Correos no deseados con presentaciones de PowerPoint

Allá por del año 2006 publicaba un post que iniciaba diciendo: 'El 22 de Agosto próximo pasado envié a una lista de distribución que tengo (amigos), la transcripción del post del Blog de Enrique Dans "PowerPoint tampoco es seguro...", donde se comenta sobre como "un virus que utiliza una vulnerabilidad no parcheada de PowerPoint y libera un fichero ejecutable que descarga de la red diversos tipos de malware, que convierten al ordenador en un cliente zombie"'

Bueno, lamentablemente el tema en las últimas semanas tomo vigencia al saberse que existe una nueva vulnerabilidad de PowerPoint, reconocida y no solucionada por Microsoft. La falla fue calificada altamente crítica por la Coordinación de Emergencias en Redes Teleinformáticas de Argentina (ArCERT, www.arcert.gov.ar). El problema informado se trata de un “zer0 day” presente en todas las versiones de Microsoft PowerPoint (excepto la versión 2007) que está siendo ya aprovechado por atacantes. La difusión de esta noticia, no se hizo esperar, y prácticamente fue publicada por todos los medios.

Según algunos comentarios recibidos, se vio un incremento de casos con problemas serios desde días previos a la Semana Santa y alrededor de Pascuas. Como Uds. saben son días en que se envían salutaciones religiosas y mucha gente utiliza esas vistosas presentaciones y tarjetas electrónicas con mensajes muy bien pensados, pero que lamentablemente se ignora que muchos de ellos son portadores de códigos de malware.

Ante este reiterado problema, lo más prudente ha sido y es tomar medidas de prevención orientados a resguardar la seguridad del equipo y su información.

Este correo no deseado se lo considera spam, y desde que el tema spam se lo tipifica como un problema, la principal recomendación ha sido "Mantenga el correo no deseado lejos de su bandeja de entrada", para ello se ha sugerido una serie de consejos, que no están demás recordarlos:

• Implemente una política de seguridad e informe de la misma a sus contactos.
• No abra mensajes con adjuntos no solicitados, o no anunciados previamente.
  
• Utilice la tecnología disponible para bloquear los mensajes de correo electrónico no deseados.
• Utilice filtros contra correo no deseado que se adapten a sus necesidades.
• Bloquee los mensajes instantáneos no deseados.
• Bloquee las imágenes.
• Actualice sus filtros.
• Incremente el nivel de seguridad de su computadora.

Un detalle que siempre se marca es, que en caso de un incidente o "infección", lo más probable que el malware haya llegado en un correo de un seguro y confiable amigo. Detalle por el cual no hay que bajar la guardia, y es aquí donde gana importancia el implementar una política de seguridad debidamente informada a sus contactos.

Finalmente, si llega un correo no deseado con una presentación de PowerPoint, no abras el archivo adjunto.

Actualización 15-04-2009:

La energía que utiliza el spam al año podría abastecer a 2,4 millones de hogares.- "El spam no sólo da gana de matar a los creadores de dichos odiosos correos, sino también contamina y, la verdad, muchísimo. Para ser más exactos la gente de McAfee realizó un estudio llamado La huella de carbono del Spam que informa que los correos electrónicos indeseados contaminan lo mismo que 3,1 millones de vehículos". ALT1040.

Transparencia en el sector público

"Diez medidas para la transparencia", un post del excelente blog español Administraciones en red, donde trascriben esta lista de medidas, que surgen como resultado de un panel realizado en el reciente cuerso Gov2.0 Camp en Washington, y coordinado por Andrew Rasiej, fundador del Personal Democracy Forum.

Las diez medidas son:

1. Datos abiertos: el Gobierno federal debe disponer todos los datos de forma buscable, encontrable y accesible
2. Desvelar los datos de gastos: El Gobierno debe dar a conocer cómo se está gastando el dinero de los contribuyentes, quién lo está gastando y cómo está siendo gastado.
3. Datos de consumo: Cómo el Gobierno decide dónde ir gastando el dinero, quién lo va haciendo y cómo podemos medir el éxito.
4. Portal abierto para la solicitud pública de información: Debe haber un repositorio central para todas las solicitudes que puedan ser hechas públicas, según el Acta de Libertad de Información, de manera que la gente puede ver en tiempo real cuándo entran las solicitudes y la rapidez con que el Gobierno responde a ellas.
5. Datos distribuidos: El Gobierno debe asegurarse de que construye redundancia en su sistema, de forma que los datos no se conservan en un solo lugar, sino en múltiples lugares en prevención de un desastre, ataque terrorista o alguna otra razón que pueda causar daño a los datos. La redundancia garantizaría que el Gobierno pueda reconstruir los datos para uso futuro.
6. Reuniones abiertas: las reuniones del Gobierno deben estar abiertas al público para que los ciudadanos puedan saber quién está tratando de influir en el Gobierno. Todas las citas se publicarán tan pronto como se concierten, de manera que la gente pueda ver quién se cita con quién y con quién está tratando de influir a quién.
7. Investigación gubernamental abierta: En la actualidad, cuando el gobierno lleva a cabo investigaciones, no suele informar de qué datos recoge, hasta que el proyecto está terminado. El Gobierno debería informar de los datos de la investigación mientras se están recogiendo, en estado beta. Esta sería una medida de transparencia y cambiaría la relación que tienen las personas con la investigación gubernamental, al momento en que se está realizando.
8. Transparencia en la recopilación de información: El gobierno debe dar a conocer cómo es la recopilación de información, para quién está recogiendo los datos, y por qué es relevante. El público debe tener la capacidad de juzgar si es o no valioso para ellos, y la posibilidad de hacer comentarios al respecto.
9. Permitir que el público hable directamente con el Presidente: Recientemente, hemos visto al presidente participar en algo llamado "Open for Questions", donde dio acceso público a hacer preguntas. Esto le permitió salir de su burbuja. Estar en contacto con el público directamente es otra medida de transparencia.
10. Datos buscables, rastreables y accesibles: Si el Gobierno hiciera todos los datos buscables, rastreables y accesibles, estaríamos en el camino a la realización de todos los objetivos presentados en el Gov2.0 Camp.

Que importante sería que en los ámbitos de nuestros decisores públicos estas recomendaciones se tuvieran en cuenta. Pero muy lamentablemente aún la política argentina deja mucho que desear, y eso que existen en el País equipos técnicos con la capacidad suficiente para asesorarlos correctamente en la implementación de acciones, dentro del e-government, orientadas a mejorar la transparencia de los actos de gobierno. Pero bueno, algún día será.

Singapur anuncia banda ancha a 100 Mbps

El Gobierno de Singapur anuncia 100 Mb con 50 de subida por menos de 40 euros al mes.- "El Gobierno de Singapur ha anunciado un ambicioso plan para ofrecer 100 megas con fibra óptica. Según las previsiones del ejecutivo, en 2010 el 60 por ciento de la población tendrá cobertura y el precio será inferior a 40 euros".
"A finales de 2012 la cobertura superará el 95% del territorio y además la red estará preparada para ofrecer velocidades superiores a 1 Gbps. En la presentación que han mostrado a los medios locales afirman que la fibra debe imponerse porque el ADSL es una tecnología muy asimétrica que no favorece el desarrollo de la sociedad de la información". ADSLZone.

Noticia relacionada: Banda ancha a 1 Gbps.

Mediocres

"Los espíritus mediocres suelen condenar todo aquello que está fuera de su alcance"

François de la Rochefoucauld (1613-1680).

Sobre las redes sociales

Como muchos el tema de las redes sociales en algún momento llamó mi atención, y hasta he participado de un par de ellas, pero como tengo cierta naturaleza a tratar el porque de los porque, me puse a indagar entre los que considero con cierta experiencia en el tema y allí surgio mi desconfianza a esas "redes sociales", "¿herramientas?" de dudosa utilidad pero de fácil manipulación para quien lo controle.

Como ya lo han señalado en algunos ámbitos, hemos llegando a un punto en el que Internet, nos ha dado una falsa imagen de privacidad. Existen un puñado de empresas que tienen en su poder información personal de millones de personas, y no son pocos los que indican que no existen las suficientes garantías de que esa información permanecerá en privado.

El exceso de confianza en los usuarios ha hecho que éstos suban todo tipo de información, inclusive información sensible. Hay que tener en cuenta que es mucha la gente que está a la pesca de esa información. Para ejemplo, hace unos días se informó que "la compañía de recursos humanos Randstad advirtió que el uso de las redes sociales online, cada vez más extendido, puede convertirse en un arma de doble filo a la hora de conseguir un puesto de trabajo".

"Así, subrayó que las empresas pueden acceder a los perfiles publicados por los candidatos en estas redes y ver sus fotos, detalles de su vida personal y comentarios, pudiendo encontrar información que influya en el proceso de selección". Publicado por iProfesional.com - Management.

De idéntica manera, se conoce que los "caza víctimas" para hechos delictivos tienen puestas sus miras en la información subida en esas "redes sociales". Los más audaces delincuentes informáticos ya han probado atacar estas redes como lo fue desde el sábado próximo pasado el popular servicio de microblogging Twitter, mediante el uso de un virus específico (Word:JS/Twettir.A). El propósito del ataque es desviar al usuario a otro sitio, en un procedimiento similar al tristemente famoso "phishing" de las cuentas del home banking.

Esto no es nuevo, en diciembre pasado, 120 millones de usuarios de la red social Facebook fueron víctimas potenciales de un virus de tipo gusano llamado Koobface que se extendió por el sistema de correo de la red enviando mensajes a los amigos de usuarios infectados, recomendando falsas actualizaciones de programas.

En los ambientes corporativos serios, el tema está siendo observado muy atentamente, ya lo hemos señalado en este blog al referirnos al tema factor humano y seguridad. El hecho es que se están marcando casos donde los empleado abusan del tiempo de uso de estas redes en horarios laborales, además de los casos en que en medio de una "conversación" el empleado liberó información estratégica de la empresa, a sabiendas o por descuido.

El tema da para mucho más, pero no me quiero extender. Me parece que hay información suficiente para entender que el participar en esos sistemas implica ciertos niveles de inseguridad, y está en cada uno correr el riesgo o no. Considero que más allá de ser una manera más de comunicarse, como lo es el correo-e o la mensajería instantánea, no tienen otra utilidad. Me parece muy poco serio utilizarlas en ambientes laborales, creo que aquí las empresas u organizaciones deberán avanzar en el conocimiento de las consecuencias, poner las cosas claras y determinar límites a sus empleados.

Actualización 14-04-2009

En LinkedIn aparecieron perfiles de famosas con links a sitios con malware.-"Afirman contener enlaces para acceder a videos y fotos comprometedoras de actrices y cantantes. En realidad, llevan a los usuarios a portales donde se les ofrecen antivirus falsos". Canal-AR.

Por un cero un buque queda inutilizado

La historia esta no tiene nada que ver con el famoso Mitsubishi A6M "Zero-sen", utilizado por los pilotos del "Viento Divino" en la guerra del Pacífico durante la IIWW.

Esta historia tiene que ver con lo informático, más específicamente con la seguridad informática. Le ocurrió al USS Yorktown (CG-48), según lo cuentan en Microsiervos:

"Al parecer en 1997, estando de maniobras, un técnico introdujo un número cero en una base de datos de los sistemas del buque, lo que provocó un error en cadena en otros sistemas de la red informática que gobernaba la nave, que eran 27 Pentiums Pro y un servidor, todos corriendo Windows NT 4.0. Esto hizo que se inutilizara completamente el sistema de propulsión de 80.000 CV, que se detuvo sin arrancar de nuevo. El Yorktown quedó a la deriva durante casi tres horas, lo que tardaron en anular los sistemas informáticos y conectar controles de emergencia para poder llevarlo a puerto. Allí los ingenieros pasaron dos días hasta dar con el problema, reparando los motores y volviendo a dejar todo como estaba originalmente".

"Tras la investigación del incidente se concluyó que aquel «cero» había causado un error de división por cero, uno de los más tradicionales errores lógicos en informática, que el gestor de base de datos no había podido digerir, provocando a su vez una cascada de fallos que inutilizaron el control del sistema de propulsión".

De guatemala a guatepeor con la política en Argentina

El juez de la Corte Zaffaroni criticó las candidaturas testimoniales y defendió el sistema parlamentario.- "Latinoamérica en los últimos 25 años no tiene golpes de Estado, a Dios gracias, pero ha tenido una veintena de presidencias interrumpidas, muchas violentamente, con muertos, etcétera", por lo que "ha llegado el momento de empezar a pensar en pasar a un sistema que permita cambiar un gobierno sin matar a nadie". Declaraciones del juez de la Corte Suprema de Justicia de la Nación Eugenio Zaffaroni. lanacion.com.