Si bien el crecimiento de Firefox es más que notorio, todavía no es un navegador masivo. Más del 80% de los ordenadores del mundo se conectan a la Red mediante Internet Explorer, un programa denostado por casi todos y que no acaba de mejorar con el paso de las versiones. Microsoft presentó el pasado mes de noviembre su IE7 con el ánimo de dar carpetazo al Explorer 6, un verdadero coladero para todo tipo de amenazas.
El Washington Post ha demostrado que a lo largo del pasado año 2006 el Internet Explorer 6 fue inseguro durante 284 días. Tres cuartas partes del año los usuarios de este navegador estuvieron expuestos a todo tipo de peligros.
Sonrían con nosotros: los que navegamos con Firefox sólo estuvimos expuestos al peligro durante nueve días.

La filosofía de carpeta más barata lleva siglos defendiendo que las mejores esencias se guardan en tarros pequeños. Este axioma tan tontorrón es también verdad aplicado a la seguridad en la Red: ser pequeño es una gran manera de protegerse. Desde hace años el malware se ceba con sistemas operativos de masas y exploradores de éxito y suele dejar indemnes a los rivales minoritarios. Es de cajón que Apple o Firefox no son más seguros que Windows o Explorer, lo que pasa es que son más pequeños y, la mayoría de las veces, no interesa atacarlos. Seguramente, sometidos a la misma presión que los grandes, cederían con similar estrépito.
Pero este problema se reproduce también en su supuesto remedio: los antivirus más famosos son también los más frágiles. El 80% del código malicioso se cuela por las rendijas de los sistemas de seguridad más comunes. En resumen, los antivirus superventas no funcionan.
El motivo es fácil, los encargados de desarrollar malware prueban su código contra los paquetes más habituales de compañías como Symantec, McAfee o Trend Micro para asegurarse una difusión masiva ya que estas tres marcas copan la mayor parte del mercado del miedo. Y frente a estas (que dejan pasar casi todos los ataques) servicios como Kaspersky (de origen ruso) consiguen bloquear el 90% de las oleadas. Pero claro, esta empresa apenas si controla el 0.7% del universo de la seguridad.
Así, las empresas de seguridad al final no parecen cumplir con su cometido no por capacidad,  recursos, velocidad de respuesta o habilidad sino por un problema siniestro: el éxito.

Yo tengo claro que los que escribimos este “˜blog“™ somos personas, pero permítanme dudar mucho más de todos ustedes. Seguro que entre aquellos que cada día pasan por aquí a echar una ojeada hay muchas máquinas. En serio, tendrían que ver nuestro buzón de correo o nuestra pestaña de “˜comentarios a moderar”™ para comprobar que muchos de nuestros lectores tienen el corazón de lata.
La plaga del spam ha provocado que en muchos de los servicios que usamos todos a diario tengamos que demostrar que somos seres humanos y no robots. La inteligencia artificial ha mejorado lo suficiente como para que ahora una de las pocas maneras de demostrar que somos personas sea la prueba de Turing inversa: esos (a veces delirantes) captchas (Completely Automated Public Turing test to tell Computers and Humans Apart) que encontramos cada vez en más páginas: pequeñas imágenes con textos deformados que debemos validar en formularios. La validez de este tipo de pruebas se basa en la suposición de que un robot no es capaz de comprender estas secuencias distorsionadas e introducir la respuesta válida de forma correcta (por lo que solamente el humano podría hacerlo).
Este ánimo por diferencias humanos de máquinas ha dado un paso más allá basándose en una suposición igual de válida: un robot no entiende nada de belleza. Y así ha nacido Hotcaptcha, un servicio de discriminación de robots que se basa en el API de “˜hotornot“™ y obliga al usuario a discriminar a los tres tipos o las tres chicas que son atractivas (os) entre otros seis ejemplares feotes. Si bien la elección de los tres sujetos “˜guapos”™ es subjetiva incluso para un bípedo como usted y yo, los responsables del proyecto tienen claro que el criterio humano siempre será más certero que el de una máquina.
¿Ingenioso eh?

“No tiene permisos para instalar ese programa”?, un mensaje de esta guisa o de similar tono es más que habitual en los ordenadores de casi todas las oficinas. Los sistemas de permisos y privilegios en las empresas suelen ser restrictivos, cuando no severos, y se argumentan  (desde el departamento correspondiente) sobre la base de la seguridad común y del control de todo el software que se usa en la red compartida. Argumentos no les faltan.
Pero ¿cómo se decide el nivel de peligro de un programa? ¿Cuando es peligroso por su mala actualización y cuando por si mismo? ¿Qué es el peligro en un entorno como el actual? Pues si quieren alguna pista de los motivos que llevan a su jefe de sistemas a no dejarle instalar MSN Messenger, sigan leyendo.
La idea de base es que el código maligno es peligroso, sí, pero mucho peor es un entorno de trabajo poco seguro. Esta idea podría ser suscrita casi sin discutir, pero claro, cuando viene de la mano de este estudio de Bit9 toca arquear la ceja y ponerla en cuarentena. Le pillamos prestada la referencia a El-Qudsi y permítanme dejarles aquí el “˜top 3″™de los programas más peligrosos para el usuario:
1) Mozilla Firefox 1.0.7
2) Apple iTunes 6.02 y Quicktime 7.0.3
3) Skype 1.4
¿Impresiona verdad? Pues no se pierdan los motivos de alarma ni el resto de software a poner en cuarentena en la oficina: ni MSN Messenger, ni Flash, ni Yahoo Messenger se escapan de la quema.
Pero quizá lo más delirante son las recomendaciones para blindar ese entorno seguro en la empresa. Se resumen rápido: no instale nada de nada nunca jamás.

Invertir en seguridad, en sistemas más estables y una gestión de los datos más fiable es un proyecto honorable, pero también es una tarea que se enfrenta a retos cada vez mayores (y no todos tienen solución). Es raro que Microsoft hablé tan abiertamente de estos asuntos y que, además, reconozca que la labor es enorme visto el nivel de ataques al que se enfrentan. Pero quizá el peor enemigo, la falla más importante y la que no tiene solución posible es “la estupidez humana”?. Al menos esto aseguran desde Redmond para justificar las oleadas de “˜phishing”™ de los últimos tiempos.

Social engineering is a very, very effective technique. We have statistics that show significant infection rates for the social engineering malware. Phishing is a major problem because there really is no patch for human stupidity.

La verdad es que si cabe cierta sensación de que esta afirmación, quizá tan gruesa, tiene una parte importante de verdad visto el bajísimo nivel de los correos electrónicos que suelen propagar este tipo de ataques.
vía> ZdNet > Eweek

Tras este tipo de ataques una nunca sabe que impulso aprieta el gatillo. Puede ser el ego, puede ser la rabia o incluso las ganas de parir ruido. Los “˜defacements”™, la alteración de un web para colgar un mensaje (una foto o una chorrada), son moneda más o menos corriente en la Red y, si bien no causan grandes daños, si son un incordio cuando no un bochorno.
En la velocidad de Internet ya no vale con cambiarle la cara a una página para generar buzz, ahora hay que hacerlo de manera espectacular (o hacerlo mucho). iSKORPiTX, un pirata turco, parece haber apostado por la cantidad y ha logrado generar “el mayor incidente en la historia del web hosting“. Según las cuentas de Zone-H, iSKORPiTX se ha llevado por delante más de 20.000 páginas (pero las cuentas deben de ser mayores, ya no dan abasto para contar). Aun así sigue lejos de sus registros históricos, hace algunos años (y en un ataque similar) este mismo personaje le cambió la cara a 100.000 webs. Aquí empiezan las teorías habituales sobre la identidad del pirata, su edad (se habla de unos 45 años) o sus motivaciones (miren la imagen y saquen sus conclusiones).

El informe lleva circulando ya una semana pero lo reseñamos ahora a raíz de la nota que han sacado en DiarioTi. Según el analista de malware Yuri Mashevsky la creación y distribución de código maligno (en todas sus variantes, virus,troyanos, rootkits -de esto sabe mucho Sony-) es más rentable que toda la industria encargada de dar seguridad a los clientes. En las conclusiones del informe también se menciona que la tendencia que se consolida es la de lanzar grandes ataques contra servicios públicos o grandes corporaciones ya que los usuarios finales individuales apenas si satisfacen la rentabilidad del ataque.  Al final se trata de una industria como cualquier otra en la que hay que ahogar a los rivales y buscar dinero sin perder ojo a las tendencias del mercado y cuidando la publicidad.

La compañía especializada en seguridad S21sec ha pasado un 2005 movidito, según el informe que han presentado hoy en Madrid a lo largo de los últimos meses (desde marzo a enero) han detectado y solucionado 609 casos de fraude online. Esto se resume en dos casos diarios (en su mayoría de phishing) con picos de absoluto vértigo, como el mes de octubre en el que combatieron contra más de 150 intentos de ataque.
En un negocio como el de la seguridad los activos fundamentales son la confianza y la agilidad: cada uno de estos casos se solucionó, de media, en menos de dos días, lo que supone detectar, comunicar y cerrar sitios con vocación delictiva a lo largo y ancho de todo el mundo a cualquier hora y en cualquier idioma (gracias, cuentan, al apoyo de la red de Verisgn). Cerrar una página en España es fácil, pero no lo es tanto en Corea (o Francia”¦)
Los detalles del informe los podéis consulta en el web de la compañía. En el turno de preguntas se han comentado un par de detalles significativos sobre el lado oscuro de la Red: en contra de lo que pueda parecer el negocio del fraude online vive su mejor momento ahora, las cantidades de dinero que se mueven son cada vez mayores. Dos ejemplos, las mulas, personas encargadas de “˜cobrar”™ el dinero de los ataques pueden embolsarse entre 1.000 y 4.000 euros al mes. Sin duda es un trabajo de riesgo, pero la cantidad, estaremos de acuerdo, no está mal si todo lo que tienes que hacer es mirar tu pantalla”¦
Otro sueldo majo es el que cobran los programadores. Si antes un “˜sploid”™ se cobraba a unos 500 dólares, ahora esa cifra se ha multiplicado por 7. 3.500 dólares por un programita”¦.
Esto de la orilla peligrosa ha perdido todo su romanticismo, nada de chavales jugando a piratas, el perfil de los ciberdilencuentes es mucho más gris: profesional, de unos 40 años y asalariado.

La palabra “˜irrompible”™ es una tentación demasiado poderosa. “˜Sistemas de seguridad irrompibles”™, “˜protección anticopia irrompible”™”¦ No sé, deberían dejar de usarlo o asumir la risotada general cuando lo “˜irrompible”™ se descubre “˜frágil”™ apenas unos días después. La Xbox 360 salió a la venta en Estados Unidos el pasado 22 de noviembre y, no ha pasado un mes, ya han conseguido “˜abrirla”™.
Un grupo autodenominado “˜Pi”™ asegura haber descodificado (y publicado) el sistema de archivos de la consola. Según ellos, con este avance no se puede hacer mucho más que sacar una imagen de los discos, pero el pasito está generando una animada charla en la Red. Lo típico, que si a Microsft le conviene que la pirateen cuanto antes, que si tardarán meses en sacar un chip, que si no tiene nada que hacer frente a la PS3, que si este paso es importantísimo y ahora se venderá más rápido, y alguna cosa más sesuda.

El polémico sistema contra la piratería que Sony utiliza en algunos de sus discos, sobre el que les hablaba la semana pasada, sigue dando noticias. Las compañías antivirus se están planteando incluir esta tecnología en sus listas de amenazas, y los artistas que incorporan estas tecnologías en sus CDs han visto como cae la opinión que sobre su trabajo por culpa de la medida de la discográfica. Ésta ya ha reculado y ofrece una herramienta que revela la existencia de los archivos ocultos que instalan sus CDs.

Pero no queda ahí la cosa. Security Focus informa hoy sobre el uso que algunos hackers están haciendo de estas herramientas creadas por Sony para hacer trampas en World of Warcraft, un juego de la compañía Blizzard Entertainment. Ésta había creado un software que permite detectar a los jugadores tramposos, pero parece que si usan adecuadamente la tecnología que Sony creó para los CDs, sus trucos siguen siendo invisibles.

Por cierto, no puedo dejar pasar la ocasión de citar otra medida antipiratería que también puede resultar muy molesta, firmada por Santiago Segura. Éste distribuye una supuesta copia de Torrente 3 por las redes P2P que realmente oculta un discurso del director contra la copia ilegal de su última película. Hay a quien no le ha hecho gracia.