miércoles, 28 de abril de 2010 1 comentarios

Soporte técnico automatizado con Microsoft Fix it Center

Hace unos días vía twitter informé de la aparición de un nuevo e interesante servicio de Microsoft para el usuario final llamado Microsoft Fix it Center

Lo novedoso del tema es que se han identificado una serie de actividades de diagnóstico general y de resolución de problemas que hacen al usuario mucho más sencillo el mantenimiento y la gestión de su equipo informático, lo cual seguro que genera importantes beneficios en la seguridad propia y en la del resto como efecto colateral.

La beta del servicio está accesible en Microsoft Fix it Center.



El asunto puede ser bastante importante porque el mundo del malware suele abusar de equipos mal mantenidos, mal configurados o poco vigilados. Si se facilita al usuario la posibilidad de resolver los problemas más comunes y se indican cuales son las actividades recomendadas para la realización de un buen mantenimiento, es posible que sea menos víctima. Tanto es así que en un reciente informe sobre prediciones de seguridad del SANS Institute llamado Security Predictions for 2011 and 2012 - The Emerging Security Threat se apunta a esta tecnología como un factor de mejora a considerar.

Solo queda dar a conocer el servicio y concienciar al usuario a utilizarlo con cierta frecuencia. Como dice el dicho popular "Si todos barremos delante de nuestra puerta, la ciudad estará limpia" que en la versión tecnológica será "mantén tu Pc limpio e Internet será un lugar mucho más seguro para todos".

Como dice la propia Web, "Fix it Center busca y corrige automáticamente los problemas más comunes de equipos y dispositivos. También ayuda a evitar que surjan nuevos problemas buscando proactivamente problemas conocidos e instalando actualizaciones. Fix it Center ayuda a consolidar la mayoría de pasos de diagnóstico y reparación de un problema en una herramienta automatizada que realiza el trabajo por usted" . Más información sobre el servicio aquí.
martes, 27 de abril de 2010 2 comentarios

Distribución para el análisis forense

La gente de AEDEL nos anuncia hoy la publicación de una distribución forense completamente gratuita y colaborativa llamada Ad|Quiere.

Además, han elaborado una guía o TO DO colaborativo versión 0.8 con la intención de consensuar un proceso de recolección de evidencias forenses a base de la contribución de los internautas que decian apoyar esta iniciativa. De esta forma, el espíritu de AEDEL se promoverá en todos los ámbitos el buen uso de las evidencias electrónicas, junto con los diferentes colectivos: nuestros asociados, usuarios, profesionales, etc. Así, estos podrán aportar sus ideas, para que aquellas necesidades y características más innovadoras, sean incorporadas en la versión 1.0.



Podéis descargar Ad|Quiere desde aquí. Es una distribución Linux de 720 Mb, así que hay que tener o muy buena conexión o cierta paciencia. Hemos elaborado un tutorial que se enriquecerá con las aportaciones de todos aquellos que deseen contribuir enviando sugerencias o ideas a la dirección de correo electrónico adquiere[arroba]aedel.es.

Como es una excelente iniciativa, me parece interesante compartirla entre los lectores del blog que también estamos interesados en esta temática.
miércoles, 14 de abril de 2010 1 comentarios

Los criterios de percepción del riesgo y el miedo

Bruce Schneier ha estado hablando esta semana sobre el polémico tema del riesgo y los ataques terroristas. Como persona que entiende la seguridad desde un punto de vista práctico y analítico, intentando no dejarse llevar por las trampas de la percepción, en dos largos escritos comenta diferentes estudios sobre el tema.
En cierto sentido, toda gestión del riesgo en temas de terrorismo debe pasar por un mismo objetivo: evitar el incidente o lograr la máxima reducción del número de víctimas.
Sin embargo, lo que llama poderosamente la atención es que los números (víctimas) de estos fenómenos, son bastante inferiores a los de otros sucesos que sin embargo, gozan de mayor tolerancia respecto al riesgo. Los artículos que cito sobre el riesgo de ataque terrorista y su valoración y cuantificación pueden consultarse en "Terrorist Attacks and Comparable Risks, Part 1 y Part 2".
La ecuación del riesgo tiene en cuenta dos grandes factores:
  • Posibilidad del incidente o vulnerabilidad: como de real es que la amenaza se materialice afectando al elemento protegido.

  • El daño potencial que podría causar el incidente o impacto: la valoración, en base a diferentes criterios, no solo económicos, de las consecuencias que habría que asumir si finalmente la amenaza afecta al elemento a proteger.

Los que nos dedicamos al estudio del riesgo, tanto desde su faceta más analítica como desde su perspectiva más psicológica, necesitamos contemplar más información o factores para poder disponer de valores que proporcionen estimaciones lo más fiables posibles. De nada sirve decir que se asumen ciertos niveles de riesgos, si luego no están claros los números o las estimaciones en las que se basan esas cantidades.
Lo cierto es que cuando hablamos de riesgos, hay facetas que importan mucho además del propio valor o cuantificación. La naturaleza del mismo puede influenciar mucho en el criterio de tolerancia de ese riesgo. Lo correcto es hablar o establecer los niveles de percepción del riesgo más que afirmar la existencia de un valor absoluto de riesgo. Como tal, aunque tratemos de objetivar un valor, el riesgo tiene una componente subjetiva condicionada por nuestra propia naturaleza humana y la percepción que tenemos de los hechos que nos rodean. El siguiente mapa conceptual lo elaboré tras la lectura del libro "Anatomía del miedo" de Jose Antonio Marina y trata de identificar los diferentes mecanismos que intervienen en el sistema nervioso a la hora de gestionar los eventos que detectan nuestros sentidos para garantizar nuestra supervivencia y que llamamos peligros. El peligro es la anticipación de un daño. El miedo es la anticipación de un peligro.La percepción del riesgo puede verse como la valoración sobre un peligro y la posibilidad de ocurrencia. A mayor percepción de miedo podemos sentir mayor riesgo y a mayor miedo podemos sentir que asumimos un mayor riesgo.

Una roca es una roca pero un riesgo es un risco que emerge del mar y pone en peligro al navegante. Sin marinero o barco amenazado por el risco no hay riesgo. El grado de control que tenemos sobre la situación que estamos valorando y lo voluntaria de dicha situación es lo que relaciona miedo y riesgo.

Como puede verse en el mapa conceptual, tenemos un lado racional que planifica, evalúa y toma decisiones sobre acciones voluntarias. Pero también tenemos un lado autónomo que proporciona las respuestas instintivas y automáticas frente a ciertos impulsos. Es la parte más biológica de nuestro funcionamiento asociado al hecho de ser simplemente seres vivos que se preocupan de su propia supervivencia. Ello está íntimamente relacionado también con la gestión que hace el ser humano del miedo. Riesgo y miedo son elementos intrínsecamente relacionados y condicionados el uno por el otro. La valoración del miedo nos condiciona el nivel de riesgo dado que afecta al factor de vulnerabilidad de la ecuación vulnerabilidad x impacto. Cuanto menos control de la situación tenemos, aumenta el riesgo y aumenta la sensación de que podemos ser vulnerables ante la amenaza.
El miedo es una emoción transaccional no lineal donde la aparición de un peligro provoca una reacción. Sin embargo, esta percepción tiene como criterio la valoración subjetiva de un hecho. Lo que percibimos depende principalmente del contexto, circunstancias y situación de la persona que lo percibe. Por ello no reaccionamos de la misma manera todos frente a un hecho. El miedo en este caso es como el agua, "adopta la forma del recipiente" aunque es cierto que hay miedos “universales”. Por tanto, la estructura del comportamiento frente al miedo se desencadena de la siguiente forma:
1.- Se produce el evento.
2.- El sujeto lo interpreta y lo traduce en una amenaza según su criterio subjetivo.
3.- Se produce un sentimiento desagradable que genera una acción del sistema nervioso autónomo.
4.- Como consecuencia, se genera una respuesta coordinada de los sistemas digestivo, respiratorio o cardiovascular ante el sentimiento de falta de control y se ponen en práctica alguno de los programas de afrontamieto del miedo: huida, lucha, inmovilidad o sumisión.
El criterio de valoración del miedo es la interacción de un polo subjetivo - Lo que el sujeto siente- y un polo objetivo- lo que el sujeto percibe como amenazador. Las dosis de estos elementos es lo que establece el nivel final. Y actúa también cumpliendo la teoría de los vasos comunicantes: un vaso es la evaluación del sujeto, el otro el peligro real. Entre ambos factores se equilibra el nivel de miedo.
El siguiente gráfico trata de ilustrar los diferentes factores que son considerados en relación al riesgo para establecer el criterio de aceptación o el criterio de amplificación (que creamos estar sometidos a un nivel mayor de riesgo del que analíticamente se puede constatar).

Como se puede ver, parte de los factores que se encuentran en el camino hacia la amplificación del riesgo tienen que ver con nuestra sensación de control o elección sobre el riesgo. Aquellos riesgos que son impuestos son menos tolerados y coinciden además con situaciones donde es complejo poner control.
Por tanto, nuestra respuesta automática trata de convencerse sobre cómo mejorar la sensación de “seguridad o control” intentando plantear medidas de seguridad que logren tranquilizar nuestros “miedos”, aunque su eficacia sea más de dudosa. Solemos pensar en cómo solucionar las cosas para que no se vuelvan a repetir, pero no caemos frecuentemente en imaginar qué otras circunstancias podrían darse que generaran ese mismo daño. Eso es lo que sí hacen “los profesionales de la seguridad” como ya expliqué en el post Dentro de la Mente Torcida del Profesional de Seguridad. La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar. Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.

Otro día explicaré qué conclusiones extraigo de lo dicho y por que creo sinceramente que hoy en día hay muchos riesgos asumidos, aunque no conocidos. Hay muchas cosas que parecen bajo control pero realmente no hay evidencias fiables de que esto sea así, al menos, en informática.
martes, 13 de abril de 2010 2 comentarios

Llega CONAN para mejorar la seguridad de equipos PC con Windows

El INTECO-CERT acaba de dar a conocer una nueva aplicación CONAN (CONfigudación y ANalisis) para usuarios de las plataformas Microsoft Windows 2000/2003/XP/Vista y Windows 7 que realiza una serie de revisiones de configuración detectando aquellos puntos que puedan ser mejorados. Esta herramienta lleva a cabo un análisis exhaustivo de los elementos de riesgo de tu PC, agrupando y cotejando toda esa información para su análisis posterior. Con la utilidad CONAN se puede obtener un informe inmediato del nivel de seguridad de su PC con resultados como el que muestra la siguiente imagen.


El informe de verificación revisa los siguientes puntos de configuración:
  • Sistema Operativo

  • Firewall

  • Antivirus

  • Internet Explorer

  • Mozilla Firefox

  • Conexiones de Red

  • Interfaces de Red

  • Unidades Lógicas

  • Variables de entorno

  • Recursos Compartidos

  • Actualizaciones del Sistema Operativo

  • Servicios en ejecución

  • Drivers instalados

  • Archivo de Hosts

  • Políticas de Seguridad

  • Páginas de Inicio y Búsqueda de IE

  • Extensiones de IE

  • Prefijos de IE

  • Zonas de Confianza de IE

  • Opciones Agregadas de IE

  • Plugins

  • Browser Helper Objects


Para su descarga podéis obtener más información en el siguiente enlace.
miércoles, 7 de abril de 2010 1 comentarios

Número 25 de (IN)Secure Magazine

Los contenidos de este número incluyen:
  • The changing face of penetration testing: Evolve or die!

  • Review: SmartSwipe

  • Unusual SQL injection vulnerabilities and how to exploit them

  • Take note of new data notification rules

  • RSA Conference 2010 coverage

  • Corporate monitoring: Addressing security, privacy, and temptation in the workplace

  • Cloud computing and recovery, not just backup

  • EJBCA: Make your own certificate authority

  • Advanced attack detection using OSSIM

  • The world of claims-based security

  • Enterprise Authentication: Increasing security without breaking the bank


Podéis descargarla en este enlace.
 
;