Cómo sobrevivir a Windows XP y no morir en el intento: Lecciones aprendidas

Fotografía de Antonio SanzPara este miércoles tenemos una entrada de Antonio Sanz, Ingeniero Superior de Telecomunicaciones y Master en ICT por la Universidad de Zaragoza.

Actualmente es el Responsable de Sistemas y Seguridad del I3A (Instituto de Investigación en Ingeniería de Aragón), y trabaja como perito en informática forense. Posee las certificaciones CISA, CISM, CHFI e ITILf, y sus áreas de interés actuales son la respuesta ante incidentes, la informática forense y el cibercrimen. Tuitea como @antoniosanzalc y es un imprescindible en cuestiones de ciberseguridad, cibercrimen y APTs entre otros aspectos, dándole una perspectiva geopolítica sumamente interesante.

El fin de vida de Windows XP ha traído, está trayendo (y traerá) muchos quebraderos de cabeza tanto a administradores de sistemas como a los expertos en seguridad. En este artículo se pretende ofrecer soluciones y consejos basados en nuestra experiencia en el I3A (Instituto de Investigación en Ingeniería) de la Universidad de Zaragoza.

El primer paso a seguir es definir el objetivo del proyecto y los parámetros de partida. El objetivo principal no debería ser reemplazar Windows XP por otro sistema operativo, sino apoyar los procesos de negocio (en nuestro caso la investigación realizada por nuestros miembros). Ese apoyo se traduce directamente en este caso en una gestión del riesgo, orientada a controlar y reducir el mismo hasta niveles aceptables.

Como parte de los parámetros iniciales se tiene que el proyecto debería terminar lo antes posible (de forma óptima a principios de Abril, cuando se daba por finalizado el soporte). Por razones obvias de la coyuntura económica actual, el gasto a realizar debería de ser el mínimo posible.

[Read more…]

XP: El ataque de los muertos vivientes

Fotografía de Antonio SanzPara este miércoles tenemos una entrada de Antonio Sanz, que después de mucho perseguirlo se ha prestado a colaborar con nosotros :)

Antonio es Ingeniero Superior de Telecomunicaciones y Master en ICT por la Universidad de Zaragoza. Actualmente es el Responsable de Sistemas y Seguridad del I3A (Instituto de Investigación en Ingeniería de Aragón), y trabaja como perito en informática forense. Posee las certificaciones CISA, CISM, CHFI e ITILf, y sus áreas de interés actuales son la respuesta ante incidentes, la informática forense y el cibercrimen. Tuitea como @antoniosanzalc y es un imprescindible en cuestiones de ciberseguridad, cibercrimen y APTs entre otros aspectos, dándole una perspectiva geopolítica sumamente interesante.

El próximo 8 de Abril Microsoft finaliza el soporte extendido para Windows XP [1], Office 2003 e Interner Explorer 8, lo que supone que ya no ofrecerá de forma oficial actualizaciones de seguridad. Esto supone un grave problema, ya que XP tiene una cuota a nivel mundial del 30-35% en función de la fuente consultada.

En España, Luis Corrons (Director Técnico de PandaLabs/Panda Security) afirmó en el 7ENISE [2] que en un estudio realizado entre grandes empresas y AAPP Windows XP suponía un 81% de las estaciones de trabajo [3]. Para hacernos una idea de la magnitud del problema, cuando Microsoft finalizó el soporte a Windows 2000 en 2010 tan solo tenía un 0.4% de la cuota de mercado [4].

Los problemas de la migración de Windows XP a un sistema operativo superior (Windows 7 o Windows 8) son variados. En primer lugar está el problema de la potencia de los equipos [5], ya que no todos los equipos tendrán hardware lo suficientemente potente como para correr 7/8 (aunque en mi experiencia, un Pentium IV con 2Gb de RAM, si se le desactiva Aero y otros servicios puede ser todavía usable).

[Read more…]

SCADA e Internet, una pareja mal avenida (II)

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

El lunes publicamos la primera parte de Scada e Internet, una pareja mal avenida. Pues bien, hoy continuamos con la segunda parte para centrarnos en el posible impacto que tendrían las amenazas actuales contra alguno de estos sistemas.

Podríamos hablar de 3 tipos de impacto:

  • Impacto físico: Como consecuencia de un incidente de seguridad podemos sufrir daños en personas, pérdidas de operaciones, pérdida de propiedad o incluso pérdidas de vidas.
  • Impacto económico: Esta situación viene derivada de los daños físicos. El impacto físico, tal como se ha comentado, puede afectar a procesos operacionales que a su vez pueden afectar negativamente la economía local, regional, nacional o incluso la economía global. Adicionalmente las corporaciones que experimenten pérdidas en la continuidad de negocio y/o impacto físico de un incidente de ciberseguridad verán afectada su reputación, lo cual repercutirá en el mercado financiero por la supuesta pérdida de ingresos debido a clientes insatisfechos, desconfiados, etc. Para obtener de nuevo una buena reputación habrá que promover campañas y destinar fondos a una mejora de imagen.
  • [Read more…]

SCADA e Internet, una pareja mal avenida (I)

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

Ya se ha hablado en este blog en distintos artículos sobre los temas relacionados con sistemas SCADA y no es un tema que se pueda obviar fácilmente tratando de seguridad puesto que tanto a nivel internacional como a nivel nacional se han iniciado diversas acciones legislativas para proteger las infraestructuras críticas (IC) asociadas a este tipo de sistemas.

Los sistemas SCADA (Supervisory Control and Data Acquisition) se utilizan en redes de control de equipamiento en procesos industriales para monitorizar y controlar infraestructuras importantes tales como plantas de generación de energía, redes de transmisión eléctrica, control de aguas, refinerías, oleoductos o gaseoductos, además de sistemas de transporte y comunicaciones. Basta con echar un vistazo a la lista anterior para darnos cuenta de la importancia que pueden tener.

[Read more…]

La NSA no es la única que te espía

Para hoy jueves tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

Hace cosa de diez años Steven Spielberg tuvo a Tom Cruise corriendo durante unos cien minutos en una película de ciencia ficción bastante solvente llamada MinorityReport. Hacia el último tercio del film, el personaje de Cruise se introduce en una galería comercial donde escáneres de retina situados estratégicamente lo identifican ¿para atraparlo? No, qué va; para programar los carteles que, a su paso por la galería, le muestran anuncios personalizados.

[Read more…]

El año del Big Data

Para hoy martes tenemos una entrada de Marcos García, que ya ha colaborado con nosotros anteriormente en aspectos relacionados con la gestión de marca y reputación en las organizaciones.

Periodista digitalizado y Director estratégico de écran Comunicación Interactiva, donde trabaja planificando estrategias de comunicación y escribiendo al respecto en el blog EstrategicaMENTE. Tuitea, de vez en cuando, como @elplumilla.

2013 va a ser el año del Big Data. No lo digo yo, lo dice la consultora Gartner que sitúa este concepto entre las siete tendencias que definirán el escenario tecnológico que está por venir. No es que el concepto de Big Data sea nuevo. El concepto existe de hace varias décadas, prácticamente las mismas en las que la tecnología se ha asentado como un valor diferencial en la empresa.

Ahora disponemos de la tecnología para trabajar con grandes cantidades de información gracias a los avances en correlación de eventos, reducción de costes de almacenamiento y hardware capaz de procesar estas bases de datos masivas.

[Read more…]

Buster Sandbox Analyzer

(Hoy tenemos una colaboración de Pedro López, en la que presenta la herramienta Buster Sandbox Analyzer a aquellos que todavía no la conozcan e invita a cualquier persona interesada a colaborar con su desarrollo)

Buster Sandbox Analyzer es una herramienta diseñada para analizar el comportamiento de aplicaciones, específicamente aquellos sospechosos, es decir aquellas acciones que lleva a cabo de forma típica el malware. Algunos ejemplos de acciones típicas son que el fichero ejecutado haga una copia de sí mismo en otro lugar del disco duro, que modifique claves del registro o que añada ficheros en el directorio de instalación del Windows entre otros.

No obstante, a la hora de identificar una acción como «peligrosa», cabe plantearse que algunas, si no muchas, de las acciones que se pueden considerar como sospechosas también las suelen realizar aplicaciones legítimas, por eso es muy importante considerar el contexto general de la aplicación analizada: ¿es razonable que la aplicación que estamos analizado realice esas acciones?

[Read more…]

¡Cuidado! Códigos QR

La entrada de hoy corre a cargo de Xavi Morant, coordinador técnico de CSIRT-CV. Xavi es Licenciado en Informática por la Universidad Politécnica de Valencia y ha desarrollado su carrera profesional dentro de la Generalitat Valenciana, tanto en el ámbito de la administración de Sistemas como en el de la Seguridad; desde 2007 ocupa el puesto de coordinador técnico del CSIRT-CV, el centro de seguridad TIC de la Comunitat Valenciana.

A estas alturas todos conocemos ya los códigos QR. Son estas imágenes rectangulares que parecen un criptograma y que podemos ver en pancartas publicitarias, dentro de folletos de publicidad, revistas, en las cajas de productos del super, etc. La intención inicial de los Códigos QR fue utilizarlos para inventariar los repuestos de almacén de forma rápida (Quick Response Codes) pero su uso se ha extendido hasta que podríamos considerar que es una forma de ‘realidad aumentada’.

Estos códigos bidimensionales se utilizan para almacenar información que puede contener desde una URL de una web hasta una tarjeta de visita, con una capacidad máxima de almacenamiento de 4.296 caracteres que se ven reducidos según el nivel de corrección de errores que se quiera incorporar en la imagen. De esta forma podemos enlazar a la descarga de un mp3, instalar una aplicación, enviar un correo electrónico, obtener información, marcar un número de teléfono, e incluso realizar pagos. Para casi todas estas acciones será preciso disponer de conexión a Internet.

El éxito de este tipo de código puede residir en que hoy en día todos los teléfonos inteligentes, con cámara, pueden disponer de un programa que lea este tipo de códigos bidimensionales y además, se trata de un código abierto cuyos derechos de patente no son ejercidos por Denso Wave.

Se han utilizado en campañas publicitarias que han causado cierto revuelo. Recientemente, en los juegos olímpicos de Londres, el equipo de beach volley británico llevaba uno de estos QR en la parte posterior del bikini; este código QR enlazaba con la página web del patrocinador. A Calvin Klein le censuraron ciertos anuncios por considerarlos de contenido explícito no apropiado, así que retiró las imágenes y las sustituyó por códigos QR que enlazaban a su visualización en Internet. Hay incluso quien parece que se quedó sin palabras y en la lápida del difunto solo le dejaron un código QR.

[Read more…]

¿Puedo colgar las fotografías de las vacaciones con mis amigos en redes sociales?

Aprovechando que estamos ya a la vuelta de las vacaciones (algunos incluso de vuelta literalmente), traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en relación con esas fotos que todo el mundo se saca alegremente pero que luego nunca se sabe dónde pueden acabar.

Las vacaciones son un derecho reconocido legal y socialmente reconocido para estudiantes y trabajadores por cuenta ajena, así como para todo aquel que se toma merecidamente un receso en su actividad diaria para el descanso. A diferencia unos años atrás, ahora con las nuevas tecnologías, las redes sociales, los Smartphone y otra serie de dispositivos móviles, resulta fácil contar y retratar al detalle dónde nos encontramos, las tareas que estamos cometiendo e incluso nuestros pensamientos y opiniones a todos los amigos, familiares y/o lista de contactos en general.

La cuestión, y el objeto del presente post, es analizar jurídicamente las consecuencias de incluir a otras personas en la crónica vacacional en las redes sociales pudiendo en ocasiones, vulnerar inconscientemente derechos fundamentales de terceros.

1) En el marco del derecho a la Intimidad Personal y Familiar y la Propia Imagen

Este derecho está reconocido en el artículo 18.1 de la Constitución y regulado en la Ley Orgánica 1/82, de 5 de mayo (Ley Orgánica 1/82, de 5 de mayo1, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen). La Protección de estos derechos está delimitada por las leyes y por los usos sociales según el ámbito que mantenga cada persona reservado para sí o su familia.

[Read more…]

La búsqueda de empleo en las redes sociales

Para hoy jueves, Día de Internet, traemos una entrada de Cristina Martínez Garay, abogado de Derecho Tecnológico de la firma Rocabert & Grau Abogados, bufete que colabora con Security Art Work, en un ámbito un poco diferente a lo que solemos tratar en SAW, pero que seguro que interesa a muchos de los que nos leen.

Hoy, con motivo de la celebración del día de Internet, promovido desde 2005 por la Asociación de usuarios en Internet a las que se han ido sumando diferentes asociaciones españolas, me gustaría reflexionar sobre las virtudes y facilidades que los Servicios de la Sociedad de la Información han traído a las vidas de muchos ciudadanos y empresas internautas y qué mejor forma de hacerlo en los tiempos que corren que reflejarlo en la búsqueda de empleo.

En España el 48% de la población utiliza Internet para buscar empleo, según la reciente encuesta realizada por la consultora Ipsos siendo la referida tasa superior a la de otros países, como Italia (36%), Alemania (30%) o Francia( 25%). Para más datos, según el último informe publicado por el Instituto Nacional de Estadística (INE) en fecha 5 de octubre de 2011, el índice de personas en situación de desempleo que usaron Internet en sus hogares asciende al 86,6 % y aunque desconocemos los usos de este porcentaje, qué duda cabe que Internet es una herramienta útil para la búsqueda de empleo.

[Read more…]