miércoles, 16 de diciembre de 2009

El espíritu de la seguridad

Categoría: Seguridad de la Información


Es un hecho innegable que la importancia de la concienciación en materia de seguridad dentro de la organización es un factor de vital importancia para la seguridad efectiva de la misma. Sin embargo suele ser la gran olvidada, existe la creencia de que invertir en otros aspectos de la seguridad, como el ámbito técnico u organizativo, va a suplir la necesidad de formación cuando la primera barrera de protección es el propio usuario.

Y es que conseguir que la seguridad de la información sea algo tan contagioso como el espíritu de la navidad no es una tarea fácil, primero hay que convencer a los reyes magos de que el espíritu de la seguridad es necesario que llegue a todo el mundo y después conseguir que éste se contagie y cale lo más hondo posible y en el mayor número de personas. Pero esto no basta, como cada año, el espíritu de la navidad vuelve para recordarnos valores que son importantes y es que tenemos la mala costumbre de olvidar las cosas que no se nos recuerdan. Sin duda, no sería lo mismo la navidad si fuese cada cinco años, y por eso, cuando se trata de espíritu , los medios para mantenerlo encendido deben ponerse a intervalos lo suficientemente cortos.

La navidad tiene un plan, para muchos muy agradable y para otros no tanto, pero la cuestión es que nos visitará todos los años en las mismas fechas con sus renos, papá noel, la estrella de oriente, los árboles y los regalos, y con la seguridad debe pasar algo parecido, también debe tener un plan, un plan de formación y concienciación en materia de seguridad que mantenga viva la llama interior de todos antes de hacer un click a un correo con 3500 destinatarios porque cree que va a recibir 250€ por cada correo que envíe, que nos alerte de que los bancos no nos piden nuestras claves o que nos repita interiormente "yo formo parte de la seguridad de esta organización".

El espíritu de la navidad no siempre habitó en nosotros, lo fuimos aceptando a través de una cultura y una educación que nos lo inculcó y nos ha llevado a formarnos una opinión, y en ocasiones un cierto sentir al respecto, ya sea para bien o para mal. Y el problema del espíritu de la seguridad es que no se conoce, no se puede tener una opinión de lo que no se conoce, no se conoce lo que no se divulga, no se divulga lo que no se identifica como importante y lo que no se considera importante cae en el olvido dando lugar a... lo que dios quiera (versión para los creyentes) / lo que el destino nos depare (versión para los no creyentes).

Quizá en generaciones venideras el espíritu de la seguridad vaya junto al de la navidad, ambos cogidos de la mano y en convivencia en una misma persona educada en la generación digital y la cultura de la información con acceso global, pero hoy vivimos una transición que crea un ambiente de especial riesgo por el analfabetismo digital y por el analfabetismo en seguridad, porque, si, efectivamente, no todo el que es (o se considera) conocedor del mundo digital es consciente de los riesgos que implica el que su ordenador esté accesible a 1.007.730.000 personas. Quizá si se le hiciera pensar en 1.007.730.000 personas paseando por enfrente de su casa, algunos con conocimiento de cómo se abren ventanas desde fuera y cómo se rompen cerraduras, se le haga reflexionar y consigamos que nazca en él el espíritu de la seguridad.

Hasta que llegue el momento en el que el espíritu de la seguridad nazca de cada uno de nosotros fruto de la cultura y la educación, habrá que poner posters en las paredes de la organización, avisos en los inicios de sesión, multiplicar la política de seguridad de la organización en más de un sitio visible, comunicar y recordar las directrices para el buen uso de los sistemas y buenas prácticas de navegación y lo más importante; recordarle siempre a todos los usuarios que de su espíritu por la seguridad depende la supervivencia de la organización.

Salu2!

lunes, 14 de diciembre de 2009

COFEE DECAF please

Categoría: Análisis Forense

Microsoft lanzó hace unos meses un conjunto de herramientas destinadas al análisis forense de su sistema operativo bajo el nombre de COFEE (Computer Online Forensic Evidence Extractor). Este conjunto de más de 150 aplicaciones se distribuye entre las fuerzas de la ley sin coste alguno en 187 paises alrededor del mundo.

Hoy veo en SANS un kit de herramientas antiforense especialmente dedicado a perturbar las evidencias extraídas mediante las herramientas COFEE. Este kit se denomina DECAF (Detect and Eliminate Computer Assisted Forensics). Dado que COFEE está diseñado para la extracción de evidencias volátiles en un windows en ejecución, la idea que hay tras DECAF es dificultar esa labor monitorizando la introducción de la unidad externa usb que contiene las herramientas COFEE y realizando una serie de acciones una vez se ha detectado con el fin de imposibilitar la recogida de evidencias.

Salu2!

domingo, 13 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (IV)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:
  • Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
  • Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:
  1. Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
  2. Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
  3. Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.
Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:



******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

viernes, 11 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (III)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información en soporte papel, la norma DIN 32757

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:
  • Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
  • Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
  • Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
  • Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
  • Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.
A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:
  • LOPD nivel bajo <--> DIN 32757 nivel 2
  • LOPD nivel medio <--> DIN 32757 nivel 3
  • LOPD nivel alto <--> DIN 32757 nivel 4 o 5
En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:
  • ENS Información Pública --> No es necesaria la destrucción
  • ENS Información No Divulgable <--> DIN 32757 nivel 3
  • ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5
No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:
  • ENS nivel bajo --> DIN 32757 nivel 2
  • ENS nivel medio --> DIN 32757 nivel 3
  • ENS nivel alto --> DIN 32757 nivel 4 o 5
Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

jueves, 10 de diciembre de 2009

Pornografía Infantil NO

Desde seguinfo vi ayer una bonita y necesaria campaña contra la pornografía Infantil que no he dudado un segundo en secundar.

Vaya mi condena ante cualquier abuso a menores y mi propuesta para todo aquel que me lea de que, si dispone de un blog lo publique.

La inocencia de un niño debe ser salvaguardada de cualquier abuso y en especial de los abusos sexuales.

Esta campaña tiene como propósito llenar internet de páginas con las palabras clave empleadas por los pedófilos para dificultar en la medida de lo posible que encuentren el material que buscan.

Pedófilos y Pedrastas NO.


Destrucción de Información, referencias legales y normativas (II)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Esquema Nacional de Seguridad

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:
  1. Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
  2. Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
  3. Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.
En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:
  • Básica, Media y Alta.
Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:
  • Identificación de la información manejada según lo dispuesto en el artículo 43
  • Determinar las dimensiones de seguridad relevantes
  • Determinar el nivel de seguridad correspondiente a cada dimensión
  • Determinar la categoría del sistema
En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:
La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
  • 1º Cuando la naturaleza del soporte no permita un borrado seguro.
  • 2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas
Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

miércoles, 9 de diciembre de 2009

Destrucción de Información, referencias legales y normativas (I)

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;
Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.
Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.
También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;
Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.
Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

viernes, 20 de noviembre de 2009

Curso de Continuidad de Negocio en Murcia

Categoria: Curso

Últimamente tenemos la suerte de poder disfrutar por esta zona de levante de algunos cursos como el de peritajes que se inicia hoy mismo y como este que os expongo aquí que se realizará los próximos días 10 y 11 de Diciembre en Murcia. Este Curso, organizado por la asociación MURcia Control Y Auditoria (MURCYA) dará una visión clara de lo que supone a día de hoy a nivel organizativo dipsoner de un plan de continuidad de negocio, introducirá los conceptos clave e instruirá en la metodología de implantación de la norma británica BS25999. Todo esto de la mano de los padres de la norma (BSI) y con un precio más que competitivo para aquellos que estamos en la zona del levante español y no tenemos que desplazarnos, con los consiguientes ahorros en costes.

Los detalles del curso los teneis en las siguientes URL:

http://www.murcya.org/node/114
http://www.murcya.org/files/Murcya-Continuidad-NegocioFinal.pdf

y para la inscripción aquí:

http://www.murcya.org/node/111/

Si teneis posibilidades de asistir, no os lo perdais, espero veros allí ;).

Salu2!

miércoles, 18 de noviembre de 2009

La seguridad de la información se afianza a nivel organizativo

Categoria: Noticias

Hoy visitando las noticias de actualidad me he encontrado con algunos datos interesantes que corroboran la buena salud de la seguridad de la información:

Según la séptima encuesta global sobre el Estado de la Seguridad de la Información, elaborada por PricewaterhouseCoopers y las revistas especializadas CIO y CSO Magazine, entre más de 7.200 líderes empresariales de 130 países, pese a la situación de recesión económica, las inversiones en seguridad de la información no tendrán recortes en las empresas. El 63% de los encuestados afirma que la inversión en seguridad se incrementará o se mantendrá estable en 2010.

A nivel global, el 65% de los entrevistados aseguran que en la actualidad sus compañías disponen de una estrategia global de seguridad de la información. En general, la recesión se ha convertido en el primer y principal motivo para impulsar la inversión en seguridad en las empresas. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y por lo tanto, los líderes empresariales han dotado a la seguridad de la información de una cierta relevancia.

Podeis ver la noticia completa aquí.

Fuente: sociedaddelainformación

Salu2!

miércoles, 11 de noviembre de 2009

Curso de Peritajes Avanzados en Murcia

Categoría: Curso

Entre hoy día 11 de noviembre y el próximo lunes 16 queda abierto el plazo de preinscripción para el curso avanzado de peritaje impartido por Javier Pagès que ha sido organizado por el Colegio de Ingenieros en Informática de la Región de Murcia. Dicha preinscripción se llevará a cabo mediante un formulario ya disponible en la página web del colegio, cuya dirección es la siguiente:

Todos los detalles del curso se encuentran en la siguiente URL:

http://www.cii-murcia.es/modules/news/article.php?storyid=711

Aqui os dejo un enlace a la ubicación concreta donde se impartirá:

http://maps.google.es/maps?q=38.023962,-1.173824&num=1&t=h&sll=38.024042,-1.167984&sspn=0.008046,0.01929&ie=UTF8&ll=38.023906,-

Si alguien decide acompañarme, allí nos vemos!!

Salu2!!

viernes, 30 de octubre de 2009

ISO 27004 pendiente de aprobación

Categoría: Seguridad de la Información

Hola a tod@s, hoy estamos de enhorabuena, estamos a punto de tener un miembro más en la familia y no me refiero a la mía, me refiero a la 27000. Como ya vimos, la norma 27000/2009 se encuentra disponible de manera pública. Este estándar con título "Information technology — Securitytechniques — Information security management systems — Overview and vocabulary" consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.

Tras no pocas dificultades, ISO 27004/2009 se puede ver en fase de aprobación en el portal de ISO. Con título "Information technology -- Security techniques -- Information security management -- Measurement" viene a solucionar uno de los más grandes problemas de la seguridad de la información, si es que no el peor, la medición. Este hecho ha sido siempre un quebradero de cabeza e incluso fuente de trabajos de investigación y tesis sobre cómo medir el cumplimiento de los objetivos en materia de seguridad de la información.

Dentro de muy poco tendremos una guía sobre cómo orientar la medición de estos objetivos.

Salu2

martes, 27 de octubre de 2009

Cifrado de datos en equipos portátiles

Categoría: Seguridad de la Información

Esta mañana he visto una noticia que me ha sorprendido. Resulta que a Joan Laporta le robaron el portátil en el transcurso del partido Barcelona - M. United el 25 de abril de 2008. Un ladrón se coló en las oficinas centrales del club blaugrana y sustrajo del despacho presidencial el ordenador personal del presidente del barcelona. De aquel ordenador nada más se supo y como no, a mi me se me encienden las luces cada vez que escucho algo de esto, máxime cuando la principal preocupación de Joan Laporta es que se filtre información que contenía dicho portátil.

De todo lo anterior, a mi se me ha venido a la cabeza que acabamos de hablar de entornos compartidos y no mencioné nada acerca de algo muy básico, el cifrado del disco duro, o como mínimo de los archivos personales. El control de acceso basado en usuario / contraseña no basta, hoy cualquiera pone un live-cd de linux y te lee todo el disco duro. Solución, utilizar cifrado del disco duro o software que crea espacios de disco cifrados como el que ya mencionamos en un post anterior. Este mecanismo es básico en entornos compartidos donde la sustracción de un portátil no es sólo un problema por disponibilidad sino por las fugas de información que se puedan derivar de la información allí contenida.

Lo cierto es que resulta difícil imaginarse a alguien entrando en las oficinas sin ser visto, sin controles físicos de entrada suficientes, sin cámaras de vigilancia, sin alarmas, sin guardias en la puerta... esto en una casita de campo es muy lógico pero la oficinas del FCB me parece algo... extraño.

Salu2!

lunes, 26 de octubre de 2009

Seguridad en Entornos Compartidos

Categoría: Seguridad de la Información

En el tiempo que llevo en este campo he podido constatar que hay un escenario tipo que tiene ciertas "particularidades" en cuanto a seguridad de la información. Este escenario es el formado por varios departamentos de diferente índole trabajando en una misma ubicación con ninguna o mínimas medidas de separación física interdepartamental y uso de impresoras compartidas.

En estas situaciones hay ciertas particularidades que cobran una importancia vital y que en ocasiones son descuidadas por aquello de que; lo que entra en el terreno de la cotidianidad pasa al lado de la confianza y deja de ser visto como un riesgo.

Uno de estos factores es el etiquetado de la información. En estos entornos, el etiquetado de la información puede pasar de ser un factor diferenciador, con respecto a qué medidas de seguridad se deben aplicar para salvaguardar su confidencialidad, a ser una golosina para quien puede ver tal etiquetado en el documento que está trabajando su compañero. "Un documento confidencial... ¿Qué contendrá?". Para prevenir esto, puede ser buena idea introducir un procedimiento de etiquetado de la información no basado en etiquetas legibles. Si este procedimiento es el mismo para toda la organización no conseguiremos huir de la curiosidad del compañero, pero sí del invitado que entra en nuestras instalaciones.

Lo comentado en el párrafo anterior entronca con la dificultad de mantener el principio de acceso a la información necesaria. Cada persona debería tener acceso únicamente a la información necesaria para el desempeño de su trabajo pero en un entorno interdepartamental compartido esto requiere una disciplina extra y unas medidas de seguridad física compensatorias como por ejemplo, cajones con llave donde guardar la información de trabajo una vez se abandona el puesto de trabajo dando cumplimiento a la política de escritorio despejado.

Sin duda alguna, las impresoras compartidas no ayudan en absoluto porque, como no, resulta que tenemos un compañero que es bastante despistado y manda las cosas a más de una impresora o símplemente se olvida de recogerlas de la misma o, por qué no, la impresora es caprichosa y cuando lo mandas te da un error, pero claro, a los 3 días aparece tu documento en la impresora. Todo esto sin contar que si la impresora es compartida con otras áreas físicas de la empresa, los trabajadores de otra área se equivocan y mandan los documentos a la impresora del espacio compartido y voilá!! un dossier con decenas de datos personales que mandó el de Recursos Humanos.

En relación al tema anterior me gustaría hacer mención a las destructoras de papel y su ubicación. Idealmente, la destructora de papel debería estar en un lugar cercano a donde se genera la mayor parte de la documentación. Cerca de la impresora parece a priori un lugar adecuado dado que facilitaría la destrucción de información errónea, equívoca o simplemente no útil. Pero... ¿cómo debe la información ser destruida? (Esto me da para otro post como mínimo ;)).

Otra piedra de toque esencial en estos entornos es el protector de pantalla por contraseña. Al igual que con la política de escritorio despejado, el escritorio de nuestro ordenador debe quedar bloqueado a la más mínima ausencia. Esta labor es más sencilla si los PCs son ubicados bajo un dominio dado que estas directivas pueden ser establecidas en el servidor de dominio y transmitidas a los clientes que inicien sesión bajo tal dominio.

El escenario se complica si los puestos son fijos y los ordenadores son portátiles. O bien compras / solicitas un candado para tu portátil o el portátil y toda tu documentación que no desees sea conocida por nadie más (en caso de no disponer de cajones con llave), te acompañarán como si fueran tu sombra, a la hora del almuerzo, a la comida, y todos los días hasta casa.


En un entorno compartido es relativamente fácil simular que hablas por teléfono y grabar las contraseñas del compañero cuando las teclea en un ejercicio de picardía y evolución de lo que se conoce como shoulder surfing.

En definitiva, con este post, no quiero dar una solución a un entorno compartido en el que se ubican diferentes departamentos tratando datos sensibles, entre otras cosas porque cada situación es única y los controles a aplicar deberán salir del análisis de riesgos, exigencias legales y objetivos de negocio, sino hacer reflexionar a aquellos que disponen de un entorno de este tipo de sus posibles amenazas y vulnerabilidades.

En numerosas ocasiones, restricciones de negocio o económicas hacen imposible cambiar el entorno físico en el que se desarrolla la actividad de los trabajadores. En este caso, si se desea reducir el nivel de riesgo se aplicarán controles como los descritos con anterioridad y que a continuación resumo:
  • Aplicar una política de escritorio despejado y concienciar sobre la importancia de su uso.
  • Advertir de las responsabilidades en caso de facilitar la contraseña y poner sobreaviso al empleado de que su contraseña puede ser capturada con relativa facilidad.
  • Comprar candados para los PC portátiles (valorar si también los fijos)
  • Aplicar directivas de seguridad globales basadas en un controlador de dominio que obliguen al usuario a cambiar la contraseña cada cierto periodo de tiempo (implementación del procedimiento de establecimiento de contraseñas)
  • Restringir mediante directivas de seguridad la longitud y caractéres alfabéticos que debe contener la contraseña de usuario.
  • Disponer de cajones con llave en los cuales se guarde aquella información que sólo debe ser conocida por su poseedor.
  • Disponer de destructoras de un nivel de seguridad adecuado y en una ubicación correcta.
  • Utilizar un convenio de etiquetado de la información no legible.
Salu2!

miércoles, 7 de octubre de 2009

Peritaje Informático de Parte: La Vista (III)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Terminado el turno del abogado de la parte del perito vendrá el turno de la parte contraria que tendrá como objetivo desacreditar al perito. Para ello, el abogado puede emplear diversas tácticas:
  • Búsqueda de Inconsistencias o contradicciones: el abogado puede hacer preguntas en busca del error del perito cambiando partes de su dictamen o pidiéndole que precise datos que no figuran en el mismo. Para resolver esta situación el perito debe tener el informe bien estudiado, cosa que en un principio puede parecer sencilla, pero en ocasiones pasan más de 6 meses desde la redacción del dictamen hasta su defensa en juicio. Es crucial en este punto que el perito disponga claramente de los objetivos que se plantearon y cual fue su resolución evadiendo preguntas como; "¿Cual es la probabilidad de que un usuario busque en el programa ares un acrónimo?" respondiendo cosas como: "No soy especialista en la conducta del ser humano y no puedo determinarlo", que no es lo mismo que decir simplemente "no lo se". El abogado contrario puede hacer preguntas incompletas esperando una respuesta, a lo que el perito responderá; "¿Y qué desea saber exactamente?". También puede repetir la misma pregunta hasta la saciedad, buscando la extenuación del perito, aunque normalmente suele intervenir el juez en su defensa instando al abogado a que deje de repetir la misma pregunta.
  • Aprovechar las debilidades de la personalidad del perito: El abogado contrario puede buscar la forma de poner bajo presión al perito para ver como responde. Esto puede hacerlo poniendo en duda su competencia en el tema en cuestión o alterando los tonos de voz pasando de un estado aparentemente tranquilo a sobresaltarse cuando se dirige al perito ante una declaración suya. El perito debe manejar los tiempos de respuesta y el tono firme y seguro durante toda la declaración.
  • Estrechar el cerco sobre los puntos débiles: sin duda alguna, el abogado contrario tratará de ceñirse a aquellos aspectos del informe pericial que le puedan ser mínimamente beneficiosos no preguntando sobre nada más, por lo que es de vital importancia resaltar todas las bondades a favor de la parte del perito cuando es su turno de preguntas.
En última instancia, el juez puede pedir ciertas aclaraciones a las que el perito responderá en función de sus conocimientos. En general y para toda la vista es esencial respetar los siguientes puntos:
  • No ofrecer más información de la que nos preguntan
  • Tomarse tiempo para responder las preguntas
  • Estar seguro de que se ha entendido bien la pregunta
  • Nunca adelantarse a una pregunta, debe esperarse a que termine de ser formulada
  • Nunca perder la frialdad
  • Terminar siempre las respuestas aunque el abogado trate de cortarte
  • Corregirse si llega el caso de un error
  • Tomarse tiempo para revisar la documentación
  • Responder de manera cautelosa a preguntas poco concretas o situaciones hipotéticas
  • Escuchar las objeciones de los abogados a una pregunta y tratar de acotar la respuesta en caso de no haber sido bien transmitida.
Referencias:
  • Proceso Judicial por descarga de archivos ilícitos en el que el autor es perito de parte
  • La peritación Informática, Un enfoque práctico. Xabiel García Pañeda, David Melendi Palacio (Colegio Oficial de Ingenieros en Informática del Principado de Asturias)
  • Effective Expert Witnessing. Jack V. Matson, Suha F. Daou, Jeffrey G. Soper (CRC PRESS)
******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

martes, 6 de octubre de 2009

Peritaje Informático de Parte: La Vista (II)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Cuando por fin pronuncian el nombre del perito, a éste le será requerido cualquiera de los documentos de identificación anteriormente mencionados y será dirigido hacia la sala en la que encontrará entre 4 y 6 personas. A la izquierda estará el letrado de la defensa, a la derecha la acusación y enfrente el secretario y el juez (o jueces). La disposición de la sala es como sigue:


No suele ser frecuente pero es posible que si hay más de un perito se pase diréctamente al careo y hagan pasar a los peritos al mismo tiempo con el objetivo de resolver sus discrepancias situando a ambos en las sillas de declarantes.

La seguridad debe quedar plasmada desde el inicio y la actitud y la expresión corporal deben reflejar dicha seguridad. El perito se situará ante el juez y éste podría hacerle una serie de preguntas como cual es su edad, fecha de nacimiento, etc que deben ser contestadas rápidamente. Una vez hecho esto, el juez preguntará al perito si promete o jura decir la verdad a lo que el perito contestará con juro o prometo. Si entra sólo el perito de parte, preguntará en primer lugar su parte y a continuación la parte contraria. Si hay un careo directo, las primeras preguntas pueden ir de la otra parte a su perito.

Hay que tener en cuenta que la estrategia del abogado de parte del perito puede cambiar y formular preguntas no convenidas anteriormente, dada la declaración de testigos anteriores. A estas preguntas hay que contestar con sinceridad como al resto de ellas en base a nuestros conocimientos, siempre hay que recordar que cualquier interpretación o respuesta no basada en evidencias claras puede suponer un grave problema para la credibilidad del perito y el resultado final del caso.

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

lunes, 5 de octubre de 2009

Peritaje Informático de Parte: La Vista (I)

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Si hay un momento claramente definitivo y definitorio de un peritaje informático, éste es la vista. En este estadío del peritaje llega la hora de defender el informe entregado y ratificarnos en todo lo allí reflejado. Los nervios, la incertidumbre de lo que va a acontecer y los momentos de falta de confianza son enemigos internos contra los que hay que luchar y dejar a un lado antes del día D y la hora H.

Al día de la vista se debe llegar con todo bien amarrado entre el abogado y el perito, las preguntas que te van a hacer y las que el abogado puede hacer a la otra parte y de las cuales se puede sacar algo positivo. El proceso de confeccionar las preguntas puede no ser sencillo si el tema tiene connotaciones técnicas, algo muy probable en nuestra profesión, y el abogado carece de tales conocimientos. Es por ello que el planteamiento de la parte para la que se redacta el dictamen debe ser decidido conjuntamente por perito y abogado aportando el uno los conocimientos técnicos y el otro los legales. La labor del perito es en este escenario decisoria.

Cuando llega el día de la vista el perito debe llevar una copia del informe para consultarla en caso necesario así como su DNI, pasaporte o tarjeta de residente. Es conveniente que el informe no lleve ninguna etiqueta externa que pueda ser identificativa de la persona para la que fue emitido y que el perito haya realizado una labor previa de etiquetado y resaltado del mismo, teniendo localizables rápidamente los principales puntos del informe; objetivos, conclusiones, informes examinados si existieran, puntos críticos del procedimiento llevado a cabo, etc.

Las horas antes de la vista no son menos importantes. Los peritos de ambas partes (si existiera de la parte contraria) serán los últimos en entrar en la sala y esto propicia tiempo, puede que mucho tiempo, de espera. En primer lugar estarán presentes en la sala el acusado, los letrados y el juez (puede que haya más de uno). Acto seguido entrarán los testigos de ambas partes y por último lugar los peritos. Durante el tiempo de espera hay que tratar de evitar hablar del caso con los testigos de tu parte y desviar el tema, máxime si el juicio ha sido declarado como público y hay prensa, la cautela y la discreción debe ser una de las máximas en los momentos previos. Si aún así, el abogado insta al perito a que le aclare ciertas cosas se debe buscar un lugar adecuado, a ser posible con barreras físicas que impidan la audición de lo que se está tratando, con motivo de impedir que se proporcione información valiosa a la otra parte. La colaboración con el abogado es fundamental hasta el momento en que el perito sale de la sala e incluso después.

El tiempo de espera hará al perito pasar por una situación de calma tensa propia de las mejores películas de suspense en las que los maestros del cine consiguen mantenernos pegados a la silla y con los ojos bien abiertos porque no sabes qué va a pasar al segundo siguiente. Sentado en una silla durante 2 o 3 horas en un pasillo y a la espera de que se abra una puerta y suene tu nombre hay tiempo para pensar en muchas cosas y el ambiente puede ser agobiante, luz artificial, pasillos relativamente angostos, calor y otros factores pueden hacer aún más complicada la espera y cumplir con los principios de cautela y discreción ya mencionados.

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

viernes, 2 de octubre de 2009

Algunas certificaciones de seguridad están sobrevaluadas

Categoría: Noticias

Quiero dejaos aquí una referencia a una noticia en la que se expone el punto de vista de Carsten Casper, director de investigación de Gartner y poseedor de las certificaciones CISA y CISSP que ya comenté aquí.

En esta entrevista, Casper habla sobre las certificaciones que tratan de abarcar un nicho concreto de la seguridad como por ejemplo el análisis forense o el hacking ético y otras más amplias en cuanto a seguridad de la información y cómo cada una de éstas certificaciones contribuye al conocimiento dependiendo del perfil que se busca. Quizá la conclusión más importante la podais encontrar en el último párrafo de manera que si no os es posible leer la entrevista completa, echadle un ojo a dicha parte de la misma.

jueves, 24 de septiembre de 2009

Metasploit

Categoría: Noticias

Hola,

Hoy quiero comentaros un framework denominado Metasploit que permite programar y llevar a la práctica exploits. Lo probé hace bastante algo de pasada de lo que recuerdo que tenía un interfaz web y que disponía también de uno en modo consola. El uso no resultaba demasiado complejo pero ahora lo va a ser aún menos. En Offensive Security han liberado un manual completo en formato HTML, el PDF es de pago pero todo lo que se recaude será donado a HFC (Hackers For Charity).

El manual está disponible a partir del siguiente enlace y es muy completo:

http://www.offensive-security.com/metasploit-unleashed/

Fuente: Cryptex

viernes, 11 de septiembre de 2009

Seguridad: ¿Por donde empezar? (II)

Categoría: Seguridad de la Información
Seguridad Informática

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Una vez que hemos visto algunas de las posibilidades de formación a nivel personal y de normas certificables que pueden verse ligadas de uno u otro modo en nuestro futuro profesional, bien como consultor, bien como implantador en nuestra propia empresa o bien como auditor, vamos a pasar al ámbito de la Seguridad Informática.

Dentro de la Seguridad Informática hay varias certificaciones con prestigio dependiendo de a qué nos queramos dedicar. Si hablamos de hacking ético, la certificación por excelencia es CEH (Certified Ethical Hacker). Esta es la que encontrareis en todos los requerimientos de los currículum, sin embargo, no es la que más conocimientos os proporcionará según comentarios en la lista de pen-test de security-focus. Allí comentan que si realmente deseas aprender tu certificación es OSCP. Esta certificación se obtienen una vez se ha hecho una intrusión real sobre un sistema y los cursos los imparten los creadores de la distribución linux dedicada a Ethical Hacking, Backtrack. Es un curso bastante asequible si nos paramos a mirar los precios en los que se mueven este tipo de acciones formativas y además, según las muestras que te dejan ver los videotutoriales parecen bastante buenos, eso si, hay que saber inglés. Desde un punto de vista de desempeño profesional, OPST (OSSTMM PROFESSIONAL SECURITY TESTER) es una certificación ofrecida por ISECOM que certifica a profesionales bajo la metodología OSSTMM cuya versión 2.2 podeis descargar desde aquí. Otra metodología que complementa normalmente a OSSTMM es ISSAF (Information System Security Assessment Framework).

Las comunidades Hacker editan e-zines, algunos de estos e-zines se encuentran disponibles a partir de elhacker.net (os recomiendo saqueadores, SET). En esta misma página podeis encontrar infinidad de material que os puede servir para instruiros por vuestra cuenta, incluyendo las revistas en castellano de hackXcrack que pueden ser un buen comienzo.

En temas de análisis forense aún no me he movido demasiado pero CHFI (Computer Hacking Forensic Investigator) al igual que su hermando de hacking ético (CEH) goza de prestigio y es referente en materia de análisis forense.

Conclusiones

Aquí os voy a ofrecer un par de diagramas con itinerarios profesionales que os pueden dar una idea de cómo afrontar la formación en materia de Seguridad de la Información y Seguridad Informática respectivamente. Esto no debe ser tomado como una guía sino como una opinión basada en lo que yo he estudiado e investigado por mi cuenta.

Tal como os he dicho no dejéis de tomar esto como una opinión pero para más información podeis ir a portales de ofertas de trabajo online como por ejemplo infojobs y buscar por consultor de seguridad o por hacking ético y contrastar la información que aquí os he dejado.

Me gustaría que esta serie de post fuera el punto de inicio para que todos aquellos profesionales de la seguridad que pasen por aquí pusieran su granito de arena al respecto en términos de su opinión y sus conocimientos de certificaciones en este sector.

Salu2!!

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

jueves, 10 de septiembre de 2009

Seguridad: ¿Por donde empezar? (I)

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Categoría: Seguridad de la Información
Seguridad Informática

Cuando uno se plantea definitivamente que esto de la seguridad le mola de verdad y quiere que pase de ser su hobby a que forme parte de su vida cada día pasando a ser su trabajo comienza a bucear y tras 15 googleminutos da con ISACA, quizá antes. Uno piensa, mmm esto parece un buen punto de partida y realmente lo es, pero no os confundáis, sacar el certificado CISA no te enseña a auditar. CISA te provee de un conjunto consistente de conceptos que te permiten afrontar con los conocimientos suficientes las diferentes áreas de la seguridad de la información y la seguridad informática a nivel conceptual. Y por qué digo lo de la seguridad de la información y la seguridad informática?, pues porque aunque suenan parecido se parecen en bien poco. La seguridad de la Información se entiende desde un punto de vista global a nivel de negocio mientras que la seguridad informática se decanta por el lado técnico. Haciendo una puesta en común con la ISO 27001, la seguridad de la información iría en consonancia con la norma al completo mientras que la seguridad informática equivaldría a profundizar en algunos controles puntuales de los puntos 10,11 y 12 de la norma. Un ejemplo bien claro lo supone el control 12.6.1 "Control de las vulnerabilidades técnicas" en el que se enmarcaría un Hacking ético.

Cuando uno da con ISACA además de CISA descubre CISM y el recientemente creado CGEIT que se situan en diferentes niveles de conocimientos como el propio desglose de sus siglas muestra (CISA tiene un enfoque de auditor, CISM de Manager de Seguridad de la Información, lo que se conoce como CSO y CGEIT una visión a nivel estratégico que podemos considerar emparejada a ISO 38500, y con emparejada me refiero a que tratan conceptos a nivel de Gobierno de las Tecnologías de la Información cada uno desde su lado). Tras unos googleminutos más uno encuentra (ISC)2 y su certificado CISSP que estando más orientada al plano técnico no deja de lado aspectos importantes del plano organizacional tal como muestran sus secciones "Business Continuity and Disaster Recovery Planning" e "Information Security and Risk Management".

Siguiendo en el plano de seguridad de la información pero adentrándonos en las normas y estándares internacionales podemos encontrar la bien conocida ISO 27001 (de la familia 27000 la norma que regula los conceptos es de descarga libre y esta disponible a partir de aquí) que regula los requisitos de certificación para un Sistema de Gestión de Seguridad de la Información, ISO 19011 que supone las directrices de auditoría para cualquier sistema de gestión.

Profundizando en el apartado 14 de ISO 27001 podemos encontrar BS 25999, que consta de dos partes: BS25999-1 donde se describen un conjunto de buenas prácticas (el equivalente a ISO 27002 pero para continuidad de negocio) y BS25999-2 donde se definen los requisitos para un BCMS (Business Continuity Management System) y que equivaldría a ISO 27001, la parte certificable. Lo cierto es que podemos perdernos si nos vamos por los laterales puesto que podemos encontrar normas de ámbito más específico como la ISO 15408 muy bien descrita en este post y cuyo cometido es clasificar el desarrollo seguro de un software en 7 niveles dando un significado claro del nivel de seguridad ofrecido por una solución comercial. O el estándar ANSI/TIA 942 sobre ubicación del CPD y niveles de disponibilidad.

No quiero enredar más, en la siguiente parte del post os ofreceré las conclusiones que yo he podido sacar hasta el momento de forma más clara pero, en lo que respecta a seguridad de la información lo descrito hasta el momento es un buen comienzo.

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

miércoles, 2 de septiembre de 2009

Virus en compilador de Delphi

Categoría: Noticias

Un virus que afecta a todos los programas en lenguaje Delphi en tiempo de compilación ha infectado miles de aplicaciones, incluyendo otros programas maliciosos.

El virus conocido como Win32.Induc, sustituye el archivo SysConst.pas usado por los compiladores Delphy dejando una copia del archivo original. Los programas compilados con el nuevo fichero diseminarán el código a otros sistemas si éstos disponen de versiones antiguas de ordenadores Delphi instalados. A pesar de que este código malicioso es antiguo, las firmas antivirus acaban de empezar a detectarlo.

Fuente: SecurityFocus

martes, 1 de septiembre de 2009

Las páginas web más peligrosas de Internet

Categoria: Seguridad en Internet

Norton presentó unos días atras un estudio realizado a través de su herramienta Norton Safe web donde se exponen los sitios más peligrosos de internet y se extraen conclusiones como las siguientes:
  • El 48% de los sitios web con conteido malicioso son webs para adultos
  • Hay gran variedad de sitios peligrosos entre los que se pueden encontrar algunos dedicados a la caza, servicios legales o compra electrónica entre otros.
  • Los virus son la amenaza más común en los sitios con este tipo de contenido.
  • 40 de los 100 sitios más peligrosos tienen más de 20.000 amenazas por sitio.
Como no, toda esta información está perfectamente cumplimentada con una lista de donde NO DEBEIS IR.

Podeis encontrar algo más de información aquí.

Fuente: http://www.elhacker.net/

El crecimiento de Internet

Categoria: Noticias

Holaaaaaaa!!!!

Muy buenas a tod@s!!!, encantadísimo de reencontrarme con vosotros después de las vacaciones y os deseo que hayais tenido un feliz y esperanzador retorno. He de decir que las mías se me han hecho cortas, pero cortas cortas.

Buceando por las noticias he visto algunas muy interesante y en el periodo vacacional que he pasado currelando y haciendo un artículo que he presentado a una conferencia en pisa, he aprendido algunas cosas que creo pueden resultar de utilidad y que voy a ir dejando aquí paulatinamente. Además, las cosas arrancan en mi nueva ubicación y eso me va a permitir, a buen seguro, disponer de gran cantidad de temas a tratar.

Ya os dejo la noticia.

Internet se parece bien poco a sus comienzos, esto no es ningún secreto, pero cómo todo esto ha sido posible, la infraestructura necesaria y algunas curiosidades ha sido estudiado y está disponible a partir de aquí. Un resumen con imágenes tan ilustrativas como ésta:


Fuente:
http://www.microsiervos.com/archivo/internet/mapeando-crecimiento-internet.html

miércoles, 5 de agosto de 2009

Cerrado por vacaciones

CERRADO POR VACACIONES



Bueeeeno, bueno bueno, ya ha llegado el momento. Mañana es el último día que curro para mi y me piro de vacaciones!!!. Este es el primer periodo de vacaciones de este blog y me gustaría daros las gracias a todos los que hasta este momento me habeis leido en alguna ocasión, a los que me leeis asiduamente y a los que con vuestros comentarios me habeis hecho mejorar. Gracias a todos, estaré de vuelta el día 25. Nos vemos!! y felices vacaciones para todos!!

HackxCrack

Categoría: Seguridad Informática / Seguridad Lógica

Allá por el año 2005 se editó en españa una revista de hacking en la que se exponían aquellos conceptos, casos prácticos, protocolos, lenguajes de programación, bugs, etc que son necesarios para iniciarse en el mundo del hacking. Esta revista se denominó HackxCrack y esta siendo para mi, sin duda alguna una lectura muy interesante y útil. Por eso, me tenía reservado este post para antes de irme de vacaciones. Estas revistas están disponibles en formato PDF y os las podeis descargar desde este enlace

Como veis os dejo deberes, son 30 números que no se leen, se estudian, yo empecé hace bastante y voy por el 18 sin probar demasiadas cosas con las que trato de quedarme con el concepto y otras que afortunadamente las puedo saltar porque ya las estudié con anterioridad. Espero que os guste y las disfruteis igual que yo.

Salu2!!

Localizando un ordenador zombi

Categoría: Seguridad Informática / Seguridad Lógica

Navegando entre las noticias de seguridad a las que me encuentro suscrito me encontrado con una entrada en el blog de Alvaro Paz que me ha resultado más que interesante.

En dicha entrada, se expone un programa denominado BotHunter que es capaz de reconocer ordenadores zombis pertenecientes a una botnet dentro de una LAN, todos los detalles lo podéis ver aquí.

Salu2!

viernes, 31 de julio de 2009

Cobit 4.1 en Español

Categoria: Auditoría y Control

ISACA y el ITGI llevan muchos años promoviendo COBIT (Control OBjectives for Information and Related Tecnologies). Para aquellos que aterriceis aquí por casualidad y no conozcan de que va cobit aquí les dejo un extracto del propio documento de COBIT 4.1

"COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders). COBIT permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas."

Podeis descargarlo desde aquí

Salu2!

Buffer Overflow (I) en CTICRM digital

Categoría: Seguridad Lógica

Desde la asociación murciana Consejo de Tecnologías de la Información y las Comunicaciones de la Región de Murcia llevamos ya casi dos años empujando para que las diferentes soluciones comerciales, así como las líneas de investigación en vigor sobre temas tan de actualidad como IT Governance se acerquen a la sociedad de la Región de Murcia y del resto de España.

Como una de las iniciativas de la actual Junta Directiva se creó una revista de la que soy responsable directo y cuya edición va por el número 3. En este número podéis encontrar artículos realmente interesantes y contamos con nuevos colaboradores, nuevas secciones y también ISSN.

Una de las nuevas secciones es "El tutorial" y he querido inaugurarla con algo que llevo trabajando mucho tiempo; un tutorial completo de Buffer Overflow en el que pretendo exponer como es posible llegar desde el bug al exploit a fondo y de la manera lo más cercana posible. Esto lo he hecho con la intención de que no sea necesario ponerse enfrente del ordenador y seguir todos los pasos sino que con un estudio pormenorizado del tutorial cualquiera con unos conocimientos medianos pueda entender cómo se pueden localizar estos errores y cómo se pueden aprovechar por un tercero.

En este número tan sólo figura la parte I de posiblemente III si me queda el tiempo suficiente para llegar hasta el fondo en este asunto.

Aqui os dejo los enlaces a la página de CTICRM, y a la revista CTICRM digital donde podreis adquirir de manera totalmente libre y gratuita cualquiera de sus números.
Si cualquiera de vosotros quiere colaborar con la revista puede ponerse en contacto conmigo en la dirección hernandezrma@gmail.com

Espero que lo disfruteis.

Salu2!

Xmind, organizando el entorno

Categoría: Gestión

Hola a tod@s de nuevo. Ya estoy aquí para compensar vuestra paciencia por el poco margen de actualización que ha tenido este blog ultimamente. A lo largo de las próximas dos hora os voy a ir poniendo al día de todo aquello que he estado viendo últimamente y que creo que puede ser de utilidad.

Además, he decidido categorizar las entradas para que de un vistazo podais intuir de que va el tema y proporcionaos así más información de primeras.

Voy a empezar esta "puesta al día" por una aplicación que me dio a conocer mi actual compañero de trabajo Carlos de las Marinas y que sin duda alguna ha pasado a formar parte de mi biblioteca de aplicaciones. Este programa es Xmind.

Xmind es una aplicación que nos permite poner en orden nuestras ideas y plasmarlas esquemáticamente, permitiendonos crear diagramas que plasman la realidad en un momento determinado del tiempo. Esto nos permite, por ejemplo, organizar tanto las próximas entradas de este blog como algunas de las categorías sobre las que podrían figurar los post en un futuro. Aqui os dejo el diagrama obtenido y también una captura de pantalla para que tengais una perspectiva visual de qué es lo que nos ofrece.


Esto es solo una pequeñísima muestra de lo que esta aplicación nos puede ofrecer. En el caso de Carlos y mio esto nos ha sido especialmente útil para poner en orden la situación de los diferentes servicios de una organización.

No dudeis en visitar la página principal de XMind porque allí se muestra la potencia de la que dispone esta excelente aplicación.

Ah, se me olvidaba, además es open source.

Un saludo.

jueves, 16 de julio de 2009

Inteco pone en marcha la oficina de Seguridad del Internauta

Antes de nada quisiera disculparme por mi ausencia, no, no me he aburrido de escribir aquí, ni mucho menos :). Estoy inmerso en un cambio de proyecto en el trabajo que me lleva un poco ocupado y además... os estoy preparando un primer artículo técnico (seguridad lógica pero no os digo de qué, lo que si os digo es que va a ser largo) de forma que ando realmente ocupado y apenas tengo tiempo para escribir aunque ahora más que nunca, con algún compañero nuevo, en un nuevo entorno y con miles de cosas por aprender se me pasan una idea tras otra para ponerla aquí. Lamentablemente lo que falta es el tiempo para dejarlas plasmadas por escrito pero espero que poco a poco les pueda ir dando salida.

Ahora la noticia...

Desde hace un par de días está disponible desde INTECO la oficina de seguridad del Internauta donde se ofrecen diferentes servicios al ciudadano. Esta iniciativa, en consonancia con el objetivo de Inteco de acercar la seguridad a particulares y PYMES pone en marcha varios servicios entre los que podemos encontrar:

  • Pruebas de conocimiento
  • Consejos acerca de seguridad
  • Atención telefónica
  • Atención Online
  • Foro
  • Avisos de seguridad
  • Noticias
  • Utilidades Gratuitas
  • Glosario de Términos
La página se encuentra disponible aquí. Sin duda alguna la labor desarrollada por INTECO en este ámbito como impulsor de la seguridad es muy de elogiar.

martes, 7 de julio de 2009

Nuevo Máximo responsable del MI6 ve comprometidos sus datos vía Facebook

Ya analicé en su día el peligro de las redes sociales en cuanto a sus políticas de uso (desde mi punto de vista abusivas) y al cuidado que se debe llevar en la utilización de estos servicios. Existe un gran desconocimiento en cuanto a qué condiciones estamos aceptando al utilizar estos servicios de forma que ocurren cosas cómo la siguiente:

Al parecer nadie le avisó a la señora de Sir John Sawers que su marido sería nombrado como máximo jefe de los servicios secretos del Reino Unido.

Claro porque fue ella la que subió a su cuenta de Facebook información detallada de su domicilio, lugar donde trabaja, quienes son sus amigos y hasta el lugar donde suelen pasar sus vacaciones en familia. La información estuvo disponible en el sitio sin ningún tipo de restricción, por lo que cualquier usuario de la red podía tener acceso a ella.

A tanto llegó la devoción por su marido que no dudó en publicar algunas fotografías de la familia, incluyendo los mensajes de felicitación que recibieron luego de enterarse del cargo al que sería asignado su flamante esposo. [...]

La noticia completa en castellano podeis encontrarla aquí y en inglés en este otro sitio.

Fuente: http://www.fayerwayer.com/

Salu2!


jueves, 2 de julio de 2009

La Guerra Fría Digital

Hoy en día, no hay ninguna duda de que nos encontramos en una nueva era y una nueva sociedad, la era digital y la sociedad de la información. Tampoco cabe duda de que actualmente sería difícil pensar en un desarrollo vertiginoso de la difusión de conocimientos y la disponibilidad de la información sin una base tecnológica e informática. Las organizaciones dependen de la tecnología hasta el extremo y su información se encuentra albergada en sistemas de cuya seguridad depende el buen funcinamiento de una parte de la organización y en casos muy críticos, de la organización completa. En torno a esta información giran las actividades de negocio, el trabajo de las personas y en última instancia y desde un punto de vista global, la economía de un país.

Por todo lo anteriormente mencionado, resulta interesante reflexionar en el cambio de planteamiento al que estamos asistiendo, podemos decir que desde ya a nivel global, en cuanto a la defensa nacional. Pensando fríamente, con un grupo de Hackers bien confeccionado se podrían plantear objetivos estratégicos (organizaciones guvernamentales, grandes empresas por volumen de negocios, empresas con colaboraciones con defensa, empresas del sector energético y un largo etcétera) que pueden ser dañados vía Internet. El ejército norcoreano dispone de un ejército de 100 Hackers, desde Estados Unidos sonaron declaraciones sobre un posible ataque de un hacker chino al pentágono, también Inglaterra e Israel los han sufrido. Todo aquello que está expuesto a Internet es susceptible de ser atacado y es por ello que se debe analizar aquello que resulta crítico con el objeto de imponer la medidas de seguridad adecuadas para su protección.

Diferentes gobiernos a lo largo y ancho del planeta han creado ya o se disponen a crear ejercitos de hackers y estrategias de ciberdefensa y es que "cuando el río suena, agua lleva". Líderes guvernamentales de todo el mundo comienzan a establecer la cyberseguridad como una de sus prioridades dándole la importancia y atención que merece un elemento básico de un castillo de naipes que si pierde uno de sus pilares clave, la información, caerá pudiendo arrastrar con él parte del sustento económico de la nación.

El ejército Americano dispuso hace bastantes años de un escudo antimisiles con el objetivo de proteger su territorio de posibles ataques externos (principalmente de los rusos) lanzando un mensaje al mundo, "señores, tenemos un escudo antimisiles, si nos atacan, más vale que acierten". La Seguridad Nacional está empezando a contar con la seguridad lógica y por ende la disuasión ha cambiado de ámbito, hace apenas unas semanas Jeff Moss fue nombrado Asesor de Barack Obama pasando a formar parte del Consejo Asesor de Seguridad Nacional de Estados Unidos, también se ha trasladado de escenario; el pasado 10 de Junio el parlamento europeo aprobaba una propuesta para impulsar un plan europeo de ciberseguridad. Y es que, señores, podemos seguir con la filosofía del avestruz y esconder la cabeza bajo tierra o coger el toro por los cuernos y afrontar los riesgos que plantea un entorno dinámico, una sociedad informatizada y una información globalizada. Bienvenidos a lo que es a día de hoy, y esperemos que siga siendo, La Guerra Fría Digital.

Salu2!