El día de ayer se liberó el beta 2 de Internet Explorer 8. Por el momento y hasta mediados de septiembre, sólo estará disponible en Ingles, Aleman, Chino y Japones. Así que en un par de semanas lo tendremos en Español. Obviamente, como la curiosidad no me da para esperar, lo instalé en Inglés. Pueden bajarlo de www.microsoft.com/ie8.

*** Update: Desde el 16 de Septiembre está disponible en español: www.ie8entuidioma.com ***

Cómo van a encontrar muchas características nuevas, vamos a revisar la que tienen que ver con Seguridad.

1. Privacidad con InPrivate: cuando por ejemplo realizas una compra por Internet, o te metes a la página del banco en un computador que no es el tuyo. Puedes usar InPrivate que no deja registro de que sitio usaste o cookies o claves que queden residentes después de terminar tu sesión.

   

2. Borrar el historial con un clic, pueden borrar la historia de navegación:

   
   Con esto se abre una ventana que nos permite seleccionar fácilmente que queremos borrar como los Archivos Temporales, las Cookies, Historia.
   
   

3. Barra de direcciones con el Dominio resaltado: una de las típicas técnicas usadas para cometer el Phising es cambiar el dominio por uno parecido, por ejemplo, en lugar de Microsoft, usan Micorsoft o similares. Seguro que les ha llegado ese mail que dice que da lo mismo el orden de las letras en una palabra mientras la primera y la última se encuentren en su lugar. :)
   
   
   
4. También pueden usar el filtro SmartScreen, que chequea los sitios no sólo por phishing, sino que filtra los intentos de instalación de malware como troyanos o spyware.
   
   
   
5. También pueden validar la seguridad de una página que use https (protocolo seguro), con el Security Report:
   

   
   
   que te entrega información acerca del certificado digital que se está usando y si es válido o no. Además, continúa el resaltado en verde o rojo en la barra de direcciones cuando es válido o inválido respectivamente. Veamos el detalle, por ejemplo, usando el sitio de autenticación de Passport:
   
   
   
   y fácilmente validar el certificado digital:
   
   
   

6. Finalmente, pueden tener un reporte de Privacidad del sitio con Webpage Privacy Policy:

   
   
   que nos entrega los detalles de las cookies entre otros:
   
    
   

Además se pueden convertir en fan de Internet Explorer 8 en Facebook.

Finalmente, les dejo un vídeo en español con el How-to de como hacer todo esto.

Comentarios y beta testers bienvenidos.

Saludos, Christian.-

El cambio es lo único constante, pero no por eso cambiar por cambiar es bueno. En seguridad, sabemos que el cambio es una constante porque las amenazas y los atacantes cambian y mejoran todos los días, por eso es que renovamos el Newsletter de Seguridad.

Hace ya dos ediciones incorporamos cambios al diseño y los contenidos, basados en la retroalimentación que Uds. nos han enviado. Donde a pedido de Uds. hicimos dos cambios mayores:

• Cambio de la frecuencia de envío, ahora es mensual
• Incorporación de Guías, Recomendaciones y Buenas Prácticas

Para la edición del mes de Agosto, tenemos un colaborador invitado: Enrique Dutra, destacado MVP en Seguridad de Argentina; quien escribe un artículo de cómo usar MSAT (Microsoft Security Assessment Tool) para poder realizar auditorías a medida de tu organización.

Les invito desde ya a suscribirse al boletín aquí y enviarme todos sus comentarios o recomendaciones.

Si no están suscritos, les comparto la última edición.

Suscríbase a otros boletines | Desuscribirse | Actualizar su perfil 20 de Agosto de 2008 Una generación más segura Las innovaciones, simplificaciones y mejoras en términos de seguridad son un denominador común de una amplia gama de productos que presentamos este año. ¿Ya las has probado? Permíteme repasar las principales: en Windows Server 2008 incorporamos el Network Access Protection (NAP), Read Only Domain Controler (RODC), una nueva generación de Rights Management Services, mejores herramientas gráficas para la consola de administración (MMC), IPSec y mucho más. En SQL Server 2008, llegan cambios sustantivos en la forma de encriptar la base de datos de manera transparente, y se incorpora mayor soporte a herramientas de terceros para seguridad a nivel de hardware. También incluye el novedoso Data Definition Language que permite hacer auditorías más precisas. Hay nuevas herramientas también en el .NET Framework 3.5 y en Visual Studio 2008. Finalmente, hemos anunciado, recientemente, el Programa de Protección Activa (PAPP) que le permite a otros proveedores de software y socios de negocios de Microsoft estar muy tempranamente informados del alcance de las nuevas actualizaciones de nuestros productos. Además, desde este mes, encontrarás un artículo de reconocidos MVP’s de la región, expertos en seguridad, que estarán compartiendo sus conocimientos. ¿Quieres más novedades? Recorre este boletín y sus vínculos… hay mucho más por descubrir... Christian Linacre Gerente de las Iniciativas de Seguridad y Privacidad Microsoft Latinoamérica christian.linacre@microsoft.com   Guía de Seguridad para Windows Server 2008 Todas las instrucciones y recomendaciones para securitizar servidores en un dominio Active Directory y administrar las políticas de grupo (en inglés). Más...   Guía de seguridad de Windows Vista Mediante esta guía (en español), se podrá administrar la seguridad de equipos de escritorio y portátiles conectados a un Active Directory, incluso desde la etapa de implementación. Excelentes recomendaciones para organizaciones de cualquier envergadura. Más... Guía de seguridad para Windows XP Reforzar la seguridad en Windows XP con SP2, en tres tipos de ambientes: corporativo (asociado a un Active Directory), stand-alone (ocasionalmente conectados a otros sistemas) y para organizaciones especializadas en seguridad con alto nivel de restricciones (en inglés). Más...   Auditorías de seguridad con MSAT Cómo realizar una cuidadosa evaluación de las condiciones de seguridad de una organización y los riesgos que de allí se desprenden. En dos artículos –que también serán webcasts- Enrique Dutra, MVP Windows Security y Auditor ISO/IEC 27001:2005, aborda el uso de Microsoft Self Assessment Tool (MSRSAT). ¡Aprende a utilizar esta herramienta! Security Compliance Management Un completo conjunto de recursos para cumplir con las regulaciones y estándares como Sarbanes Oxley. Herramientas que aceleran la adopción de soluciones de seguridad. Más...   Prevenir: la mejor de las opciones en seguridad Estar informado, utilizar las mejores prácticas destinadas a prevenir las amenazas debido a la explotación de vulnerabilidades por debilidades o fallas de seguridad en el software, es la clave. Si deseas más información (en inglés), visita el sitio de Security Tips & Talk Seguridad en SQL Server 2008, con la herencia 2005 Ya con la versión anterior (2005) del motor de base de datos y plataforma de Business Intelligence de Microsoft, los usuarios se acostumbraron a disponer de los máximos niveles de seguridad. No obstante, las necesidades evolucionan y surgen nuevos desafíos. Por eso, SQL Server 2008 llega con muchas mejoras y nuevas características que han sido diseñadas para mejorar la seguridad general del entorno, como ser las capacidades de autenticación y cifrado, encriptación transparente, un sistema nuevo de autoría que ayuda a elaborar informes acerca del comportamiento de los usuarios y a cumplir requisitos normativos. Un completo artículo de TechNet Magazine en español.   Seguridad en constante evolución Las amenazas en el ámbito informático evolucionan, cada vez son más complejas; hackers, ladrones y piratas se tornan más sofisticados, y Microsoft, conciente de esta realidad, acompaña al usuario corporativo y hogareño con los cambios y la responsabilidad necesaria para hacer que la experiencia al frente de la computadora continúe siendo satisfactoria. ¿Cómo lo hace y cual es la estrategia y basamento para colaborar activamente en el mantenimiento de la seguridad? Infórmate aquí Datos seguros en SQL Server 2008 Un ejemplo concreto –en la firma ficticia Contoso- de cómo asegurar y proteger sus datos, usando encriptación transparente de datos, autenticación segura, autorización granular, auditoría de datos y políticas de seguridad en SQL Server 2008. Más... Datos seguros en un entorno seguro En el marco de asegurar la información, no resulta menos importante y crítico contar con sistemas seguros. Bajo esta idea, la misma Contoso termina de asegurar sus datos protegiendo el entorno completo, con Windows Server 2008 y Windows Vista. Políticas de configuración de superficie de área, administración externa, NAP y BitLocker. Más...   TS Gateway & TS Web Access Esta sesión aborda, entre otros temas, la configuración de Terminal Services Gateway y sus aspectos de seguridad. Se explica adicionalmente, la forma en que los clientes se conectan a recursos internos de red, y la configuración y publicación de aplicaciones en TS Web Access. Más...   Características de seguridad en Windows Vista Se expondrán todas las novedades relativas al diseño y estrategia de desarrollo que hacen de Windows Vista, el sistema operativo más seguro. Se incluye Windows Service Hardening entre las funciones de seguridad. Más...   Más Webcasts de Seguridad Puedes acceder a muchos más webcasts en los que se incluyen importantes temas como Microsoft Forefront, seguridad en Microsoft IT, protección de la información con Microsoft Windows Rights Management Services, medidas de seguridad avanzada para clientes y servidores, implementación de seguridad en redes y perímetros, entre otros...   Certificaciones en Seguridad Certificación Microsoft en Administración de Sistemas (MCSA) e Ingeniería de Sistemas (MCSE): con estas certificaciones podrás, entre otras habilidades, administrar, mantener e implementar los aspectos de seguridad en Windows y ayudar a crear un ambiente informático seguro para todos. Más...   Actualizaciones en seguridad Julio ‘08 Entre las más importantes, son de destacar las que controlan los privilegios en SQL Server, la protección frente a la ejecución remota de código, suplantación de identidad en DNS y el resguardo al acceso de datos en OWA. Más... Protege a todos los productos ¿Buscas las últimas actualizaciones de seguridad en todos los productos? ¡Consúltalas! Actualizaciones de Seguridad en formato ISO Si deseas obtener actualizaciones de seguridad para Microsoft Windows del Centro de Descargas, en archivo de imagen de CD ISO, puedes hacerlo aquí Microsoft Forefront Security para SharePoint con SP2 Ya puedes evaluar Forefront Security para SharePoint, destinado a proteger el entorno de colaboración de Microsoft Office SharePoint Server 2007 y Windows SharePoint Services 3.0 contra documentos que contienen código malicioso, información confidencial y contenido inadecuado. Si descargas el software de prueba por 120 días, recibirás automáticamente valiosos recursos, durante el período de evaluación. ¡Descárgalo!   Microsoft Forefront “Stirling” beta Microsoft Forefront con nombre en código “Stirling” proporciona una protección exhaustiva y coordinada entre extremos, aplicaciones de servidor y el perímetro de la red. Proporciona una administración simplificada y una visibilidad exhaustiva que facilitan la administración y el control de la seguridad. Más...    Microsoft Forefront Security para Office Communications Server Protección contra malware de Mensajería Instantánea. Bloquea mensajes instantáneos con contenido inadecuado, mediante motores de análisis procedentes de socios Microsoft líderes en el sector de la seguridad. ¡Descárgalo!  • MS08-041 – Crítico • MS08-042 – Importante • MS08- 043 – Crítico • MS08-044 – Crítico • MS08-045 – Crítico • MS08-046 – Crítico • MS08-047 – Importante • MS08-048 – Importante • MS08-049 – Importante • MS08-050 – Importante • MS08-051 – Crítico       Los Lectores escriben Los Editores responden Si quieres compartir alguna opinión sobre esta edición del Boletín o informaciones relacionadas con los temas de interés para los profesionales de IT, escríbenos en el blog de los Editores del Newsletter de Seguridad de Latinoamérica. Aquí publicaremos las respuestas de interés para todos, mes a mes. • Sitio de Seguridad en TechNet • Privacidad en Microsoft • Proteja su PC • Ayuda y Soporte Técnico de Seguridad para Profesionales de IT       Los servicios de Ayuda y Soporte de Microsoft te ayudan a resolver problemas o dudas respecto a cualquiera de los productos de la plataforma. También puedes buscar soluciones en la Base de Conocimientos de la TechNet Library en español. Por ejemplo: Cómo obtener un mejor rendimiento de los servidores con Transparent Data Encryption. Para minimizar el impacto de las operaciones de cifrado de base de datos, en el rendimiento, Microsoft SQL Server 2008 cuenta con Transparent Data Encryption (TDE). Más... Foros de Seguridad Los responsables del tema en las organizaciones comparten sus dudas y conocimientos. Seguridad en carpetas compartidas, políticas, Sharepoint, backups, Windows Vista, usuarios y contraseñas, son tan sólo algunos de los temas que se abordan en un foro con mucha actividad. ¡Tú también puedes participar! ¿Recibiste el Newsletter a través de un amigo?   El Newsletter de Seguridad es altamente difundido entre profesionales IT. Si quieres recibirlo de manera gratuita y personal regístrate aquí.       Línea directa con los expertos, y en español Entérate de las novedades en seguridad. Los expertos opinan y comparten los temas más calientes. Protección del software, plataformas seguras, laboratorios virtuales, los mejores tips y sugerencias. Más... Suscríbase a otros boletines | Desuscribirse | Actualizar su perfil © 2008 Microsoft Corporation  Términos de Uso | Privacidad | Terminar la suscripción

Saludos, Christian.-

Por primera vez me toca pasar una tormenta tropical, Fay, que en parte de Florida fue declarado huracán grado 1.

Pero lo relevante no es eso, sino que esta tormenta me da pie para sacar el tema de los planes de contingencia y de recuperación de desastres. Durante los días previos a la tormenta me ha tocado ver como todo el mundo se prepara para la tormenta y toma las precauciones en caso de que esta misma los afecte. Esto se toma de manera muy seria porque lo que está en juego es la vida de las personas.

Ahora en el ámbito de la seguridad de la información, hay dos metodologías que nos ayudan a prepararnos, estas son: Continuidad de Negocios (BCP: Business Continuity Planning) y Recuperación de Desastres (DRP: Disaster Recovery Planning) que nos preparan a través de:

• Programas de respuesta focalizados en preservar la vida y el negocio
• Planes de recuperación para reiniciar las operaciones críticas de negocio interrumpidas
• Actividades de restauración para volver a las operaciones normales

Lamentablemente, lo que pasas típicamente es que el Plan de Recuperación de Desastres en muchas organizaciones se ve como:

Esto se puede mejorar, pero obviamente para crear y ejecutar los mismos se necesitan algunas cosas, como por ejemplo:

1. Comité Directivo de Continuidad de Negocios
1. Ámbito y autorización de la Política - esto con el fin de obtener el patrocinio ejecutivo
2. Mandato
1. Organización actual y futura
2. Dependencias inter-operacionales
3. Dependencias externas

Adicionalmente, requiere

• Presupuesto
• Disponibilidad de personal de coordinación
• Identificar personal clave y alternativas

Estos son los pasos iniciales para lograr responder de mejor manera poner en pie los procedimientos para proteger a las personas, la información y la organización.

Pueden encontrar algunas guías útiles al respecto en:

• NIST: Plan de contingencia para Sistemas de Tecnologías de información
• NIST: Guías y plantillas para diversas áreas como BCP, DRP, etc.
• MSRC: Microsoft Security Response Center

Ojalá esto sirva como paso inicial y que su plan de continuidad de negocios empiece pronto si ya no lo han hecho.

Como siempre comentarios bienvenidos.

Saludos, Christian.-

La semana recién pasada en Black Hat hicimos varios anuncios respecto de nuevos programas de seguridad orientados a mejorar la experiencia de nuestro ecosistema con nuestro trabajo en seguridad.

En este mismo blog pudieron leer del nuevo canal de comunicación a través del Blog de Estrategia del Ecosistema, creado con el fin de crear un canal más cercano y directo desde el equipo de Computación Confiable

Pero además de esto lanzamos dos programas para ayudar más a nuestros clientes y socios de manera más proactiva, ya que es fundamental ofrecer la mejor protección posible. Esto se logra con las herramientas adecuadas para la fácil implementación de las medidas de seguridad y, asimismo, en el tiempo correcto.

El primero de los programas ha nacido del ciclo mensual de actualizaciones y de un indeseable proceso que ocurre después de la liberación de los boletines de los segundos Martes de cada mes, que consiste en la liberación de codigos de explotación para dichas vulnerabilidades de manera muy rápida. Es por esto, que un anuncio temprano ayudará a nuestros socios desarrolladores de software a tener estas notificiaciones de manera temprana. Este programa llamado Microsoft Programa de Protección Activa (MAPP por sus siglas en inglés) permitirá a los proveedores de software ofrecer a sus clientes la protección necesaria de manera rápida y eficiente.

El segundo programa está orientado a clasificar las vulnerabilidades reparadas en elas actualizaciones de seguridad, en base a la capacidad que los atacantes tienen de explotar dicha vulnerabilidad. Este programa es la liberación del Explotabilty Index o Indice de Explotación, que permitirá evaluar de mejor manera el riesgo a nuestros clientes. Esto dado que este índice permitirá priorizar en base al riesgo calculado por este índice que podríamos tomar como la probabilidad de explotación.

Estos anuncios son simplemente la continuidad de nuestras inversiones en guías y recomendaciones respecto de seguridad, que es lo que Uds. nos piden.

Por qué ahora estos cambios? Porque, como todos sabemos, la seguridad es una actividad evolutiva en el tiempo y la protección debe evolucionar tal como evolucionan las amenazas y los atacantes.

Como siempre cualquier comentario es bienvenido.

Saludos, Christian.-

Para quienes venían esperando desde hace tiempo la liberación de SQL Server 2008; la espera terminó. Luego de pasar por un exhaustivo proceso de beta testing con más de 9.000 beta testers en Latinoamérica y 600 socios desarrollando soluciones en toda la región.

Quienes hayan probado las versiones beta pueden desde ya probar las versión final con el trial disponible y quienes sean suscriptores de TechNet Plus tendrán la descarga disponible aquí.   

Para detalles de las características pueden leer un post anterior de este mismo blog.

Y si lo que quieres es aprender más, no te puedes perder el Maratón de SQL, donde tendrás 24 horas de SQL Server, si 24 horas!!!

Cuándo? Desde el 11 al 15 de Agosto. No lo olvides y desde ya puedes inscribirte en: http://www.microsoft.com/latam/technet/maratonsql/ 

Si aun así te quedan dudas puedes hacer todas tus consultas a los expertos de SQL Server de SQL Gurus, www.sqlgurus.org, la comunidad de expertos de SQL más grande de Latinoamérica.

Cualquier duda, no dejen de avisarme.

Saludos, Christian.-

Seguro algunos de ustedes ya habrán escuchado de Mojave Experiment: http://www.mojaveexperiment.com/ que es ni nada menos un análisis de las percepciones de los usuarios respecto de Windows Vista.

Los invito a ver los videos y compartir sus experiencias, opiniones y comentarios aquí mismo.

Video: Mojave Experiment

Comentarios bienvenidos.

Saludos, Christian.-

El equipo de del Centro de Respuesta de Seguridad de Microsoft (MSRC por sus siglas en ingles) lanzó el día de ayer el nuevo blog de Estrategia del Ecosistema de Seguridad. Como sabemos nos estamos solos en el mundo de la seguridad y también sabemos que la seguridad es tan fuerte como su eslabon más débil, por lo que si no juntamos todas las componentes del ecosistema, díficilmente podremos tener un ambiente seguro.

La idea de este nuevo Blog: http://blogs.technet.com/ecostrat/ es justamente traer a la mesa los temas de interacción entre la gente y la tecnología y cómo pueden unirse beneficiosamente. Adicionalmente, este blog tendrá reportes de las interacciones de los equipos de Seguridad de Microsoft con el Ecosistema. El primer reporte viene desde Black Hat.

Los invito a leerlo.

Saludos, Christian.-