nexus

El otro día hablaba sobre transacciones seguras y hoy me encuentro con que el malware se está distribuyendo a través de publicidad en webs tan fiables como la del New York Times. El malware accede a través de algún fallo de Internet Explorer o de Firefox, o quizá intenta aprovecharse de la integración con Adobe Reader, o Flash o por otros métodos. Realmente no es nada nuevo, ya pasó algo parecido con la vulnerabilidad WMF en los foros de AMD hace años y también era habitual con antivirus falsos, incluso hable de ello cuando se propagaban a través de la tira cómica de Dilbert.

El caso es que, cuando vemos esto nos preguntamos ¿que puede hacer un usuario normal ante esto? Si un amigo nuestro nos pregunta como protegerse ¿que le vamos a decir? Supongo que la verdad es que no hay forma de protegerse, que nadie esta a salvo. Lo único que se puede hacer es mitigar el problema, reducir las posibilidades de infección. Hacer que el ordenador del vecino sea mucho más apetecible. Muchas políticas de seguridad se basan en esto, pero como es obvio no da una solución global al problema, solo lo retrasa.

En el anterior post sugería la posibilidad de usar sistemas minoritarios como Mac OS X o Linux. Pero el hecho de que tengan una pequeña cuota del mercado o es suficiente protección. Es más, podría dar una sensación de falsa seguridad. Además, si no existe un mercado real de seguridad, habrá menos interés en investigar el panorama actual de amenazas para estos sistemas y es posible que un malware pase totalmente desapercibido durante mucho tiempo, quizá incluso hasta que se reinstale el sistema. Y pasar desapercibido es uno de los principales objetivos de los virus puesto que les permite sobrevivir durante mucho más tiempo.

¿Soluciones? Pues implementar esquemas de seguridad de varias capas. Primero de todo, usar un navegador que aisle las páginas en sandbox como, por ejemplo, hace Chrome. Aunque esto es un problema con plugins que necesitan salirse del sandbox como Flash. Este plugin, instalado en casi todos los navegadores e imprescindible para navegar por algunas páginas, parece que no se lleva bien con el sandbox de los navegadores, quizá porque es capaz de usar aceleración por hardware para reproducir vídeo, o tener acceso a la webcam y al micrófono. Pero un sandbox no es suficiente porque también puede tener fallos de seguridad. De hecho, Flash usa un sandbox y se le usa como vector de infección.

Se pueden tomar más medidas, tales como deshabilitar plugins como Flash, deshabilitar JavaScript, bloquear la publicidad… El problema es que estas medidas mutilan la experiencia de usuario en estos tiempos de AJAX y vídeo embebido. Y bloquear la publicidad tiene como efecto dañar a las páginas quitándolas su fuente de ingresos. Por otra parte, los sistemas que bloquean los plugins suelen tener algún mecanismo para permitirnos no bloquear las páginas que consideremos fiables.

Acabo de mencionar que bloquear la publicidad daña las páginas al retirarles ingresos. Personalmente considero que bloquear publicidad porque si es malo y es romper una especie de contrato no escrito entre editor y lector. Ahora bien, si la publicidad es un vector de de infección, esta debe ser bloqueada preventivamente. Y que los editores se vean perjudicados me parece algo positivo ya que es un incentivo a asumir su parte de responsabilidad. Cuando yo visito una página, confío en el contenido que me proporciona el editor, anuncios incluidos. Si en la página se distribuye malware, es responsabilidad del editor. El editor, por supuesto, confía en que el suministrador de anuncios (Google Adwords, doubleclick, tradedoubler…) le de anuncios seguros. Y es en este último caso donde, en mi opinión, la responsabilidad es mayor, ya que es quién se tiene que encargar de supervisar y dar un mínimo de calidad en sus anuncios. Por cierto, esto no solo es aplicable al malware, ver anuncios que ofenden al usuario como aquellos que tienen el sonido activado por defecto, los que parpadean mucho para atraer nuestra atención… o incluso aquellos que suministren contenido que te resulte ofensivo (mostrar mujeres como si fueran objetos, por ejemplo)

Si somos paranoicos, podemos meter otra capa más de seguridad: navegar desde un PC aparte o, si no sobra el dinero, usar una máquina virtual, de hecho VMWare sacó una appliance para navegar con Ubuntu usando su VMPlayer, todo ello gratuitamente. Este sería un caso de sandboxing extremo ya que abarcaría todo el sistema operativo. Aunque no es algo que este exento de riesgos, ya que también tienen sus fallos de seguridad y existe malware que detecta si está ejecutándose dentro de una máquina virtual.

Por otro lado, todo esto no debe permitirnos descuidar las medidas de seguridad típicas: tener el software con las últimas actualizaciones de seguridad instaladas (sistema operativo, office, navegador, flash, java…), antivirus actualizado, firewall activo… Windows ya trae su propio firewall y actualmente la mayoría de la gente suele conectar a través de un router que proporciona su propio firewall; los antivirus suelen actualizarse automáticamente al igual que el sistema operativo y muchas aplicaciones como Firefox, Java también se autoactualizan o avisan al usuario; pero muchas aplicaciones aún no so hacen, en estos casos puede ser útil usar PSI de Secunia para escanear el sistema en busca de aplicaciones desactualizadas. Y por supuesto no usar software que provenga de fuentes dudosas (P2P, cracks, sitios de warez…)

Por último, si usáis banca online. plantearos usar un LiveCD o un sistema aparte para ello.

¿Como un usuario común puede hacer transacciones seguras? Lamentablemente, llevamos bastantes años viviendo una situación en la que la existencia de ordenadores infectados con virus y troyanos es un hecho habitual. Un gran número de usuarios puede infectarse sin hacer nada especialmente extraño. Ya no hace falta ejecutar un archivo .exe, ahora basta con abrir un archivo .pdf, un .doc, instalar una extensión de Firefox desde la web oficial, o simplemente navegando bien sufriendo ataques 0-Day.

Ante esto ¿como fomentar comprar cosas por Internet, la banca, o la Administración Electrónica? Si nuestros datos pueden estar en riesgo, esto no será viable.

La solución tradicional es tener antivirus, firewall y software de seguridad, pero esto en muchos casos es insuficiente.

Algunas organizaciones recomiendan tener un ordenador dedicado exclusivamente a banca online. Esto puede ser viable para empresas, pero para el usuario común comprar otro PC para dedicarlo exclusivamente a eso sería un lujo bastante caro, por no contar conque hace falta cierto grado de disciplina para no usarlo para otras cosas.

Otra opción es usar otro sistema operativo en el equipo. En principio, Windows estaría descartado porque desde un sistema tendríamos acceso a los datos del otro, a menos que usemos cifrado, y las infecciones podrían transmitirse. Mac OS X o Linux, por ahora, no se encuentran bajo ataques. El problema es que usar otro sistema como sistema principal implica volver a aprender a hacer ciertas cosas, además de tener que cambiar de aplicaciones. Otra opción derivada seria instalar Linux en una pequeña partición y arrancarla cuando se quiera usar banca. Así los usuarios solo tendrían que reiniciar cuando quisieran hacer banca online. Aun así, tener que reiniciar es molesto, y aún hay sitios que solo funcionan con Internet Explorer. Un LiveCd también sería una opción, aunque se perderían las preferencias en cara arranque, y cada vez habría que reinstalar los drivers del DNI-E si se hacen trámites con la Administración.

Por otro lado tenemos la opción de Trusted Computing. Todo lo que se ejecute en un ordenador deberá estar firmado digitalmente. El problema es, ¿como se implementaría esto? ¿Habría que pagar por poder firmar software tal y como pasa con las webs que usan HTTPS que tienen que pagar por el certificado y la auditoría? Todos estos tramites evitarían que mucha gente se dedicase a la programación por su cuenta y cambiarían radicalmente el entorno. Mucho me temo que se reduciría la innovación y la oferta de software existente ya que el freeware no se podrá permitir costes asociados a los certificados. Además, el Trusted Computing bloquearía la piratería, y mucho me temo que eso no es algo que los usuarios vayan a aceptar. Iran a piratear los chips del ordenador como ahora piratean las videoconsolas. Y después de todo ¿quien nos dice que el software firmado es fiable? Si hasta Sony instalaba rootkits en los equipos…

Supongo que la opción más viable ahora mismo es instalar otro sistema operativo, o usar un LiveCD. Aunque dista mucho de ser una solución óptima.

Acabo de encontrarme con que al acceder a un dominio que no existía, escrito por error en el navegador, me aparecía una página de Jazztel (mi ISP) con un buscador con publicidad y el look&feel de Google y resultados suministrados por Yahoo!. Esta practica se conoce como DNS hijacking y creo recordar que la comenzó Verisign hace bastantes años y en España me parece que también lo aplica Ya.com.

Investigando parece que esto solo pasa si con los dominios que comienzan por “www.”, lo cual reduce los efectos ya que solo falsea una parte de los resultados, para el resto de resultados se obtiene el NXDOMAIN (que significa que no existe el dominio) correctamente. Por cierto, Firefox y Konqueror añaden intentan cargar automaticamente www.example.com si example.com no existe.

De momento parece que solo lo hace el servidor DNS principal de Jazztel (87.216.1.65), el secundario (87.216.1.66) parece funcionar correctamente. En principio lo que haré será configurar el dnsmasq que uso para cachearlas peticiones DNS para que evite el DNS hijacking. Además, configurare como servidor primario el 87.216.1.66 y como secundario quizá ponga uno de los DNS de Google.


$ host estedominionoexiste.com 87.216.1.65
Using domain server:
Name: 87.216.1.65
Address: 87.216.1.65#53
Aliases:

Host www.estedominionoexiste.com not found: 3(NXDOMAIN)


También he visto que parece que hacen algo raro con las rutas para aceptar solo tráfico por el puerto 80.


$ ssh lalala@noexistenidepalo.com
ssh: Could not resolve hostname noexistenidepalo.com: Name or service not known

$ telnet www.estedominionoexiste.com 443
Trying 81.200.64.180...
telnet: Unable to connect to remote host: No route to host


En fin, parece que con la crisis se les aguza el ingenio para sacar dinero, aunque esto implique saltarse los protocolos y provocar problemas a sus usuarios.

Supongo que intentarán presentarlo como un servicio que ofrece búsquedas a los usuarios y le ayuda a encontrar la información que busca. El caso es que yo juraría que muchos navegadores implementan algo así dejando escoger al usuario que motor de búsqueda usar y no mostrando publicidad extra. Al menos, el navegador es el lugar correcto para implementarlo y no falseando resultados en el servidor DNS.

Hoy (bueno, han pasado las 12 de la noche así que técnicamente es ayer) actualice arch metiendo los repos de testing para probar el ultimo kernel y he aquí que me encuentro con problemas de que la pantalla se pone negra porque udev saca la señal en una frecuencia inapropiada. Me he mosqueado y he ido a los foros de arch y he preguntado sobre el tema. Hasta ahora no ha habido respuesta.

Supongo que esto me pasa por usar sistemas minoritarios. En Windows esto no me pasaba, todo era más sencillo. Es cierto que puede que le faltase alguna funcionalidad, pero es un precio que estoy dispuesto a pagar a cambio de que el sistema funcione siempre que lo necesite. Así que he decidido cambiar.

Cierto es que tardare un poco en adaptarme, y que necesitaré cambiar algún habito. Pero la gran ventaja es que en windows hay mucho software que permite hacer la vida mas fácil al usuario, como los codecs de ogg para Windows Media, y software al que estoy acostumbrado, como Psi. Y, es que la mayoría del software está disponible para windows, en linux siempre tienes que andar emulando con wine, en el cual muchos programas ni funcionan, y si lo hacen, dan un rendimiento pobre. Además, mucho software tiene versiones para Windows y Linux, y encima en windows van más rápido. Y, en el improbable caso de que no haya sustitutos para un determinado software, siempre puedo ejecutarlo usando cygwin.

PD: Por si os interesa, os dejo una captura de como ha quedado mi Escritorio.

PD2: No os preocupeis, seguiré andando por Jabber como hasta ahora y ayudando a la gente de JabberES, aunque quizá Jabber pase a ser mi sistema legacy, puesto que hasta ahora ha ocupado MSN.

Obviamente, y como habreis deducido, esto es una inocentada, no me paso a Windows Millenium

Este viernes 18 estrenan Avatar (IMDB, filmaffinity). La película tiene muy buena pinta así que me he puesto a mirar donde la van a echar. Bueno, miento, ya sabia donde lo iban a echar, lo que quería mirar eran los precios.

¿Por que esta duda tan especifica? Pues por que la última vez que fui al cine, hará un par de semanas, nos encontramos con que habían subido el precio de las entradas a 6€ (por ser fin de semana, o algo así). Llevaba bastante tiempo (¿medio año? ¿un año?) sin ir al cine y por entonces costaba creo que 4.50€ en día del espectador (o en día de semana, no recuerdo bien) y 5€ en día normal. El caso es que, encontrarnos con una subida de precio así, no nos hizo ninguna gracia. Esto se agravo porque la película que vimos fue Luna Nueva (IMDB, filmaffinity) que, por lo que podéis ver en las reseñas (si no habéis tenido la desgracia de sufrirla), es de una calidad bastante cuestionable. Encontrarnos con una subida así de precio por semejante película hace que te sientas estafado.

Bueno, a lo que íbamos, los precios son:

Normal

• Día del espectador: 4.50€
• Normal: 6€

3D

• Día del espectador: 6€
• Normal: 7.50€

Y me da que la película solo va a estar disponible en 3D. No sé que tal se verá con este sistema, pero al ser nuevo me inspira una sensación de entre excitación y desconfianza. Vaya por delante que yo llevo gafas, así que no se que tal funcionará, supongo que se haya tenido en cuenta.

A mi ir al cine me gusta, pantalla grande, sonido envolvente y toda la sensación de ir al cine con palomitas y todo lo demás. Pero cada vez tengo la sensación de que está más caro, y además de meterte un sablazo con las entradas, luego te meten otro con las palomitas y las bebidas.

A todo esto, me permitiréis una queja más, ¿por que a la gente suele gustarle ponerse en la mitad de atrás de la sala? Si yo pago por ir al cine, al menos que me ocupe la mayor parte de mi campo visual, que para ver una imagen que ocupa lo que la televisión de mi casa, o la pantalla de mi ordenador…

El caso, el cine es caro. La gente que más suele ir al cine y más tiempo dedican al ocio, los jóvenes, son los que suelen tener peores sueldos. Y más aún, estamos en crisis y la gente no está para muchos gastos. Más aún, el paro está por el 19% (es decir 1 de cada 5 que quieren trabajar no pueden); aunque, para ser justos, hay que señalar que hay mucha economía sumergida. Pero aún así, mucha gente anda agobiada pensando en como pagará sus facturas y como se lo montarán para pagar sus hipotecas. Esto, sumado a que mucha gente se descarga las películas por Internet, me hace pensar que están cavando su propia tumba, por que no pueden poner un precio tan elevado, a gente a la que le cuesta pagarlo y que tiene alternativas gratuitas (es irrelevante que sea ilegal, competencia desleal o lo que quieras).

Y, sin embargo… ¿Cuanto se gasta la gente de fiesta un sábado por la noche? Que si unos cachis en un sitio, unos cubatas en otro, unos chupitos en otro… No estoy puesto en precios, pero seguro que se funden bastante mas de esos 6€. Más luego si vas a algún sitio que cobran entrada. La última vez que estuve en un sitio de estos, me cobraron 6€ por estar hora y media en un sitio atestado de gente, con calor y con música que personalmente no me gustaba (le tengo manía al House) encontrándome la última media hora ansioso por que llegase la hora de cerrar.

El caso es que mirándolo con un poco más de perspectiva, hasta resulta que las salas de cine van a tener un precio razonable. La gente va a seguir pensando que es caro; y, pensándolo fríamente, yo creo que lo es ya que 6€ (mas 4 de palomitas y refresco) por 2 horas no me parece barato (en términos de diversión_y_entretenimiento/coste) comparado con estar con los amigos tomando un café, contando cosas o echando una partida. Pero el caso es que nos quejamos del cine mientras que todos los sábados por la noche gastamos tranquilamente mucho más. Quizá sea una cuestión de prioridades, que nos quejamos de vicio o que vemos la paja en el ojo ajeno y no vemos la viga en el nuestro.

Y mientras, a menos de 500 metros, gente pidiendo en la calle, gente que ha perdido su casa durmiendo en albergues… Por no echar una mirada a como andan las cosas por África, ni pensar que lo que gastamos en una noche es su sueldo de un mes, ni que por el precio de un chupito se podría vacunar a un niño o darle de comer durante ese día… Si, mejor no pensar en ello y cerrar los ojos para no ver el mundo que estamos construyendo.