lunes, febrero 28, 2011

Mantén tu sistema al día o entrégalo al enemigo (2 de 2)

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
Artículo escrito para la Revista Windows Oficial de Febrero de 2011
*********************************************************************************************

Parchear tu Windows

Espero, con la introducción previa de la anterior parte al duro mundo en el que nos encontramos, haber captado tu atención para que te interese cómo tener tu sistema actualizado en todo momento, para reducir al máximo, que con completamente, el riesgo de caer en un exploit que comprometa tu máquina.

Lo más moderno mejor

Lo primero y más importante que tienes que hacer es tener tu sistema operativo lo más moderno posible en todos los sentidos. Vivir con un Windows XP es convivir con un sistema operativo que empezó a diseñarse en 1996 y que no está preparado para las amenazas de más de 10 años después. Tecnologías de seguridad como ASLR, MIC, UIPI o Virtual Store, por citar alguna de las “enecientas” medidas de seguridad que complican la vida a los atacantes, no existen en Windows XP. Si tienes un Windows Vista pone el último Service Pack disponible y si tienes Windows 7, en cuanto tengamos disponible el Service Pack 1, instálalo. Estas cosas no salen por ganas del fabricante de distribuir software, sino para arreglar problemas.

Ten en cuenta que, en la primera Botnet multiplataforma que se ha desplegado este año, Windows Vista y Windows 7 tuvieron menos infecciones que incluso Mac OS, mientras que Windows XP seguía siendo “el campeón”.


Imagen 5: Distribución de bots por sistema operative de la botnet multiplataforma

Windows Update Up and running

En Segundo lugar, activa Windows Update en tu computadora. Elige la forma en la que quieres instalar el software, pero que sea lo más rápido mejor. Para ello entra en el Centro de Seguridad y selecciona la opción de que te avise o de que se instale automáticamente. Cómo tú prefieras. Yo te recomiendo que elijas la opción de que se instale automáticamente, tendrás que luchar menos contra la pereza que a veces nos da esperar la descarga e instalar el software, y que solo elijas la otra opción si estás de viaje con conexiones limitadas mucho tiempo.


Imagen 6: Opciones de Windows Update en Windows 7

¿Y el resto del software de tu equipo?

He aquí un gran problema. Windows Update es una solución perfecta para mantener tu sistema actualizado… siempre que tu software sea parte del sistema operativo. Eso quiere decir que todo ese software que no es parte del sistema operativo o Windows no se va a actualizar por medio de Windows Update. Hay que preocuparse también de él, y tendrá que ser por otro camino.

A ese tipo de software, del que seguramente tengas instalado mucho en tu sistema, también le atacan. Si tienes un Firefox , Safari o Google Chrome, tal y como has visto en la parte de kits de exploits, pero no se escapan los ataques a WinAmp, QuickTime o Acrobat Reader. Es por esto que hay que mantenerlo actualizado, como Dios manda.

La mayoría de estos programas ya vienen cargado con un módulo de actualización automática que te avisa – como en el caso de Firefox – cuando hay una actualización, o que realiza lo que se llama una actualización “silenciosa” – como el caso de Google Chrome – es decir, te actualiza el software sin decirte nada.


Imagen 7: Actualizador de Firefox en Windows 7

Un Windows Update para el resto del software

Sin embargo, las opciones de actualización “una a una” suelen ser bastantes tediosas. El problema es que algunas solo se activan cuando arrancas el software, lo que hace que si tienes el programa sin arrancar hasta que llega el exploit, entonces de nada sirven. Otras, por el contrario, instalan un agente, como en el caso de Java, que está consumiendo recursos del sistema constantemente.

La solución es conseguir tener un único agente que monitorice el software completo y que compruebe él cuando existe una actualización de algunos de los programas que tienes instalados en el sistema, y eso existe.

Secunia Personal Software Inspector

Hay muchas soluciones, pero la que yo te recomiendo, que es gratuita y funciona de maravilla es Secunia PSI. La herramienta la puedes descargar desde la siguiente URL y te detectará todo el software que tienes vulnerable en el sistema, ya sea porque existe un parche que aún no has aplicado, bien porque existe un fallo conocido del que aún no hay solución para un determinado programa, por lo que tendrás que extremar las precauciones con él.


Imagen 8: Informe de resultados en Secunia PSI

Huir a otros sistemas

¡Ah!, y si piensas que por huir a otros sistemas estás a salvo, vas dado. En todas las plataformas hay que actualizar y mantener el sistema completamente al día, ya que si no cuidas tu sistema, otro, desde Internet, lo va a reclamar para sus dominios. Así que… ¡Actualiza tu software!

*********************************************************************************************
- Mantén tu sistema al día o entrégalo al enemigo (1 de 2)
- Mantén tu sistema al día o entrégalo al enemigo (2 de 2)
*********************************************************************************************

11 comentarios:

  1. Vale, completamente de acuerdo con lo que dices y conviene recordarlo con frecuencia porque aunque parezca mentira la peña en general es bastante descuidada con el manejo y mantenimiento del ordenador. En cuanto a Secunia está bien recomendarlo y cumple su función razonablemente bien aunque tiene algunos fallos con las actualizaciones, en ocasiones no identifica bien las instalaciones de los updates y loquea un poco, lo desinstalé porque alargaba mucho los arranques, eso depende de qué programas tengas en el inicio, a veces se pelean entre ellos y secunia requiere mucho protagonismo. Prefiero un mantenimiento a mano sin injerencias ni recomendaciones. Solo quería añadir que win 7 bien configurado y a la última es sensacional, así de claro.

    ResponderEliminar
  2. Todo está la mar de bien sobre el papel, pero asi entre nosotros y sin que nadie se entere... en la mayoría de los casos la gente no puede actualizar tan alegremente: Si dejo que el AutoCAD se conecte a internet me pillan la copia no autorizada y casca (tema aparte es para que necesita la mayoría de la gente el AutoCAD, claro). ¿Alguien ha visto un MSOffice original? y ¿un Photoshop?. ¿Por qué voy a instalar un VLC que es gratis pudiendo tener el Noseque PlayerHD by the face?. Ahora que la gente compra los ordenatas como si fuesen goyures en las grandes superficies sí se ven Windows originales, pero hasta hace nada era bastante difícil verlos.
    Vamos que tienes toda la razón del mundo pero a la hora de la verdad y entre usuarios de andar por casa, no es tan fácil. Aclaro que yo no me muevo en ambientes friki-técnicos, pero lo que veo y me tocaba sufrir era eso. Y digo tocaba porque desde que he puesto precio a mi tiempo y no doy soporte a aplicaciones en las que haya que leer un .txt o .nfo para saber los pasos que hay que dar para instalarlas, he perdido "amigos" pero he ganado tiempo, no dinero ;). Aunque también puede ser que ande desconectado del mundo y Adobe este "jartandose" a vender de licencias de PS.

    ResponderEliminar
  3. Hombre, el articulo es bueno y como dicen por arriba, hay que recordar cada X tiempo estas cosas, pero en el entorno empresarial esta muy extendido aquello de "hay que tener siempre la penultima version" :)

    ResponderEliminar
  4. Bueno, eso de que lo nuevo es mejor... supongo que se puede generalizar pero decir eso y luego decir que XP es el campeón de infecciones de BotNet es un poquito... no se. ¿No sera que windows XP tiene más infecciones porque hay más ordenadores con XP que con Vista o Win7?

    En mi trabajo TODOS los ordenadores (y sin muuuuuchos) tienen XP y no es nada facil actualizarlos todos ya que empezarian los problemas con las aplicaciones (compatibilidades) y, sobre todo, el problema de la formación de los usuarios porque en Win7 las cosas no están en el mismo sitio que en windows XP y los usuarios se lían.

    ResponderEliminar
  5. Como os gusta oirme.... a ver, por partes.

    @Winston cierto totalmente, si eres capaz de hacerlo manualmente con todo tu software... go ahead! Siempre saldrá mejor.

    @PtX,,, ¿qué es eso que llamas piratería? No me viene nada de ello en este artículo }:P

    @Txalin, entiendo la diferencia entre meter algo sin probarlo o tener la penúltima versión. Si lo tienes probado en tus entornos de PRE y PRU, mejor instalarlo.

    @fossie, XP el campeón en esa botnet... así lo pone.

    Saludos!

    ResponderEliminar
  6. Si, ya se que pone que XP es el campeón en esa botnet pero ¿no será porque hay más equipos con XP que con Vista o Win7?

    ResponderEliminar
  7. ¿Piratería yooo? ¿Dóndeee?. Aunque tiene usté razón en que se me ha ido un poco la pelota. Es que es lunes y a esa hora aún no había tomado la medicación... Ahora estoy mejor ya ;)

    ResponderEliminar
  8. Completamente de acuerdo con @fossie :)

    Creo que todavía falta un poco para que las empresas migren a Win7/Vista, pienso que por X razones bastantes entidades todavía funcionan con WinXP. ¿Compatibilidad con soft que tienen realizado a medida? ¿Equipos obsoletos?

    Secunia PSI está muy bien, pero es una pena que sólo lo conozca la gente que se preocupa un poco de su sistema. Pienso que debería de ser tan conocido cómo Messenger, Skype o Facebook.

    ResponderEliminar
  9. Despues de trabajar mas horas que charlot en metrópolis y sin tiempo para nada regreso para decir algo, ahora que puedo. Resulta que estos tios tienen una cosa llamasa ConAn 1.0 http://www.osi.es/econf/Protegete/Protege_tu_PC/Utiles_Gratuitos/ que
    parece interesante, yo no la he utilizado pero ahí está. El mundo empresarial, respecto de la seguridad informática, lo desconozco.
    Una cosa está clara XP es muy vulnerable y microsoft falla cuando
    no desarrolla una nueva versión actualizada del SO XP integrando en ella todo el conocimiento adquirido durante tantos años. Vendería muchas copias y no supondría un retraso para sus últimas creaciones. Existe mercado suficiente para la coexistencia compatible. Atentamente.

    ResponderEliminar
  10. Muy de acuerdo con fossie, es que ese gráfico de la distribución de exploits por SO es sospechosamente idéntico al de distribución de usuarios por SO (de los SO "seleccionados").

    Y sobre el uso de las comillas, sólo una precisión, sospechosamente se excluyen de estos datos y comparaciones todo lo relacionado con Linux, FreeBSD, etc. ¿por pura coincidencia o es totalmente intencional?

    ResponderEliminar
  11. @fossie y anónimo, si pensáis que la cuota de Mac OS X es el doble de la de Windows Vista o Windows 7 entonces estáis muy confundidos....

    Y Linux no está porque parece que 2010 (y ya veremos 2011) no ha sido el año de Linux en el Desktop.

    Saludos!

    ResponderEliminar