28.5.08

Ubuntu el más seguro

Hojeando la revista PC Magazine de mayo de 2008, encontré una interesante comparativa de sistemas operativos (Mac OS 10.5.1; Windows XP; Windows Vista; y el Ubuntu) dividida en ocho, no menos interesantes, categorías: precio; instalación; interfaz; paquetes incluídos; software independiente; controladores/hardware; conexión de redes; y por último "seguridad" - lo que realmente nos interesa.
No tiene sentido "transcribir" todo el artículo (hay que comprar la revista), pero me parece necesario detenerme en algunos de los items, a la luz de ver algunas de las diferencias entre ellos, y sobre todo poder poner bajo la lupa a Windows Vista, Windows XP y, la nueva estrella, el Ubuntu.

En el tema "precio" no hay nada que decir, Ubuntu es gratuito, es código abierto, por lo que se lo puede descargar de la red en algo así como 45 min. y luego instalarlo sin rendirle cuentas a nadie: ¡Insuperable!. No vale la pena gastar tiempo para hablar (escribir) de los U$S200 que cuesta el Windows Vista Home Basic, o los U$S100 que cuesta la actualización; y ni hablar de las otras versiones que pueden llegar a unos infartantes U$S400. Windows XP, en cambio, está a unos U$S300 y la actualización a unos U$S200; finalmente, la versión Windows XP Home que está a poco menos de U$S200, resulta ser la más económica pero la menos instalada. Todos valores muy lejanos del bolsillo de cualquier argentino que cobra (en general) poco más de U$S300 mensuales.

En lo que se refiere a la interfaz, es un tema muy difícil de valorar porque es muy personal, y depende mucho de los gustos de cada usuario. La instalación en cambio, siempre ha sido un tema "áspero" con todas las distros de Linux, y recién ahora podemos decir que se está facilitando, al punto que podemos "probar" (y hasta usar tranquilamente) al Ubuntu sin instalarlo (en el sentido estricto de la palabra) gracias a las "máquinas virtuales" o "virtual machines". Tema que trataré de tocar otro día.

En lo que se refiere a software incluído con la instalación, Apple supera a todos pero no lo consideraremos por estar fuera del rango de lo que nos interesa. Así, Ubuntu gana la batalla porque ofrece un paquete de oficina completo, listo para usarse: el OpenOffice.
Windows Vista en cambio, trae un mejorado navegador, el Internet Explorer 7; un buen Windows Mail; el Vista Calendar; el Windows DVD Maker; y el Movie Maker, que lo ubican en un muy buen segundo puesto. Además es el primer sistema operativo que incluye software antimalware, como el Windows Defender.
Casi todo lo que trae el Windows Vista incluído puede ser descargado para el Windows XP, que en este item resulta como perdedor.

Pero el tema que más nos interesa es el de la seguridad, que según reza el artículo, al decir de Neil J. Rubenking -analista de seguridad- "Hay debilidades en Mac y en Linux tal como las hay en Windows. La herramienta de penetración Core Impact que usé para atacar cortafuegos (firewalls) incluye hazañas para toda clase de plataformas. Pero los malos logran el mayor provecho al atacar el blanco más grande." Y ese blanco, como todos sabemos, es Windows.
Por eso es que Microsoft no tiene más remedio, a estas alturas, de incluir software como el Windows Defender o el Windows Live OneCare, aunque sean herramientas con un nivel relativamente bajo y apenas aceptable. En cambio, son tan pocas las amenazas dirigidas a Mac o Ubuntu, que prácticamente no vale la pena preocuparse mucho por encontrar software para protegernos. Mac y Ubuntu pueden ser portadores, y hospedar archivos binarios infectados en sus Discos Duros pero no transmitirlos, a menos que haya una "transferencia activa". Tener, en este caso, un programa anti-virus instalado no vendrá mal para evitar "contagiar" a otros, pero solo por eso.

¿Cual es el S.O. más seguro entonces? Aquel que no sea el blanco de los creadores de malware, por el simple hecho de no ser el más difundido. Para nuestra comparativa, el Ubuntu.-

25.5.08

Windows XP Service Pack 3

El Service Pack 3 para Windows XP nunca salió al "aire" como había sido anunciado, dejando a todos los que comentamos esta salida como estúpidos. La verdad es que no salió porque "detectaron a tiempo" una cantidad interesante de errores que, esta vez, no querían que "vieran la luz" como lo han hecho sus S.O. a través del tiempo, con cientos de errores que, a fuerza de Service Packs (parches) fueron corrigiendo como si nada.
Es cierto, la prueba de fuego es sacarlo al eter y que los millones de usuarios lo usen y se golpéen con sus errores, pero entonces ¿por qué no hicieron eso con el SP3 de XP? Quizás porque en estos momentos el S.O. más solicitado (además del Ubuntu) sea el viejo y fiel Windows XP. Windows Vista no le puede hacer ni sombra a XP y quizás por eso no quisieron manchar a un S.O. que, con el tiempo, está inmaculado.-

14.5.08

Cómo instalar varios S.O. en una PC

Uno de los post más leídos en la reciente historia de Seguridad en Internet (este blog), ha sido "Instalar Windows XP arriba de Windows Vista", y es por eso que hoy voy a ampliar un poco los conceptos o consejos allí subidos, viendo cómo se hace para instalar varios Sistemas Operativos (tres, que ya es mucho) en un único ordenador.
Como ya sabemos, Windows Vista no es la maravilla que prometió ser, no obstante es la "chica más deseada del baile" y todos, a pesar de los problemas que acarréa su instalación, lo quieren probar. Pero, por las mismas razones nadie quiere dejar a su fiel Windows XP; y muchos quieren (también) probar Linux... es una historia que no tiene sentido contar porque todos la conocen. En síntesis, ¿se puede tener más de un S.O. instalado en un solo ordenador? Sí. Manos a la obra!

Para comenzar debemos tener bien en claro los pasos a seguir, para no dudar en el medio de alguno de ellos y cometer algún error que nos lleve a tener que empezar todo de nuevo. Lo primero a "diseñar" serán los distintos espacios que utilizarán los distintos S.O. Así, si vamos a instalar Windows XP, Windows Vista y alguna distro de Linux, lo ideal será tener "los Windows" en un HD o partición y Linux en otra distinta. Los datos o archivos en general, será mejor tenerlos en otra partición y mucho mejor si es en otro Disco Duro.
Si vamos a usar un HD de 320BG, por ejemplo, deberemos dejar un espacio de no menos de 40GB para cada Windows (digamos 50GB) y un espacio similar para la distro de Linux, además de una cantidad igual a la RAM para la partición SWAP de Linux (otros 2GB), y el resto para lugar de intercambio de datos. Si, como dije antes, tenemos la suerte de tener otro HD instalado, también lo podemos utilizar para datos de los tres sistemas; en realidad la idea es compartir esos datos entre los tres; y a la vez que queden a salvo en caso de que algo ocurra con el Disco donde están los Sistemas Operativos.

Podemos hacer esto de varias maneras, primero instalamos el Windows XP y luego el Partition Magic desde donde crearemos las otras particiones; o instalamos el Windows XP directamente en los 50GB asignados con el HD recién formateado, para luego al instalar el Windows Vista, hacerlo en otros 50GB del espacio sobrante de la instalación anterior. Lo bueno de la primera opción es que podemos dejar listas todas las particiones en ese instante, ya que con el Partition Magic crearemos la partición para Windows Vista, la de Linux, la de la SWAP, y nos quedará espacio para compartir datos. También está la opción de instalar los dos Windows en una misma partición de 100GB, es opcional.

El orden de las instalaciones es muy importante, porque si tenemos pensado usar LILO como gestor de arranque, siempre será mucho más facil hacerlo luego de que Windows esté instalado y no al revés, porque el sector de arranque sería re-escrito por Windows y eso nos forzaría a reparar la instalación de LILO y eventualmente el sector de arranque de Linux. Además recordar que hay que comenzar con Windows XP y luego el Windows Vista para que no se dañen los ficheros del arranque; después vendrá alguna distro de Linux (Ubuntu, Fedora, Red Hat, etc), que nos permitirá luego instalar un gestor de arranque como el LILO o el GRUB más facilmente.

El tema del gestor de arranque es bastante simple, cada distro de Linux trae al menos un gestor para instalar y durante la instalación (de Linux) nos preguntará qué gestor deseamos instalar, eso no será un problema. Luego el gestor analizará el HD y detectará los S.O. instalados, y se configurará automáticamente; si deseamos cambiar la configuración siempre será posible.

Otra alternativa válida es la de usar "máquinas virtuales", pero ese es un tema que hoy no tocaremos y que me gustaría dejarselo a Diego, alguien que está probando la virtualización desde hace un tiempito. La ventaja es que nuestro ordenador puede así rendir como varios ordenadores al mismo tiempo... es una locura, pero creo que tarde o temprano hay que intentarlo.

Espero haber despejado algunas dudas, nos leemos en el próximo post.-

11.5.08

AVG Anti-Virus FREE Edition 8.0 para descargar



La compañia Grisoft ha lanzado al mercado un nuevo producto en la línea de los antivirus, el AVH Anti-Virus Edition 8.0, en su versión paga y gratuita (FREE). Viviendo en Argentina es un poco difícil poder comprar software de cualquier tipo, y eso no excluye a los programas antivirus pagos, no obstante eso no nos impide tener nuestro ordenador seguro y a salvo de tantas "pestes" (malware) que circulan por todos lados (diskettes de compañeros de trabajo, CDs, pendrives) y, cada vez más, por Internet.
Este AVG FREE Edition 8.0 tiene un nuevo motor para la búsqueda y detección de, obviamente, los virus que antes detectaba con la versión FREE 7.5 más todo lo nuevo, gusanos y troyanos, y ahora también el spyware; seguridad básica para los sistemas de mensajería instantánea MSN y el viejo ICQ; y detección de archivos contaminados dentro de páginas web, entre otros. La versión paga, por supuesto, trae más protecciones pero la gratuita, créanme, es más que suficiente para el usuario hogareño. No duden en descargarlo e instalarlo ahora.


Un solo inconveniente que le he encontrado es que no es compatible con el NOD32 que tengo instalado (cosa que no pasaba con la versión 7.5), por lo que deberé desinstalarlo para que el nuevo AVG FREE Edition 8.0 funcione al 100% de sus potencialidades. Supongo que tampoco es compatible con otros antivirus que ya no eran compatibles con las versiones anteriores. Por eso, si tienen otro programa antivirus instalado, consulten a un profesional para ver si es compatible o no, de otra manera ninguno de los dos antivirus funcionará correctamente.-

4.5.08

Las contraseñas en Windows

Una de las maneras más clásicas de proteger algo (datos) ha sido a través de contraseñas o passwords. Sobre ellos se ha escrito y se ha dicho mucho: que si deben tener más o menos digitos, mayúsculas y minúsculas, números y signos; practicamente se ha podido ver y leer de todo acerca de ellas. Pero muy poco se ha leído de cómo trata Windows a esos passwords, ¿qué hace con ellos una vez que son ingresados por el usuario?. En post anteriores hablamos de las contraseñas y dijimos que eran almacenadas en el archivo SAM (Security Account Manager) de Windows; hoy trataremos de explicar brevemente cómo las guarda.

Como ya dijimos, el SAM está en constante uso por parte del Sistema Operativo, y es por eso que se hace imposible, para cualquier usuario, eliminarlo, leerlo, copiarlo o moverlo (salvo de la manera que se explicó en un post anterior). Por todo esto, muchos piensan que el SAM es sinónimo de seguridad, pero no es tan así. Para otros es justamente al revés, y es sinónimo de la inseguridad y la vulnerabilidad de los sistemas operativos Windows.

En Windows XP las contraseñas de menos de 15 caracteres son almacenadas en el SAM en
hashes LAN Manager. Esta tecnología de autetificación fue desarrollada en los años 80 para ser usada con Microsoft LAN Manager. Si nos ubicamos mentalmente en esos años, veremos que los ataques hacia el LAN Manager eran (o debieron ser) muy distintos, por lo que veinte años después ya no es considerado un método muy seguro. A pesar de todo, Windows XP implementó el LAN Manager como opción predeterminada, simplemente por razones de compatibilidad con los sistemas anteriores.

Todo esto hace que hoy, año 2008, todavía existan dos vulnerabilidades graves en el hash del LAN Manager: La primera consiste en que los passwords mayores de 7 caracteres se dividen en dos partes, las cuales crean hashes por separado. ¿Y cuál es el problema? Elemental, esto permite (o nos da) la posibilidad de descifrar esos hashes por separado (individualmente), y así en lugar de tener que enfrentarnos a un hash de 14 caracteres, hay que descifrar dos de 7 digitos, aumentando las posibilidades de exito para un atacante. Así, en lugar de tener 47855700.(10)
6 (*) combinaciones de caracteres diferentes posibles, la cantidad se ve reducida a 621,214.(10)6 combinaciones por hash. Al haber menos combinaciones posibles, las probabilidades de descrifrar la contraseña (y cada hash) son mucho mayores. La segunda vulnerabilidad de LAN Manager está muy asociada a la primera, y consiste en que antes de convertir la contraseña a hash, se realiza un paso previo y se convierten todos los caracteres del password a mayúsculas, reduciendo aún más la cantidad de combinaciones posibles por hash a un poco más de 1.(10)6 - un millón y medio aproximadamente.

Otra debilidad, que solo vamos a nombrar, del LAN Manager es que durante la conversión del password a hash, no es utilizado un proceso de hashing aleatorio, conocido como "salt" y que hace mucho tiempo es usado por UNIX. Esto significa que la "clave de encriptación" para generar el hash es siempre la misma (obtenida del propio password), a diferencia del hashing aleatorio donde la clave es aleatoria y queda almacenada (oculta) dentro del mismo hash. La finalidad del salt es la de incrementar el número de probabilidades/posibilidades que tiene un atacante para "adivinar" el password y así aumentar la seguridad.

Ante tanta inseguridad, Microsoft incorporó en sus sistemas una utilidad denominada "Syskey" para reforzar la seguridad de las contraseñas, motivado por los fallos de los hashes de LAN Manager. Syskey permite cifrar información almacenada en el SAM protegiéndolo contra ataques realizados por un sistema operativo alternativo, y para eso genera una clave aleatoria utilizada para cifrar los datos del SAM. Esta nueva opción de seguridad incorporada por el Syskey, viene activada de forma predeterminada en Windows 2000, Windows 2003 y Windows XP, y una vez activada "no se puede desactivar". No obstante, les cuento que sí se puede desactivar en minutos, tema que intentaremos ver en próximos posts (es un poco largo de explicar).

No existe futuro para la autentificación de contraseñas a través de hashes de LAN Manager. El software diseñado para realizar ataques de fuerza bruta, ataques de diccionario, tablas rainbow, etc. consigue en minutos obtener las contraseñas LAN Manager. Los sistemas operativos Windows siguen siendo vulnerables, y solo queda esperar a que los próximos parches y Service Packs, tanto de Windows XP (SP3) como de Windows Vista (SP1), mejoren un poco el tema tan promocionado de la seguridad.

(*) NOTA: Tomando 27 letras mayúsculas, 27 minúsculas y 10 números, en contraseñas donde pueden repetirse los caracteres, y la diferencia entre una y otra puede ser la ubicación de un elemento como así también el elemento en sí mismo.