Conficker: primero de abril, el día que todo ardío

marzo 31, 2009 § Deja un comentario

Casi es primero de abril y me despido de Uds para siempre porque, al parecer dentro de unas pocas horas, todo lo que conocemos como Internet… desaparecerá en manos de Conficker.

Lo dije en nuestro Boletín 130 (punto 2).

DAMOS PENA y LÁSTIMA, somos INCONSCIENTES, IRRESPONSABLES y NEGLIGENTES.

… por eso seguimos pensando que el primero de abril se termina el mundo en manos de un gusano. Unas pocas líneas de código han demostrado que no hemos aprendido nada en 20 años.

Cristian de la Redacción de Segu-Info

Antivirus en el mundo real

marzo 31, 2009 § Deja un comentario

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

Antivirus en el mundo real

marzo 31, 2009 § Deja un comentario

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

Antivirus en el mundo real

marzo 31, 2009 § Deja un comentario

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

Seguridad y alineación con el negocio

marzo 31, 2009 § Deja un comentario

Por Enrique Polanco (Adjunto al Consejero Delegado y director de Seguridad Corporativa del Grupo Prisa)

No es momento de ir cada uno por su lado. Nunca lo es dentro de una empresa, y ahora mucho menos. La seguridad no puede ahogar al negocio, y éste no puede avanzar dejando atrás unos riesgos que podrían lastrarlo o dar al traste con sus aspiraciones en cualquier momento. Ambos deben ir juntos y alineados.

Al hilo del cierre de presupuestos de 2008, comentábamos la importancia que los gastos en seguridad global podrían tener respecto al previsible aumento de los riesgos derivados de la tan cacareada crisis que, a la postre, parece estar resultando más dura de lo que preveíamos.

Contenido completo en CXO Community

Conficker: primero de abril, el día que todo ardío

marzo 31, 2009 § Deja un comentario

Casi es primero de abril y me despido de Uds para siempre porque, al parecer dentro de unas pocas horas, todo lo que conocemos como Internet… desaparecerá en manos de Conficker.

Lo dije en nuestro Boletín 130 (punto 2).

DAMOS PENA y LÁSTIMA, somos INCONSCIENTES, IRRESPONSABLES y NEGLIGENTES.

… por eso seguimos pensando que el primero de abril se termina el mundo en manos de un gusano. Unas pocas líneas de código han demostrado que no hemos aprendido nada en 20 años.

Cristian de la Redacción de Segu-Info

Antivirus en el mundo real

marzo 31, 2009 § Deja un comentario

Hemos repetido en más de una ocasión que no se debe utilizar VirusTotal para hacer evaluaciones o comparativas de antivirus. Entre otras razones porque las versiones utilizadas en VirusTotal (commandline) no son las mismas que las que instala el usuario final (escritorio), y estas últimas pueden tener funcionalidades añadidas que no se encuentran en las versiones de línea de comando (monitorización del comportamiento y otras capas de defensa).

Otra razón importante es que se debe reproducir el entorno real donde se pueden producir las infecciones. Error que todas las evaluaciones suelen cometer, ya sean comparativas de revistas, de la VirusBulletin, o de cualquier otro que se dedique a este tipo de evaluaciones.

En mi opinión, para no hacerlas tan mal (incluido las que yo he venido haciendo hasta la fecha), habría que reproducir tanto el entorno, como el vector de infección, así como completar la evolución de la amenaza, y hacerlas continuas en el tiempo.

El entorno parece claro que debe ser un ordenador real con el antivirus que puede comprar el usuario actualizado e instalado por defecto. El vector de infección debe ser el/los que se haya utilizado para propagar la muestra (no, no responde igual un antivirus si un ejecutable le llega por email, por web, o se copia en una carpeta). Además de ejecutar la muestra a través del vector de infección, habría que completar la evolución de la amenaza (un antivirus puede fallar al detectar un downloader, pero puede que detecte el ejecutable que éste intente descargar, o un antivirus puede fallar al detectar un troyano pero puede impedir que éste realice la acción para la que estaba diseñado, etc).

¿Dónde estoy?

Actualmente estás viendo los archivos para marzo, 2009 en Seguridad Informática.