Hablando de TI

Categoría: Seguridad

  • Gánese un millón de dólares*

    Gánese un millón de dólares*

    zeroTodos hablan de la ingeniería social y en estos días alguien me preguntaba acerca del significado del término. Cuando empecé a contestarle me di cuenta de que es muy común pero no tiene un concepto claro para la mayoría.

    Ingeniería social es aprovecharse de los miedos, curiosidades y atracciones más fuertes de los individuos para forzarlos a hacer algo que no hubieran hecho de otro modo, como abrir un archivo adjunto o visitar un sitio Web.

    Pero esto es algo que siempre se ha hecho –no se limita sólo a las técnicas de los hackers. Un aviso de CocaCola con una foto de una botella tan fría que logra condesar la humedad del aire alrededor, es ingeniería social. La oferta del “famoso” Maddof se basaba en sentimientos de avaricia de muchos. Apple nos vende excelentes productos por más del doble de lo que valen, aplicando esa ingeniería.

    Pero volviendo a los virus y los hackers, la ingeniería social aquí arrancó de manera muy sencilla, colocando títulos sugerentes a los correos con enlaces maliciosos o archivos peligrosos. ¿Quiere ver las fotos al desnudo de su estrella de Hollywood preferida? ¿O mejor ayudar a un pobre Nigeriano a recuperar los 20 millones de dólares que le tienen retenidos los hombres malos? ¿Por qué no ayudar a Bill Gates a gastar su fortuna, mientras Nokia y SonyEriccsson descubren que regalando teléfonos a cada dueño de una dirección de correo electrónico que tenga más de 20 amigos, se harán millonarios?

    En fin, está en todos lados. Su uso puede ser legal o ilegal, pero ocurre todos los días. Recién esta semana lanzó CocaCola su flamante bebida gaseosa llamada ZERO. A los pocos días recibí una carta de una amiga que decía que era preferible –y estaba científicamente demostrado—tomar CocaCola light en lugar de CocaCola Zero, ya que esta última usa un endulzante prohibido por la FDA. La cantidad de enlaces y referencias a estudios, lo hacían parecer un mail serio, de esos que debes enviarles a tus amigos de inmediato para demostrarles que te preocupas por ellos. Lástima que no sea verdad, y que la CocaCola Zero es ampliamente vendida en EUA, el lugar donde prohíben sus ingredientes, según el mail.

    *Para ganarse el millón de dólares sólo debe hacer lo siguiente:

    1. Ayude a un Nigeriano en problemas dándole sus datos bancarios para que el pueda hacer el depósito y asegúrese de que al devolverle el dinero usted se queda con un millón
    2. A la primera gripe o resfrío fuete hable con AOL y Microsoft, ellos suelen dar a los enfermos desde unos pocos centavos hasta unos pocos dólares por cada correo enviado a sus amigos y que estos remitan a otros amigos
    3. Gradúese de Ingeniero Social y vaya a trabajar para los chicos malos. (¡Eso sí, exija su pago en efectivo y por adelantado!)
    4. Coloque un banner en hablandodeti.com y espere a que mis lectores lo visiten a diario.

  • El virus Confliker, o como dañar el negocio de la familia

    El virus Confliker, o como dañar el negocio de la familia

    conflickerHoy mientras escuchaba a alguien hablando del virus del Cornflakes(¡!), con dificultad contenía la risa pensado en todo lo que se había construido acerca de la temible epidemia del Conflicker. Como pocas veces se levantó una expectativa de una crisis de fin de mundo (la última que recuerdo fue la del famoso año 2000 o Y2K). Pero realmente con un poco de sentido común se hubiera podido vaticinar que no debería pasar gran cosa con este ataque. Y es que la época de las grandes epidemias de virus parece haber quedado en el pasado –y sólo revivirá en caso de un ataque terrorista o algo similar.

    Los fabricantes de virus tienen en sus manos una industria con más fondos para el ataque, que los que cuenta su contraparte de seguridad para contrarrestarlos. Los ataques han cambiado y ya no ocurren sólo por el “orgullo” de poder ejecutarlos. Cada PC infectada –y que permanezca así—es una fuente de ingresos para el hacker, que más tarde la usará para robar datos secretos o para enrolarla en un ejercito virtual que ataque algún sitio Web o busque infectar otras PCs.

    Desde que se hizo publico el posible ataque de Conflicker en el 1ro de Abril, la contrainteligencia ganó la guerra. El creador de Conflicker habrá hecho lo posible por cambiar la fecha del ataque y la forma, ya que al atacar el día que todos están esperando, lo único que haría es dejar expuesto su ejército. Es más, gracias a la publicidad recibida por el virus, miles de máquinas habrán sido dadas de baja del ejercito maligno, gracias a los dueños que preocupados por el holocausto del 1ro de Abril habrán revisado sus PCs y al encontrarlos infectados se habrán apurado a desinfectarlos.

    Pero un día estoy seguro que habrá una excepción a la regla. Ese día lo marcará el primer ataque terrorista a la Internet (léase bien, “a la Internet”, no “desde la Internet.”) Las razones podrán ser muchas, pero todas se resumirán en demostrar que la Web no es el lugar seguro que muchos creen. Ese día está hasta en las pesadillas de algunos de los genios de la seguridad, como pude comprobar al hablar con Eugene Kaspersky, allá en sus oficinas durante el año pasado (ver https://hablandodeti.com/blog/2008/06/backup-2008-i-hablando-de-ti-en-rusia-seguridad/).

    Ese día, todo el mundo estará hablandodeti.

  • El Blackberry de Obama debe ser apagado (por más que RIM se esfuerce por evitarlo)

    El Blackberry de Obama debe ser apagado (por más que RIM se esfuerce por evitarlo)

    sectera-edgeBarak Obama se confiesa adicto al e-mail y a su Blackberry, pero los asesores de seguridad de la Casa Blanca no le permitirán usarlo mientras esté ejerciendo la presidencia, ya que no lo consideran lo suficientemente seguro. RIM, la empresa canadiense que fabrica el Blackberry, ha ofrecido cifrar los correos del Presidente con la mejor tecnología disponible, pero aún así los asesores no le permiten el uso del dispositivo.

    La solución: utilizar uno de los dos dispositivos creados para cumplir el proyecto SME-PED, (Secure Mobile Environment Portable Electronic Device) del Departamento de Defensa que fue explícitamente diseñado para encontrar un reemplazo seguro para el Blackberry para aquellas personas del gobierno de EUA que manejan información clasificada.

    Actualmente hay solo un dispositivo disponible, ya que el otro está terminando su proceso de diseño, y se trata de una mezcla de PDA y Celular, el Sectera Edge de General Dynamics, con un costo de poco más de US$ 3.000. Este dispositivo está certificado por la Agencia Nacional de Seguridad (NSA) para mantener conversaciones de voz clasificadas como Top Secret, así como revisión segura de correos electrónicos y navegación. Además está diseñado para sobrevivir múltiples caídas desde poco más de un metro de altura. Con el uso de módulos intercambiables puede trabajar con redes WiFi, GSM o CDMA. Por supuesto es a prueba de agua y polvo.

    Lamentablemente para RIM, no se trata sólo del cifrado de los correos. La seguridad requerida para el Presidente de los EUA –o mejor dicho, para su celular—requiere prestaciones que están fuera de las normales de un teléfono inteligente, quizás se parecen más a las que podría tener un explorador que quisiera llegar al Polo Sur o a la cima del Everest. Hubiera sido, sin duda, un éxito publicitario gigante para la firma canadiense el que Obama estuviera hablandodeti, a través de un Blackberry.

    PS: Este teléfono funciona con Windows Mobile y tiene Internet Explorer, Word, Excel y PowerPoint. Al parecer los funcionarios de seguridad de la Casa Blanca no le temen a la seguridad de estos programas y sistemas. ¡Un dato interesante!

  • Vigilancia en HD para contrarrestar el crimen

    Vigilancia en HD para contrarrestar el crimen

    Una interesante propuesta para la instalación de una red de cámaras IP con calidad HD para vigilancia se está llevando a cabo en la ciudad Colombiana de Cartagena de Indias. Todo un distrito, el llamado Distrito Turístico y Cultural será supervisado por la Policía Metropolitana de Cartagena de Indias con dispositivos de video IP colocados en 50 puntos y distribuidos en un área de 17 Kilómetros cuadrados. Cada cámara puede estar ubicada hasta a 14 Km. de su base de conexión y cuentan con un ancho de banda de %Mbps que es el mínimo requerido para garantizar transmisión de video con calidad de alta definición.
    La solución ha sido implementada en pocos meses usando equipos con tecnología Canopy de Motorola y se aprovecha de las capacidades de GPS soportadas en este sistema.
    Con esta solución, implementada en un periodo de tres meses y medio, la ciudad de Cartagena de Indias cuenta con un servicio de alta calidad, capacidad de transmisión y escalabilidad con el robusto sistema Canopy® de Motorola. Las transmisiones se realizan en todas las bandas del espectro radioeléctrico de uso libre disponibles para Colombia (2.4, 5.2, 5.4 y 5.7 GHz).
    La televigilancia ha sido implementada en muchas formas a lo largo del mundo, pero sin duda alguna que la posibilidad de usar dispositivos IP facilita la instalación y disminuye los costos, lo que a su vez permite una implementación más numerosa de estos dispositivos.
    Es así como al hablar de cómo combatir al crimen, también estamos hablandodeti.

  • Celular robado, datos encontrados

    Celular robado, datos encontrados

    Sujit Jain, un joven hindú, harto de perder celulares y no poder encontrarlos ha desarrollado un software que permite proteger los datos del celular en caso de extravío, así como localizar e inutilizar el celular en cuestión. Al mismo tiempo la compañía Yougetitback.com (algo así como lorecuperas.com) ha anunciado un novedoso método para localizar teléfonos inteligentes, usando la capacidad de GPS.

     

    En el primer caso, se trata de un software que se instala en el teléfono, no en la tarjeta SIM, y que cifra los datos en caso de detectar una tarjeta SIM diferente. El programa además reenvía la lista de contacto junto a otros datos privados a los números telefónicos que el dueño haya programado, junto con el nuevo número asociado al teléfono y datos básicos de la localización, todo esto usando el plan de conexión del nuevo “propietario.” El celular en cuestión puede ser bloqueado, o configurado para sonar, de manera permanente, una alarma continua, que solo se apaga al desconectar la batería y que vuelve a activarse al colocar de nuevo la batería.

     

    El servicio “Mobile SuperHero” de Yougetitback.com, una empresa especializada en recuperación de portátiles, cámaras, iPods y otros aparatos,  permite a las personas rastrear sus teléfonos inteligentes usando las capacidades GPS o detectando qué antenas retransmisoras están realizando las llamadas.

     

    Mientras tanto HP ha anunciado una serie de portátiles con características básicas de seguridad embebidas en el propio hardware, que van desde lectores de huellas hasta software para administrar el acceso a puertos y otros recursos, pasando por variadas funciones de autenticación, manejo de contraseñas y uso de certificados.

     

    Todo esto pasa en un mundo en el que cada vez es más frecuente el robo de dispositivos, no sólo por el valor del dispositivo, sino también por los datos contenidos en él. El concepto de seguridad es cada vez más amplio, y hay que considerar nuevos aspectos al momento de estar hablandodeti.

     

  • Apaga tu laptop o yo apago el avión

    Apaga tu laptop o yo apago el avión

    Esta fue quizás la única frase que falto en el intercambio de palabras entre el piloto de un vuelo de Qantas entre Melbourne y Sidney, en Australia, y de un hombre de negocios que se rehúso a apagar su portátil. (http://www.news.com.au/heraldsun/story/0,21985,24295966-661,00.html)

    La historia termino con las fuerzas antiterroristas escoltando al sujeto hasta un lugar seguro, donde fue liberado después de un amplio chequeo de seguridad, aunque algunos dicen que aún está sujeto a la aplicación de una multa de hasta US $2.750.

    Y aunque todos estén en contra del hombre en cuestión, créanme que yo lo comprendo. Últimamente me ha tocado trabajar en todos los vuelos que he tomado y a veces se vuelve frustrante el tener una idea genial y empezar a desarrollarla justo cuando una voz completamente apática te dice por los altavoces del avión que llegaremos en 20 minutos al destino y que debemos apagar los aparatos electrónicos. Después de ver el capitulo de los Cazadores de Mitos del Discovery Channel, y percatarme de los esfuerzos que ellos tuvieron que hacer para interferir en los controles del avión, uno se pregunta que está detrás de todo esto.

    Y es que las compañías aéreas te pueden llevar hasta detenido, como en el caso referido, si prendes la opción de red wireless de tu laptop –al menos formalmente. No importa que contigo viaje un amigo o compañero de trabajo con el que quieras compartir un archivo, al menos en el papel, es ilegal hacerlo vía wireless. Sin embargo las aerolíneas después vienen y te sorprenden ofreciendo conexión inalámbrica en algunos de sus viajes—algo que por supuesto usa las “peligrosas” capacidades de wireless de tu portátil.

    Quizás si se removieran algunas restricciones superfluas y se explican mejor las que son necesarias podríamos viajar mejor en los aviones, perdiendo menos tiempo e incluso hablandodeti vía wireless.