilidad)
    • Nivel medio si el impacto es medio (típicamente requiere ser respaldada con frecuencia)
    • Nivel bajo si el impacto es bajo (podría no requerir respaldos o de respaldos ocasionales)

Con esto tendremos una guía de qué niveles y tipos de protección se requieren.

Cuarto paso: requerimientos de protección
Ahora sí, ya que sabemos dónde está la información, que prioridades tiene para el negocio y qué criterios de protección debemos seguir de acuerdo a su clasificación, podemos empezar a definir controles.

Hablando de controles ya podemos empezar a hablar del tema de las probabilidades y de otros elementos que juegan un papel importante en la fórmula del riesgo. Así pues tenemos controles que enfocados en:

  • Vulnerabilidades - Deficiencias internas que permiten que ocurra un incidente (ej. uso de criptografía para evitar que la información en texto claro pueda ser leída por personal no autorizado)
  • Amenazas - Entidades o situaciones externas que generan incidencias al combinarse con una vulnerabilidad (ej. acuerdos de confidencialidad, sistemas de control de incendio).

Noten que por lo general los controles que actúan sobre amenazas suelen ser reactivos (impacto del incidente), mientras que los controles que actúan sobre vulnerabilidades tienden a ser más preventivos (probabilidad de que ocurra el incidente).

Con base en esto podemos definir los requerimientos de protección de la información, y básicamente lo que quiero decir con esto es que estamos en condiciones de generar un requerimiento de propuesta (RFP por sus siglas en inglés) para soluciones de seguridad. Teniendo el RFP ahora sí podemos ir a buscar y evaluar productos y servicios de seguridad en el mercado.

Conclusión
Podemos mejorar los niveles de protección de la información y hacer más eficiente la inversión en materia de seguridad mediante una estrategia de protección de información adecuada para la organización. La inversión de controles de seguridad debe ser el último paso del proceso.

Fuente: http://candadodigital.blogspot.com/2008/01/estrategia-de-proteccin-de-la.html

500 mil computadoras zombies por día

Posted on by
Reply

La conversión de PC en zombies es un tema que está preocupando cada vez más a las especialistas de seguridad en particular y a los usuarios en general ya que la cantidad de máquinas que están siendo controladas en forma remota es cada vez mayor.

Los laboratorios de Panda detectaron que en estos últimos tiempos hay aproximadamente medio millón de computadoras zombies nuevas diariamente. Mientras que a nivel global, ya habría un 11% de todas las PCs del mundo bajo el dominio de un ciber-delincuente, desde las que se expande el 85% de los spams.

Ahora, veamos algunos detalles de este tipo de ataque para saber mejor a qué nos enfrentamos. En primer lugar, ¿Qué es una computadora zombi? La computadora zombi es aquella que ha sido infectada por un código malicioso que le da la posibilidad al ciber-delincuente de controlarla en forma remota.

Lo que está ocurriendo actualmente, es que el delincuente arme una red cuando logra que varias máquinas se infecten con el mismo bot. Es decir, una vez que en la PC víctima está ejecutándose el bot (los software robots que se ejecutan de forma autónoma y que se contagian en la máquina como cualquier malware), el delincuente arma una botnet (red de bots).

Generalmente lo que hace el cracker, una vez que tiene el control, es reenviar desde la PC infectada correos masivos de spam, por lo que se generaría envíos masivos de correos electrónicos no deseados en forma masiva.

Un dato interesante que dio a conocer Panda se refiere al alquiler de botnets. Según informaron, el bot herder o pastor (como se suele decirle al creador de la red) alquila su red a terceros por cierta cantidad de dinero para llevar a cabo diversos delitos, entre los que se incluye “descargar malware en los equipos infectados, provocar denegaciones de servicio, etc. Aunque una de las actividades más usuales es la del envío de spam”.

En cuando al modo en que se infecta la PC con un bot es similar a la manera en que ingresa cualquier malware o código: un e-mail con un archivo adjunto infectado, un link que lleva a descargar un supuesto programa o archivo falso, etc.

Fuente: http://www.rompecadenas.com.ar/articulos/1884.php