Hola a todos!
Vuelve el RUN a Montevideo, y nos juntamos para conversar sobre lo último en tecnología para IT Pros. Junto con Daniel Levi, de Microsoft Argentina, estaremos viendo cómo proteger la infraestructura de nuestras empresas, con tecnologías de seguridad de última generación.
Vamos a hacer mucha demo y encarar los problemas que nos preocupan a todos:
- Cómo protegemos la información sensible, independientemente de dónde se encuentre.
- Cómo ganar verdadero control del acceso a redes inalámbricas o cableadas.
- Como integramos dispositivos o sistemas de diferentes capas del Modelo de Defensa en Profundidad, para que trabajen “en equipo”... para nuestro equipo!
Los esperamos, va a ser divertido!
Sobre mí
Después de 4 años como Técnico de Preventa de Microsoft Uruguay, me mudé a Infocorp (www.infocorp.com.uy), donde me desempeño como Account Technology Strategist. Mi misión, que he decidido aceptar, es ayudar a las empresas a construir una hoja de ruta de tecnología, que acompañe los objetivos empresariales. Además, participo de diferentes proyectos como Consultor Senior.
Desde el 2006, soy Docente de Seguridad en la Facultad de Ingeniería de la Universidad Católica.
Para estar en contacto, mi mail es juanj@infocorp.com.uy
Todo lo que está ocurriendo en el Palacio Rouge, de la mano de Daniel Levi, Chema Alonso, Alejandro Ponicke y muchos más.
Streaming Video by Ustream.TV
Hace algunos meses, les comentaba sobre mis visitas a colegios primarios como voluntaria para que los chicos aprendan a protegerse al navegar en internet. Y hoy UDS TAMBIEN PUEDEN AYUDAR a la causa!! :)
Quería dejar a disposición de Uds todos los materiales para que quien quiera seguir difundiendo, pueda hacerlo hablando en los colegios de sus hijos, sobrinos, ahijados y por qué no, en la mesa familiar del domingo. Para quienes trabajan en tecnología o quienes tienen gran gusto por ella, es bastante facil de entender y retransmitir. Y muchos padres, necesitan esta ayuda porque les preocupa y no cuentan hoy con los conocimientos para hacerlo ellos mismos. De esta forma, multiplicamos el esfuerzo orientado a proteger a los niños en Internet.
Me encanta saber que como parte del compromiso que tiene Microsoft por la seguiridad informática, ya se capacitó a más de 5000 estudiantes de escuelas primarias y secundarias, a más de 300 docentes, y a gran cantidad de abogados, legisladores y responsables de servicios en línea. Cuanto más me gustaría saber que Uds están multiplicando el número y son muchos más los que reciben estos mensajes y yo simplemente no me entero :)
Materiales:
* PRESENTACIÓN: En la sección de “Material Descargable” del portal www.navegaprotegido.org , encontrarás un PDF llamado “Cómo navegar protegidos en Internet”, que es básicamente el contenido dictado en las charlas en escuelas;
* VIDEO PARA PRESENTADORES: También disponible en la sección de “Material Descargable” del portal. El video que te permite conocer cómo transmitir esos contenidos, ante una audiencia sensible como lo son los menores de edad.
Encontrarán allí también mucha más información sobre privacidad, seguridad en transacciones electrónicas y de la información en general.
Creo que muchos otros se sentiran gratificados y aliviados tambien por brindar este granito de arena a las futuras generaciones, que en tantos asuntos nos sacan muchas cabezas… pero que igual, no dejan de ser niños (con todas las vulnerabilidades que ello implica).
Por último, los invito a contestar la encuesta que Microsoft y el INADI (Instituto Nacional Contra la Discriminación, la Xenofobia y el Racismo) publican para actualizar un diagnóstico de las conductas habituales en el uso de Internet, las redes sociales, los dispositivos móviles y las conexiones inalámbricas. Lleva solo un minuto y provee de valiosa información para futuras campañas de divulgación y que posiblemente se utilice para la próxima Semana de la Seguridad Informática (iniciativa de Microsoft orientada a multiplicar la divulgación de novedades y conocimientos referidos a la seguridad informática en general)
.
Saludos!!
El área de IT de Microsoft se encarga de dar soporte a una organización de más de 300.000 computadoras y dispositivos en más de 400 locaciones alrededor del mundo. Administran la infraestructura global, incluyendo redes, telefonía e infraestructura de servidores. Además, proveen servicios de administración de aplicaciones y son una pieza clave en la implementación de nuestras propias tecnologías, la mayoría durante la fase beta, lo que permite llegar al mercado de una forma más Madura.
Dentro de este contexto, son muchos los desafíos en términos de seguridad que aparecen y debemos enfrentar. Algunos son internos y parte de la dinámica del negocio: ¿cómo me aseguro que el producto que estamos lanzando no tenga problemas de seguridad? Para ello se aplica una metodología implementada por Microsoft hace ya unos 6 años llamada Ciclo de vida de desarrollo seguro (SDL) cuya finalidad es que los productos salgan seguros desde el diseño mismo (esta fue estrenada con SQL Server 2005 y tuvo un gran impacto en el número de vulnerabilidades halladas con el producto ya en mercado). Puedes encontrar documentación (aplicable y útil) aquí: http://www.microsoft.com/security/sdl/default.aspx
Por otro lado, ¿cómo se prepara Microsoft para responder a amenazas externas desde sus redes? Con un equipo de seguridad de redes organizado en tres partes: Monitoreo, Investigaciones y Soporte. Este, a su vez, forma parte del área de seguridad propiamente dicha llamada Trustworthy Computing. Es importante notar que, mientras el área de IT es la dueña de los controles preventivos (políticas, arquitectura de la red, configuración, firewalls, actualizaciones y listas de control de acceso en los routers), el área de Seguridad de redes es la dueña de los controles de detección. De esa manera se logra una clara división de roles. Para saber más sobre este tema, te recomendamos acceder aquí: http://technet.microsoft.com/en-us/library/ee943799.aspx
Para más información de este y otros temas acerca de cómo Microsoft hace IT, te recomendamos visitar: http://www.microsoft.com/itshowcase
Llega el evento que estabas esperando: CodeCamp 2010!!
El sábado 4 de septiembre en la Universidad de Palermo (Mario Bravo 1050, Buenos Aires), se llevará a cabo una nueva edición de CodeCamp.
Ya tenemos 50 propuestas de charlas: Windows Phone 7, Silverlight, Azure, Interoperabilidad con Hyper-v, entre otros. Por supuesto no faltarán las temáticas vinculadas a todo lo que se viene en materia tecnológica.
Además, los estudiantes mostrarán los proyectos en los que están trabajando y uno de ellos será elegido como ganador contando con el soporte de Microsoft.
No te pierdas esta oportunidad única dirigida especialmente a los estudiantes.
Si querés ver más info de las charlas, oradores o algunos videos de los proyectos de las células, ingresá a www.codecamp.com.ar
No te quedes afuera, apurate a registrarte!
Aquí el segundo post prometido, para que puedan seguir compartiendo con sus amigos preocupados por proteger a los más chicos en el uso de internet.
Si el primero tenía consejos para educarlos en el uso apropiado de la web, este segundo se enfoca en herramientas tecnológicas que pueden ser de ayuda para complementar sus buenos consejos y enseñanzas.
Un buen instrumento, especialmente para los más chicos es el “Internet Explorer 8 for Kids”. Es un explorador de internet que permite a los padres definir qué sitios web pueden visitar los chicos y cuales no, de una manera bien práctica y sencilla.
1- Se descarga el explorador de internet.
2- Se elige una clave.
3- Se define el listado de sitios que los niños del hogar podrán utilizar (también se pueden agregar y eliminar sitios en cualquier momento a medida que cambien las necesidades).
4- A partir de entonces, cada vez que se abra el explorador de internet, quienes sepan la clave (los padres) pueden navegar normalmente, y quienes no (los niños), solo podrán ingresar a los sitios “autorizados”.
Así de sencillo. Esto nunca reemplazará las charlas que sugería entablar en el post anterior, pero será una buena herramienta de ayuda para cuidar a los más chiquitos.
----------------- ~ ~ ~ ~ -------------------
Aquí abajo, les muestro lo fácil que es instalarlo y usarlo.
El explorador se baja desde aquí.
Una vez que lo ejecutemos, veremos las siguientes pantallas donde se debe cargar la clave que elijan y una pregunta secreta, en caso de olvidarla :P
De allí en más, cualquier sitio de internet al que quieran navegar y no esté “autorizado” mostrará el siguiente cartel:
Para navegar en “modo padre” sólo hay que ir a IE8 Kids, cargar la clave en la pantalla que aparece y listo.
Si solo necesitan navegar normalmente en “modo padre”, pongan la clave y cliqueen sobre el boton del candadito abierto (sin usar el boton “activar”).
Y si lo que gustan es modificar el listado de sitios “autorizados”, al poner la clave y cliqueen en el botón “activar”. Esto es lo que verán:
Encontrarán el listado de sitios “autorizados” y en el boton de “nuevo”, la posibilidad de agregar otros de su interés.
En cualquier momento, oprimir el boton con el candado cerrado permite salir de las pantallas de configuración y dejar el explorador en “modo niño”.
Y eso es todo. Espero que haya sido de utilidad. Ya pueden descargarlo desde aquí
----------------- ~ ~ ~ ~ -------------------
Otras funcionalidades:
1- Botón “pedientes”: Lista los sitios a los que se quiso entrar y el explorador no permitió su entrada por no estar en el listado de autorizados. Uno puede ver ese listado y elegir de allí si es conveniente autorizar algún otro.
2- Boton “importar” y “exportar”: Permite compartir listas de sitios autorizados con otros familiares y amigos.
La semana pasada tuve la oportunidad de hacer uno de los trabajos más gratificantes… contribuir con mi granito de arena para que los chicos que aprenden a navegar en internet desde muy temprana edad, aprendan también a protegerse en el camino.
Enmarcado dentro de una de los programas de responsabilidad social de Microsoft, una vez más fui como voluntaria a un colegio primario, para contarles a los alumnos qué precauciones tener en cuenta para protegerse al navegar en Internet, de la misma forma que están alertas al salir a la calle, o cuando cierran la puerta de su casa.
No creo ser la única que ha escuchado a amigos y familiares preocupados por la seguridad de sus hijos y cómo cuidarlos cuando chatean, navegan, comparten, juegan en línea y otros tantas posibilidades que nos facilita el acceso a internet.
De todas las charlas que di hasta el momento, me llevo los siguientes puntos para compartir con todos ellos:
1- VIDA REAL E INTERNET NO SON TAN DIFERENTES.
Los chicos creen que “Internet” y la “vida real” son muuuuy diferentes, son dos mundos totalmente disociados. Sin embargo, es necesario hacerles ver que así como algunas características son diferentes, también comparten muchas similitudes. Los cuidados que mamá y papá tan fuertemente les inculcaron para la “vida real”, les brindan otra mirada sobre cómo deberían usarlos para cuidarse en “internet”. Ellos saben muy bien que no deben hablar con extraños en la calle… entonces es muy corto el paso a explicarles que tampoco deben hacerlo en internet. El mismo motivo por el cual no reparten fotos personales a desconocidos en una esquina, es el motivo por el cual no deberían publicar una foto personal en internet. Y tampoco avisar que se van de vacaciones, o que se quedará solo en casa, o que ganaron la lotería, etc etc etc.
2- MAMÁ Y PAPÁ SIGUEN TENIENDO MÁS EXPERIENCIA QUE LOS CHICOS A LA HORA DE CUIDARLOS DE POSIBLES PELIGROS.
Los chicos tienen clarísimo cómo manejarse con las nuevas tecnologías, la computadora, lo que hay disponible en internet, las redes sociales, etc. Quizás mucho más que los mayores. Sin embargo, siguen siendo chicos, tan vivos o inocentes como siempre. Y por eso, son los padres, tíos, maestros y abuelos, quienes deben velar por enseñarles cómo cuidarse. Los chicos deben saber que tienen que acudir a ellos para ayudarlos ante situaciones incómodas, conflictivas, raras, riesgosas o peligrosas. Los adultos sabrán tomar mejores decisiones que los chicos ante esas situaciones (al igual que en la vida real).
Entonces… cualquier tipo de excepción al punto anterior, mejor que lo comenten y decidan, en familia. Cada padre sabe mejor que nadie decidir qué riesgos es sano tomar y cuáles no.
(No olvidemos que muchos adultos decidimos tomarnos ciertas licencias con respecto al punto uno. Pero somos grandes, -entendemos o hacemos la vista gorda- y decidimos qué riesgos tomar. Los chicos nunca deberían tomar solos esas decisiones sin acordarlas con los padres)
3- NUNCA SE SABE QUIEN ESTÁ ATRÁS DE UN NOMBRE, APELLIDO Y FOTO. En cualquier e-mail o perfil de red social, cualquiera puede entrar y nombrarse Diego Maradona, sin serlo. Si sabemos que no debemos chatear o compartir con desconocidos… verifiquemos antes de aprobar a quien pide ser mi “amigo”, quien está detrás. Si es un “amigo”, tendré muchas oportunidades para llamarlo por teléfono o encontrarlo uno de estos días “en la vida real” del colegio, club, barrio, etc y preguntarle si es realmente él quien intenta contactarme. Créanme, si mañana me armo un perfil con el nombre y foto de alguno de sus amigos, casi todos me aceptarán sin siquiera dudar que no es su amigo.
4- EVITEMOS RIESGOS. CUIDEMOS LA COMPUTADORA Y NUESTRAS CUENTAS DE VIRUS Y OTROS PROGRAMAS MALICIOSOS.
Las cadenas de mail solo sirven para empresas que se dedican a recolectar “datos personales”. Esto trae más e-mails basura, más virus y más posibilidad de “robo de datos”. Nunca carguen datos personales (los padres deben ayudarlos a discernir cuándo el lugar es lo suficientemente fiable para hacerlo sin mayores riesgos). Las claves son personales y nunca deben compartirlas. Mantengan la computadora actualizada, no descarguen copias piratas (de nada) de la web y eviten las ventanas emergentes o pop-ups configurando el explorador de internet.
Internet tiene cosas maravillosas, como las tiene la vida real. Pero así como en la vida real, internet también está habitado por gente de todo tipo, por lo que simplemente hay que estar alerta como en el resto de los ámbitos.
Les comparto aquí la página de www.navegaprotegido.org donde pueden seguir informándose sobre estos temas. Además, aquí pueden ver la presentación que hicimos a los chicos.
Pronto… Cómo proteger la seguridad de los más chicos en Internet – Parte 2 con otras “ayudas” (esta vez tecnológicas) para proteger a los más pequeños.
Comentarios, dudas y nuevas ideas… abajo! Y si alguno desea compartir una charla similar con su círculo cercano de niños, estaremos contentos de poder colaborar.
En Microsoft la seguridad es una de nuestras mayores prioridades.
Por ello, además de incorporar permanentemente innovaciones a nuestros productos, localmente se llevan a cabo acciones orientadas a:
· promover prácticas seguras entre los usuarios finales. Un ejemplo de ello es el portal NavegaProtegido.org -creado por Microsoft junto a la Fundación Ricky Martin, con el apoyo de diversas organizaciones como la Sociedad Argentina de Pediatría, Unicef, la Dirección Nacional de Protección de Datos Personales del Ministerio de Justicia de la Nación, entre otras tantas-, que especialmente para esta semana de la seguridad, auspiciará la 3ª Carrera por la Educación de Unicef con actividades de recreación para chicos relacionadas con el tema de la seguridad informática. O los acuerdos con el IAC y Compumundo mediante los cuales se dictarán charlas gratuitas en todo el país y se brindarán recursos que pueden ayudar al usuario a mejorar su experiencia de seguridad en la PC, especialmente con su correo electrónico y sus archivos),
· y brindar recursos que permitan a desarrolladores y profesionales de IT resguardar la información de sus empresas y clientes, ofreciendoles una experiencia más segura y confiable. Aquí, solo por mencionar algunas de las herramientas disponibles, me gustaría hacer hincapié en:
Además, les recomiendo especialmente ver los ultimos posts que aquí abajo hicieron los expertos de Microsoft contando sus prácticas de seguridad tanto de IT como de desarrollo.
Que las disfruten, y por sobre todo… las aprovechen!!!
By Jorge Cella, Director de Calidad de Servicio e Iniciativa de Seguridad y Privacidad
Como parte de las actividades que realizamos para combatir los problemas de seguridad informática actuales, realizamos un reporte de inteligencia sobre seguridad a nivel mundial. El volumen 7 del informe de inteligencia acerca de seguridad de Microsoft® proporciona una perspectiva en profundidad acerca del software malintencionado y potencialmente no deseado, las vulnerabilidades de seguridad de software, las infracciones de seguridad y las vulnerabilidades de software (tanto en el software de Microsoft como en el software de terceros). Microsoft ha desarrollado estas perspectivas basándose en un análisis detallado de los últimos años, con especial atención en el primer semestre de 2009. Este informe recoge datos de 212 países a través de nuestras propias investigaciones y reportes generados por las herramientas “Malicious Software Removal Tool”, Bing (que escanea billones de páginas), “Windows Defender”, “Forefront online” etc. Esta vista es única ya que las múltiples fuentes de información nos aseguran tener una vista global y completa. A modo de resumen estas son las principales conclusiones, pero los invito a revisar el documento completo en http://www.microsoft.com/sir .
Una de las principales amenazas que encontramos es el software de seguridad tipo Rogue. Básicamente se trata de software falso de escaneo de seguridad, que con avisos de supuestos problemas, engañan a la gente y la invitan a escanear la PC. Hemos detectado este tipo de software en más de 13 millones de computadoras en todo el mundo. La recomendación contra este tipo de software es usar una solución contra malware de un proveedor confiable y mantener actualizadas las protecciones contra amenazas.
Hemos encontrado también la reaparición de los llamados “Gusanos” (Worms). Quienes escalaron de la 5ta posición a la 2da amenaza más importante en el último año. Conficker y Tatef son dos ejemplos importantes de este tipo de amenazas. La recomendación aquí es tener proceso de actualización del software y políticas clara para compartir archivos.
Con respecto al mapa de amenazas a nivel regional, el phishing y el malware buscando vulnerar banca online, redes sociales y sitios de comercio electrónico son la amenaza más común con la que nos estamos enfrentando representando casi la mitad de los ataques detectados. Las impresiones de suplantación de identidad (phishing) crecieron de forma significativa en el primer semestre de 2009. Detectamos más de 8 millones de intentos distintos de robo de clave de identidad durante el último año a nivel mundial.
La categoría principal de la pérdida de datos debido a una infracción de seguridad en el primer semestre de 2009 continuó siendo el robo de equipos, como por ejemplo equipos portátiles (el 30,0% de todos los incidentes por pérdida de datos notificados), lo que representa el doble del número de incidentes por intrusión. Las infracciones de seguridad por incidentes de piratería o malware representan menos del 15,0% del total.
Espero que esta información que hemos compartido haya sido de utilidad y los invito a revisar el reporte completo en http://www.microsoft.com/sir
By Miguel Saez
Escribir software libre de errores puede ser virtualmente imposible. Podemos invertir mucho tiempo y esfuerzo en testear nuestra aplicación, realizando todo tipo de verificaciones, y aún así no encontrar el 100% de los defectos que la aplicación tenga.
¿Qué cosas consideramos un defecto? A todo comportamiento no esperado por el sistema, ante cualquier interacción del usuario. Luego, debemos considerar a los diferentes tipos de usuario, incluyendo en éste grupo a los usuarios (llamemos) “malignos”, dedicados a buscar y encontrar vulnerabilidades en el sistema. Organizaciones como mitre
, se dedican a investigar y documentar los diferentes tipos de vulnerabilidades más frecuentes, y es muy importante implementar procesos que eviten que éstas ocurran.
Una vez tuve la oportunidad de conversar por algunas horas con Dave Probert, Arquitecto del Kernel de Windows, quien me comentaba que en su equipo se trabaja aún más en definir procesos que eviten la introducción de bugs al sistema, más que a procesos de encontrar problemas en el mismo (lo cual, claro, también se hace). Hacía tanto incapié en esto, comentando que los defectos son responsabilidad de los desarrolladores, aún más que los testers.
Para ello es importante conocer bien las APIs con las que trabajamos y entrenarse en no cometer ninguno de los errores comunes conocidos en el desarrollo de código.
Errores frecuentes conocidos en desarrollo
Debo reconocer que tras recopilar este listado, yo mismo sentí ganas de hacer un code review de cada pieza de software que he escrito. Quienes quieran extender más ejemplos, o compartir sus propias experiencias, bienvenido!
Ignorando excepciones
Nunca, jamas, bajo ningún tipo de circunstancia debe escribirse la siguiente línea de código:
catch {}
Si atrapamos una Excepción, debemos manejarla correctamente. Si no lo hacemos, debemos dejar que la Excepción siga escalando en nuestro código, hasta que sea manejada. Al hacerlo, siempre deberíamos loguear la excepción, y de ser necesario informar al usuario de una forma amigable, evitando mostrar información privada del sistema (Ejemplo de lo que no hay que hacer, y más de una vez vemos en la UI: “Imposible acceder a la tabla Clientes de la base dbCompras”).
Olvidando liberar recursos
Utilizar el bloque using para asegurarnos que se invoque al método Dispose al instanciar una clase que implemente la interfaz IDisposable (:
using (IDisposable connection = new …) { …
} // Dispose es invocado en este punto, liberando los recursos bloqueados.
Chequeando los argumentos
Verificar los argumentos al inicio de cada método no sólo permite explicitar mejor la firma del mismo, sino que al lanzar una ArgumentException, facilitamos la depuración del código ya que se está indicando que el defecto está en la invocación, y no en el evento mismo:
public void PlaceOrder(Product product, int quantity)
{
if (product == null)
{
throw new ArgumentException(“product no puede ser null”);
}
if (quantity < 0)
{
throw new ArgumentException(“quantity no puede ser negativo”);
}
Ignorando los warnings
Los Warnings son una buena fuente de información para encontrar posibles bugs.
Como recomendación adicional, FxCop es una herramienta de análisis estático de código, permitiendo encontrar oportunidades de mejoras en diseño, performance, seguridad y localización. Por último, siempre es recomendable activar la opción de compilación “Tratar warnings como errores” al generar los bits para producción:
Encodeando valores de salida
En aplicaciones web, siempre que estemos escribiendo sobre el buffer de salida debemos encodear el texto correspondiente. Esto evita ataques de XSS: Si el texto a ser impreso, contuviera código HTML/Javascript maligno, éste sería ejecutado por el navegador. Un ejemplo de código maligno, sería verificar las cookies almacenadas en el navegador del usuario, enviando dicha información a otra fuente, exponiendo datos privados del usuario:
string htmlEncoded = Server.HtmlEncode(htmlString);
Response.Write(htmlEncoded);
Update: Gracias Matias Iacono por la sugerencia: Microsoft publicó algunos años atrás una biblioteca para prevenir errores de XSS: http://msdn.microsoft.com/en-us/library/aa973813.aspx
Escribiendo errores semánticos
El siguiente error no se dá en lenguajes manejados, ya que el compilador verifica que el tipo de datos sea bool dentro del bloque if. Sin embargo me gustó compartirlo ya que este tipo de convenciones no siempre son tenidas en cuenta, y me gustó compartilo:
if (a == 2) // Una comparación válida con 2
if (a = 2) // Se produce una asignación, causando un error semántico
if (2 == a) // Convención para causar un error de compilación si = es usado
if (2 = a) // Error de sintáxis
Dejo este post como work in progress. Iré compartiendo nuevos ejemplos, y encantado de recibir los suyos.
Saludos!