Blog de temas relevantes para la seguridad de la información y seguridad informática. Hecho en México para México.
En el Banco Mundial han removido de su puesto a Guy-Pierre De Poerck, que fungía como "Vice President & Chief Information Officer". ¿La razón? Al parecer la poca seguridad de sus sistemas de cómputo provocó una serie de intrusiones. Este es un ejemplo de lo que yo llamo "Learning the hard way". Una lección para que sigamos pensando que "eso" de la seguridad puede esperar...mientras tanto a alguien ya le costó la chamba.
Según lo reporta FoxNews, desde el 2007 han habido varias intrusiones, la última de ellas reportada hace unos meses. Informa que hubo infecciones de software espía (no dice si genérico o específicamente atacando al Banco Mundial) que extrajo información de las redes de la institución.
Se tiene evidencia del hackeo, ya que en un sitio de Internet (no revelado) se publicó al parecer información confidencial de empleados del Banco Mundial. La noticia no dice que hayan despedido al señor De Poerck, pero al menos lo removieron definitivamente de su puesto por no haber protegido debidamente la información de su institución.
Algunos me llegan a preguntar "¿Y en realidad, para qué gastar tiempo y dinero protegiendo a la información? Es lo que menos importa, no pasa nada si dejo las cosas como están." Bueno, tal vez De Poerck se preguntaba lo mismo y ya obtuvo su respuesta. Si no deseamos proteger la información por convicción (es obviamente lo ideal), al menos hagámoslo por temor.
En fin, muchas veces se necesita una "sacudida" de este nivel para que por fin se le de a la información el estatus de "un bien/activo importante" dentro de la institución...apuesto que la seguridad será ahora sí prioridad número uno para el sustituto de Guy-Pierre De Poerck. Ahora sabe las consecuencias.
Nota: supongo que tendrán que actualizar el organigrama del Banco Mundial.
Apple reporta debilidades en sus dispositivos iPhone y iPod Touch…a parchar.
Barbara Morris de Secure Software Advisory nos presenta un artículo donde trata el tema de cómo convencer a la alta dirección respecto a la necesidad de tener seguridad en la información.
El tema más que una cuestión de seguridad, es de relaciones humanas. Para mi no hay una sola respuesta y creo que depende de la organización, de la alta dirección y de que sepamos cómo convencerlos. Aún así, el artículo podría ser de su interés. Lo que sí es innegable, es que la protección de la información necesita de recursos humanos y económicos; la alta dirección no siempre tiene en mente esta cuestión.
Los puntos más relevantes del artículo:
a).- Show how a security problem relates to a business problem.
b).- Correlate business with security issues and concerns.
c).- Build your case with compliance.Acaba el soporte para Firefox 2 este mismo año. Como saben, es importante mantener actualizadas a las aplicaciones y Firefox no es excepción. Así es que los que no tengan ya Firefox 3, deberán de apurarse...tienen hasta diciembre de 2008. Por cierto, la versión 3 está fabulosa, no se la pueden perder.
En Asia, Norteamérica y Europa, el 85% de las empresas usan algún software libre; esto según Gartner. Y era de esperarse que el costo fuera el principal motivo para este uso.
El software libre (open source) no está libre de pecado (debilidades), y si bien el costo es un factor pivotal, es necesario recordar que hay que mantenerlo al día.
Por otro lado, algunas empresas han decidido usarlo porque pueden acceder al código fuente y revisar que no tenga nada "extraño" (espionaje u otro comportamiento mal intencionado). Son las menos las que seleccionan este software por este motivo pero sobre todo en organizaciones de importancia de seguridad nacional o gubernamental estratégica, este tipo de software debería de ser la preferencia, y no tanto por el costo, sino por el poder entrar al mismo y revisarlo.
Y si en EUA y Europa muchas organizaciones usan software libre por el cero costo de adquisición, no es hora de que aquí en México también sigamos esa tendencia?
PCMagazine de EUA decide ser 100% digital. Y no es un capricho, ya que la revista está recibiendo la mayoría de sus ganancias de los anunciantes online, no de los anuncios de la revista impresa. No es la primera revista que se vuelve 100% digital y pienso que esta es ya la tendencia.
Aquí en México estamos lejos de tener medios 100% digitales sin opción impresa. Algunos periódicos ya hacen versión digital pero continúan con sus impresiones.
Primero que nada necesitamos acceso a la red más barato, no sólo en nuestras casas, sino en dispositivos móviles. Al menos cuando yo puedo leer un periódico o una revista es en el metro, esperando una consulta médica, en una espera aquí y allá o en la noche antes de dormir...situaciones que son verdaderamente incómodas para prender el lento Windows (y hasta Ubuntu para estos efectos) para leer algo en 5, 10 ó 20 minutos. En mi situación particular, sigo prefiriendo cierto contenido impreso para poder acceder a él en todo momento.
Así es que necesitamos costos accesibles. ¿Qué tal 100 pesos al mes por 100 MB de contenido y que pueda bajar a un dispositivo electrónico especializado en donde pueda acceder a este contenido? Inclusive podría ser un smpartphone.
El precio es una gran limitante. El hardware creo que no lo es
Puede ser que estemos protegidos por el Banco o por Visa/MasterCard en caso de fraude en línea al usar la tarjeta de crédito. Si es así, de todas maneras no evitamos los trámites para reportar el fraude, que se investigue, que haya un dictamen a nuestro favor y el hecho de esperar una nueva tarjeta. Luego a cambiar todos los servicios que hacían cargos automáticos a esa tarjeta.
Mejor evitar todo esto y usar PayPal, que ahora está en México. Evitamos el uso de el número de la tarjeta de crédito.
Me queda la duda: en caso de fraude, realmente va a responder PayPal o deberemos acudir al Banco emisor de la tarjeta?
Creo que voy a abrir una cuenta con ellos y probar su servicio a ver qué tal.
Me encuentro con una entrada en el blog de Microsoft (MSDN) cuyo autor es David LeBlanc publicada hace un par de días. Dice que llevó a cabo un estudio de la suite Office en donde establece que ha habido cada vez menos vulnerabilidades (CVE) en Office desde la versión 2000 a la 2007. ¿Realmente el número de debilidades es un indicador de la buena/mala seguridad de un software?
De nueva cuenta otro correo intentando hacer phising con Banamex. El asunto del correo es “Sincronizacion requerida (urgente)”. El mensaje se ve bastante profesional y bien podríamos caer en la trampa si no nos fijamos bien.
Dentro del cuerpo trae todos los elementos clásicos argumentando que “se han hecho cambios en el esquema de autentificación NetKey” y que debemos entrar al sitio para sincronizar. El phising hace la aclaración de que sólo se debe de hacer una vez. También menciona que esta sincronización es para ofrecer un esquema adicional de seguridad…sí, claro. En fin, como siempre, está el gancho argumentando cualquier cosa para que el usuario haga click en la liga adjunta y una explicación de por qué debemos hacerlo (por motivos de seguridad).
Cabe mencionar que Firefox 3 ya reconoce a este sitio como malicioso. Como siempre, la recomendación es no hacer click en ligas que lleguen vía correo, ya que por ejemplo en este caso no estamos ingresando al sitio de Banamex real sino a http://www.banamex.com.mx-mx.net/boveda/serban/
Les dejo el texto del mensaje phising:
Banamex le informa que se han hecho cambios en el esquema de autentificación Netkey.
Nota importante: Por ello, es necesario sincronizar su dispositivo Netkey, es necesario realizar esto solamente una vez, simplemente fírmese en su cuenta y el sistema sincronizara su clave automáticamente.
Para Personas
<http://www.banamex.com.mx-mx.net/boveda/serban/>
Para Empresas
<http://www.banamex.com.mx-mx.net/bancanetempresarial/spanishdir/>
Este cambio, ha sido realizado, para ofrecerle un esquema de seguridad adicional al ya disponible, recuerda que esta sincronización NO AFECTA de ninguna manera tus Saldos u Operaciones.
Si usted no ha ingresado a su cuenta en la ultima hora, es necesario que usted sincronice su Netkey Banamex, de lo contrario, su Usuario será suspendido y tendrá que acudir a la sucursal de apertura de su cuenta para reactivar su acceso.
He llegado al punto de considerar que todo aquel software que no se actualice automáticamente es un programa que no vale la pena: es una falta de respeto a los usuarios y muestra poca consideración a todos los que usamos esos programas. Es una verdadera lata tener que estar persiguiendo a los programas instalados a ver si tienen actualizaciones de seguridad o ver si tienen nuevas versiones más seguras.
Estamos hablado de todo tipo de programas que tiene un usuario como por ejemplo iTunes, Google Earth, OpenOffice, Acrobat Reader, WinZip, Flash, Firefox, IE, Chrome, MS Office, etc. Algunos de ellos sí se actualizan de manera automática, pero otros dejan la responsabilidad a uno para hacer la tarea de estar al pendiente de actualizaciones; y la verdad es que los usuarios (por desconocimiento) no lo hacen, y no deberían de tener que hacerlo.
Todo esto resulta en un Internet inseguro, donde organizaciones criminales se aprovechan de la negligencia de los fabricantes de software que permiten que sus aplicaciones salgan al mercado sin un mecanismo de actualización automática. Como lo he dicho en anteriores ocasiones, no es responsabilidad de los usuarios andar cazando nuevas actualizaciones de seguridad, sino de los fabricantes. Bastante tenemos ya con obtener software defectuoso desde el punto de vista de seguridad como para todavía tener que hacerles el favor a los fabricantes de andar tras sus páginas web y ver si existen parches.
Hagamos una analogía. Compro un carro. Cada mes más o menos se encuentran fallas en sus frenos, en las cerraduras, en las bolsas de aire o en su alarma contra robos. Resultado de eso me lo roban o me accidento. El fabricante me dice que debí saberlo y que yo debí estar al pendiente para llevarlo al taller. ¿Lo aceptaríamos? Claro que no, evidentemente se trata de un carro muy defectuoso con vicios de origen.
Por todo esto, me niego a usar software que no se actualice automáticamente, que me avise que hay un nuevo parche o una nueva versión disponible. iTunes lo hace, Ubuntu lo hace, Adobe Reader lo hace. Cuando vayan a instalar un programa, vean que consiga parches automáticamente o que les avise. Si no exigimos, no se nos dará.
Diseñado por Daniel Mota
basada en las plantillas de Studio.st
Gestionado con Bitacorae.
Alojado en Bitacoras.com