Es difícil estar enterado al 100% de las actualizaciones de software, y mucho más si se es como algunos, quienes preferimos deshabilitar actualizaciones automáticas que vienen por defecto en el software que instalamos (Java, FlashPlayer, VLC, Acobat Reader, WMP, y un largo etc.) para tener mas control sobre lo que instalamos en nuestro sistema.

Secunia Personal Software Inspector o Secunia PSI es una herramienta gratuita diseñada para mantener actualizado nuestro sistema,  cuando lo iniciamos Secunia  PSI realizará un escaneo en nuestro sistema, detectando cuales de nuestros aplicaciones se encuentran desactualizadas, ofreciendonos además información sobre la disponibilidad de actualizaciones.

De esta manera, y sin necesidad de estar visitando constantemente cada una de las páginas de las casas de software que utilizamos (que pueden ser decenas ) Secunia Personal Software Inspector nos ofrece justo la información que necesitamos y la posibilidad de actualizar nuestras aplicaciones automaticamente, con poca o nula interacción nuestra  (si así lo deseamos).

El modo de uso no puede ser más simple. Basta con ingresar a la página web del producto.
Cliquear en el recuadro remarcado para realizar la descarga de la herramienta y seguir las instrucciones del siguiente video:

Hago la anotación además, que en la barra de tareas veremos el icono de la herramienta, esto es, por que se ejecutará en segundo plano de nuestra máquina.

En mi caso ha detectado 21 alertas de seguridad de software :/… reporte que no me enorgullece, pero que entraré a solucionar de inmediato con esta herramienta.

Disponible únicamente para Sistemas Windows.

Descargar Secunia Personal Software Inspector

Más información:
Pagina Oficial de la herramienta Secunia Personal Software Inspector

También puede interesarte...

• Actualiza tu equipo con Windows
• Process Hacker, Mata Procesos en Windows
• WUDE 3.0
• Evita que Windows 7 dañe tus MP3
• Hoy salio a la luz el nuevo WinUp 2.7
• Cómo funcionan y se crackean las claves en sistemas Windows
• DLL Hijacking con Metasploit
• Como realizar un borrado seguro usando BleachBit

Una gran mayoría del software pago (shareware) que encontramos para nuestros equipos, utilizan como parte de su estrategia de mercadeo versiones de prueba para sus productos, con con ellas podemos ver su funcionamiento por un periodo de tiempo determinado antes que decidamos comprarlo, muchas veces estas versiones de prueba cuenta con todas las funcionalidades del software pero con alguna limitante como el tiempo que podemos usarlo o el numero de veces que podemos ejecutarlo.

Hoy hablaremos de  los periodos de prueba, cómo podemos evadirlos y como desarrollarlos adecuadamente, para que cumplan con la función para la que fueron programados, algo muy necesario ya que es común ver como los desarrolladores usan por ejemplo la fecha del sistema operativo como dato confiable en sus códigos y con base en ella realizan las respectivas limitaciones de sus productos, esto es una mala practica ya que la fecha del sistema es fácilmente modificable por el usuario, por lo tanto no podemos confiar solamente en ella, veamos por que…

Saltando los Periodos de prueba en el Software

Supongamos que tenemos un producto XYZ y queremos que nuestros posibles clientes lo prueben solo por 8 días y luego tengan que comprarlo para poder utilizarlo, lo instalamos hoy 20/12/2010 y si todo sale como el desarrollador lo pensó el software dejaría de funcionar el 28/12/2010… pero siempre como desarrolladores debemos pensar que el usuario es malo, si tenemos siempre presente ese pensamiento podremos mejorar ampliamente la seguridad de nuestros desarrollos, validando toda la información que ingresa o que puede modificar, ahora imaginemos que antes de instalar nuestra versión de prueba, el usuario cambia la fecha del sistema al 21/12/2012 (ya que si se acaba el mundo, no necesitara mas nuestro software jejejeje), el sistema validara como fecha en la que termina el periodo de prueba el 28/12/2012, cierra el programa, pone de nuevo la fecha actual en el sistema y que pasa?… si el sistema esta mal implementado (como sucede con la mayoría de productos que he probado) nos dará un periodo de prueba por 733 días, en vez de los 8 que teníamos pensado.

De este problema no se salva ningún sistema operativo, encontrando fallos en software tan famoso y polémico como Smurfs’ Village de CAPCOM para iOS, un juego tipo “FarmVille” inspirado en los Pitufos, que es gratuito pero su modelo de negocio es que compremos pituficerezas (smurfberry), para evitar largas esperas en el crecimiento de nuestras cosechas y construcción de edificios, como podrán imaginarse haciendo uso de la multitarea, podemos ir a las preferencias de nuestro iPhone, iPod Touch o iPad y cambiar la fecha del sistema para que la espera de horas o días, se reduzca a unos cuantos segundos. Pasando de esto…

A esto en solo unos minutos…

Click para Ampliar Imagen

Lo mismo pasa con Camtasia para Mac OS, si adelantamos la fecha del sistema en la instalación de Camtasia, lo iniciamos y luego volvemos a poner la fecha actual, pasa algo como esto…

Windows tampoco se salva de este problema, existiendo incluso software que permite automatizar el procedimiento para que cuando se inicie un programa especifico, se cambie la fecha del sistema solo para este programa, sin cambios aparentes para el resto de programas, una de las herramientas utilizadas para realizar esta función es Cracklock, que desde hace mas de 10 años y según su descripción, permite eliminar el virus “30th day” que te impide utilizar el software después de pasado X tiempo (guiño guiño).

Pagina Oficial de Cracklock

Otros desarrolladores hacen uso del registro en windows, archivos en mac o una combinación de ambos, para limitar por ejemplo el numero de veces que se puede ejecutar antes de comprar un software, esto puede ser un poco mas tedioso de identificar, pero igual podemos utilizar herramientas como RegeMon, FileMon o la reciente integración de estos 2 ProcessMon, para intentar saber donde esta guardando esta información el software y deducir que tipo de protección utilizado para el periodo de prueba.

Monitor del Registro

Monitor de Archivos

Monitor de Procesos, Archivos y Registro

En alguna ocasión vi como un software contable, utilizaba la fecha de creación de su ejecutable para validar su periodo de prueba, bastaba con usar la famosa herramienta antiforense Timestomp, para cambiar esta fecha y modificar a nuestro favor el tiempo que duraba este periodo de prueba.

Si empiezas a experimentar con esto de los periodos de prueba o las limitaciones del software por tiempo, seguramente te puedes encontrar con aplicaciones en las que te sea muy complejo descubrir como realizar sus validaciones, pero no todo esta perdido, para estas situaciones podrías utilizar herramientas como SandBoxie que te permite ejecutar el software dentro de una caja de arena, utilizarlo y al cerrarlo, la caja de arena será limpiada haciendo que el software quede “detenido en el tiempo”, ejecutandose siempre como si fuera la primera vez…

Asegurando los Periodos de prueba en el Software

Ya vimos algunos de los métodos utilizados para saltar los sistemas de protección del software, ahora veamos la otra cara de la moneda, dando algunos consejos a los desarrolladores para que los periodos de prueba que utilicen en sus productos, cumplan adecuadamente su tarea.

• No introduzcas todas las funcionalidades del software en tu periodo de prueba o por lo menos limítalas.
  Es uno de los errores mas comunes cometidos por los desarrolladores, la idea de un periodo de prueba es darle una pequeña muestra de tu software al posible cliente, si con la versión de prueba pueden resolver su problema.. para que te van a comprar el producto?, si limitas las funcionalidades del software, recuerda que debes anunciarle al posible cliente que esta limitante quedará eliminada tan pronto compre el producto.
• Valida la fecha con servidores externos.
  Como puedes ver la fecha del sistema es fácilmente modificable, si es posible valida la fecha actual con un servidor externo, para que tu software no se ejecute mas tiempo del necesario para motivar al cliente de comprar el producto… ese es el motivo de los periodos de prueba ¿no?.. el inconveniente es que necesitarían una conexión a internet pero ¿quien no la tiene en estos días?. 
• Combina las Validaciones
  Si puedes combinar las fuentes donde sacas la información para validar tus aplicaciones, registro, archivos, servidores externos, hazlo.
• Impide la ejecución en Maquinas Virtuales
  Esta es una decisión que podría afectar a clientes verídicos, pero puedes impedir que tu aplicación se ejecute en maquinas virtuales y cajas de arena, anunciando que la versión de prueba no permite esta función, pero con la versión completa no tendrán ese problema.

Compartenos la medida de aseguramiento agregarias a la lista? o un metodo que has utilizado para saltar alguna de ellas…

También puede interesarte...

• Como saltarse técnicamente la SOPA
• Recuperar el Codigo (Contraseña) de iPhone, iPod Touch o iPad
• Guía de practicas efectivas para desarrollo seguro
• Buenas prácticas de desarrollo seguro
• Actualiza tu software con Secunia Personal Software Inspector
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• IV Freedom & Open Source Day – Lima Perú
• ¿Cómo encontrar versiones antiguas de programas?

Para este primer artículo quise tocar un tema que me llama mucho la atención y que es un gran reto para los Ingenieros de software y profesionales relacionados en este campo en cuál es la seguridad. Para esto quiero enfatizarme en el ciclo de vida del software el cual es utilizado por los ingenieros de software, arquitectos entre otros profesionales involucrados en la rama, pero que tan efectivo es la metodología usada por estos profesionales en los desarrollos de software que realizan, esto lo menciono porque la mayoría de profesionales en el campo del software nunca piensan en el tema de la seguridad sino en cumplir con su meta u objetivo a alcanzar, pero ¿que tan valido es este punto de vista? en esta época donde la seguridad a tomado mucha importancia para las empresas y personas consientes que saben que la información que manejan es de mayor importancia y no puede ser mostrada divulgada a todo el mundo. Con esto quiero recalcar que la seguridad es importante aplicarla al ciclo de vida del software para con el fin de tener calidad en los productos desarrollados y cumplir con los tres objetivos de la seguridad que son la integridad, confidencialidad y disponibilidad ya que en esta época la tecnología va creciendo donde y encontramos que la información que necesitan las personas ya es accesible desde internet, con esto quiero enfatizar que la seguridad debe ser aplicada en cada fase del ciclo de vida del software para no tener dificultades más adelante en el diseño, arquitectura, pruebas entre otros.

Después de tocar este tema de mayor importancia por los profesionales de seguridad hay dos preguntas que siempre les realizo a los arquitectos y gerentes de proyectos.

1. (Arquitecto) ¿En qué fase del ciclo de vida del software contemplan la seguridad?
2. (Gerentes de Proyectos) ¿En los cronogramas donde se estima el tiempo para pruebas de seguridad?

Para la primera pregunta la mayoría de arquitectos responde las pruebas son realizadas al final del desarrollo ya que en ese momento podemos detectar los bug y corregirlos, pues lastimosamente para estos arquitectos la respuesta es incorrecta ya que las pruebas de seguridad deben estar en cada fase del ciclo de vida del software ya que entre más temprano encontremos problemas de seguridad más rápido podemos abordarlas y tendremos menos costo.

La segunda pregunta es una de mis favoritas porque la mayoría de gerentes de proyectos se queda callados como si les estuviera haciendo una pregunta para medirlos que tanto saben, pero no es así, esta pregunta la realizo porque en ningún cronograma que allá visto en mi vida como ingeniero de software exponen un tema de pruebas de seguridad, ¿pero a qué se debe esto? Una de las razones es la falta de conciencia y la metodología de enseñanza que aplican las universidades donde nunca abordan este tema y que es de mayor importancia para todo el mundo no solo para los profesionales involucrados con las NTIC .

Después de haber Mencionado estos aspectos y en mi poca experiencia profesional como ingeniero de software recalco una de las mejores guías o estándares que me he encontrado en temas de seguridad y que debería utilizar todos los ingenieros de software y personas involucrados en estas ramas el cual es OWASP donde el punto vital de ellos es demostrar que la seguridad de la información y el software puede operar junto para poder tener un producto de software que tengan los más grandes estándares de calidad esto se obtiene realizando las pruebas de seguridad que se le debería realizar a todos nuestros productos donde esté involucrado el software.

Buenos para los que no conocen que es owasp le dare una breve introduccion sacada de internet la cual dice que OWASP es un proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro. .

La Fundación OWASP es un organismo sin ánimo de lucro que apoya y gestiona los proyectos e infraestructura de OWASP. La comunidad OWASP está formada por empresas, organizaciones educativas y particulares de todo mundo. Juntos constituyen una comunidad de seguridad informática que trabaja para crear artículos, metodologías, documentación, herramientas y tecnologías que se liberan y pueden ser usadas gratuitamente por cualquiera.
Por último y unos de mis favoritos es el Top 10 del 2010 que saca OWASP encontramos:

1. Inyecciones: Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema.
2. Cross-site Scripting: Una de las vulnerabilidades más extendidas y a la par subestimada.
3. Gestión defectuosa de sesiones y autenticación: Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación.
4. Referencias directas a objetos inseguras: Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente.
5. Cross-site Request Forgery.: Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante.
6. Ausencia de, o mala, configuración de seguridad.: Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web.
7. Almacenamiento con cifrado inseguro: Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación.
8. Falta de restricciones en accesos por URL: Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas.
9. Protección insuficiente de la capa de transporte: Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados.
10. Datos de redirecciones y destinos no validados: Errores en el tratamiento de redirecciones y uso de datos no confiables como destino.

Bueno para finalizar quiero retar a los lectores que utilicen las métricas provistas por OWASP y categoricen en cuál de las 10 posiciones de vulnerabilidades se encuentran, y si su respuesta es ninguna le aconsejo que realice las pruebas con más detalle ya que los que estamos en el mundo de la seguridad y el software sabemos que un producto no es 100% seguro, como lo hacemos ver.

Pablo Andrés Garzón
Estudiante de Maestría en Dirección Estratégica en ingeniería de Software
Colombia

También puede interesarte...

• Curso Gratis de Seguridad y Redes en el Sena Virtual
• Curso en el Sena Virtual sobre Auditoria en Seguridad
• 101 Libros de Seguridad Informática Gratis
• BugCON 2012
• Cursos Gratis de Seguridad Informática Online
• Curso Gratuito de Ethical Hacking – Presencial y Online
• Podcast y Video Podcast de Seguridad Informática en Español
• BackTrack 5

El 24 de octubre del 2009 en la Facultad de Ingeniería y Arquitectura de la Universidad de San Martín de Porres se realizará el IV Freedom & Open Source Day de 9:00 am a 5:00 pm, un evento que agrupa los protagonistas y principales comunidades de software libre y Open source, tanto nacionales como extranjeros.

F&OSD es con diferencia, una de las más tradicionales conferencias internacionales de GNU+Linux con un enfoque en el desarrollo de vanguardia. El 2009 se organizará la 4 ª edición de este evento. Desde su inicio hace 4 años, FOSD se ha convertido en la más importante reunión de expertos y desarrolladores de Linux en Perú.

El listado de ponentes es el siguiente:

	Sugar Labs	Walter Bender – USA: is the founder and executive director of Sugar Labs, whose mission is to produce, distribute, and support the use of the Sugar learning platform. Sugar Labs is a support base and gathering place for the community of educators and developers to create, extend, and teach with the Sugar learning platform. Bender is past-president for software and content evelopment of One Laptop perz< Child, a not-for-profit association that developed the first netbook computer which are being used by more than one-million children worldwide. Before taking his leave of absence from MIT, Bender was executive director of the MIT Media Laboratory and holder of the Alexander W. Dreyfoos Chair.
	LPI	Jose Carlos Gouveia – Brasil: es el Director para Latinoamerica de LPI, fue, en los ultimos cinco años, director general de SGI-Silicon Graphics para a América Latina. El tambien trabajó en la región como director general para Novell, Platinum Technologies, PeopleSoft y J.D.Edwards y como director de Anderson Consulting (Accenture) y de Dun & Bradstreet Software.
	Dokeos	Yannick Warnier – Bélgica :Graduado como Ingeniero de Sistemas en Bélgica. Yannick se traslado a Inglaterra y empezó el desarrollo del sistema e-learning de software libre “Dokeos”. Poco a poco ascendiendo posiciones hasta llegar al puesto de Director de Desarrollo, convirtiéndose como uno de los desarrolladores principales de la plataforma e-learning “Dokeos”. Experto en PHP, con más de 5 años de experiencia. En el 2007, Yannick apostó por el Perú para abrir la empresa Dokeos Latinoamérica, donde actualmente es Managing Director, siguiendo desarrollando Dokeos dentro del mercado latinoamericano. En un año, de desarrollo la empresa Dokeos en Lima-Perú ha ido creciendo rápidamente, por su exigencia y calidad en su servicio, basado exclusivamente en soluciones de software libre.
	Dokeos	Ronny Velasquez – Perú: Dokeos Support. Ronny es Ingeniero de Sistemas, desarrolla activamente en PHP usando el framework Akelos y otras herramientas de software libre, se incorporó a Dokeos rápidamente trabajando activamente en varios proyectos nacionales e internacionales. La calidad de su trabajo nos permite darle responsabilidades de proyectos.
	No2	Sergio Correa – Colombia: Administrador de empresas. Representante de Ventas de IBM Colombia 2001-2004 Representane de ventas IBM Peru 2004-2006 Xerox del Perú 2006-2007 Dasigno Peru: 2007-2008 NO2 SAC: 2009 a la fecha
	ULADECH	Gianncarlo Gomez – Perú: Ingeniero Informatico egresado de la Universidad Nacional de Trujillo
	OPEN-SEC	Walter Cuestas - Perú: Gerente General de Open-Sec. Consultor especializado en Seguridad Informática, Seguridad de la Información y soluciones basadas en Linux
	OPEN-SEC	Mauricio Velasco - Perú:Consultor especializado en hacking ético en Open-Sec focalizado en pruebas de penetración tipo blackbox. Son repetidas las oportunidades en que un simple servidor web le ha servido para obtener acceso a los activos de información internos de las organizaciones evaluadas.

Toda la comunidad DragonJAR en perú esta invitada a participar, el evento es totalmente gratuito (aunque si deseas obtener un certificado de asistencia tendrás que pagar30 soles por el) y pueden realizar su inscripción en este formulario.

Para Mas Información:
Visita la Pagina Oficial del Evento

También puede interesarte...

• BugCON 2012
• Taller Gratis en Perú – Pentesting Más alla del Ethical Hacking
• Flu-Project, troyano Open Source educativo
• Actualiza tu software con Secunia Personal Software Inspector
• Saltando y Asegurando los Periodos de prueba en el Software
• Seminarios de Seguridad Informatica Gratis en Perú
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad
• Memorias del Black Hat USA 2010

Por eso he decidido publicar un listado de paginas que permiten descargar versiones viejas de los programas mas populares, par a que nos sea mucho mas sencillo seguir con nuestras investigaciones:

Una de las mejor y mas conocidas paginas con versiones antiguas de programas, no solo incluye las versiones mas populares de software para escritorio, sino que también es posible encontrar en ella versiones viejas de aplicaciones web como joomla, php-nuke, wordpress y un largo etc…

Visita OldApps.com

OldVersion cuenta con una base de datos bastante completa que incluye una gran cantidad de aplicaciones para microsoft windows y también para mac.

Visita OldVersion.com

VersionTracker es un portal como los anteriores, pero se destaca por solo contar con versiones viejas para aplicaciones que corran en Palm OS y el iPhone.

Visitar VersionTracker.com

Old-Software.com

Old-Software también es una base de datos con versiones anteriores de programas como las que ya mencionaba, pero como valor añadido cuenta con versiones de sus paginas en español, portugues e ingles.

Visitar Old-Software.com

y por ultima pero no menos importante, les dejo un listado de securinfos.info en el que publican una serie de versiones viejas de programas que son vulnerables a distintos ataques, lo que te asegura diversión para mucho tiempo.

Todas estas herramientas pueden ser útiles no solo en el campo de la seguridad, también pueden servirte si necesitas instalar software en equipos con pocas prestaciones, si te gustaba mas la versión anterior de algún programa o si han vuelto de pago algún programa que antes era gratuito, sea cual sea la finalidad que le den a las versiones anteriores del software que bajen, espero que esta información te sirviera y si conocen alguna otra pagina de este tipo que no se encuentra en el listado por favor déjenla en los comentarios.

También puede interesarte...

• NMap 5.50
• BackTrack 5 R1
• Descargate la Wikipedia en español
• Descarga Firefox 5 Estable
• Norton AntiVirus, Norton Internet Security, Ashampoo Anti Malware y otros GRATIS
• WordPress 3.1
• Actualiza tu software con Secunia Personal Software Inspector
• Saltando y Asegurando los Periodos de prueba en el Software

Incluyendo, además de los XO-1, soluciones como el XO-LiveCD y SoaS (Sugar on a Stick) y el uso de Sugar como escritorio alterno en distribuciones GNU/Linux (Ubuntu, Debian, Fedora, Gentoo, etc) Sugar ha logrado extenderse en 25 idiomas diferentes, a cerca de 40 países, donde casi un millón de niños y niñas lo usan para aprender a aprender. En Colombia hay una comunidad activa que trabaja en la divulgación, desarrollo e implementación de Sugar, que además de colaborar con los pilotos de OLPC, también ha logrado comenzar un trabajo con profesores de colegios del Distrito de Bogotá para usar Sugar como complemento en sus clases.

La charla fue trasmitida en vivo por este medio, pronto la pondremos para que la vean de nuevo los que se la perdieron…

También puede interesarte...

• Ganadores de las entradas a la Campus Party Colombia
• Inscripciones para La Campus Party Colombia 2009
• Entrevista a Andrés Ormaza sobre la ley 1273 y Habeas Data
• Llegó HackXcolombia – Ayudando los niños de nuestro país
• La Comunidad DragonJAR te lleva a la Campus Party
• Campus Party 2011 Colombia
• Campus Party Colombia 2011
• Seguridad Informática, un reto para la Ingeniería del Software o una necesidad