Archivos de Tags: Redmon

250mil dólares de recompensa por el creador de Conficker

250K dólares, unos 200K euros es la recompensa que está ofreciendo Microsoft por información que lleve al arresto del creador del gusano conficker, del que ya he hablado alguna que otra vez porque según ellos se trata de un ataque criminal.

La solución definitiva NO es detener al creador del gusano.

Lo que se consigue deteniendo al creador del gusano es eliminar a UN programador de malware, puede que incluso uno de los buenos y como mucho que sirva de escarmiento para algún otro… pero cuando estamos hablando de mafias, de profesionales del malware, … parece claro que, detener a un técnico, no es la solución definitiva.

El camino más eficiente para mitigar estos problemas es la CONCIENCIACIÓN.

  • Concienciación y formación a los desarrolladores de software, para que desarrollen con la seguridad en mente, evitando que sus programas dependan, por ejemplo, de su ejecución con más privilegios de los necesarios, sin controles ni medidas enfocadas a producir herramientas robustas.
  • Concienciación y formación a los administradores de sistemas y red, para que administren sus sistemas con la seguridad en mente, para que se instalen los parches necesarios y se mantengan los sistemas bien ajustados.
  • Concienciación y formación a los usuarios, para que no utilicen más privilegios de los necesarios, no instalen cualquier programa que les llegue, desconfíen de los mensajes, páginas o personas sospechosas , …
  • Concienciación y formación para los profesionales de la seguridad de la información, ingenieros, auditores, administradores de seguridad, … porque lo nuestro es una carrera y los malos van muchas veces por delante así que hay que estar al día en las nuevas técnicas y estrategias, intentar adelantarnos y detectar los problemas antes de que hagan daño.

Vuelve Conficker y los problemas de no parchear

No es nuevo el problema, Microsoft publicaba el parche a finales de octubre en una distribución de esas críticas fuera de ciclo. El hecho de que hagan una distribución fuera de ciclo debe ser motivo para tomárselo en serio y en muchas de las grandes redes se iniciaron los procedimientos para actualizar e instalar dicha actualización cuanto antes.

En menos de un mes ya teníamos al menos un virus detectado y dando guerra. El Conficker se hizo presente. Como siempre, las primeras informaciones eran vagas (conficker, Gimmiv, ¿otro?) y había que fiarse de la intuición y experiencia para identificar como un virus determinados patrones ya sea en el tráfico de la red, en las incidencias de los usuarios, …

A los días las primeras infecciones ya eran masivas. Grandes redes infectadas por un gusano que se introducía en todas las máquinas que no tenían el parche aplicado (y habían reiniciado tras la actualización), los fabricantes de antivirus no daban con la tecla para limpiar las infecciones y sacaban varios patrones de firmas al día tratando de dar con la tecla, las redes mal segmentadas se bloqueaban con el tráfico que el gusano generaba, … caos.

Pasa el tiempo, los administradores (que no lo hicieron a tiempo) van parcheando, los fabricantes de antivirus generan y distribuyen las firmas del virus y parece que todo vuelve a la normalidad… pero no.

A principios del mes de enero, una variante de conficker vuelve a las redes y caen de nuevo las grandes redes. Cuentas de usuario bloqueadas, tráfico que colapsa los routers, los foros y webs echando humo, … en medio de la confusión Panda la caga con un falso positivo y hace que los síntomas de un virus se mezclen con los síntomas del falso positivo de Panda… vuelta a investigar, …

Esta vez la variante es más lista y no sólo se propaga con un gusano típico como en noviembre/diciembre… ahora también lo hace a través de los recursos compartidos, los discos USB, … la Ingeniería Social, crackeando contraseñas débiles usando diccionarios rudimentarios, … vuelta a investigar, vuelta a poner parches (¿pero… no estaban puestos ya? ¿Es que la gente no aprende?).

No se si alguna vez se ganará la guerra a los creadores de virus y malware. Me da que no, siempre vamos al menos un paso por detrás… generando parches y antivirus.

Aun quedan administradores que no ven la actualización de parches de seguridad como algo crítico de sus sistemas (si funciona no lo toques). El miedo a que algo deje de funcionar por instalar un parche sigue pesando más que el miedo a que toda la red deje de funcionar y no puedan dar servicio por una infección masiva (¿?) pero el caso es que los parches no se instalan… o no se hace a tiempo.

¿Qué cuesta más? ¿Mantener un parque de máquinas actualizadas y con los parches de seguridad y antivirus al día o quedarte sin servicio, sin previo aviso, tener que parchear a toda prisa y sin hacer las pruebas pertinentes el día de la catástrofe?

La Gestión de la Seguridad de la Información suele recomendar eso de parchear…

Empezando un blog

¿Cómo se empieza un blog? ¿Por qué?

El por qué es relativamente sencillo: porque si.

El problema puede llegar con el cómo. No debería ser difícil… hablar de alguna de las cosas que te puedan interesar… no se, a lo mejor podría:

  • empezar con algún tema de seguridad de la información: hoy el día es propicio, se ha conocido un exploit para Internet Explorer 7 que unos chinos han desvelado sin querer, Microsoft reconoce el problema pero no dice cuando publicará el parche… o de cómo cada día es más habitual que se hable de terrorismo, guerras y sus equivalentes en Internet, … cualquiera de esos temas dan por lo menos para un mensaje inicial.
  • empezar hablando de radioafición: que se trata de un tema que probablemente muchos desconozcan. Hay varias operaciones anunciadas para hoy como las de Artántida (KC4AAA) o la Rep. Dem. del Congo (9Q1TB) y alguna otra cosa curiosa.
  • empezar hablando de software libre que también es un buen tema. Podría comentar algo de KDE, de KDE-ES y el magnífico equipo de traductores que lo forma.
  • empezar hablando de Debian, de algún paquete nuevo, que me guste, disguste o llame mi atención.
  • empezar hablando de software libre y radioafición comentando que hace sólo unos pocos días que publiqué la versión 0.4.5 de KLog y explicando las mejoras que trae esta nueva versión.
  • empezar comentando alguna noticia que me haya llamado la atención a lo largo del día de hoy.
  • empezar hablando del blog de un amigo o del blog de otro (que cualquiera de los dos pueden sentirse culpables porque esté escribiendo yo esto… a base de leeros me ha dado por probar!).
  • empezar presentando cómo los vecinos de Valdemoro (Madrid) se han organizado para acabar con los malos olores que la industria cercana genera alrededor de una web (Valdemoro Apesta) y cómo las acciones on-line tienen repercusiones en el mundo real, off-line.

Vamos que hay muchas cosas sobre las que se puede escribir para comenzar un blog y no siempre es fácil elegir.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies