Principales amenazas de seguridad para el 2008

"Las amenazas se están moviendo hacia la Web y las tecnologías más recientes tales como VoIP y mensajería instantánea," afirma Jeff Green, Vicepresidente de los Laboratorios McAfee Avert y Desarrollo de Producto. "Profesionales y organizaciones criminales continúan dirigiendo muchas de las actividades maliciosas. Como usan métodos cada vez más sofisticados, es más importante que nunca ser consciente y estar protegido cuando navegas por Internet."

Las 10 principales amenazas para 2008, según pronóstico de McAfee Avert:

Web 2.0

Los programas maliciosos en Salesforce.com, Monster.com y MySpace, entre otros, representan una nueva tendencia en ataques a aplicaciones on line y sitios de redes sociales. Los atacantes están usando sitios Web 2.0 como camino para distribuir el malware y descubrir datos, buscando más información de la gente para dar mayor autenticidad a sus ataques. Los laboratorios McAfee Avert prevén un importante aumento de esta actividad en 2008.

Los Botnets. 'Storm Worm'

Con una muestra de los principales procesos bot heredados de 2007, los criminales estarán intentando conseguir mejores formas de camuflar rastros. El Storm Worm sienta un precedente inquietante. También conocido como Nuwar, el Storm Worm ha sido el malware más versátil que se haya registrado. Los creadores lanzaron miles de variantes y cambiaron técnicas de codificación y métodos de infección más que ningún otro tipo de amenaza a lo largo de la historia. Storm creó la mayor red de bots "peer-to-peer" jamás creada. Los Laboratorios McAfee Avert prevén que otros también lo intenten, convirtiendo en bots a un mayor número de PCs. Los bots son programas de ordenador que dan el control de tu ordenador a los ciberdelincuentes. Los bot son instalados a escondidas entre los ordenadores personales de usuarios desconocidos.

Mensajería Instantánea = Malware Instantáneo

Los gusanos "flash" enviado a través de aplicaciones de mensajería instantánea han sido pronosticados durante años. Esta amenaza se sembraría en millones de usuarios en todo el mundo en cuestión de segundos. Ha habido malware que se ha extendido vía IM (Mensajería Instantánea), pero aún tenemos que ver tales amenazas autoejecutándose. Sin embargo, puede estar más cerca que nunca ya que, comparado con 2006, el número de vulnerabilidades en aplicaciones de mensajería instantánea se ha duplicado en 2007. Y lo que es más importante, fueron uno de los 10 riesgos más importantes en 2007, comparados con en 2006 no aparecía. Además, las principales familias de virus de mensajería instantánea en 2005 y 2006 han sido reemplazadas por nuevas amenazas. Skype observó su primera hornada de gusanos en 2007. Y se esperan más.

Target: Jugando on line

Las amenazas de las economías virtuales están dando paso al crecimiento de las amenazas de la economía real. Como los objetos virtuales continúan ganando valor real, más atacantes querrán sacar provecho de ello. La evidencia ya está aquí. El número de troyanos dirigidos a robar contraseñas en los juegos on line en 2007 creció más rápido que el número de troyanos dirigidos a los bancos.

Windows Vista

En 2008, Windows Vista es asignado para ganar cuota de mercado y cruzar la barrera del 10%. El lanzamiento del Service Pack 1 acelerará la adopción del sistema operativo de Microsoft. Como Vista es el más común, los atacantes y malware comenzaran a explorar las formas más fáciles para sortear las defensas del sistema operativo. Ha habido 19 vulnerabilidades desde su lanzamiento. Se esperan más para 2008.

El Adware continúa su descenso

Las medidas que ha tomado el Gobierno norteamericano contra los proveedores de software de ad-serving ha tenido un efecto positivo. La combinación de juicios, mejores defensas y las connotaciones negativas asociadas con esta forma de propaganda han ayudado al descenso de adware en 2006. Esta tendencia fue confirmada en 2007 por la mayoría de los representantes del sector, el adware se espera que continúe su descenso en 2008.

Los phishers toman la red

Los ciberdelincuentes se dirigen cada vez más a objetivos más pequeños, sitios menos populares para robar datos y llevar a cabo sus estafas. Los sitios mas populares se han hecho más resistentes respondiendo rápidamente a los ataques y aumentando su seguridad. Sabiendo que un gran porcentaje de gente no renueva sus contraseñas, los sitios menos populares están siendo objeto de ataques con mas frecuencia que antes, dando a los criminales el mismo nivel de acceso.

El malware parasitario echa raíces

Los parásitos son virus que al infectar, modifican las características de los archivos en el disco, inyectando el código en el archivo donde este reside. Mientras que el crimeware estaba tomando ventaja en los últimos años, el malware fue una moda pasajera. En 2007 muchos de los autores de crimeware han vuelto a la vieja escuela para repartir amenazas como Grum, Virut, y Almanahe; virus con una misión económica. El número de variantes de una vieja amenaza, Philis, creció en más del 400%, mientras que cerca de 400 variantes de un recién llegado, Fujacks, fueron catalogadas. Se espera un interés continuado en parásitos de la comunidad de crimeware, y un crecimiento del malware del 20% en 2008.

La virtualización transforma la seguridad de la información

Los vendedores de seguridad se incorporan a la virtualización para crear defensas nuevas y más fuertes. Las complejas amenazas de hoy serán fácilmente derrotadas, pero investigadores, hackers, profesionales y autores de malware comenzarán a buscar caminos para sortear la nueva defensa tecnológica, continuando el clásico juego del gato y el ratón.

Los ataques a VoIP aumentarán un 50%

Comparado con 2006, durante este año se han reportado mas del doble de vulnerabilidades de seguridad en aplicaciones VoIP. Hemos visto muchos ataques de "Vishing" y "phreaking". Está claro que las amenazas han llegado a la VoIP y no hay señales de que vayan a disminuir. La tecnología es nueva y las estrategias de defensa se están demorando. Los laboratorios McAfee Avert prevén para 2008 un aumento del 50% en amenazas relacionadas con la VoIP.

Empieza la "ciberguerra fria"

Grupos organizados, y sobre todo estados, atacan redes gubernamentales para provocar bloqueos o hallar brechas de seguridad. No es algo nuevo, pero es cada vez más visible. Este año, varios países han denunciado estas prácticas y han acusado sobre todo a China. Y los ataques no son aislados, sino sistemáticos y bien organizados.

Al menos así se desprende del informe 'Virtual Criminology', encargado por la empresa de seguridad informática McAfee, y que cita al diario británico 'The Times' para asegurar que el Reino Unido ha entrado en una etapa que denomina 'ciberguerra fría'.

"Sabemos que China ha estado tanteando las redes informáticas del Reino Unido. Hace tiempo que están en desarrollo medios para llevar a cabo la ciberguerra. Pero es la primera vez que vemos que algunos estados han comenzado a aplicarlos", afirma Ian Brown, de la Universidad de Oxford y uno de los autores del estudio. Para este país, el espionaje en la Red representa la máxima amenaza para la seguridad nacional, informa EFE.

Lo cierto es que, según el informe, existe una doble amenaza (por parte de bandas organizadas, así como por parte de algunos estados) para la seguridad de las redes informáticas que controlan sistemas críticos, como las redes eléctricas, el control aéreo, los mercados financieros y otros sectores.

La propia OTAN reconoce que todos y cada uno de sus 26 miembros han sido objetivo de algún ataque informático, en lo que considera una seria amenaza para la que los países se están preparando desde hace años.

El informe de McAfee identifica a China como el país más activo en ese nuevo tipo de espionaje, aunque señala que otros 120 países utilizan técnicas similares. A lo largo de este año, países como Alemania o EEUU también han acusado al gigante asiático de estar detrás de importantes ataques informáticos e intentos de 'ciberespionaje'.

Aunque desde hace años existen 'ciberguerras' en la Red (mediante el uso de diversas técnicas, como la denegación de servicio), nunca antes se había acusado tan abiertamente a un país de estar detrás de los ataques y de los intentos de espionaje.

A pesar de las negativas de Pekín, que culpa de los ataques provenientes de su territorio a estudiantes avanzados, EEUU, Reino Unido o Alemania afirman que el Gobierno chino (concretamente, sus fuerzas armadas) está detrás de estas prácticas, que son constantes, según Berlín.

China, por su parte, también denuncia ataques contra sus redes y asegura que ha sufrido "enormes" pérdidas y daños por culpa del espionaje 'online', tanto gubernamental como económico e industrial.

Según 'The Times', los ministerios de Defensa de diversos países del mundo están ya preparando manuales para un futuro previsible de guerra digital.

Estados Unidos lleva registrados en lo que va de año 37.000 irrupciones en sus sistemas informáticos tanto gubernamentales como privados. Dentro de su Fuerza Aérea se ha creado una nueva sección, integrada por 40.000 personas, para preparar al país para ese tipo de guerras.

Portatiles a 199 Euros en ThePhoneHouse

Ha anunciado en el día de hoy The Phone House que a partir de mañana lanzara una campña que puede revolucionar el mercado de los ordenadores domésticos a partir de ahora.

Portátiles a 199 euros. Así nos entra la oferta de esta cadena de venta de teléfonos que ahora es algo más. Y no, no es el día de los inocentes, es real. Lo explicamos.

Se trata de trasladar al mundo de la informática el modelo que ahora funciona en la telefonía móvil: terminales subvencionados a cambio de unos servicios contratados.

Así, desde mañana podemos acudir a una tienda ThePhoneHouse y llevarnos por 199 euros un portátil Acer 4220 con una conexión a intenet fija y otra móvil con Orange.

Existe también la opción de disponer de un modelo superior, el Acer 5520, por 399 euros.
El equipo de 200 euros no es ni mucho menos lo último que podemos encontrar en el mercado, pero sí una opción muy válida para personas que quieren meter una conexión a Internet en casa y disponer de un ordenador para navegar y un poco de ofimática.

Lo más interesante de este movimiento, que estábamos esperando desde hace mucho tiempo, es el hecho de asociar productos con servicios más allá de los teléfonos móviles. Y en el caso de portátiles de este tipo, seguramente sea más barato subvencionarlo que hacerlo con un terminal de gama alta o incluso media. Lo lógico pues sería que nos subvencionaran portátiles al pagar una tarifa para conectarnos a Internet con el ordenador, de esos que llevan ya la conectividad 3G o HSPA integrada.

Aun no se conocen las condiciones de la oferta ni la duración del contrato de permanencia para los dos contratos, esperemos que la solución funcione como en los terminales moviles.

Nuevo servicio de Localización de Google "My Location"

Con un teléfono móvil con conexión a internet, incluso sin el sistema GPS (Global Positioning System), Google puede ubicar a grandes rasgos donde se encuentra uno gracias a la antena del aparato.

En el blog de la empresa el miércoles se anunció esta nueva función bautizada 'My Location' , todavía en etapa de prueba, que permite situar en los mapas de Google el lugar en el que se encuentra un móvil, con unos 1.000 metros de margen de error.

Según el New York Times, Google registró las ubicaciones de las antenas gracias a datos enviados por usuarios de teléfonos con GPS que se conectan a internet, lo que permitió cartografiar sus posiciones.

Esta herramienta funciona con teléfonos equipados con sistemas Java, BlackBerry, Windows Mobile o Nokia/Symbian. No obstante, según un foro de discusión, algunos usuarios no logran hacerlo operar.

Aunque este programa no es tan preciso como los aparatos con GPS, que permite ubicarse con un metro de margen de error, permite por ejemplo dar indicaciones carreteras.

También ayudará a desarrollar un nuevo sistema de publicidad, rubro en el que Google se posiciona como el líder mundial en internet. De esta manera, al buscar 'pizza' en el teléfono, todas las pizzerías cercanas se marcarán en el mapa.

Según eMarketer, la publicidad móvil representará 16.000 millones de dólares en 2011, diez veces más que hoy.

Un experto anuncia un agujero de seguridad en la tecnología VoIP

Peter Cox, fundador de CTO y creador del cortafuegos BorderWare, presentó una herramienta denominada SIPtap, capaz de monitorizar, escuchar y grabar llamadas realizadas a través de tecnología VoIP.

Según cuenta Cox, todo lo que tendría que hacer un cracker es infectar un único PC con un troyano para poder acceder a la red VoIP.

El programa puede indexar las IP registradas por receptor o por fecha. Desde el mes de agosto en una red de pruebas, SIPtap no ha tenido problema para demostrar que la grabación de cualquier llamada en una hipotética empresa que utilizara VoIP era asunto trivial una vez infectada.

“Estamos en los primeros días de VoIP, pero hay una carencia importante de conocimientos”, dijo Cox, que deploraba la ingenuidad acerca de las debilidades de seguridad entre la mayoría de los ingenieros de telecomunicaciones orientados a la construcción de sistemas VoIP. “Las empresas que utilizan VoIP piensan que están protegidas”, advirtió Cox.

12 señales de que eres un mal programador

Visto en Mundogeek aquí se explican típicos fallos de programación. Yo no estoy de acuerdo en muchos de ellos, pero más de uno nos puede hacer reflexionar en nuestros métodos de programación.

1. Java es todo lo que necesitas.No ves la necesidad de usar ningún otro lenguaje, ¿por qué no se puede hacer todo con Java? No te importa ver código en Python o Ruby que logra en 10 lineas lo que llevaría varias hojas de código Java. Además, seguramente las nuevas características de la próxima versión del lenguaje lo arreglaran de todas formas. (Esto es aplicable a casi cualquier lenguaje, pero ocurre que entre la comunidad Java parece estar más extendida esta forma de pensar).

2. El término "enterprisey" (NT: se trata de un término sarcástico utilizado para designar productos complejos más allá de lo necesario) no te suena a broma."Enterprise" no es sólo una palabra, es una filosofía, una forma de vida, un camino a la iluminación. Cualquier cosa que pueda ser escrita, desplegada o actualizada con un trabajo mínimo es descartada como un juguete que no "escalará" para futuros usos. Mientras tanto la mayor parte del trabajo real en tu oficina se hace enviando hojas de cálculo en Excel mientras esperan a que termines de construir tu nueva visión corporativa.

3.Te opones férreamente a las funciones/métodos de más de 20 líneas de código.(o 30 o 10 o cualquier otro número) Lo siento, algunas veces una función larga es justamente lo que necesitas. Normalmente las funciones cortas son más sencillas de entender, pero algunas veces se pueden expresar más fácilmente en una sola función más larga. El código no debería hacerse más complejo sólo para adecuarse a criterios arbitrarios.

4. "¡OH DIOS MÍO! ¡PATRONES!"Los desarrolladores que buscan constantemente la forma de aplicar patrones a cualquier problema de código con el que se encuentran están añadiendo una complejidad innecesaria. Lejos de ser algo que busques, deberías sentirte mal cada vez que tienes que utilizar un patrón de diseño, significa que estás escribiendo código que hace las cosas más complicadas y que puede ser de dudosa utilidad. Pero, ¡ey!, tu código tiene patrones, bien por ti.

5. Los ciclos de CPU son un recurso precioso y tu estilo de programación y lenguaje reflejan esas creencias.Hay montones de problemas en los que tienes que tener muy en cuenta el consumo de CPU (modelado/simulación, procesado de señales, kernels de sistemas operativos, etc), pero no es tu caso. Para la mayor parte de los desarrolladores de software sus principales problemas de rendimiento están relacionados con las bases de datos y la entrada/salida. El único efecto de optimizar tu código para mejorar el uso de CPU será disminuir en 2 milisegundos el tiempo necesario para la próxima consulta a la base de datos. Mientras tanto el desarrollo de la aplicación se hace más lento, no puedes hacer frente a los nuevos requerimientos y te encuentras con problemas serios de calidad. Pero al menos estás ahorrándote montones de ciclos de CPU… eventualmente.

6. Piensas que ninguna función/método debería tener más de un return.Esta la he oído alguna que otra vez, y normalmente la razón que me dan es que el código es más sencillo de analizar. ¿Según quién? Yo encuentro más fácil de leer un código más simple, y normalmente el tener más de un return simplifica el código.

7. Tus usuarios son estúpidos. Realmente estúpidos.Simplemente no puedes creer lo estúpidos que son, olvidándose constantemente de hacer las cosas más sencillas del mundo y cometiendo errores tontos al usar tu aplicación. Nunca has considerado que quizás es tu aplicación la que es estúpida porque eres incapaz de escribir software decente.

8. Te enorgulleces enormemente del gran volumen de código que escribes.Ser productivo es bueno, desafortunadamente escribir montones de líneas de código no es lo mismo que ser productivo. Los usuarios nunca comentan "Guau, este programa puede ser difícil de usar y estar lleno de errores, pero al menos sé que hay un montón de código por debajo." En lugar de ser productivo, generar toneladas de mal código retrasa a los demás desarrolladores y en el futuro su mantenimiento constituirá una pesada carga.

9. Copiar y pegar es genial, te ayuda a escribir código desacoplado.Defiendes tu uso del copy paste con extraños argumentos sobre desacoplar código y eliminar dependencias, mientras ignoras el aumento del tiempo de mantenimiento y los problemas de duplicación de errores. A esto se le llama "racionalizar tus acciones".

10. Piensas que la gestión de errores consiste en capturar todas las excepciones, registrarlas, y continuar como si nada.Eso no es gestionar errores, eso es ignorar errores y es el equivalente semántico al "on error next" de VB. Sólo porque hayas registrado el error en algún sitio no significa que lo estés tratando. Tratar errores es algo duro. Si no sabes qué hacer exactamente cuando te encuentras con un cierto error, simplemente deja que la excepción se propague y que un nivel más alto del código lo trate.

11. Modelas todo tu código en UML antes de escribirlo.El modelado entusiasta de UML se lleva a cabo normalmente por aquellos que no escriben demasiado código, sino que se consideran arquitectos de software. Las herramientas de modelado atraen más a aquellos que piensan que el código se puede escribir en una sala de conferencias manipulando pequeños gráficos. Los gráficos no son el diseño, y nunca serán el diseño, para eso está el código.

12. Tu código borra datos importantes.Escribiste un cierto código que se supone que debe sobrescribir los archivos de la aplicación con otros nuevos, pero se vuelve loco y borra todos los datos del usuario.

Windows Vista necesita más RAM que Windows HPC Server 2008 para supercomputadoras

El Windows HPC Server 2008 realizado exclusivamente para las supercomputadoras que superan la capacidad del Teraflop necesita menos memoria RAM que el nuevoo Windows VIsta para usuarios.

El Windows HPC Server 2008 tiene como requisito mínimo para dar alto rendimiento 512 Megas aunque soporta hasta 64 Gbytes de RAM, mientras que todas las versiones de Windows Vista excepto en Windows Vista Home Basic que tiene como requisito mínimo 512 de RAM.

La mayor parte de versiones de Windows Vista tiene como requisito mínimo 1 Giga de memoria RAM aunque en las especificaciones ya se recominenda el tener 2 Gigas de RAM para que el Sistema Operativo funcione sin problemas en caso de querer utilizar las nuevas interficies gráficas AERO.

Advierten sobre puerta trasera oculta en algoritmo de cifrado

El experto en seguridad informática Bruce Schneier asegura que existe una puerta trasera en un importante algoritmo de cifrado, que es recomendado por las autoridades estadounidenses de inteligencia. La clave en cuestión podría estar en poder de la agencia estadounidense de seguridad, NSA.
Uno de los más prestigiosos expertos estadounidenses en cifrado informático, Bruce Schneier, cuestiona la seguridad de un algoritmo recomendado por las autoridades estadounidenses. Schneier escribe en su blog que podría existir una puerta trasera en el algoritmo de cifrado Dual_EC_DRBG; y que la clave para escudriñarlo podría estar en manos del servicio de inteligencia NSA (National Security Agency).

Este algoritmo es usado para generar cifras aleatorias, que son un componente fundamental de todos los sistemas de cifrado. Solamente una clave totalmente aleatoria puede garantizar que es imposible vulnerar el sistema de cifrado. En 2006, las autoridades estadounidenses difundieron un estándar oficial que contiene cuatro distintos algoritmos para la generación de cifras aleatorias, uno de los cuales es Dual_EC_DRBG.

Schneier indica que el problema radica en las cifras que este algoritmo genera. Según el experto, existe una serie de cifras secretas; una suerte de súper clave, y la persona o autoridad que tenga esta clave podrá rápidamente “adivinar", la secuencia secreta.

Lo más probable es que la clave esté en manos de quienes desarrollaron originalmente el algoritmo; es decir la propia NSA.
Con base en sus cuestionamientos, Schneier recomienda evitar Dual_EC_DRBG y usar uno de los tres algoritmos alternativos, que forman parte del estándar oficial.

"Vishing" Spam por VoIP

En lo que parece una verdadera ironía, los hackers demostraron que las cuentas de Telefonía Voz IP (VoIP) son vulnerables al spam de voz, y lo hicieron mediante un ataque a la universidad en la que uno de los autores del protocolo sobre el que corre el VoIP es profesor de ciencias de la computación.

Henning Schulzrinne, coautor del protocolo de iniciación de sesión (SIP) que usan todos los grandes servicios de VoIP excepto Skype, estima que el ataque (que dejó mensajes de marketing no solicitados en múltiples internos telefónicos de la Universidad de Columbia) puede haberlo tenido a él como blanco, aunque también podría ser consecuencia de que la institución no instrumentó una política de firewalls.

De cualquier manera, Schulzrinne piensa que la VoIP es el próximo gran blanco de los spammers. "El teléfono se atiende instintivamente y la gente escucha los mensajes. Es un medio tentador para los spammers.

"Si bien los ataques de "spit" (Spam por Telefonía de Internet) son raros en comparación con el spam de e-mail cotidiano, Yuval Ben-Itzhak, gerente de tecnología de la empresa de seguridad informática Finjan, descubrió tres ataques de spit en lo que va del año.

David Endler, director de investigación de seguridad de TippingPoint, advierte que el aspecto más oscuro y amenazador de este tipo de spam aparecerá cuando el phishing de voz -llamado "vishing"- se haga más común.

Sin embargo, el verdadero problema de la VoIP es que es muy fácil adoptar una identidad en una llamada o poner en la pantalla un número falso del que está llamando. Por lo general, la gente le tiene mucha confianza al teléfono.

Ese es el rumbo que, según Jean Paul Ballerini -arquitecto de soluciones tecnológicas de IBM-, seguirán los spammers, sobre todo porque es el que más posibilidades de ganar dinero les da. "Ya vimos una campaña de vishing en los Estados Unidos con alguien que fingía pertenecer al Bank of America con la intención de que la gente revelara datos de seguridad". Y Dimitri Alperovitch, investigador de Secure Computing, advierte que el spit es hoy tema de moda entre los hackers. Pero la principal herramienta de la que los spammers carecen por ahora es el llamado "botnet", una red de PC para mandar millones de mensajes en forma anónima.

OpenID

Este sistema de identificación digital promete convertirse con el tiempo en tu credencial en línea, con la que podrás navegar e ingresar en cualquier sitio que haya incorporado el servicio, con tu nombre OpenID, sin necesidad de registrarte.

La solución para terminar con las cansadoras pantallas de registro, que te obligan a repetir infinidad de veces tus datos personales, se llama OpenID, una tecnología centrada en el usuario, que te permite tener control sobre cómo tu identidad se maneja y se utiliza en línea.

Por ser descentralizado, no hay un servidor específico para cada servicio que permite OpenID, al que debas estar registrado, sino que tú eliges el proveedor donde deseas alojar tu identidad.

Básicamente se trata de un nombre que te permite identificarte en multitud de sitios web, sin tener que llenar formularios de registro, ni recordar diferentes datos de acceso (nombre de usuario/contraseña) para cada uno.

En Weblogs SL explican que la identidad OpenID está dada por una URL cualquiera que soporte el protocolo OpenID. En caso de que no tengas ninguna página propia, puedes usar cualquier servidor OpenID disponible.

Sin embargo, también puedes usar la dirección de tu blog o de cualquier página web que poseas. Juan Diego Polo en OpenID - La autenticación en la web 2.0, explica cómo puedes implementarlo en tu propio sitio.

Entre los servicios que han incorporado OpenID se destacan:
Technorati
WordPress.com
37Signals
Digg.com
AOL
Symantec
VeriSign
Mozilla
Novell
Microsoft
Reebok

Están trabajando en proyectos con OpenID, entre otros:
Drupal
Joomla
Mailman
MediaWiki
phpBB
Plone
Slashcode
WordPress.com

En my OpenID encontrarás una lista, bastante extensa, de sitios que aceptan OpenID para autenticarse, aunque cabe aclarar que, constantemente, se incorporan nuevos.

También puedes consultar el Directorio OpenID, donde se registran los nuevos sitios que utilizan el sistema, y que permite buscar tanto por categoría como por palabra clave, sitios que han adoptado OpenID.

Los principales proveedores son:
ClaimID
myOpenID
VeriSign
myID.net
myVidoop