Nadella da un giro a Microsoft. ¿Puede Shellshock compromenter nuestra seguridad?

EL nuevo CEO de Microsoft tiene pensadas nuevas ideas para posicionarse como primer proveedor IT en las empresas y mantenerse en el sector residencial. También habló de una vulnerabilidad detectada en el intérprete de comando de Unix / Linux.

Las ventas de Ordenadores Personales (PC) corporativos han subido, así como las ventas de los PCs de consumo. 

La migración de XP a Windows 7  en las empresas, así como la gran oferta de portátiles asequibles para el mercado empresarial, unido al estancamiento de venta de las tablets, han provocado las excelentes cifras.

Buena nota está tomando Nadella,  pues tiene tiempo de emprender la que será , la segunda gran ronda de despidos. Pretende eliminar duplicidad de puestos de trabajo después de la adquisición de Nokia. Las otras dos áreas de negocio afectadas son Xbox y Surface.

En un mercado tan cambiante, ojalá consigan esos trabajadores descartados un buen puesto en otra compañía...suerte.

El nuevo capitán (CEO) del gran barco, quiere eliminar la excesiva estructura directiva, para tener una comunicación fluida y directa interdepartamental. 

Esta idea es francamente interesante, pues en empresas de gran tamaño (Microsoft tiene mas de 100.000 empleados) la ejecución de ideas, tanto internas como externas, se eternizan o no se llevan a cabo nunca.

Nadella cree que la nueva Microsoft debe estar centrada en ofrecer servicios en la nube; desde OneDrive para el mercado residencial, hasta su plataforma Azure para empresas y desarrolladores.

Cuando el consejo de administración pensó en él para la presidencia de Server & Tools - que incluye el negocio de servicios en la nube - no le tembló la mano al incluir Linux en su tarifa de precios. Por tanto, Microsoft permite virtualizar un servidor con una distribución Suse en su "plataforma cloud". Inaudito.

Además considera prioritaria la mobilidad, tanto en el entorno empresarial, como en el residencial. Cree que no debe haber diferencia entre los dos entornos. 


Windows 10 puede (y debe) fusionar esos dos mundos, con una integración multiplataforma real (móbil / tablet / PC), dotando de herramientas de programación comunes a los desarrolladores. Si lo consigue, ¿quién se aventura a decir que es el fin de Microsoft? 

Estas son algunas de las citas que Nadella ha incluido en el correo interno del pasado verano:

• "...si quieres prosperar en Microsoft y hacer un impacto en el mundo, tú y tu equipo deberá agregar numerosos cambios más allá de esta lista..."

• "...también quiero compartir algunas reflexiones sobre Xbox y su importancia para Microsoft. Como una gran empresa, creo que es crítico definir nuestro núcleo, pero es importante tomar las decisiones más inteligentes en otros negocios en las que podemos tener un impacto fundamental y de éxito..."

• "...Nos beneficiamos de muchas tecnologías derivadas del "gaming" en nuestros esfuerzos de productividad..."

• "...En el futuro, será un asistente personal mucho más inteligente que toma notas, organiza reuniones y entenderá que una pregunta acerca del tiempo es para determinar mi ropa para el día o la intención de iniciar una tarea completa como la reserva de las vacaciones en familia..."

Son sentencias mucho más enriquecedoras y, por supuesto totalmente diferentes que las realizadas por su antecesor Steve Ballmer.

Bajo el lema "mobile-first, cloud-first" (movilidad primero, computación en la nube primero), tiene en mente la dirección que debe tomar Microsoft, para no separarse de Google, Amazon, Salesforce y IBM + Apple. 

Es un curioso empedernido y conoce Microsoft a la perfección (aunque él diga que no). Por tanto personalmente pienso que es una gran elección, con un perfil técnico (más de software que de hardware) aporta aire fresco a la necesidad imperiosa que tiene Microsoft para afrontar - con ciertas garantías - unos próximos años exitosos.

Shellshock, la nueva amenaza de seguridad en Internet. 

Esta amenaza existente en el intérprete de comandos de Unix / Linux, ejecuta código malicioso, inyectando lo que el programador quiera. Podría por ejemplo controlar remotamente el ordenador. La unión de esos ordenadores formaría un Botnet (unión de ordenadores Zombies controlados remotamente).

El intérprete de comandos del sistema operativo (shell / Bash), lee los datos que ejecutarán. El fallo buscado es que a veces, con unos comandos especialmente seleccionados, lee los datos y los ejecuta. Es decir, el sistema operativo ejecuta los comandos que encuentre después de la definición de una función en una variable de entorno.

Y claro está, dentro de una variable, podemos definir una función, que además puede ser anónima y nula. Después de esa función ficticia, el intérprete sigue leyendo y ejecutando sin controles de ningún tipo, inyectando el código malicioso.

La principal y gran diferencia con otras vulnerabilidades, es que este intérprete de comandos Unix / Linux está presente en infinidad de dispositivos. Desde routers, Servidores, televisores, cámaras de videovigilancia...y, por suerte, la aún latente implantación del internet de las cosas (IoT) hará que el descalabro sea menor.

Kaspersky Lab, comenta que no sólo se ven afectados los dispositivos viejos porque la vulnerabilidad se encuentra en las versiones 1 a la 4.3 del código Bash.

Ahora bien, los señores de RedHat (una distribución de Linux muy conocida) explican que DHCP (el protocolo para que un ordenador obtenga su dirección IP / pasarela para conectarse a Internet cuando entra en una red) podría ser otro punto de ataque, ya que permite que el servidor pase variables de entorno que serían interpretadas por el cliente.

Es importante que se liberen y apliquen los correspondientes parches en todos los dispositivos dentro de nuestra red.

De esta manera evitaremos que los cibercriminales la aprovechen, ya que les permite tomar control remoto del equipo sin necesidad de adivinar credenciales (usuario / password) y poder insertar códigos maliciosos, robar datos e información y hacer fraudes financieros.

La cita:

“Las compañías fracasan por muchas razones. Algunas veces son administradas en forma deficiente, algunas veces simplemente no crean los productos que los clientes quieren. No obstante creo que el mayor asesino de una compañía, especialmente en las industrias de rápido cambio como la nuestra, es el rechazo a adaptarse al cambio”. Bill Gates.

Lectura recomendada: El lado oscuro de la red. Misha Glenny.

Una lectura casi obligada,  para todo el mundo que realiza operaciones con dispositivos conectados a la red. Libro interesante, de no ficción, que nos adentra en el oscuro mundo de Internet.

Debo reconocer que al principio, no me engancharon las páginas de este título -mal comienzo para recomendar una lectura-, pero una vez pasados los primeros capítulos, devoraba las páginas para saber si Cha0 era capturado, o la web de DarkMarket era una creación "honneypot" del FBI (tarro de miel en el mundo de la seguridad informática, es un sistema informático fácilmente abordable, pero gestionado para conocer la identidad del atacante,  es decir un engaño o atrapa moscas)

Sorprende la facilidad con la que se robaban, clonaban (copiando la banda magnética) y distribuían las tarjetas bancarias. También sorprende la ambigüedad con la que actuaban los bancos.

Probablemente cuando el medio de pago sea exclusivamente realizado con un alto componente de software, será más difícil de suplantar, frenando el negocio oscuro de los tarjeteros.

El Wallet del BBVA, permite hacer una gestión con tu monedero virtual, que siempre he pensado que podía ser una buena solución anti-fraude. Se trata de mover dinero de una cuenta a otra, para tener saldo en el momento de efectuar el pago. De esta manera en caso de copia de la tarjeta, al no tener saldo, el daño económico es menor o nulo.

Teniendo en cuenta que toda creación humana es débil, de la misma manera que el propio cuerpo humano es débil, es muy probable que se encuentre una manera de clonar los futuros medios de pago por software.

Todos hemos leído o escuchado noticias, en prensa, radio o televisión, donde determinados asiáticos - extensible a cualquier nacionalidad -de la restauración, clonaban tarjetas pasando la banda magnética por un lector.

Si a esa práctica, sumaban la lectura del PIN de la tarjeta bancaria (en el caso de que lo tuviera), ya tenían la información para grabarla en una base de datos y, distribuirla en los foros tarjeteros comentados en el libro. 

Las webs de las que se habla en el libro, eran una fuente importante para la ciberdelincuencia, pues podían obtener listas de tarjetas robadas, material para clonarlas / copiarlas, soporte técnico, personal ejecutor debidamente comisionado para sustraer físicamente el dinero, mulas financieras...vamos un mantra para los hackers / crackers.

Personalmente siento un sentimiento confuso cunado hablamos de hackers. Por un lado aprecio y admiro los de sombrero blanco, es decir, aquellos que usan herramientas para realizar  ataques a sistemas informáticos, pero cuando lo consiguen, informan al atacado para que invierta tiempo y dinero en solucionar su agujero de seguridad.

Muchos de estos hackers, o bien son contratados por la empresa atacada, o bien emprenden creando su propia compañía de seguridad informática.

Si las empresas de seguridad informática crean barreras para el usuario, los hackers black hat, saltan esas barreras rápidamente. Todo es vulnerable, estar vivo es vulnerable.

Una simple búsqueda en internet, permite encontrar cientos de links que, usados por lammers o script kiddies, permiten clonar tarjetas de manera inmediata. Tan fácil como cocinar un plato con una receta al lado.

Este libro intenta exponer cómo eran las vidas de los principales hackers actores; Matrix001, RedBrigade, Cha0, Iceman,..., todos ellos con una gran habilidad informática.

Recomendable totalmente y, seguro que cuando dejemos la tarjeta, en una bandeja plateada con la cuenta del restaurante, pensaremos si nuestra tarjeta será clonada o no.

Amen de la retirada de dinero en los cajeros automáticos, ¿tendrá un teclado superpuesto y un clonador de banda magnética?

La cita:

"El único sistema seguro es aquél que está apagado en el interior de un bloque de hormigón protegido en una habitación sellada rodeada por guardias armados" 

-- Gene Spafford