Archivo para diciembre 2010

Sobre Software Libre y otras yerbas

diciembre 17, 2010

Estimados lectores, sin entrar en fanatismos…quisiera hacer una reflexión acerca de Windows, Linux o MacOS, y sus defensores y detractores, con sus más encendidos argumentos.

Leí con sorpresa hace un par de días que el código de FreeBSD, habría sido troyanizado hace casi 10 años por personal del FBI, y nadie observó ni dio cuenta de ello.

Dicho “hackeo” se encontraría en IPSEC stack (un protocolo de redes gratuito que se ha incluido en varios proyectos) y que quieren que les diga…ya no me sorprende nada…

Desde el fanatismo de Stallman, que no usa ni celulares, ni otra cosa que no sea libre, (reservo mi opinión) pero ¿como viaja de un lado a otro? Pide al comandante de vuelo el código fuente y si este es propietario, ¿no viaja?

Los drivers para poder escuchar MP3, y demases multimedia en linux/unix, también son privativos. ¿Tampoco escuchará música?

Los diferentes programas que controlan los automóviles en que viajan también son privativos, y no por ello dejamos de comprar vehículos y dejamos de tomar taxis.

Lectores…les pregunto

¿Conocen a alguien que audite el código del soft que usa?

Para mi es un argumento de defensa del Soft Libre, pero de ahí a que la comunidad lo haga…hay un trecho.

Lo harán seguramente algunos, y de determinadas áreas puntuales del SO, de lo contrario estarían una vida haciéndolo…

En mi opinión, yo no uso Software Libre por que es gratis, libre o barato…lo uso por que me satisface para lo que yo hago.

Debemos buscar lo que nos resulta efectivo.

Aunque tuviera la plata, no me compraría una Ferrari para ir al campo…compraría una camioneta…

Esto es lo mismo.

No seamos fanáticos, usemos lo que mejor se adapte a nuestras necesidades, hay cosas excelentes de ambos lados de la calle (Windows/Linux/MacOS). Si a otro/s, les sirve otro SO, bienvenido también.

Respecto de la seguridad, no hay sistemas operativos inseguros, lo que hay son seres humanos que por sus conductas hacen que sean inseguros.

Conozco gente que usa Windows XP SP3, y con la debida protección y educación respecto del uso de Internet, con la “optimización” de su SO, no ha tenido un solo incidente de seguridad, y también conozco gente que usa linux y que por el hecho de usarlo, piensa que esta seguro, repito, piensa que esta seguro, pero no entiende como funciona muchos menos sabe asegurarlo.

Cualquier SO (Windows/linux/MacOS) sin hacer el hardening correspondiente, es vulnerable per-se.

Que hay algunos más inseguros que otros SO, sin duda, pero repito según mi opinión, a la gente común no le interesa la seguridad.

 

Anuncios

Para los que no me entienden

diciembre 17, 2010

Si gente, tengo un problema con el tiempo…
Pero buscando un poco en internet, parece que es común a quienes pasamos horas frente a las pantallas hipnotizantes de nuestras computadoras (ordenadores, para nuestros lectores ibéricos).
Aguardo sus comentarios.

No digan que no les advertí…Don’t say I did not warn

diciembre 10, 2010

No se…
A veces no se si soy yo…si es una sensación solamente mía o es que el mundo anda a contramano…
Y los que me conocen, saben que soy paranoico con el tema de la seguridad, de la privacidad y demás yerbas, será que mi afición a las computadoras y a la seguridad informática, han hecho de mi un ser sumamente desconfiado, puede ser, pero en este mundo cibernético, sino desconfías, vas muerto.
A lo largo de 20 y tantos años de estar en este mundillo, he visto muchas estafas, timos, desde mails de Nigeria ofreciéndome sumas millonarias por darles mi número de cuenta para realizar depósitos bancarios para poder sacar plata de Nigeria, hasta los más sofisticados métodos para capturar mi usuario y clave de home banking.
Y lo más increíble que de cada 100 personas a las que se les envían cosas por el estilo, entre 4 y 5 contestan…con esa cantidad de gente la rueda de la estafa funciona.
Voy a charlas, cursos, capacitaciones y en todos lados se dicen las mismas advertencias.
Y reflexiono…cuando volvemos a casa, ¿hablamos de estas cosas con nuestra esposa, hijos? ¿O solo lo dejamos para tener motivo de charla a los que nos pagan por decir estas cosas?
Sería bueno que lo difundiéramos a todos, conocidos, amigos…pero…siempre hay un pero…¿saben qué?
Llego a la conclusión que a nadie le importa la seguridad informática, quieren las cosas ya y no importa de donde la sacan, dada mi profesión gracias a Dios viajo bastante y veo gente enviando y recibiendo correo, consultando el saldo del banco en bares, aeropuertos y lobbies de hoteles, sin preocuparse si la red wi-fi es segura, si los datos van cifrados o no, eso es cosa de películas…y claro, después aparecen los casos de robo de identidades y nadie sabe como fue que los datos llegaron hasta allí.
Gente, la seguridad no es ni cómoda, ni barata…!!!
¿O en su casa, piso o apartamento dejan la puerta abierta a cualquiera?
Y no solo la cierran, sino que tienen una puerta de calidad, y sistema de alarma monitoreada, ¿y eso es gratis? Para nada.
O sea, andamos con llaves, claves y eso no es ni cómodo ni barato, hay que entenderlo y hacer esa analogía. Mientras no lo entendamos así, poco podemos esperar a que nuestros datos, balances, contactos pasen a manos ajenas.
Algo no menos curioso, pasó la semana pasada, WikiLeaks, y para aquel que no sepa de lo que hablo, solo tiene que Googlear un poco.
¿Como se concibe que un empleado de Seguridad Informática del gobierno americano pueda sacar lo que sacó sin que hubiera habido una alerta durante el tiempo (meses) que duro ese “robo” de información?
Hoy día (en realidad hace años) existen mecanismos muy fuertes y accesibles para poder determinar lo que sale, quien lo saca, a que hora, adonde lo guarda, a quien lo envía. Repito, eso existe.
Eso por un lado, por otro, yo como asesor de seguridad, lo sé, imagino que los asesores de seguridad nacional del gobierno americano lo saben mejor que yo, la información clasificada como sensible, debe al menos circular de manera cifrada, justamente por ese tema, si alguien toma esa información, no podrá hacer uso de ella debido a que no es legible sino por medio de los sistemas de desencripción del gobierno.
Suena a película, pero vuelvo a repetir, existe y no es tan caro para el nivel de información que intenta ser resguardada. Costo beneficio dicen los contadores.
Pero, seguramente es incomodo controlar semejante caudal de información, y ¿qué es lo mas práctico? Dejar todo así nomás, si todos los que usan esto son de confianza, sino no trabajarían allí. Suena lógico, pero no alcanza, y quedó demostrado.
Sres. del gobierno americano, no tengo inconveniente alguno en asesorarlos y brindarles años de experiencia.
Saben donde encontrarme, soy predecible.

Ahora la versión para los angloparlantes

Now the version for Anglophones

I do not know …
Sometimes I do not know if I’m feeling … if it only me or is that the world is in the opposite …
And those who know me know I’m paranoid about the issue of security, privacy and other herbs, is that my fondness for computers and computer security, has made me a being very suspicious, maybe, but this cyber world, but distrust, you died.
Over 20-odd years of being in this world, I have seen many scams, scams from Nigeria offering sums mails of millionaires to give my account number for bank deposits in order to get money from Nigeria, even the most sophisticated methods to capture username and password my home banking.
And the most amazing thing in every 100 people you send them stuff like that, between 4 and 5 answer … with that many people the wheel of the scam works.
I’m going to lectures, courses, training and all sides say the same warnings.
And … when I reflect back home, will talk about these things with your wife, children? Or just what we have reason to talk to those who pay us to say these things?
Disseminates it would be nice to everyone, acquaintances, friends … but … there’s always a but … you know what?
I conclude that nobody cares about computer security, they want things now and no matter where they take, given my profession thank God I travel a lot and I see people sending and receiving mail, checking the bank balance in bars, airports and hotel lobbies, without worrying if the wi-fi is safe, if the data is encrypted or not, this is a thing of movies … and of course, appear after the identity theft cases and no one knows exactly how the data arrived there.
People, safety is neither easy nor cheap …!
Or at home, flat or apartment leave the door open to anyone?
And not only close, but they have a quality gate, and monitored alarm system, and is that free? For nothing.
So, we walk with keys, passwords, and that’s not easy or cheap, we should understand and make that analogy. Until we understand so little we can wait for our data, balance sheets, contacts pass the wrong hands.
Something no less curious happened last week, WikiLeaks, and for those that do not know what I mean, you just have to Google a bit.
How is conceivable that an employee of U.S. government computer security can take what would have been removed without a warning during the time (months) who drive the “theft” of information?
Today (actually years) there are very strong and accessible mechanisms to determine what comes out, who gets what at what time, where you save it to the sender. Again, it exists.
That on the one hand, on the other, I as a security consultant, I know, imagine the national security advisors of the American government knows better than me, information classified as sensitive, should at least be encrypted circular, precisely for thatissue, if someone takes that information, you can not use it because it is unreadable except by means of decryption systems of government.
Sounds like a movie, but I repeat, there is not so expensive for the level of information that tries to be protected. Cost benefit accountants say.
But surely it is uncomfortable to control such flow of information, and what is the most practical? Leave everything just like that, if everyone who uses it are reliable, but not work there. Sounds logical, but not enough, and proved.
Messrs. U.S. government, I have no problem whatsoever in providing advise and years of experience.
Know where to find me, I’m predictable.