Los “easter egs” virtuales o digitales eran una práctica muy común hace algunos años. Los “easter eggs” eran pequeños programas ocultos introducidos en los programas legítimos con el simple propósito, muchas veces, de demostrar que era posible agregar este tipo de funcionalidad; en algunos casos esos programas ocultos tenían funcionalidad cómica, como bromas y sin un real propósito asociado a la funcionalidad del programa que los contenía.
En particular los primeros que recuerdo incluían entre otros: cambiar el ícono de Netscape 0.9 de la clásica N a un dragon de Mozilla, hasta el día de hoy escriban about:mozilla en cualquier ventana de Firefox; otro de los más comentados en Windows 95 –o 98 no recuerdo bien– era en el protector de pantalla cuando elegías la posibilidad de escribir un texto y escribías Volcano, el protector desplegaba la lista de volcanes de USA; los más elaborados fueron incluidos en las versiones de Office 97 donde incluso uno de los programas incluía una versión del Flight Simulator.
Más allá de discutir la usabilidad o utilidad de este tipo de programas, probablemente pensados en una era más ingenua de la computación; si tenemos que clasificarlos hoy día podríamos fácilmente clasificarlos como Software no deseado, incluso en algún caso como un Caballo de Troya ya que son programas ocultos con funcionalidad distinta a la que declara tener el programa principal.
Aparte de la clasificación que podamos darle a estos programas, desde el punto de vista de la confiabilidad del programa que lo contiene un punto relevante es que estos segmentos de código adicional, aumentan la superficie de ataque y, por ende, aumentan el riesgo al que está sometido el programa. Por lo tanto, la práctica de incluir “easter eggs” compromete la seguridad general del programa. Yendo más allá, qué pasa con las vulnerabilidades contenidas en un “easter egg”? dado que es una funcionalidad no documentada, cómo seguir un proceso de seguridad adecuado de los mismos? Simplemente, no se puede hacer.
Las aproximaciones para reducir la superficie de ataque tienen varios frentes, como por ejemplo, los asistentes de configuración de seguridad (SCW) incluidos en los sistemas operativos. Un enfoque más metodológicos son las guías de hardening que dan instrucciones claras de que configuraciones seguir en determinados escenarios.Pueden encontrar muchas de ellas en TechNet.
Siendo pragmático, incluir “easter eggs” o más aún utilizar programas que los contengan debiera aumentar el riesgo total al que se ve expuesto una compañía. De hecho, debiera ser incluido como una componente en el análisis de riesgo. Independiente de los divertidos que puedan parecer es una mala práctica de desarrollo de software.
Pero, y qué pasa con los programas Microsoft? Más arriba hice mención a varios easter eggs contenidos en Office y Windows; incluidos en una época donde los requerimientos de seguridad no eran tan estrictos como hoy. Desde el año 2002, Microsoft tienen la iniciativa de Trustworthy Computing o Computación Confiable, se compone de cuatro pilares fundamentales: seguridad, privacidad, confiabilidad y buenas prácticas de negocios. Claramente, los easter eggs no caen dentro de esta clasificación y no cumplen varios de los principios en ellos declarados.
Qué debe hacer alguien que quiere tener software seguro? La respuesta no es simple, pero una aproximación es usar un proceso de desarrollo de software que incluya la seguridad en todo el ciclo de vida del software. Justamente eso es lo que hace SDL: Security Development Lifecycle, que en cada etpa del desarrollo incluye pasos de seguridad.
La figura muestra el ciclo en sí, dividido por fases y los pasos de seguriad en cada una de ellas:
Este ciclo, la metodología, documentación y herramientas están disponibles para ser usados como práctica de desarrollo seguro en el sitio de MSDN: http://msdn.microsoft.com/en-us/security/cc448177.aspx
Con estas prácticas y el trabajo constante en seguridad, la cantidad de riesgos asociados al software irán disminuyendo, así como los easter eggs.
Comentarios y consultas bienvenidos.
Saludos, Christian.-
El día de ayer, los clientes usando Windows Live Messenger pueden haber recibido un mensaje parecido al siguiente:
He recibido confirmación de nuestro equipo de MSN y esto se debió a un error involuntario, por lo cual, pedimos las más sinceras disculpas por los inconvenientes que pudiera haber causado. Si usted recibió este mensaje, por favor ignórelo. Usted podrá seguir usando su dirección de correo actual sin problemas y no hay razón para hacerlo.
Si used ha hecho clic en el vínculo, no hay riesgo para usted. Debiera haber recibido un mensaje similar al siguiente “Su cuenta Windows Live ID no puede ser cambiada en estos momentos” y recibe esto porque no hay razón para hacerlo.
Estas notificaciones son usadas solamente para informar de situaciones graves o urgentes, pero desaforunadamente un error humano causó que estas notificaciones fueran enviadas. Nuestros equipos a cargo revisarán el proceso asociado para evitar que situaciones así ocurran en el futuro.
Nuevamente, les pedimos disculpas por cualquier confusión o problema que esto haya podido causar.
Cualquier duda no dejen de avisar.
PD: Gracias a Sergio Calderon por enviar el screenshot en español.
Mis amigos del grupo de usuarios MUG me hicieron llegar esta invitación para el evento Manage IT 2009: Gestión de Proyectos y Arquitectura de Software. La descripción del evento es la siguiente:
Los Nuevos desafíos en el campo de TI. En este evento, oradores de primer nivel, referentes de la comunidad tecnológica, nos mostrarán su visión ya sea desde la Gestión propiamente dicha como desde la administración de equipos de desarrollo, cuales son las alternativas a tener en cuenta al diseñar la arquitectura de una aplicación. Dentro del ciclo de vida de desarrollo del Software, existen varias etapas que en mayor o menor medida se encuentran resueltas por la industria. Actualmente, en la ejecución de proyectos, los aspectos tecnológicos dejaron de ser el factor problemático esencial, ya que contamos con abundante información que permite seleccionar diferentes herramientas como Guías y Frameworks que ayudan a resolver los aspectos técnicos de los desarrollos. Sin embargo, existen dos áreas que hoy en día son las claves para el éxito o fracaso de una solución, siendo estas las que ofrecen mayor incidencia en el costo y tiempo de los proyectos. Estas aéreas son la Gestión de Proyectos y la Arquitectura de esas soluciones.
Cuándo: Miércoles, 22 de abril de 2009 Dónde: Aula Magna UADE, Lima 717, Ciudad Autónoma de Buenos Aires Oradores: Patricia Scalzone, Rodolfo Finochietti, Diego Gonzalez, Daniel Laco, Esteban Dannunzzio
El evento es gratuito pero la registración es obligatoria, así que no olviden registrarse: http://www.mug.org.ar/registracion.aspx?idevento=3238
La agenda del evento es la siguiente:
8:30 Ingreso – Acreditación 9:15 Apertura – Keynote 9:30 a 11:00 – Las buenas prácticas y el impacto en el costo de los proyectos de software (Área: Gestión de Proyectos) - Patricia Scalzone, Daniel Laco (Vemn Sistemas) Aún con los avances de estos tiempos, y las metodologías, herramientas y procesos con los que contamos, la gestión de proyectos sigue siendo un problema en las empresas. La paradoja es pensar que la incorporación de buenas prácticas puede encarecer y demorar el proyecto, cuando la realidad es que podríamos ser mucho más eficientes, sobre todo en épocas de ajustes. ALM (Application Lifecycle Management) es un conjunto de disciplinas que permite alinear las estrategias del negocio, con el desarrollo del software y la operación. En esta conferencia, se transmitirá el valor agregado que adquiere un equipo de desarrollo con la incorporación de estas prácticas.
11:00 a 11:30 - Intervalo 11:30 a 13:00 – Arquitectura y Desarrollo en Tiempo de Crisis (Área: Arquitectura de Software) - Rodolfo Finochietti (Lagash Systems) En los últimos años se ha incorporado la práctica de arquitectura a los proyectos de software con diversos objetivos, la industria ha tomado este rol de diferentes formas y se ha acoplado a los equipos de desarrollo. En la actualidad y en el marco de una crisis global, las organizaciones se plantean un punto de inflexión en el cual se están revisando decisiones anteriores, se están reestructurando equipos para acomodarse a los nuevos desafíos, en términos de velocidad, costos, y otros aspectos. A lo largo de esta presentación se darán cuenta de distintos desafíos y algunos lineamientos generales para encararlos.
13:00 a 14:00 – Intervalo. Almuerzo libre. 14:00 a 15:30 – Tercera conferencia Arquitecturas Web – Alternativas, Casos y Recomendaciones (Área: Arquitectura de Software) - Esteban Dannunzio (Vemn Sistemas) En las aplicaciones Webs, hay desafíos a resolver en una arquitectura. Desde la elección del Framework principal, pasando por el desarrollo de la interfaz de usuario y las comunicaciones, hasta pensar las operaciones y mantenimiento de un sitio. En esta presentación hablaremos sobre recomendaciones y alternativas para resolver cada una de las áreas, la incidencia en el proyecto, Contaremos algunos casos reales de implementaciones, con los pros y los contras de cada uno de ellos.
15:30 a 16:00 – Intervalo 16:00 a 17:30 – Gestión de equipos de Desarrollo (Área: Gestión de Proyectos) - Diego González (Lagash Systems) Los RRHH de TI (o sistemas) son uno de los perfiles más difíciles de gestionar. El nivel de compromiso con los proyectos debe ser alto, la especialización juega un rol azaroso, los desafíos pueden ser complicados de establecer, la rotación de los equipos, la sobrecarga de trabajo, entre muchos otros temas. En esta charla se identificarán esos problemas para dar lugar distintas técnicas de manejo de equipos que minimizan los desafíos mencionados y ayudan a una mejor integración de los equipos entre sí y hacia las organizaciones.
17:30 a 17:45 – Cierre, agradecimientos, sorteos. Open Spaces: 14:00 a 15:30 – OS Gestión de Proyectos, OS Arquitectura de Software 16:00 a 17:30 – OS Gestión de Proyectos, OS Arquitectura de Software
Earth Hour es una iniciativa nacida el 2007 que invita a apagar la luz por 1 hora; nacida con la motivación de mostrar compromiso con el movimiento global de sustentabilidad.
Cuándo? Hoy 28 de Marzo a las 20:30 hrs hora local de donde vivas.
Pero además de este gesto simbólico, que más se puede hacer? Una de las cosas básicas que cualquier aficionado a la computación puede hacer, es… apagar el computador cuando no se está usando. Además de ahorrar energía esta práctica es un mecanismo preventivo de seguridad, ya que muchas veces al dejar los computadores encendidos y desatendidos se dejan conectados en las casas conectados a conexiones de banda ancha; con lo cual se convierten en sujetos ideales para ser partes de un botnet.
Cuánto se ahorra en un computador de escritorio? Los invito a usar la calculadora de ahorro de energía que está disponible en el sitio de Green IT de Microsoft.
Pero volviendo al tema de la energía, cómo saber dónde ahorrar? qué pasa en ambientes corporativos donde el manejo de sistemas HVAC y el consumo de energía son un constante desafío (por no decir dolor de cabeza). Una de las soluciones es utilizar virtualización, no sólo a nivel de servidores sino también a nivel de escritorios y en toda la infraestructura.
Cómo saber cuanto se ahorra y cuanto cuesta? cuál es la inversión inicial? cuánto es el retorno de la inversión?
Para responder algunas de estas preguntas pueden utilizar la calculadora de ROI de virtualización de Microsoft, qué les permite evaluar no sólo el costo de la consolidación sino también los ahorros en energía derivados del consumo directo así como de los sistemas HVAC. La calculadora está disponible en el sitio de Virtualización de Microsoft.
Pero como dicen que no todo es servidores en la vida, qué podemos hacer en los escritorios. Una de las características incluidas en Windows Vista fueron las funciones avanzadas de energía, así como la posibilidad de controlar por políticas de grupo las mismas. Asimismo, en Windows 7 las caracterísiticas de eficiencia energética fueron incrementas, pueden leer un resumen y comparación entre Sleep, Hibernate y Shutdown en el blog de ingeniería de Windows 7.
Por último, si quieren estar al día de los últimos esfuerzos de sustentabilidad ambiental que Microsoft lleva a cabo los invito a suscribirse al blog de Software Enabled Earth.
Mucho se ha escuchado los últimos días acerca de la posible activación de una nueva variante de Conficker el día 1 de Abril.
La versión de la que se habla es Conficker.D es la última variante conocida de este gusano computacional, asimismo es la menos agresiva de las versiones y los detalles de su funcionamiento pueden leerlos en el Blog de Seguridad en un artículo de Roberto Arbelaez.
Las recomendacions para protegerse de esta amenaza siguen siendo las mismas ya entregadas y pueden ser encontradas en nuestros sitios, dependiendo de su perfil:
Profesionales de IT: www.microsoft.com/conficker
Usuarios en el Hogar: www.microsoft.com/latam/protect/computer/viruses/worms/conficker.mspx
Cualquier persona que crea estar infectado no dude en contactar a Microsoft a través de nuestros canales de soporte: http://support.microsoft.com/contactus
Uno de causas más habituales por la cual se siguen propagando virus y otros tipos de software malicioso conocido es porque las computadoras no cuentan con un antivirus activado y/o actualizado. Por básico que parezca es una recomendación que se sigue poco.
Recomiendo seguir estas recomendaciones básicas disponibles en el sitio de Microsoft Protect.
Obviamente, después de que el sistema esta comprometido o bajo sospecha lo mejor es unsar un antivirus externo. Es por eso que les recomiendo correr un examen con la herramienta gratuita Windows Live Examen de Seguridad. Es muy simple de usar pero para despejar cualquier duda preparé un corto video de como se usa. Esto puede ser usando para Windows XP o Windows Vista.
Espero les sirva y cualquier duda o comentario como siempre son bienvenidos.
Mi buen amigo JuanCarlos Puente, quien publica el blog de EmpresaProductiva me compartió este excelente video explicativo (a prueba de… como dirían algunos) acerca de Software + Servicios.
Los invito a verlo y a visitar www.microsoft.com/softwareplusservices/
Este mes de Marzo liberamos 3 nuevos boletines, explicados aquí. El día de hoy, 12 de Marzo, habrá un webcast en español dedicado a la explicación de los mismos.
El webcast será transmitido por Livemeeting por lo que recomiendo tenerlo instalado antes. Recomiendo comprobar el sistema antes del webcast.
Los detalles son:
Por favor inscríbanse en: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032407784&Culture=es-AR
Será un evento online con charlas y demostraciones técnicas de alto nivel, y sesiones de chat en vivo con especialistas, incluido Mark Russinovich.
Descubre novedades acerca de las tecnologías de implementación, administración y de desarrollo de aplicaciones en desktops con Windows Vista y con Windows 7: cómo mejorar el rendimiento, cuándo virtualizar, cómo optimizar los escritorios, incrementar la seguridad, resolver el acceso a datos y cómo crear las mejores interfaces de usuario. Conoce todas las novedades que llegan con el SP2 de Windows Vista y lo que se viene con Windows 7 y ASP.NET 4.0. Conferencias online, demos y chat en vivo con expertos para dominar las últimas tecnologías en desarrollo de aplicaciones Windows (y web también).
Inscripción y más info: www.microsoft.com/latam/windowsday
Blog del evento (adelanta tus preguntas a los expertos): http://windowdsayblog.net
Twitter: http://twitter.com/msdntechnet
Los invito, no se lo pierdan!
Actualización 16 de Febrero:
El equipo de Windows Internacional ya ha recibido candidatos que superan varias veces los cupos para participar en el testing de Windows Español, agradecemos su interés y nos comunicaremos durante las próximas semanas con los seleccionados para participar.
Les avisare de más oportunidades de testing de productos en Español en el futuro.
----------------------------------
Esta es una noticia exclusiva, quieres ayudar a mejorar la versión de español de Windows 7?
El equipo de Windows International está buscando beta tester para la versión Windows 7 Ultimate en español. Si te interesa y crees que puedes ayudar continua leyendo.
Cómo participar? Mandando un e-mail a eslabeta@microsoft.com, explicando en un par de líneas porqué te gustaría participar del programa y cómo podrias ayudar. Incluyendo además:
De los que envíen sus datos se hará una selección que recibirán un mail avisandoles que han sido seleccionados.
Los bugs mas buscados son de localización: traducciones, terminología e interfaz.
Los participantes más activos y que proveen de la mejor información serán reconocidos por Microsoft.
Cualquier duda adicional, no olviden escribir a eslabeta@microsoft.com.