Auditoría y Seguridad de Sistemas de Información

Nos vemos en www.miguelangelhernandez.es

2010-02-16T11:14:00.001-08:00

Por si no has llegado al final de la entrada anterior... me puedes seguir en:

http://www.miguelangelhernandez.es

Continuamos andando el camino a ver hasta donde nos lleva

Salu2 y hasta pronto!!

Primer año del blog!!! y... Punto y Seguido

2010-02-16T00:00:00.000-08:00

Hace ahora un año que me decidí a, tras un post voluntarioso, lanzarme a la blogesfera a ver qué me podía ofrecer y qué podía ofrecer a los demás desde mi humilde conocimiento de la seguridad de la información. Así rezaba aquel primer post:

Hoy, finalmente me he decidido a comenzar este blog con la temática que anteriormente propuse y con el objetivo de realizar como mínimo una publicación por semana, que es lo que ahora mismo me puedo permitir. Espero que todo lo que aquí expongo os resulte interesante y os sirva para vuestra actividad diaria, para comentárselo a un amigo, para ponerlo en práctica en casa o para cualquier otra faceta que os pueda resultar de interés, eso si, siempre dentro de lo legal :).

Hoy hace ya un año y este blog ha sobrevivido a los que han sido los peores momentos de mi vida en lo que a lo familiar se refiere por lo que he decidido que se merece la oportunidad de seguir adelante y tratar de conseguir aquellos loables deseos con los que se inició.

Las estadísticas de este blog están muy lejos de las de los mejores en esta temática pero acabo de arrancar y esto es un camino largo que se anda paso a paso, sin prisa pero sin pausa.

En Noviembre del año pasado tuve el mayor número de visitantes rozando los 700 y se han contabilizado un total de 4141 usuarios únicos absolutos con un total de 9.498 páginas vistas.

Un total de 5781 visitas provenientes de 53 países distintos me dan aliento y ánimo a seguir adelante con esta iniciativa que tantos buenos ratos me ha dado y espero que también a vosotros. Quiero mandar desde aquí un cordial saludo a todos mis amigos de latinoamérica a los que Internet les permite pasarse por Murcia de manera asidua a hacerme una visita al blog ;). También me gustaría por supuesto agradecer a todos los que, desde España me habéis visitado y me seguís, algunos me consta que desde el primer día.

Alrededor de unos 40 lectores suscritos por rss me siguen desde diversos feeds, a todos ellos, gracias, sois la parte más visible de que lo que escribo suscita cierto interés, gracias por vuestra paciencia en momentos de poca actualización y por vuestra fidelidad.

Tras los apartados de cifras y agradecimientos, ahora voy con mis votos para este ciclo 2010-2011, así tenéis cosas que echarme en cara si no las cumplo :).

Disponer de una actualización más continuada
Realizar artículos largos dedicados a alguna temática de la seguridad
Hablaos más de peritaje informático, análisis forense y hacking
Informaos de mis lineas de investigación en IDS y haceos un monográfico sobre Sistemas de Detección de Intrusos.
Comentaos libros que os puedan resultar de vuestro interés
Y como no, tratar de que el contenido sea más atractivo

Y ahora si, aquellos que quieran comprobar si lo que he descrito anteriormente lo voy a cumplir o me vais a poder dar de galletas las que queráis, de ahora en adelante vais a poder seguirme en www.miguelangelhernandez.es.

Os pediría a todos aquellos que sigáis interesados en mis publicaciones que os suscribiéseis al nuevo feed que podréis encontrar en la nueva ubicación puesto que la operación de redirigirlos no me convencía.

Nos vemos en www.miguelangelhernandez.es

Entrevista a un SCAMMER

2010-02-12T01:31:00.000-08:00

Categoría: Seguridad de la Información

El SCAM es el intento de captación de víctimas mediante ofertas de trabajo en apariencia suculentas que esconden un sórdido objetivo, la estafa. ¿Quien no ha recibido el típico correo de la empresa "adiconocsed" ofreciéndote ser "Jefe comercial del departamento de intercambio de monedas y divisas"?. Pues bien, hoy podeis ver de primera mano cómo es un SCAM a través de una entrevista realizada por Bruce Schenier a un Scammer Nigeriano, no os lo perdáis, no tiene desperdicio.

http://www.schneier.com/blog/archives/2010/02/interview_with_16.html

TOP 10 en carreras ligadas a la Seguridad

2010-02-09T23:44:00.001-08:00

Esta mañana, mientras ojeaba el correo, he hecho caso a uno que normalmente miro poco (el resumen de Information Security Career de Likedin) y me he encontrado un artículo que os puede resultar interesante. Habla sobre 10 posibles itinerarios profesionales y qué es lo que supone el dedicarse a cada una de esas actividades. Junto con esta información, figuran algunos lugares donde se pueden encontrar cada uno de estos trabajos. Fijaos en el número 1... hay algo aquí en España que se parece bastante a eso... aunque tiene un nombre más sencillo ;).

Por supuesto, esto es sólo la opinión del autor.

Salu2!

Coches de Segunda Mano: Minimizando el riesgo

2010-02-09T09:07:00.000-08:00

Hola de nuevo a tod@s,

Hoy me voy a saltar (solo un poco) la temática del blog en general y os voy a hablar de mi última experiencia en mi afán por conseguir una buena oportunidad en la adquisición de un coche de segunda mano. Como en cualquier otro aspecto de la vida, aquí también hay un riesgo. Sin duda alguna, la compra de un coche de segunda mano es una de las operaciones en la que te la juegas, ya lo decía la madre de Forest Gump, "la vida es como una caja de bombones, nunca sabes lo que te va a tocar".

Hace mucho que persigo un coche en concreto, no procede señalar cual, y hace un par de semanas encontré por Internet lo que parecían ser dos buenas oportunidades, una en Girona en un concesionario de la casa y otra en Valladolid que era una venta de particular (o eso parecía), me decidí a ir en orden a por la primera y voló, el vehículo duró 24 horas y fue rápidamente adquirido, además en Tenerife, con lo que me quedé algo como así 0_0.

Ni corto ni perezoso me dirijo al supuesto propietario del segundo vehículo y bueno... aparentemente todo estaba bien, parece que esta todo en orden y el precio sin llegar a ser el chollo del primero me convence. Me desplacé 650km para poder ver el coche y empecé a ver cosas extrañas... el coche tenía 4 años y medio y 60 y pico mil kilómetros, sin embargo en el libro de revisiones aparecía sólo una, al año de vida del vehículo y con 30000kms con lo que te viene la pregunta, ¿Cómo puede ser esto? si sigue la progresión, el coche debería tener por encima de los 100.000... psshsss pssshss (esto es el sonido de la mosca detrás de la oreja).

Quedamos en que si todo está en orden adquiriré el vehículo y me dispongo a realizar mi particular investigación con el objetivo de reducir el riesgo de la operación. Me dirijo a la Dirección General de Tráfico, cojo un papelito y pago las tasas correspondientes (7,80) y me hago con el historial del vehículo. Allí figura el nombre del propietario que no es quien me lo vende, el que me lo vende es un comercial de otro concesionario de marca distinta a la del vehículo. Bueno, tengo que intentarlo, no me culpen, llamé a San Google y le pregunté y voilá, di con el dueño!!!. El dueño del vehículo me confirmó que había sido suyo y que efectivamente el coche tenía 107.000 kms aproximadamente, cosa que dista bastante de los que a mi me presentaban, además el libro de revisiones había sido manipulado.

Lo peor es que tras hablar esto con un abogado parece ser que es muy difícil meter mano en asuntos de este tipo porque no suponen una contra prestación para el denunciante, simplemente repercutiría negativamente en el denunciado, además de esto, hay que denunciar donde ocurren los hechos e ir a declarar allí en el juicio. Lo único que se podría hacer es pedir daños y perjuicios una vez haya concluido el primer pleito.

¿Cómo termina todo? con el vehículo en su sitio y yo en el mio que estamos los dos mejor. La investigación me salvó.

Pero esto no es todo, las compras de coches de segunda mano por Internet están llenas de timos mucho peores que éste, gente que pone a la venta coches que no existen e intenta vendértelo sin que lo veas o que le pagues una señal a lo que sigue un "ya te has quedado sin tu pasta". Personas que dicen estar en Australia y que han ganado el coche en un divorcio o gente que los vende porque se ha ido a Inglaterra y claro, allí se conduce por el otro lado. La Neurosis es la base de un buen tratamiento del riesgo, en estos casos no te dejes llevar por tus deseos de adquirir el vehículo, sé lógico, piensa lo peor y acertarás.

Salu2!

10 viñetas de seguridad en aeropuertos

2010-02-07T23:41:00.000-08:00

Hola,

Para que esta mañana de lunes empeceis la semana con buen pie y buen humor os dejos estas viñetas, algunas son muy buenas ;).

Fuente: http://www.schneier.com/

Publicados el ENS y el ENI

2010-01-31T23:38:00.000-08:00

Hola a tod@s,

Tras una semana de "vacaciones", ya se sabe, son vacaciones del trabajo habitual pero hay otros cuantos miles de cosas que hacer, me he encontrado con que el viernes pasado se publicó el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad. Por fin y tras un largo camino disponemos de las herramientas que vienen a garantizar un acceso seguro y fiable de los ciudadanos a los servicios ofrecidos vía intenernet por las administraciones públicas.

Aquí podeis encontrarlos:

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1330 - 50 págs. - 1130 KB)
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. PDF (BOE-A-2010-1331 - 18 págs. - 311 KB)

Salu2!!

¿Es válido el enfoque actual de seguridad para el futuro?

2010-01-14T02:39:00.000-08:00

Categoría: Seguridad de la Información

Recientemente publiqué en Twitter que analizaría una noticia que encontré en CSO. Esta noticia titula "El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young". Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.

Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.

Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).

La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.

Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).

Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.

Ah!, ahora se a lo que se refería cuando decía: "teniendo en cuenta la emergencia de nuevas tecnologías". Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.

En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.

Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.

Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.

Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.

Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no "interpretas" juega malas pasadas, en este caso, por culpa del término "normativa".

Todo comentario es bienvenido, como siempre.

Salu2!

Aprobado el Esquema Nacional de Seguridad

2010-01-11T02:21:00.000-08:00

Hoy estamos de enhorabuena, en realidad lo está toda España sea o no consciente. El Consejo de Ministros ha aprobado el ENS que será publicado bajo un Real Decreto.

Lo único que espero es que el Gobierno se moleste en que este Esquema Nacional de Seguridad sea Auditado e Impuesto a todas las Organizaciones bajo el alcance legal de la ley 11/2007 y no quede en un papel, aunque probablemente, si no lo hace en primera instancia, el devenir de los acontecimientos acabará por dar argumentos de sobra para que así sea.

Este ENS requiere en mi opinión de personal especializado y un cuerpo de auditores capacitado para verificar su cumplimiento ya que aquello que se pretende salvaguardar no es baladí... tiempo al tiempo.

Podéis ver más detalles aquí.

Fuente: sociedad de la información

Salu2!.

ISO/IEC 15408 Common Criteria (III)

2010-01-07T04:43:00.001-08:00

¿Cómo se dividen los niveles de seguridad?, ¿cuántos son y cómo se pasa de uno a otro?

Nos vamos a centrar en la tercera norma de la familia que define, como antes comentamos, los requisitos de seguridad del TOE. Estos requisitos se definen a partir de conjuntos de requisitos del mismo catálogo agrupados en Niveles de Evaluación de Seguridad (Evaluation Assurance Level o EAL). Éstos EALs representan una escala creciente que balancea el nivel de seguridad obtenido con el coste y viabilidad de adquisición de ese nivel de seguridad. El nivel de esfuerzo necesario para pasar de un nivel a otro se basa en un incremento de:

Alcance: El esfuerzo es mayor porque son más los componentes del producto a analizar.
Profundidad: el esfuerzo es mayor porque aumenta el nivel de detalle de la implementación y el diseño.
Rigor: el esfuerzo es mayor porque se aplica una forma más estructurada y formal

Lon niveles definidos en ISO 15408-3 son los siguientes:

EAL1: Proporciona un nivel básico de seguridad mediante el análisis de la especificación funcional y de interfaces así como de las guías de documentación con el objetivo de entender el comportamiento en materia de seguridad. El análisis se apoya en un testeo independiente de las funciones de seguridad del TOE. Este nivel de seguridad proporciona un significativo avance con respecto a un producto no evaluado.
EAL2: Este nivel proporciona un aumento significativo en seguridad con respeto al nivel anterior requiriendo el testeo por parte del desarrollador, un análisis de vulnerabilidad y unas pruebas independientes basadas en especificaciones del TOE más detalladas.
EAL3: En este nivel se aumentan las capacidades de seguridad solicitando una cobertura de pruebas más completa sobre las funciones de seguridad y mecanismos y/o procedimientos que propocionen confianza de que el TOE no ha sido manipulado durante su desarrollo.
EAL4: Con respecto al nivel anterior, en éste se requiere más descripción del diseño, un subconjunto de la implementación, y mecanismos o procedimientos mejorados que provean confianza de que el producto no ha sido alterado durante su desarrollo o entrega.
EAL5: En este nivel se requieren descripciones semi-formales, la implementación completa y una arquitectura más estructurada y análisis de comunicaciones cifradas.
EAL6: Se requiere un análisis más exhaustivo una representación estructurada de la implementación, una arquitectura más estructurada, un análisis de vulnerabilidades independiente más exhaustivo, identificación cifrada, gestión de la configuración mejorada y más controles en el entorno de desarrollo.
EAL7: Se incrementa aún más la exhaustividad del análisis usando una representación o correspondencia formal y un testing más exhaustivo.

¿Donde encaja todo esto con ISO 27001?

Como alguno ya estaréis pensando CC e ISO 27001 no están ni mucho menos desconectados. Podemos enmarcar a CC dentro del bloque 12 Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. Dentro de ISO 15408-1 se detalla el proceso que se sigue desde que se identifica la necesidad de desarrollo / adquisición de software hasta que se obtiene un conjunto de requisitos tanto funcionales, como de seguridad y finalmente del entorno, que se deben cumplir para la puesta en marcha del sistema de información en cuestión.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Ahora podeis seguirme también en Twitter

2010-01-06T12:31:00.000-08:00

Hola a tod@s!!

Desde ayer también podéis seguirme en twitter. Como todo el mundo se suma a la moda, yo he pensado que no voy a ser menos y voy a ver si le saco partido al pájaro... al de twitter XD.

Mi nick es miguelangelher y podeis localizarme fácilmente.

La idea es utilizar twitter para noticias, impresiones o comentarios breves (vamos, para lo que és) y para alguna que otra gilisubnorestuloquesea que se me ocurra ;)

Salu2!.

ISO/IEC 15408 Common Criteria (II)

2010-01-06T12:21:00.000-08:00

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

Categoría: Seguridad de la Información

¿Cuales son sus bases?

CC se asienta principalmente sobre cuatro conceptos a saber; Perfiles de Protección (Protection Profiles o PPs), Objetivos de Seguridad (Security Targets o STs), Objetivos de Evaluación (Target of Evaluation o TOEs) y Niveles de Evaluación de seguridad (Evaluation Assurance Levels o EALs). Estos elementos se relacionan y definen como sigue:

Un Perfil de Protección (en adelante PP) es un conjunto de requisitos de seguridad independientes de cualquier tipo de implementación para una categoría de Objetivos de Evaluación que cumplen una serie de necesidades específicas de cara al consumidor. Un PP se confecciona con la idea de que sea reutilizable y defina un conjunto de requisitos que se han mostrado eficaces en dar cumplimiento a determinados objetivos identificados, ya sean funcionales o de seguridad. Un PP debe contener al menos un Nivel de Evaluación de Seguridad (Evaluation Assurance Level o EAL), expuesto más adelante.
Un Objeto de Evaluación (En adelante TOE) es un producto de Tecnologías de la Información o sistema y su documentación asociada en términos de guías de administración y usuario que son objeto de evaluación. Posibles ejemplos de TOEs pueden ser; una aplicación, una aplicación en conjunción con un sistema operativo, un sistema operativo en conjunción con una estación de trabajo, etc.
Un Objetivo de Seguridad (En adelante ST) es un conjunto de requisitos de seguridad instanciados para una implementación concreta que sirven como base para la evaluación de un determinado TOE. Un ST puede hacer referencia a un PP. Un ST es la base para el acuerdo entre todas las partes acerca de la seguridad que ofrece un TOE. Al igual que en el PP, los requisitos de seguridad en un ST deben incluir un EAL de la parte 3 de esta familia de normas.
Un Nivel de Evalaución de Seguridad (En adelante EAL) es un conjunto de requisitos de seguridad que conjuntamente proporcionan un nivel de confianza concreto.

¿Cómo se Organiza?

Bajo las normas ISO 15408-1, ISO 15408-2 e ISO 15408-3 equivalentes a las Common Criteria que podéis descargar desde aquí.

La primera parte de la norma es una introducción y modelo general donde se exponen los principales conceptos de esta familia así como las bases para la unificación de criterios en la evaluación de seguridad del software.

La segunda parte es un catálogo de componentes que contienen requisitos funcionales que se han mostrado eficaces en el cumplimiento de los objetivos de seguridad de un PP o un ST.

En la línea de la segunda parte, la tercera expone los componentes que conteinen requisitos de seguridad para los TOEs. A su vez, esta norma expone los niveles de evaluación de seguridad (EALs).

En ambos casos (para las partes 2 y 3), la organización de los requisitos se hace en base a tres estructuras de mayor a menor ámbito conocidas como Clases, Familias y Componentes, estos últimos albergan en su interior elementos, que son el mínimo nivel de expresión de requisitos.

Todo esto no tendría mucho sentido sin una metodología de evaluación, que es el cuarto documento en discordia y que expone el conjunto mínimo de acciones que debe desempeñar un tester durante una evaluación CC.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

ISO/IEC 15408 Common Criteria (I)

2010-01-05T07:37:00.000-08:00

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************
o-o-o-o-o-o-o-o-Espacio para felicitaciones :)-o-o-o-o-o-o-o
Me he querido reservar este espacio para felicitaos el año nuevo y desearos lo mejor a todos para este, esperemos que próspero y seguro, 2010 ya empezado.
o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o-o

Categoría: Seguridad de la Información

Introducción

Common Criteria (en adelante CC) con un total de más de 600 páginas entre las 3 normas nos plantea una magnitud de información en estudio bastante grande, sobre todo para aquellos que, como yo, somos profanos en la evaluación de aplicaciones.

Este post no tiene como objetivo ser exhaustivo en cuanto a todo lo expuesto por las 3 normas que conforman la familia ISO/IEC 15408 sino dar unas pinceladas de lo que se pretende para que nos pueda servir como base de conocimiento suficiente para saber de qué va esto de los criterios comunes (y para posibles post posteriores).

¿Por qué nacen?

Allá por los años 90 surgió la necesidad de conocer qué requisitos de seguridad satisfacía un determinado software, hardware o firmware. Mediante la combinación de los criterios aplicados en Inglaterra, Estados Unidos y Canadá, se constituyó y adoptó por la International Organization for Standardization los Criterios Comunes de Evaluación de Seguridad para Tecnologías de la Información.

El principal objetivo es poner de acuerdo a clientes, desarrolladores y testers sobre qué requisitos de seguridad cumple un determinado producto.

*****************************************
ISO/IEC 15408 Common Criteria (I)
ISO/IEC 15408 Common Criteria (II)
ISO/IEC 15408 Common Criteria (III)
*****************************************

El espíritu de la seguridad

2009-12-16T00:00:00.000-08:00

Categoría: Seguridad de la Información

Es un hecho innegable que l a importancia de la concienciación en materia de seguridad dentro de la organización es un factor de vital importancia para la seguridad efectiva de la misma. Sin embargo suele ser la gran olvidada, existe la creencia de que invertir en otros aspectos de la seguridad, como el ámbito técnico u organizativo, va a suplir la necesidad de formación cuando la primera barrera de protección es el propio usuario.

Y es que conseguir que la seguridad de la información sea algo tan contagioso como el espíritu de la navidad no es una tarea fácil, primero hay que convencer a los reyes magos de que el espíritu de la seguridad es necesario que llegue a todo el mundo y después conseguir que éste se contagie y cale lo más hondo posible y en el mayor número de personas. Pero esto no basta, como cada año, el espíritu de la navidad vuelve para recordarnos valores que son importantes y es que tenemos la mala costumbre de olvidar las cosas que no se nos recuerdan. Sin duda, no sería lo mismo la navidad si fuese cada cinco años, y por eso, cuando se trata de espíritu , los medios para mantenerlo encendido deben ponerse a intervalos lo suficientemente cortos.

La navidad tiene un plan, para muchos muy agradable y para otros no tanto, pero la cuestión es que nos visitará todos los años en las mismas fechas con sus renos, papá noel, la estrella de oriente, los árboles y los regalos, y con la seguridad debe pasar algo parecido, también debe tener un plan, un plan de formación y concienciación en materia de seguridad que mantenga viva la llama interior de todos antes de hacer un click a un correo con 3500 destinatarios porque cree que va a recibir 250€ por cada correo que envíe, que nos alerte de que los bancos no nos piden nuestras claves o que nos repita interiormente "yo formo parte de la seguridad de esta organización".

El espíritu de la navidad no siempre habitó en nosotros, lo fuimos aceptando a través de una cultura y una educación que nos lo inculcó y nos ha llevado a formarnos una opinión, y en ocasiones un cierto sentir al respecto, ya sea para bien o para mal. Y el problema del espíritu de la seguridad es que no se conoce, no se puede tener una opinión de lo que no se conoce, no se conoce lo que no se divulga, no se divulga lo que no se identifica como importante y lo que no se considera importante cae en el olvido dando lugar a... lo que dios quiera (versión para los creyentes) / lo que el destino nos depare (versión para los no creyentes).

Quizá en generaciones venideras el espíritu de la seguridad vaya junto al de la navidad, ambos cogidos de la mano y en convivencia en una misma persona educada en la generación digital y la cultura de la información con acceso global, pero hoy vivimos una transición que crea un ambiente de especial riesgo por el analfabetismo digital y por el analfabetismo en seguridad, porque, si, efectivamente, no todo el que es (o se considera) conocedor del mundo digital es consciente de los riesgos que implica el que su ordenador esté accesible a 1.007.730.000 personas. Quizá si se le hiciera pensar en 1.007.730.000 personas paseando por enfrente de su casa, algunos con conocimiento de cómo se abren ventanas desde fuera y cómo se rompen cerraduras, se le haga reflexionar y consigamos que nazca en él el espíritu de la seguridad.

Hasta que llegue el momento en el que el espíritu de la seguridad nazca de cada uno de nosotros fruto de la cultura y la educación, habrá que poner posters en las paredes de la organización, avisos en los inicios de sesión, multiplicar la política de seguridad de la organización en más de un sitio visible, comunicar y recordar las directrices para el buen uso de los sistemas y buenas prácticas de navegación y lo más importante; recordarle siempre a todos los usuarios que de su espíritu por la seguridad depende la supervivencia de la organización.

Salu2!

COFEE DECAF please

2009-12-14T23:52:00.000-08:00

Categoría: Análisis Forense

Microsoft lanzó hace unos meses un conjunto de herramientas destinadas al análisis forense de su sistema operativo bajo el nombre de COFEE (Computer Online Forensic Evidence Extractor). Este conjunto de más de 150 aplicaciones se distribuye entre las fuerzas de la ley sin coste alguno en 187 paises alrededor del mundo.

Hoy veo en SANS un kit de herramientas antiforense especialmente dedicado a perturbar las evidencias extraídas mediante las herramientas COFEE. Este kit se denomina DECAF (Detect and Eliminate Computer Assisted Forensics). Dado que COFEE está diseñado para la extracción de evidencias volátiles en un windows en ejecución, la idea que hay tras DECAF es dificultar esa labor monitorizando la introducción de la unidad externa usb que contiene las herramientas COFEE y realizando una serie de acciones una vez se ha detectado con el fin de imposibilitar la recogida de evidencias.

Salu2!

Destrucción de Información, referencias legales y normativas (IV)

2009-12-13T23:54:00.001-08:00

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Categoría: Seguridad de la Información

Destrucción de Información en Soporte Digital

Ahora bien, todo lo anterior es válido para información que figura en formato papel pero no tiene sentido aplicar la misma vara de medir a los soportes magnéticos. Por ello, cuando se habla de destrucción segura de soportes que contienen información digital podemos optar por dos tipos de destrucción principalmente:

Destrucción por software: si se desea reutilizar el soporte ésta es la única opción y ya comentamos con anterioridad cómo se puede realizar este borrado seguro de información del disco duro aplicando el conocido como algoritmo de Gutmann. Este métido de destrucción de la información por software es mucho más exhaustivo que, por ejemplo, el utilizado por el Departamento de Defensa de los Estados Unidos según el Standard DoD 5220.22-M en lo que a discos en PCs físicos se refiere.
Destrucción por hardware: Este grupo de procedimientos de destrucción es el adecuado cuando la reutilización del soporte no es necesaria o no se considera conveniente porque la información contenida en el soporte está clasificada dentro de una categoría de alta confidencialidad. Disponemos de las siguientes opciones:

Destrucción mecánica del dispositivo: esto implica que una máquina se encarga de realizar una destrucción del dispositivo. Algunas destructoras de papel, también destruyen otros soportes como CDs o disquetes, pero para los discos duros hay que utilizar máquinas o bien que taladren el disco duro agujereando los platos donde figura la información (de otra forma podría recuperarse aunque se haya provocado un daño mecánico montando estos discos sobre otro soporte de iguales características), o bien que literalmente lo planchen o reduzcan a pedazos. Sirva esta imagen que no puedo incluir por derechos de autor como un buen ejemplo.
Destrucción mediante campos magnéticos: En este caso los discos duros son sometidos a intensos campos magnéticos que dejan la superficie del diso ilegible e inutilizada y por ende la información irrecuperable.
Destrucción mediante el fuego: Una opción a tener en cuenta es someterlos a altas temperaturas durante un periodo de tiempo prolongado que permita que los materiales se fundan.

Ya para finalizar os dejo un vídeo sobre una planta de destrucción de soportes y medios:

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información, referencias legales y normativas (III)

2009-12-11T02:26:00.000-08:00

Tras este repaso sobre algunas de las referencias legales en cuanto a clasificación que ya existen y que se van a imponer en breve, quiero hacer una reflexión al respecto de cómo se trata la destrucción de la información ligada a los requisitos legales de destrucción y el nivel de clasificación que estos dos marcos legales nos ofrecen.

La norma DIN 32757 regula el tamaño máximo que deben tener los fragmentos de un soporte destruido dependiendo de la clasificación de la información que contiene definiendo 5 niveles:

Nivel 1: Tiras de un máximo de 12 mm de ancho. Documentos generales que deben hacerse ilegibles.
Nivel 2: Tiras de un máximo de 6 mm de ancho. Documentos internos que deben hacerse ilegibles.
Nivel 3: Tiras de un máximo de 2 mm. de ancho / Partículas de un máximo de 4 x 80 mm. Documentos confidenciales.
Nivel 4: Partículas de un máximo de 2 x 15 mm. Documentos de importancia vital para la organización que deben mantenerse en secreto.
Nivel 5: Partículas de un máximo de 0,8 x 12 mm. Documentos clasificados, para los que rigen exigencias de seguridad muy elevadas.

A mayor nivel de seguridad, menor es el tamaño de las partículas resultantes. Podemos entonces establecer para el papel una correspondencia en función de la criticidad de los datos (y las sanciones por fuga de datos en caso de la LOPD) entre los diferentes niveles establecidos por el RD 1720/2007, el ENS y la norma DIN 32757.

Entramos en el terreno de la opinión dadas las mínimas diferencias que existen entre niveles adyacentes de la norma DIN 32757. En relación al reglamento de desarrollo de la LOPD y respetando lo descrito en el artículo 92.4 donde no se distingue entre niveles de clasificación de la información de carácter personal, una alternativa es destruir cualquier información de carácter personal en soporte papel mediante una destructora que asegure un nivel 4. Otra posible alternativa puede ser la siguiente:

LOPD nivel bajo <--> DIN 32757 nivel 2
LOPD nivel medio <--> DIN 32757 nivel 3
LOPD nivel alto <--> DIN 32757 nivel 4 o 5

En relación al ENS, podemos establecer la siguiente correspondencia en cuanto a la clasificación que por confidencialidad hace en el artículo 43:

ENS Información Pública --> No es necesaria la destrucción
ENS Información No Divulgable <--> DIN 32757 nivel 3
ENS Información de Difusión Administrativa <--> DIN 32757 nivel 4 o 5

No obstante, el ENS entiendo que tiene una doble clasificación en términos de confidencialidad que quizá debería ser revisada dado que en el Anexo I se vuelve a tipificar la información como básica media y alta dependiendo del impacto generado por un incidente de seguridad. Atendiendo a esta clasificación podríamos tener la siguiente opción:

ENS nivel bajo --> DIN 32757 nivel 2
ENS nivel medio --> DIN 32757 nivel 3
ENS nivel alto --> DIN 32757 nivel 4 o 5

Esta correspondencia establece a su vez una equiparación en términos de destrucción entre los niveles medio y alto y la información de carácter no divulgable y de Difusión Administrativa respectivamente.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Pornografía Infantil NO

2009-12-10T05:57:00.000-08:00

Desde seguinfo vi ayer una bonita y necesaria campaña contra la pornografía Infantil que no he dudado un segundo en secundar.

Vaya mi condena ante cualquier abuso a menores y mi propuesta para todo aquel que me lea de que, si dispone de un blog lo publique.

La inocencia de un niño debe ser salvaguardada de cualquier abuso y en especial de los abusos sexuales.

Esta campaña tiene como propósito llenar internet de páginas con las palabras clave empleadas por los pedófilos para dificultar en la medida de lo posible que encuentren el material que buscan.

Pedófilos y Pedrastas NO.

Destrucción de Información, referencias legales y normativas (II)

2009-12-10T05:36:00.000-08:00

El recientemente publicado borrador del Esquema Nacional de Seguridad establece dentro de su capítulo 10 en su artículo 43 una clasificación de la información distinguiendo entre:

Información de Difusión Administrativa: aquella cuya revelación pública no autorizada pueda ocasionar un perjuicio para el procedimiento administrativo o para los intereses de las personas afectadas.
Información No Divulgable: aquella que, sin ser información clasificada, o de difusión administrativa, tenga limitada su publicidad por disposición legal.
Información Pública: toda información que no sea información clasificada, dato de carácter personal, ni esté clasificado como de Difusión Administrativa o No Divulgable por prescripción legal.

En su anexo I, hace una categorización de los sistemas que los divide en tres categorías:

Básica, Media y Alta.

Habla también allí de que un sistema pertenecerá a una determinada categoría dependiendo del impacto que un determinado incidente de seguridad pudiera provocar a nivel organizativo. Hace también una exposición de las dimensiones de seguridad (con la que no estoy de acuerdo) y menciona que debe evaluarse cada dimensión por separado y cómo se debe hacer corresponder cada dimensión con su categoría de seguridad. En el punto 6 del mismo anexo podemos encontrar una secuencia de pasos que nos conducirá hasta la categorización del sistema pasando por:

Identificación de la información manejada según lo dispuesto en el artículo 43
Determinar las dimensiones de seguridad relevantes
Determinar el nivel de seguridad correspondiente a cada dimensión
Determinar la categoría del sistema

En lo relativo a la destrucción de la información, el ENS introduce en su punto 5.5.5 del Anexo II a qué deben aplicarse y qué garantías deben proveer las medidas de borrado y destrucción:

La medida de borrado y destrucción de soportes de información se aplicará a todo tipo de equipos susceptibles de almacenar información, incluyendo medios electrónicos y no electrónicos.

a) Los soportes que vayan a ser reutilizados para otra información o liberados a otra organización serán objeto de un borrado seguro de su anterior contenido.

b) Se destruirán de forma segura los soportes en los siguientes casos:
1º Cuando la naturaleza del soporte no permita un borrado seguro.
2º Cuando así lo requiera el procedimiento asociado al tipo de la información contenida.
c) Se emplearán, preferentemente, productos certificados [op.pl.5]

Como se puede apreciar hace referencia al requisito op.pl.5 que se encuentra en el punto 4.1.5. y que recomienda el uso de productos o equipos cuyas funcionalidades hayan sido rigurosamente evaluadas conforme a normas internacionales o europeas. Reza:

Tendrán la consideración de normas europeas o internacionales, ISO/IEC 15408 u otras de naturaleza y calidad análogas

Sobre ISO 15408 hablaremos en un futuro en este blog.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Destrucción de Información, referencias legales y normativas (I)

2009-12-09T11:35:00.000-08:00

En post pasados analizamos las peculiaridades de los entornos compartidos e hicimos mención a la destrucción de datos, dejándola a un lado para otro post. Aquí trato este aspecto, que constituye la última parte dentro del ciclo de vida de la información, su destrucción, desde una perspectiva legal. Para ello se va a tener en cuenta el reglamento de desarrollo de la LOPD y el ENS. Dependiendo del país y del sector empresarial pueden existir otras leyes que vinculen la clasificación de la información con los requisitos a cumplir en su destrucción pero la información aquí contenida puede ser igualmente útil.

Introducción

La clasificación de la información es, sin duda alguna, uno de los puntos comunes a toda normativa ya sea de obligado cumplimiento y origen legal (Ley Orgánica de Protección de Datos, Esquema Nacional de Seguridad) o de cumplimiento voluntario (ISO 27001). Esta clasificación nos permite aplicar medidas de seguridad dependiendo de la criticidad de la información a ser protegida.

Dentro del marco legal español ya existen reglamentos que aplican la clasificación de la información y que de manera más o menos directa vinculan la clasificación de un activo de información a los requisitos que se deben cumplir en su destrucción. A continuación se resumen las diferentes partes del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos y del futuro Esquema Nacional de Seguridad que tienen implicaciones en la destrucción de la información ofreciendo un vínculo entre dichos requerimientos y otras normativas existentes para cumplir los requerimientos impuestos por la legislación.

Reglamento de desarrollo de la Ley Orgánica 15/1999

El Real Decreto 1720/2007 de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de datos de carácter personal, en su artículo 80 expone;

Las medidas de seguridad exigibles a los ficheros y tratamientos se clasifican en tres niveles: básico, medio y alto.

Esta misma legislación hace referencia a la destrucción de la información en su artículo 88.3.g) en el que menciona en relación a la información que debe figurar en el Documento de Seguridad;

Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

También lo hace refiriéndose a ficheros y tratamientos automatizados en el Artículo 92.4 donde reza;

Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior.

Finalmente impone en el artículo 105.2.d. que lo anterior también es válido para ficheros y tratamientos no automatizados.

******************************************************
Destrucción de Información, refs legales y normativas (I)
Destrucción de Información, refs legales y normativas (II)
Destrucción de Información, refs legales y normativas (III)
Destrucción de Información, refs legales y normativas (IV)
******************************************************

Curso de Continuidad de Negocio en Murcia

2009-11-20T01:38:00.000-08:00

Categoria: Curso

Últimamente tenemos la suerte de poder disfrutar por esta zona de levante de algunos cursos como el de peritajes que se inicia hoy mismo y como este que os expongo aquí que se realizará los próximos días 10 y 11 de Diciembre en Murcia. Este Curso, organizado por la asociación MURcia Control Y Auditoria (MURCYA) dará una visión clara de lo que supone a día de hoy a nivel organizativo dipsoner de un plan de continuidad de negocio, introducirá los conceptos clave e instruirá en la metodología de implantación de la norma británica BS25999. Todo esto de la mano de los padres de la norma (BSI) y con un precio más que competitivo para aquellos que estamos en la zona del levante español y no tenemos que desplazarnos, con los consiguientes ahorros en costes.

Los detalles del curso los teneis en las siguientes URL:

http://www.murcya.org/node/114
http://www.murcya.org/files/Murcya-Continuidad-NegocioFinal.pdf

y para la inscripción aquí:

http://www.murcya.org/node/111/

Si teneis posibilidades de asistir, no os lo perdais, espero veros allí ;).

Salu2!

La seguridad de la información se afianza a nivel organizativo

2009-11-18T03:22:00.000-08:00

Categoria: Noticias

Hoy visitando las noticias de actualidad me he encontrado con algunos datos interesantes que corroboran la buena salud de la seguridad de la información:

Según la séptima encuesta global sobre el Estado de la Seguridad de la Información, elaborada por PricewaterhouseCoopers y las revistas especializadas CIO y CSO Magazine, entre más de 7.200 líderes empresariales de 130 países, pese a la situación de recesión económica, las inversiones en seguridad de la información no tendrán recortes en las empresas. El 63% de los encuestados afirma que la inversión en seguridad se incrementará o se mantendrá estable en 2010.

A nivel global, el 65% de los entrevistados aseguran que en la actualidad sus compañías disponen de una estrategia global de seguridad de la información. En general, la recesión se ha convertido en el primer y principal motivo para impulsar la inversión en seguridad en las empresas. En muchos casos la seguridad se percibe como una ayuda a la hora de mitigar posibles riesgos asociados a aspectos como la globalización. Todo esto ha contribuido a alinear los objetivos de los responsables de seguridad con los propios de la compañía y por lo tanto, los líderes empresariales han dotado a la seguridad de la información de una cierta relevancia.

Podeis ver la noticia completa aquí.

Fuente: sociedaddelainformación

Salu2!

Curso de Peritajes Avanzados en Murcia

2009-11-11T04:59:00.000-08:00

Categoría: Curso

Entre hoy día 11 de noviembre y el próximo lunes 16 queda abierto el plazo de preinscripción para el curso avanzado de peritaje impartido por Javier Pagès que ha sido organizado por el Colegio de Ingenieros en Informática de la Región de Murcia. Dicha preinscripción se llevará a cabo mediante un formulario ya disponible en la página web del colegio, cuya dirección es la siguiente:

http://www.cii-murcia.es/modules/tinycontent/index.php?id=51

Todos los detalles del curso se encuentran en la siguiente URL:

http://www.cii-murcia.es/modules/news/article.php?storyid=711

Aqui os dejo un enlace a la ubicación concreta donde se impartirá:

http://maps.google.es/maps?q=38.023962,-1.173824&num=1&t=h&sll=38.024042,-1.167984&sspn=0.008046,0.01929&ie=UTF8&ll=38.023906,-

Si alguien decide acompañarme, allí nos vemos!!

Salu2!!

ISO 27004 pendiente de aprobación

2009-10-30T09:38:00.000-07:00

Categoría: Seguridad de la Información

Hola a tod@s, hoy estamos de enhorabuena, estamos a punto de tener un miembro más en la familia y no me refiero a la mía, me refiero a la 27000. Como ya vimos, la norma 27000/2009 se encuentra disponible de manera pública. Este estándar con título "Information technology — Securitytechniques — Information security management systems — Overview and vocabulary" consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.

Tras no pocas dificultades, ISO 27004/2009 se puede ver en fase de aprobación en el portal de ISO. Con título "Information technology -- Security techniques -- Information security management -- Measurement" viene a solucionar uno de los más grandes problemas de la seguridad de la información, si es que no el peor, la medición. Este hecho ha sido siempre un quebradero de cabeza e incluso fuente de trabajos de investigación y tesis sobre cómo medir el cumplimiento de los objetivos en materia de seguridad de la información.

Dentro de muy poco tendremos una guía sobre cómo orientar la medición de estos objetivos.

Salu2

Cifrado de datos en equipos portátiles

2009-10-27T05:17:00.001-07:00

Categoría: Seguridad de la Información

Esta mañana he visto una noticia que me ha sorprendido. Resulta que a Joan Laporta le robaron el portátil en el transcurso del partido Barcelona - M. United el 25 de abril de 2008. Un ladrón se coló en las oficinas centrales del club blaugrana y sustrajo del despacho presidencial el ordenador personal del presidente del barcelona. De aquel ordenador nada más se supo y como no, a mi me se me encienden las luces cada vez que escucho algo de esto, máxime cuando la principal preocupación de Joan Laporta es que se filtre información que contenía dicho portátil.

De todo lo anterior, a mi se me ha venido a la cabeza que acabamos de hablar de entornos compartidos y no mencioné nada acerca de algo muy básico, el cifrado del disco duro, o como mínimo de los archivos personales. El control de acceso basado en usuario / contraseña no basta, hoy cualquiera pone un live-cd de linux y te lee todo el disco duro. Solución, utilizar cifrado del disco duro o software que crea espacios de disco cifrados como el que ya mencionamos en un post anterior. Este mecanismo es básico en entornos compartidos donde la sustracción de un portátil no es sólo un problema por disponibilidad sino por las fugas de información que se puedan derivar de la información allí contenida.

Lo cierto es que resulta difícil imaginarse a alguien entrando en las oficinas sin ser visto, sin controles físicos de entrada suficientes, sin cámaras de vigilancia, sin alarmas, sin guardias en la puerta... esto en una casita de campo es muy lógico pero la oficinas del FCB me parece algo... extraño.

Salu2!

Seguridad en Entornos Compartidos

2009-10-26T00:22:00.000-07:00

Categoría: Seguridad de la Información

En el tiempo que llevo en este campo he podido constatar que hay un escenario tipo que tiene ciertas "particularidades" en cuanto a seguridad de la información. Este escenario es el formado por varios departamentos de diferente índole trabajando en una misma ubicación con ninguna o mínimas medidas de separación física interdepartamental y uso de impresoras compartidas.

En estas situaciones hay ciertas particularidades que cobran una importancia vital y que en ocasiones son descuidadas por aquello de que; lo que entra en el terreno de la cotidianidad pasa al lado de la confianza y deja de ser visto como un riesgo.

Uno de estos factores es el etiquetado de la información. En estos entornos, el etiquetado de la información puede pasar de ser un factor diferenciador, con respecto a qué medidas de seguridad se deben aplicar para salvaguardar su confidencialidad, a ser una golosina para quien puede ver tal etiquetado en el documento que está trabajando su compañero. "Un documento confidencial... ¿Qué contendrá?". Para prevenir esto, puede ser buena idea introducir un procedimiento de etiquetado de la información no basado en etiquetas legibles. Si este procedimiento es el mismo para toda la organización no conseguiremos huir de la curiosidad del compañero, pero sí del invitado que entra en nuestras instalaciones.

Lo comentado en el párrafo anterior entronca con la dificultad de mantener el principio de acceso a la información necesaria. Cada persona debería tener acceso únicamente a la información necesaria para el desempeño de su trabajo pero en un entorno interdepartamental compartido esto requiere una disciplina extra y unas medidas de seguridad física compensatorias como por ejemplo, cajones con llave donde guardar la información de trabajo una vez se abandona el puesto de trabajo dando cumplimiento a la política de escritorio despejado.

Sin duda alguna, las impresoras compartidas no ayudan en absoluto porque, como no, resulta que tenemos un compañero que es bastante despistado y manda las cosas a más de una impresora o símplemente se olvida de recogerlas de la misma o, por qué no, la impresora es caprichosa y cuando lo mandas te da un error, pero claro, a los 3 días aparece tu documento en la impresora. Todo esto sin contar que si la impresora es compartida con otras áreas físicas de la empresa, los trabajadores de otra área se equivocan y mandan los documentos a la impresora del espacio compartido y voilá!! un dossier con decenas de datos personales que mandó el de Recursos Humanos.

En relación al tema anterior me gustaría hacer mención a las destructoras de papel y su ubicación. Idealmente, la destructora de papel debería estar en un lugar cercano a donde se genera la mayor parte de la documentación. Cerca de la impresora parece a priori un lugar adecuado dado que facilitaría la destrucción de información errónea, equívoca o simplemente no útil. Pero... ¿cómo debe la información ser destruida? (Esto me da para otro post como mínimo ;)).

Otra piedra de toque esencial en estos entornos es el protector de pantalla por contraseña. Al igual que con la política de escritorio despejado, el escritorio de nuestro ordenador debe quedar bloqueado a la más mínima ausencia. Esta labor es más sencilla si los PCs son ubicados bajo un dominio dado que estas directivas pueden ser establecidas en el servidor de dominio y transmitidas a los clientes que inicien sesión bajo tal dominio.

El escenario se complica si los puestos son fijos y los ordenadores son portátiles. O bien compras / solicitas un candado para tu portátil o el portátil y toda tu documentación que no desees sea conocida por nadie más (en caso de no disponer de cajones con llave), te acompañarán como si fueran tu sombra, a la hora del almuerzo, a la comida, y todos los días hasta casa.

En un entorno compartido es relativamente fácil simular que hablas por teléfono y grabar las contraseñas del compañero cuando las teclea en un ejercicio de picardía y evolución de lo que se conoce como shoulder surfing.

En definitiva, con este post, no quiero dar una solución a un entorno compartido en el que se ubican diferentes departamentos tratando datos sensibles, entre otras cosas porque cada situación es única y los controles a aplicar deberán salir del análisis de riesgos, exigencias legales y objetivos de negocio, sino hacer reflexionar a aquellos que disponen de un entorno de este tipo de sus posibles amenazas y vulnerabilidades.

En numerosas ocasiones, restricciones de negocio o económicas hacen imposible cambiar el entorno físico en el que se desarrolla la actividad de los trabajadores. En este caso, si se desea reducir el nivel de riesgo se aplicarán controles como los descritos con anterioridad y que a continuación resumo:

Aplicar una política de escritorio despejado y concienciar sobre la importancia de su uso.
Advertir de las responsabilidades en caso de facilitar la contraseña y poner sobreaviso al empleado de que su contraseña puede ser capturada con relativa facilidad.
Comprar candados para los PC portátiles (valorar si también los fijos)
Aplicar directivas de seguridad globales basadas en un controlador de dominio que obliguen al usuario a cambiar la contraseña cada cierto periodo de tiempo (implementación del procedimiento de establecimiento de contraseñas)
Restringir mediante directivas de seguridad la longitud y caractéres alfabéticos que debe contener la contraseña de usuario.
Disponer de cajones con llave en los cuales se guarde aquella información que sólo debe ser conocida por su poseedor.
Disponer de destructoras de un nivel de seguridad adecuado y en una ubicación correcta.
Utilizar un convenio de etiquetado de la información no legible.

Salu2!

Peritaje Informático de Parte: La Vista (III)

2009-10-07T04:05:00.000-07:00

Búsqueda de Inconsistencias o contradicciones: el abogado puede hacer preguntas en busca del error del perito cambiando partes de su dictamen o pidiéndole que precise datos que no figuran en el mismo. Para resolver esta situación el perito debe tener el informe bien estudiado, cosa que en un principio puede parecer sencilla, pero en ocasiones pasan más de 6 meses desde la redacción del dictamen hasta su defensa en juicio. Es crucial en este punto que el perito disponga claramente de los objetivos que se plantearon y cual fue su resolución evadiendo preguntas como; "¿Cual es la probabilidad de que un usuario busque en el programa ares un acrónimo?" respondiendo cosas como: "No soy especialista en la conducta del ser humano y no puedo determinarlo", que no es lo mismo que decir simplemente "no lo se". El abogado contrario puede hacer preguntas incompletas esperando una respuesta, a lo que el perito responderá; "¿Y qué desea saber exactamente?". También puede repetir la misma pregunta hasta la saciedad, buscando la extenuación del perito, aunque normalmente suele intervenir el juez en su defensa instando al abogado a que deje de repetir la misma pregunta.
Aprovechar las debilidades de la personalidad del perito: El abogado contrario puede buscar la forma de poner bajo presión al perito para ver como responde. Esto puede hacerlo poniendo en duda su competencia en el tema en cuestión o alterando los tonos de voz pasando de un estado aparentemente tranquilo a sobresaltarse cuando se dirige al perito ante una declaración suya. El perito debe manejar los tiempos de respuesta y el tono firme y seguro durante toda la declaración.
Estrechar el cerco sobre los puntos débiles: sin duda alguna, el abogado contrario tratará de ceñirse a aquellos aspectos del informe pericial que le puedan ser mínimamente beneficiosos no preguntando sobre nada más, por lo que es de vital importancia resaltar todas las bondades a favor de la parte del perito cuando es su turno de preguntas.

En última instancia, el juez puede pedir ciertas aclaraciones a las que el perito responderá en función de sus conocimientos. En general y para toda la vista es esencial respetar los siguientes puntos:

No ofrecer más información de la que nos preguntan
Tomarse tiempo para responder las preguntas
Estar seguro de que se ha entendido bien la pregunta
Nunca adelantarse a una pregunta, debe esperarse a que termine de ser formulada
Nunca perder la frialdad
Terminar siempre las respuestas aunque el abogado trate de cortarte
Corregirse si llega el caso de un error
Tomarse tiempo para revisar la documentación
Responder de manera cautelosa a preguntas poco concretas o situaciones hipotéticas
Escuchar las objeciones de los abogados a una pregunta y tratar de acotar la respuesta en caso de no haber sido bien transmitida.

Referencias:

Proceso Judicial por descarga de archivos ilícitos en el que el autor es perito de parte
La peritación Informática, Un enfoque práctico. Xabiel García Pañeda, David Melendi Palacio (Colegio Oficial de Ingenieros en Informática del Principado de Asturias)
Effective Expert Witnessing. Jack V. Matson, Suha F. Daou, Jeffrey G. Soper (CRC PRESS)

Peritaje Informático de Parte: La Vista (II)

2009-10-06T06:02:00.000-07:00

Peritaje Informático de Parte: La Vista (I)

2009-10-05T11:58:00.000-07:00

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Si hay un momento claramente definitivo y definitorio de un peritaje informático, éste es la vista. En este estadío del peritaje llega la hora de defender el informe entregado y ratificarnos en todo lo allí reflejado. Los nervios, la incertidumbre de lo que va a acontecer y los momentos de falta de confianza son enemigos internos contra los que hay que luchar y dejar a un lado antes del día D y la hora H.

Al día de la vista se debe llegar con todo bien amarrado entre el abogado y el perito, las preguntas que te van a hacer y las que el abogado puede hacer a la otra parte y de las cuales se puede sacar algo positivo. El proceso de confeccionar las preguntas puede no ser sencillo si el tema tiene connotaciones técnicas, algo muy probable en nuestra profesión, y el abogado carece de tales conocimientos. Es por ello que el planteamiento de la parte para la que se redacta el dictamen debe ser decidido conjuntamente por perito y abogado aportando el uno los conocimientos técnicos y el otro los legales. La labor del perito es en este escenario decisoria.

Cuando llega el día de la vista el perito debe llevar una copia del informe para consultarla en caso necesario así como su DNI, pasaporte o tarjeta de residente. Es conveniente que el informe no lleve ninguna etiqueta externa que pueda ser identificativa de la persona para la que fue emitido y que el perito haya realizado una labor previa de etiquetado y resaltado del mismo, teniendo localizables rápidamente los principales puntos del informe; objetivos, conclusiones, informes examinados si existieran, puntos críticos del procedimiento llevado a cabo, etc.

Las horas antes de la vista no son menos importantes. Los peritos de ambas partes (si existiera de la parte contraria) serán los últimos en entrar en la sala y esto propicia tiempo, puede que mucho tiempo, de espera. En primer lugar estarán presentes en la sala el acusado, los letrados y el juez (puede que haya más de uno). Acto seguido entrarán los testigos de ambas partes y por último lugar los peritos. Durante el tiempo de espera hay que tratar de evitar hablar del caso con los testigos de tu parte y desviar el tema, máxime si el juicio ha sido declarado como público y hay prensa, la cautela y la discreción debe ser una de las máximas en los momentos previos. Si aún así, el abogado insta al perito a que le aclare ciertas cosas se debe buscar un lugar adecuado, a ser posible con barreras físicas que impidan la audición de lo que se está tratando, con motivo de impedir que se proporcione información valiosa a la otra parte. La colaboración con el abogado es fundamental hasta el momento en que el perito sale de la sala e incluso después.

El tiempo de espera hará al perito pasar por una situación de calma tensa propia de las mejores películas de suspense en las que los maestros del cine consiguen mantenernos pegados a la silla y con los ojos bien abiertos porque no sabes qué va a pasar al segundo siguiente. Sentado en una silla durante 2 o 3 horas en un pasillo y a la espera de que se abra una puerta y suene tu nombre hay tiempo para pensar en muchas cosas y el ambiente puede ser agobiante, luz artificial, pasillos relativamente angostos, calor y otros factores pueden hacer aún más complicada la espera y cumplir con los principios de cautela y discreción ya mencionados.

******************************************************
Peritaje Informático de Parte: La Vista (I)
Peritaje Informático de Parte: La Vista (II)
Peritaje Informático de Parte: La Vista (III)
******************************************************

Algunas certificaciones de seguridad están sobrevaluadas

2009-10-02T05:39:00.000-07:00

Categoría: Noticias

Quiero dejaos aquí una referencia a una noticia en la que se expone el punto de vista de Carsten Casper, director de investigación de Gartner y poseedor de las certificaciones CISA y CISSP que ya comenté aquí.

En esta entrevista, Casper habla sobre las certificaciones que tratan de abarcar un nicho concreto de la seguridad como por ejemplo el análisis forense o el hacking ético y otras más amplias en cuanto a seguridad de la información y cómo cada una de éstas certificaciones contribuye al conocimiento dependiendo del perfil que se busca. Quizá la conclusión más importante la podais encontrar en el último párrafo de manera que si no os es posible leer la entrevista completa, echadle un ojo a dicha parte de la misma.

Metasploit

2009-09-24T23:39:00.000-07:00

Categoría: Noticias

Hola,

Hoy quiero comentaros un framework denominado Metasploit que permite programar y llevar a la práctica exploits. Lo probé hace bastante algo de pasada de lo que recuerdo que tenía un interfaz web y que disponía también de uno en modo consola. El uso no resultaba demasiado complejo pero ahora lo va a ser aún menos. En Offensive Security han liberado un manual completo en formato HTML, el PDF es de pago pero todo lo que se recaude será donado a HFC (Hackers For Charity).

El manual está disponible a partir del siguiente enlace y es muy completo:

http://www.offensive-security.com/metasploit-unleashed/

Fuente: Cryptex

Seguridad: ¿Por donde empezar? (II)

2009-09-11T10:01:00.000-07:00

Categoría: Seguridad de la Información
Seguridad Informática

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Una vez que hemos visto algunas de las posibilidades de formación a nivel personal y de normas certificables que pueden verse ligadas de uno u otro modo en nuestro futuro profesional, bien como consultor, bien como implantador en nuestra propia empresa o bien como auditor, vamos a pasar al ámbito de la Seguridad Informática.

Dentro de la Seguridad Informática hay varias certificaciones con prestigio dependiendo de a qué nos queramos dedicar. Si hablamos de hacking ético, la certificación por excelencia es CEH (Certified Ethical Hacker). Esta es la que encontrareis en todos los requerimientos de los currículum, sin embargo, no es la que más conocimientos os proporcionará según comentarios en la lista de pen-test de security-focus. Allí comentan que si realmente deseas aprender tu certificación es OSCP. Esta certificación se obtienen una vez se ha hecho una intrusión real sobre un sistema y los cursos los imparten los creadores de la distribución linux dedicada a Ethical Hacking, Backtrack. Es un curso bastante asequible si nos paramos a mirar los precios en los que se mueven este tipo de acciones formativas y además, según las muestras que te dejan ver los videotutoriales parecen bastante buenos, eso si, hay que saber inglés. Desde un punto de vista de desempeño profesional, OPST (OSSTMM PROFESSIONAL SECURITY TESTER) es una certificación ofrecida por ISECOM que certifica a profesionales bajo la metodología OSSTMM cuya versión 2.2 podeis descargar desde aquí. Otra metodología que complementa normalmente a OSSTMM es ISSAF (Information System Security Assessment Framework).

Las comunidades Hacker editan e-zines, algunos de estos e-zines se encuentran disponibles a partir de elhacker.net (os recomiendo saqueadores, SET). En esta misma página podeis encontrar infinidad de material que os puede servir para instruiros por vuestra cuenta, incluyendo las revistas en castellano de hackXcrack que pueden ser un buen comienzo.

En temas de análisis forense aún no me he movido demasiado pero CHFI (Computer Hacking Forensic Investigator) al igual que su hermando de hacking ético (CEH) goza de prestigio y es referente en materia de análisis forense.

Conclusiones

Aquí os voy a ofrecer un par de diagramas con itinerarios profesionales que os pueden dar una idea de cómo afrontar la formación en materia de Seguridad de la Información y Seguridad Informática respectivamente. Esto no debe ser tomado como una guía sino como una opinión basada en lo que yo he estudiado e investigado por mi cuenta.

Tal como os he dicho no dejéis de tomar esto como una opinión pero para más información podeis ir a portales de ofertas de trabajo online como por ejemplo infojobs y buscar por consultor de seguridad o por hacking ético y contrastar la información que aquí os he dejado.

Me gustaría que esta serie de post fuera el punto de inicio para que todos aquellos profesionales de la seguridad que pasen por aquí pusieran su granito de arena al respecto en términos de su opinión y sus conocimientos de certificaciones en este sector.

Salu2!!

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Seguridad: ¿Por donde empezar? (I)

2009-09-10T10:42:00.000-07:00

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Categoría: Seguridad de la Información
Seguridad Informática

Cuando uno se plantea definitivamente que esto de la seguridad le mola de verdad y quiere que pase de ser su hobby a que forme parte de su vida cada día pasando a ser su trabajo comienza a bucear y tras 15 googleminutos da con ISACA, quizá antes. Uno piensa, mmm esto parece un buen punto de partida y realmente lo es, pero no os confundáis, sacar el certificado CISA no te enseña a auditar. CISA te provee de un conjunto consistente de conceptos que te permiten afrontar con los conocimientos suficientes las diferentes áreas de la seguridad de la información y la seguridad informática a nivel conceptual. Y por qué digo lo de la seguridad de la información y la seguridad informática?, pues porque aunque suenan parecido se parecen en bien poco. La seguridad de la Información se entiende desde un punto de vista global a nivel de negocio mientras que la seguridad informática se decanta por el lado técnico. Haciendo una puesta en común con la ISO 27001, la seguridad de la información iría en consonancia con la norma al completo mientras que la seguridad informática equivaldría a profundizar en algunos controles puntuales de los puntos 10,11 y 12 de la norma. Un ejemplo bien claro lo supone el control 12.6.1 "Control de las vulnerabilidades técnicas" en el que se enmarcaría un Hacking ético.

Cuando uno da con ISACA además de CISA descubre CISM y el recientemente creado CGEIT que se situan en diferentes niveles de conocimientos como el propio desglose de sus siglas muestra (CISA tiene un enfoque de auditor, CISM de Manager de Seguridad de la Información, lo que se conoce como CSO y CGEIT una visión a nivel estratégico que podemos considerar emparejada a ISO 38500, y con emparejada me refiero a que tratan conceptos a nivel de Gobierno de las Tecnologías de la Información cada uno desde su lado). Tras unos googleminutos más uno encuentra (ISC)2 y su certificado CISSP que estando más orientada al plano técnico no deja de lado aspectos importantes del plano organizacional tal como muestran sus secciones "Business Continuity and Disaster Recovery Planning" e "Information Security and Risk Management".

Siguiendo en el plano de seguridad de la información pero adentrándonos en las normas y estándares internacionales podemos encontrar la bien conocida ISO 27001 (de la familia 27000 la norma que regula los conceptos es de descarga libre y esta disponible a partir de aquí) que regula los requisitos de certificación para un Sistema de Gestión de Seguridad de la Información, ISO 19011 que supone las directrices de auditoría para cualquier sistema de gestión.

Profundizando en el apartado 14 de ISO 27001 podemos encontrar BS 25999, que consta de dos partes: BS25999-1 donde se describen un conjunto de buenas prácticas (el equivalente a ISO 27002 pero para continuidad de negocio) y BS25999-2 donde se definen los requisitos para un BCMS (Business Continuity Management System) y que equivaldría a ISO 27001, la parte certificable. Lo cierto es que podemos perdernos si nos vamos por los laterales puesto que podemos encontrar normas de ámbito más específico como la ISO 15408 muy bien descrita en este post y cuyo cometido es clasificar el desarrollo seguro de un software en 7 niveles dando un significado claro del nivel de seguridad ofrecido por una solución comercial. O el estándar ANSI/TIA 942 sobre ubicación del CPD y niveles de disponibilidad.

No quiero enredar más, en la siguiente parte del post os ofreceré las conclusiones que yo he podido sacar hasta el momento de forma más clara pero, en lo que respecta a seguridad de la información lo descrito hasta el momento es un buen comienzo.

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Virus en compilador de Delphi

2009-09-02T00:06:00.000-07:00

Categoría: Noticias

Un virus que afecta a todos los programas en lenguaje Delphi en tiempo de compilación ha infectado miles de aplicaciones, incluyendo otros programas maliciosos.

El virus conocido como Win32.Induc, sustituye el archivo SysConst.pas usado por los compiladores Delphy dejando una copia del archivo original. Los programas compilados con el nuevo fichero diseminarán el código a otros sistemas si éstos disponen de versiones antiguas de ordenadores Delphi instalados. A pesar de que este código malicioso es antiguo, las firmas antivirus acaban de empezar a detectarlo.

Fuente: SecurityFocus

Las páginas web más peligrosas de Internet

2009-09-01T01:00:00.000-07:00

Categoria: Seguridad en Internet

Norton presentó unos días atras un estudio realizado a través de su herramienta Norton Safe web donde se exponen los sitios más peligrosos de internet y se extraen conclusiones como las siguientes:

El 48% de los sitios web con conteido malicioso son webs para adultos
Hay gran variedad de sitios peligrosos entre los que se pueden encontrar algunos dedicados a la caza, servicios legales o compra electrónica entre otros.
Los virus son la amenaza más común en los sitios con este tipo de contenido.
40 de los 100 sitios más peligrosos tienen más de 20.000 amenazas por sitio.

Como no, toda esta información está perfectamente cumplimentada con una lista de donde NO DEBEIS IR.

Podeis encontrar algo más de información aquí.

Fuente: http://www.elhacker.net/

El crecimiento de Internet

2009-09-01T00:00:00.001-07:00

Categoria: Noticias

Holaaaaaaa!!!!

Muy buenas a tod@s!!!, encantadísimo de reencontrarme con vosotros después de las vacaciones y os deseo que hayais tenido un feliz y esperanzador retorno. He de decir que las mías se me han hecho cortas, pero cortas cortas.

Buceando por las noticias he visto algunas muy interesante y en el periodo vacacional que he pasado currelando y haciendo un artículo que he presentado a una conferencia en pisa, he aprendido algunas cosas que creo pueden resultar de utilidad y que voy a ir dejando aquí paulatinamente. Además, las cosas arrancan en mi nueva ubicación y eso me va a permitir, a buen seguro, disponer de gran cantidad de temas a tratar.

Ya os dejo la noticia.

Internet se parece bien poco a sus comienzos, esto no es ningún secreto, pero cómo todo esto ha sido posible, la infraestructura necesaria y algunas curiosidades ha sido estudiado y está disponible a partir de aquí. Un resumen con imágenes tan ilustrativas como ésta:

Fuente:
http://www.microsiervos.com/archivo/internet/mapeando-crecimiento-internet.html

Cerrado por vacaciones

2009-08-05T12:32:00.000-07:00

CERRADO POR VACACIONES

Bueeeeno, bueno bueno, ya ha llegado el momento. Mañana es el último día que curro para mi y me piro de vacaciones!!!. Este es el primer periodo de vacaciones de este blog y me gustaría daros las gracias a todos los que hasta este momento me habeis leido en alguna ocasión, a los que me leeis asiduamente y a los que con vuestros comentarios me habeis hecho mejorar. Gracias a todos, estaré de vuelta el día 25. Nos vemos!! y felices vacaciones para todos!!

HackxCrack

2009-08-05T12:16:00.000-07:00

Categoría: Seguridad Informática / Seguridad Lógica

Allá por el año 2005 se editó en españa una revista de hacking en la que se exponían aquellos conceptos, casos prácticos, protocolos, lenguajes de programación, bugs, etc que son necesarios para iniciarse en el mundo del hacking. Esta revista se denominó HackxCrack y esta siendo para mi, sin duda alguna una lectura muy interesante y útil. Por eso, me tenía reservado este post para antes de irme de vacaciones. Estas revistas están disponibles en formato PDF y os las podeis descargar desde este enlace

Como veis os dejo deberes, son 30 números que no se leen, se estudian, yo empecé hace bastante y voy por el 18 sin probar demasiadas cosas con las que trato de quedarme con el concepto y otras que afortunadamente las puedo saltar porque ya las estudié con anterioridad. Espero que os guste y las disfruteis igual que yo.

Salu2!!

Localizando un ordenador zombi

2009-08-05T02:48:00.000-07:00

Categoría: Seguridad Informática / Seguridad Lógica

Navegando entre las noticias de seguridad a las que me encuentro suscrito me encontrado con una entrada en el blog de Alvaro Paz que me ha resultado más que interesante.

En dicha entrada, se expone un programa denominado BotHunter que es capaz de reconocer ordenadores zombis pertenecientes a una botnet dentro de una LAN, todos los detalles lo podéis ver aquí.

Salu2!

Cobit 4.1 en Español

2009-07-31T11:42:00.000-07:00

Categoria: Auditoría y Control

ISACA y el ITGI llevan muchos años promoviendo COBIT (Control OBjectives for Information and Related Tecnologies). Para aquellos que aterriceis aquí por casualidad y no conozcan de que va cobit aquí les dejo un extracto del propio documento de COBIT 4.1

"COBIT es un marco de referencia y un juego de herramientas de soporte que permiten a la gerencia cerrar la brecha con respecto a los requerimientos de control, temas técnicos y riesgos de negocio, y comunicar ese nivel de control a los Interesados (Stakeholders). COBIT permite el desarrollo de políticas claras y de buenas prácticas para control de TI a través de las empresas."

Podeis descargarlo desde aquí

Salu2!

Buffer Overflow (I) en CTICRM digital

2009-07-31T11:24:00.001-07:00

Categoría: Seguridad Lógica

Desde la asociación murciana Consejo de Tecnologías de la Información y las Comunicaciones de la Región de Murcia llevamos ya casi dos años empujando para que las diferentes soluciones comerciales, así como las líneas de investigación en vigor sobre temas tan de actualidad como IT Governance se acerquen a la sociedad de la Región de Murcia y del resto de España.

Como una de las iniciativas de la actual Junta Directiva se creó una revista de la que soy responsable directo y cuya edición va por el número 3. En este número podéis encontrar artículos realmente interesantes y contamos con nuevos colaboradores, nuevas secciones y también ISSN.

Una de las nuevas secciones es "El tutorial" y he querido inaugurarla con algo que llevo trabajando mucho tiempo; un tutorial completo de Buffer Overflow en el que pretendo exponer como es posible llegar desde el bug al exploit a fondo y de la manera lo más cercana posible. Esto lo he hecho con la intención de que no sea necesario ponerse enfrente del ordenador y seguir todos los pasos sino que con un estudio pormenorizado del tutorial cualquiera con unos conocimientos medianos pueda entender cómo se pueden localizar estos errores y cómo se pueden aprovechar por un tercero.

En este número tan sólo figura la parte I de posiblemente III si me queda el tiempo suficiente para llegar hasta el fondo en este asunto.

Aqui os dejo los enlaces a la página de CTICRM, y a la revista CTICRM digital donde podreis adquirir de manera totalmente libre y gratuita cualquiera de sus números.

Si cualquiera de vosotros quiere colaborar con la revista puede ponerse en contacto conmigo en la dirección hernandezrma@gmail.com

Espero que lo disfruteis.

Salu2!

Xmind, organizando el entorno

2009-07-31T10:39:00.001-07:00

Categoría: Gestión

Hola a tod@s de nuevo. Ya estoy aquí para compensar vuestra paciencia por el poco margen de actualización que ha tenido este blog ultimamente. A lo largo de las próximas dos hora os voy a ir poniendo al día de todo aquello que he estado viendo últimamente y que creo que puede ser de utilidad.

Además, he decidido categorizar las entradas para que de un vistazo podais intuir de que va el tema y proporcionaos así más información de primeras.

Voy a empezar esta "puesta al día" por una aplicación que me dio a conocer mi actual compañero de trabajo Carlos de las Marinas y que sin duda alguna ha pasado a formar parte de mi biblioteca de aplicaciones. Este programa es Xmind.

Xmind es una aplicación que nos permite poner en orden nuestras ideas y plasmarlas esquemáticamente, permitiendonos crear diagramas que plasman la realidad en un momento determinado del tiempo. Esto nos permite, por ejemplo, organizar tanto las próximas entradas de este blog como algunas de las categorías sobre las que podrían figurar los post en un futuro. Aqui os dejo el diagrama obtenido y también una captura de pantalla para que tengais una perspectiva visual de qué es lo que nos ofrece.

Esto es solo una pequeñísima muestra de lo que esta aplicación nos puede ofrecer. En el caso de Carlos y mio esto nos ha sido especialmente útil para poner en orden la situación de los diferentes servicios de una organización.

No dudeis en visitar la página principal de XMind porque allí se muestra la potencia de la que dispone esta excelente aplicación.

Ah, se me olvidaba, además es open source.

Un saludo.

Inteco pone en marcha la oficina de Seguridad del Internauta

2009-07-16T12:11:00.000-07:00

Antes de nada quisiera disculparme por mi ausencia, no, no me he aburrido de escribir aquí, ni mucho menos :). Estoy inmerso en un cambio de proyecto en el trabajo que me lleva un poco ocupado y además... os estoy preparando un primer artículo técnico (seguridad lógica pero no os digo de qué, lo que si os digo es que va a ser largo) de forma que ando realmente ocupado y apenas tengo tiempo para escribir aunque ahora más que nunca, con algún compañero nuevo, en un nuevo entorno y con miles de cosas por aprender se me pasan una idea tras otra para ponerla aquí. Lamentablemente lo que falta es el tiempo para dejarlas plasmadas por escrito pero espero que poco a poco les pueda ir dando salida.

Ahora la noticia...

Desde hace un par de días está disponible desde INTECO la oficina de seguridad del Internauta donde se ofrecen diferentes servicios al ciudadano. Esta iniciativa, en consonancia con el objetivo de Inteco de acercar la seguridad a particulares y PYMES pone en marcha varios servicios entre los que podemos encontrar:

Pruebas de conocimiento
Consejos acerca de seguridad
Atención telefónica
Atención Online
Foro
Avisos de seguridad
Noticias
Utilidades Gratuitas
Glosario de Términos

La página se encuentra disponible aquí. Sin duda alguna la labor desarrollada por INTECO en este ámbito como impulsor de la seguridad es muy de elogiar.

Nuevo Máximo responsable del MI6 ve comprometidos sus datos vía Facebook

2009-07-07T03:49:00.000-07:00

Ya analicé en su día el peligro de las redes sociales en cuanto a sus políticas de uso (desde mi punto de vista abusivas) y al cuidado que se debe llevar en la utilización de estos servicios. Existe un gran desconocimiento en cuanto a qué condiciones estamos aceptando al utilizar estos servicios de forma que ocurren cosas cómo la siguiente:

Al parecer nadie le avisó a la señora de Sir John Sawers que su marido sería nombrado como máximo jefe de los servicios secretos del Reino Unido.

Claro porque fue ella la que subió a su cuenta de Facebook información detallada de su domicilio, lugar donde trabaja, quienes son sus amigos y hasta el lugar donde suelen pasar sus vacaciones en familia. La información estuvo disponible en el sitio sin ningún tipo de restricción, por lo que cualquier usuario de la red podía tener acceso a ella.

A tanto llegó la devoción por su marido que no dudó en publicar algunas fotografías de la familia, incluyendo los mensajes de felicitación que recibieron luego de enterarse del cargo al que sería asignado su flamante esposo. [...]

La noticia completa en castellano podeis encontrarla aquí y en inglés en este otro sitio.

Fuente: http://www.fayerwayer.com/

Salu2!

La Guerra Fría Digital

2009-07-02T03:19:00.000-07:00

Hoy en día, no hay ninguna duda de que nos encontramos en una nueva era y una nueva sociedad, la era digital y la sociedad de la información. Tampoco cabe duda de que actualmente sería difícil pensar en un desarrollo vertiginoso de la difusión de conocimientos y la disponibilidad de la información sin una base tecnológica e informática. Las organizaciones dependen de la tecnología hasta el extremo y su información se encuentra albergada en sistemas de cuya seguridad depende el buen funcinamiento de una parte de la organización y en casos muy críticos, de la organización completa. En torno a esta información giran las actividades de negocio, el trabajo de las personas y en última instancia y desde un punto de vista global, la economía de un país.

Por todo lo anteriormente mencionado, resulta interesante reflexionar en el cambio de planteamiento al que estamos asistiendo, podemos decir que desde ya a nivel global, en cuanto a la defensa nacional. Pensando fríamente, con un grupo de Hackers bien confeccionado se podrían plantear objetivos estratégicos (organizaciones guvernamentales, grandes empresas por volumen de negocios, empresas con colaboraciones con defensa, empresas del sector energético y un largo etcétera) que pueden ser dañados vía Internet. El ejército norcoreano dispone de un ejército de 100 Hackers, desde Estados Unidos sonaron declaraciones sobre un posible ataque de un hacker chino al pentágono, también Inglaterra e Israel los han sufrido. Todo aquello que está expuesto a Internet es susceptible de ser atacado y es por ello que se debe analizar aquello que resulta crítico con el objeto de imponer la medidas de seguridad adecuadas para su protección.

Diferentes gobiernos a lo largo y ancho del planeta han creado ya o se disponen a crear ejercitos de hackers y estrategias de ciberdefensa y es que "cuando el río suena, agua lleva". Líderes guvernamentales de todo el mundo comienzan a establecer la cyberseguridad como una de sus prioridades dándole la importancia y atención que merece un elemento básico de un castillo de naipes que si pierde uno de sus pilares clave, la información, caerá pudiendo arrastrar con él parte del sustento económico de la nación.

El ejército Americano dispuso hace bastantes años de un escudo antimisiles con el objetivo de proteger su territorio de posibles ataques externos (principalmente de los rusos) lanzando un mensaje al mundo, "señores, tenemos un escudo antimisiles, si nos atacan, más vale que acierten". La Seguridad Nacional está empezando a contar con la seguridad lógica y por ende la disuasión ha cambiado de ámbito, hace apenas unas semanas Jeff Moss fue nombrado Asesor de Barack Obama pasando a formar parte del Consejo Asesor de Seguridad Nacional de Estados Unidos, también se ha trasladado de escenario; el pasado 10 de Junio el parlamento europeo aprobaba una propuesta para impulsar un plan europeo de ciberseguridad. Y es que, señores, podemos seguir con la filosofía del avestruz y esconder la cabeza bajo tierra o coger el toro por los cuernos y afrontar los riesgos que plantea un entorno dinámico, una sociedad informatizada y una información globalizada. Bienvenidos a lo que es a día de hoy, y esperemos que siga siendo, La Guerra Fría Digital.

Salu2!

Ser o No Ser... esa es la cuestión

2009-06-29T00:00:00.000-07:00

Hace ya algún tiempo que vengo detectando ciertas irregularidades o desconocimiento en el mundo profesional en cuanto a las denominaciones que se otorgan tran la obtención de ciertas certificaciones, véase CISA, CISM, Lead Auditor 27001, ...

Todas y cada una de estas certificaciones tienen, por decirlo de alguna manera, dos hitos. El primero es pasar un examen que acredita que dispones de los conocimientos necesarios y el segundo es la presentación de los justificantes necesarios para que la correspondiente organización promotora del certificado te los reconozca y te otorgue finalmente dicho certificado y la denominación correspondiente.

En la etapa en la que se dispone del examen y no de la Certificación se debe indicar que se dispone del documento acreditativo de haber pasado el examen correspondiente incluyendo (Exam Pass). Por tanto mientras no haya confirmación de la correspondiente organización de que la verificación de los méritos profesionales es suficiente, aquel que ha pasado el examen debería considerarse como CISA Exam Pass, CISM Exam Pass o IRCA Lead Auditor Exam Pass, pero el caso es que habitualmente eso de poner el Exam Pass queda muy largo y hay a quien se le pasa...

Esta mañana he estado echando un vistazo a los requisitos que se solicitan para ser IRCA Lead Auditor ISO 27001 y aquí os pongo parte de la información que IRCA facilita en este documento:

Educación

Secundaria, como mínimo.

Experiencia laboral

Cinco Años, o 4 años con un título universitario o terciario
dos años de experiencia en temas relacionados con seguridad en al información

Formación en auditorías

Curso de Lead Auditor ISO 27001 certificado por el IRCA o una alternativa aceptable

Experiencia en Auditorías

Cuatro Auditorías como auditor "en entrenameinto", totalizando 20 días de los cuales 10 deben ser en las intalaciones de la organización auditada.
Tres auditorías como auditor líder "en entrenamiento", totalizando 15 días, de los cuales 10 deben ser en las instalaciones de las organizaciones auditadas.

Para otras certificaciones se requieren, al igual que para ésta, requisitos de experiencia que hayan sido validados por la organización que ha de conceder la certificación (ISACA en caso de CISA y CISM). Es por esto que me gustaría llamar la atención sobre el hecho de que pasar el examen no autiraza a aquel que lo pasa a disponer de la denominación si antes no ha acreditado el resto de requerimientos.

Por último decir que IRCA dispone de un Directorio Online donde se puede acudir para saber si alguien que pone en su tarjeta que es IRCA Lead Auditor 27001 es realmente lo que dice ser.

Salu2!

la No Conformidad Mayor sobre la No Conformidad

2009-06-25T01:06:00.000-07:00

Ya estamos aquí de nuevo...

...Hace algún tiempo, durante una auditoría interna, mantuve una conversación con uno de mis compañeros de trabajo sobre las No Conformidades que puede poner la Entidad de Certificación durante su Auditoría.

La cuestión aquí está en que, por lo general, cuando existe una No Conformidad (en adelante NC) localizada durante la Auditoría Interna, en teoría, la Entidad de Certificación no podrá abrir una NC si se ha generado la correspondiente Acción Correctiva (en adelante AC), y se ha asignado el plazo para su resolución, aún cuando a fecha de la auditoría de certificación no se haya cerrado tal AC.

Ahora bien, esto no es del todo cierto. Supongamos que durante la Auditoría Interna se ha localizado un NC por incumplimiento de la LOPD (quien redacte esa NC dependerá del procedimiento de Auditoría Interna correspondiente), símplemente, no se ha hecho hasta el momento de la auditoría interna absolutamente nada al respecto de la protección de datos de carácter personal y esto supone un incumplimiento del control 15.1.4. A quien corresponda tal responsabilidad generará la NC y de ésta se derivará una AC a la que se le asignará un plazo posterior a la de la Auditoría de Certificación (esto es un supuesto ilustrativo).

Cuando el Auditor de Certificación llega a las instalaciones del auditado, comprobará las no conformidades, en concreto verá el incumplimiento legal y hará el rastreo hasta la acción correctiva correspondiente. Una vez visto que el plazo está asignado y a fecha de la auditoría no se ha solventado dicha no conformidad pondrá una NC Mayor y se acabó el sello (al menos de momento). Digo al menos de momento porque la certificadora puede dejar un plazo prudencial para que la empresa auditada presente evidencias del cierre de dicha no conformidad mayor, solicitando en dicho momento su certificación.

La comentada anteriormente no es la única situación en la que se puede poner una NC sobre una NC ya detectada por la auditoría interna sino que existen muchas más, tantas como situaciones que supongan un riesgo evidente para la seguridad de la Organización y que puedan, por ende, constituir una NC mayor, sobre las cuales se haya levantado una NC fruto de la auditoría interna y cuya AC no se haya cerrado a fecha de la Auditoría de Certificación (valga como ejemplo el que expuse en este post).

Esta circunstancia hace patente una necesidad latente de trasladar al Auditado a la entrega del informe de Auditoría Interna la importancia de cerrar determinadas acciones correctivas antes de la fecha de realización de la Auditoría de Certificación. Subrayar las No Conformidades más importantes puede hacerse de varias formas pero quizá una que puede ayudar a familiarizar al Auditado con la Auditoría de Certificación es la distinción entre NC mayores y NC menores en el correspondiente documento descriptivo del procedimiento de Auditoría Interna, dando una nueva arma al auditor para señalarle al auditado, "usted tiene que cerrar esto antes de la Auditoría de Certificación y al resto puede asignarles un plazo que vaya más allá de la fecha en que ésta se realice".

Otro aspecto que resulta de relevancia es la planificación de dicha Auditoría Interna. Si durante dicha auditoría se encuentran varias NC mayores que deben cerrarse antes de la Auditoría de Certificación y la Interna no se ha planificado con la suficiente antelación, el tiempo de reacción ante las NC mayores interpuestas en la Auditoría Interna será muy corto. Los planes de acción a llevar a cabo ante una NC mayor puede variar en dificultad y tiempo necesario para su realización de forma que es conveniente planificar con el suficiente adelanto la Auditoría Interna con el objeto de disponer de una ventana de tiempo más amplia para reaccionar ante las NC mayores.

Salu2!

(post corregido a instancias de comentarios en el mismo por un anónimo que me hicieron ver dos partes en las que la información carecía del rigor necesario. Gracias a Anonimo por sus comentarios)

Una Buena Metodología de Análisis de Riesgos II

2009-06-23T00:00:00.000-07:00

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

[...]

Algunas de las metodologías que he podido examinar pierden la trazabilidad de cual es la propiedad de la información (Confidencialidad, Integridad, Disponibilidad) que nos lleva a un determinado valor de riesgo de forma que se hace difícil aventurar cual puede ser la mejor solución si no tenemos claro qué propiedad es la que quiero proteger para un determinado activo de información. En otros casos, se hace la media de los valores recogidos en el BIA y este valor se utiliza en un segundo paso para el cálculo del riesgo, creando un falso valor de riesgo.

Esto, que en un principio es algo obvio, crea al auditor un dilema, sin duda alguna pone en peligro la seguridad de la información, se está evaluando mal el riesgo de la organización creando un modelo de riesgo que no refleja fielmente la realidad de la organización, sin embargo, no hay armas. La inexistencia de un vínculo entre 27001 y 27005 deja al auditor sin argumentos más allá de "esta metodología es inadecuada".

Esto genera un problema de dimensiones mayúsculas, introduciendo desde el inicio una metodología que ciclo tras ciclo va a estar dando un modelo de riesgo equivocado y por ende, priorizando mal, asignando mal los recursos, provocando costes innecesarios y ocultando los verdaderos problemas de seguridad. Esto se extenderá en el tiempo a no ser que se cambie de metodología, lo que nos haría perder una linea clara de cómo hemos ido mitigando los riesgos más importantes para abordar los siguientes en la siguiente iteración. Aunque bien visto, quizá sea el mal menor.

Lo cierto es que las enfermedades que acechan a un SGSI son innumerables desde su concepción y puesta en marcha. Es un engranaje perfecto en el que el error de uno de los componentes puede dar al traste con el sistema completo por lo que su concepción e implantación determinará un rumbo que puede guiar bien hacia la seguridad o dejar a la organzación en algunos aspectos incluso peor que estaba.

Salu2!

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

Una Buena Metodología de Análisis de Riesgos I

2009-06-22T00:00:00.000-07:00

No cabe ninguna duda que el proceso de Gestión del Riesgo es el corazón del SGSI y que si esto no funciona bien, se producirá una falsa sensación de seguridad. Dentro de este proceso, hay un talón de aquiles; La Metodología de Análisis de Riesgos que está, en muchos casos distorsionando la realidad y provocando que la organización se desvíe con respecto a los riesgos más importantes.

Durante el tiempo que llevo Auditando me atrevería a decir que he visto una metodología por cada consultora que realizaba la implantación y es que en esto, como en otras cosas, no hay consenso y eso perjudica claramente la seguridad de la información. Tampoco ayuda el hecho de que la propia norma de referencia ISO 27001 no exponga claramente cuales tienen que ser los requisitos que debe cumplir dicha metodología, encontrándose éstos definidos en ISO 27005 y desvinculados de ISO 27001, que trata este tema en su sección 4.2.1.c de manera algo escueta.

Especificar una metodología de evaluación de riesgos adecuada para el SGSI, las necesidades de negocio identificadas en materia de seguridad de la información de la empresa y los requisitos legales y reglamentarios

Todo lo anteriormente mencionado da pie a que cada cual desarrolle una metodología que considere "adecuada para el SGSI" pudiendo provocar un mal diagnóstico y un modelo de riesgo de la empresa equivocado.

[...]

******************************************************
Una buena Metodología de Análisis de Riesgos I
Una buena Metodología de Análisis de Riesgos II
******************************************************

Pérdida de Datos provoca Consecuencias Irreparables

2009-06-12T01:06:00.000-07:00

Desgraciadamente en ocasiones ocurren cosas como esta:

Una vulnerabilidad de día cero en la versión 2.0.7992 del software HyperVM / Kloxo de la compañía india LxLabs ha podido ser la puerta de entrada para un ataque informático que ha ocasionado el borrado total de datos de 100,000 servidores web virtuales operados por la empresa Vaserv, con base en el Reino Unido, y sus subsidiarias CheapVPS y FSCKVP. Las dos últimas fueron aniquiladas en su totalidad y puestas fuera de línea. La destrucción de los datos se propagó además a sus respaldos, al parecer. Las personas atacantes, tras conseguir el control total de los servidores, ejecutaron al parecer el comando "rm -rf" para provocar un borrado recursivo de todos los archivos. El dueño de la empresa LxLabs, K T Ligesh, de 32 años, se suicidó horas horas después del suceso. Slashdot también se hace eco de la noticia. Una de las personas responsables del ataque llegó a publicar en WebHostingTalk parte de la información de cómo logró acceso y la forma en la que actuó posteriormente, aunque el mensaje ha sido eliminado por la administración del sitio.

Es lamentable cómo en ocasiones el aumentar el ego de unos acaba con la vida de otros. Lamentable, sencillamente lamentable. No puedo evitar sentir cierta envidia por los que vivieron la época en la que la ética de los Hackers dominaba el mundo, solo les motivaba su propio conocimiento, saber más y más y no tenian intención de hacer daño. Hoy, tenemos que vivir con hechos como este que provocan la consternación y repulsa de cualquiera con dos dedos de frente.

Fuente: barrapunto

Salu2!

Historia de un SGSI cualquiera: El Sistema de Gestión y la Seguridad de la Información II

2009-06-03T06:26:00.000-07:00

*****************************************************************
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información I
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información II
*****************************************************************
[...]

El señor Gerente después de consultarlo con la almohada decide que eso de la 27001 no esta aún muy visto y que en su sector no hay casi nadie que la tenga y por tanto puede ser una ventaja competitiva de forma que: "qué leches!, lo vamos a hacer", "pongo a Don YoPuedoConTodo que también es responsable del Sistema de Gestión de la Calidad y el de Medio Ambiente, que hace de comercial, de programador, analista y jefe de proyecto y esto va para delante fijo".

De esta forma y casi sin darse cuenta, llega el día de la auditoría interna, el sistema ya está implantado y la Consultora se ha buscado una colaboración externa para hacer esa auditoría. El Auditor Interno comienza a solicitar documentación del Sistema de Gestión y a ver incoherencias con el funcionamiento de la empresa, partes en amarillo fosforito y otras partes sin instanciar y es que Don YoPuedoConTodo al fin y al cabo es humano y le ha echado a esto los ratos que ha podido y le dejaban libres sus otras 101 tareas.

Al finalizar la Auditoría Interna el Señor Gerente es Informado de la situación por el Auditor Interno, quien le transmite su preocupación y creencia de que la consultora ha hecho bien su trabajo pero ellos no le han podido dedicar el suficiente tiempo, que los procedimientos y normas no se adecuan al día a día de la organización y que hay documentos que no se han instanciado. El Gerente mira a Don YoPuedoConTodo y le dice "Esto hay que solucionarlo pero ya, así que te vas quitando del resto de cosas que tenemos la Auditoría de Certificación dentro de 2 semanas". Don YoPuedoConTodo haciendo honor a su nombre por encima de sus propias posibilidades y en un esfuerzo sobrehumano consigue adaptarlo todo, dejar toda la documentación impecable, pero... los controles están pishí pishá, algunos mejor y otros peor, algunos no están y otros sí, pero el Sistema de Gestión funciona y, al fin y al cabo esto es lo importante, el ciclo PDCA hará el resto de forma que "CERTIFICADO".

El final de la historia es una empresa con un Sistema de Gestión sin Seguridad de la Información durante algún tiempo y un Sello que no refleja lo que realmente hay por detrás.

Pero...

¿Dónde ha estado el problema aquí? El problema aquí es el objetivo del Gerente, conseguir la ISO 27000 por ventaja competitiva. Al final se obtiene pero... ¿para que sirve de puertas para adentro?. Amén de esto ha habido otros muchos problemas, asignación de recursos y colaboración de la organización entre otros.
¿Quien es responsable de esto? ...
¿Cual es el resultado? El resultado es un SG sin SI que irá adquiriendo Seguridad de la Información conforme va rodando el Sistema de Gestión en el mejor de los casos, cuando el señor Gerente apoye el SGSI y crea en él, más allá de la idea del sello inicial. En otro caso lo que tendremos es un SGSI Virtual perfectamente descrito por Javier Cao en su blog.

Que duda cabe que esta historia tiene muchas y muy honrosas excepciones y que quizá no existan dos empresas con un planteamiento exacto en cuanto a la implantación del SGSI en su organización y las razones que los llevan a hacerlo, lo que si está claro es que el motivo que llevó al desarrollo del SGSI es un factor clave para disponer de Seguridad de la Información desde el comienzo.

Para finalizar me gustaría lanzar preguntas al aire (al blog en este caso) con el único objeto de que sean reflexionadas:

¿Se debe aceptar cualquier punto de partida para un SGSI?
¿Qué está reflejando realmente una certificación en ISO 27001 el primer año si no se tiene especial consideración en el Anexo A?
¿Y si una empresa certificada en ISO 27001 desaparece por un incidente de seguridad durante el primer ciclo?
¿Puede ser la diferencia de criterio en la auditoría un problema o una garantía de un punto de partida adecuado?

Salu2!

Historia de un SGSI Cualquiera: El Sistema de Gestión y la Seguridad de la Información I

2009-06-02T08:18:00.000-07:00

*****************************************************************
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información I
Historia de un SGSI cualquiera: El sistema de Gestión
y la Seguridad de la Información II
*****************************************************************

Un Sistema de Gestión de Seguridad de la Información está basado en el famoso ciclo de Deming que ha adoptado esta norma como otras (ISO 9000 e ISO 14000) y que está basado en cuatro fases denominadas como Plan Do Check Act, también conocido como ciclo PDCA. Este ciclo permite la mejora contínua de la seguridad de la información dentro de la organización apoyándose en el sistema de gestión como soporte para dicha mejora.Este Sistema de Gestión, como todo, tiene un principio y es en su construcción donde se hace hincapié en la primera auditoría. Esta rueda que va evolucionando poco a poco, permite a la organización mejorar su seguridad de la información, consiguiendo que la organización vaya poniendo el término Seguridad de la Información junto al de Sistema de Gestión. Lo que a mi me preocupa es si realmente en la primera iteración del SGSI hay Seguridad de la Información más allá de un Sistema de Gestión.

Ésta bien podría ser la historia de un SGSI cualquiera en una empesa cualquiera un día de auditoría cualquiera. Y es que no es lo mismo Sistema de Gestión que Seguridad de la Información. No es lo mismo y no van juntos por mucho que ISO 27001 se empeñe en jutarlos a los dos en el término Sistema de Gestión de Seguridad de la Información, al menos no en la primera iteración del ciclo PDCA.

La Historia podría comenzar un día cualquiera cuando el Gerente de una organización cualquiera escucha el término seguridad de la información e ISO 27001 juntos durante una conversación en el tiempo del almuerzo. "ah!, eso parece interesante!, ¿qué hay que hacer para conseguir esa cerctificación?", sus contertulios le dicen que es recomendable llamar a una consultora para que se encargue del trabajo y que ellos te lo van a a dejar todo prácticamente hecho y el señor Gerente se dispone ni corto ni perezoso a buscar la consultora apropiada, la encuentra y llama; "Hola, soy el señor Gerente, quisiera conseguir la ISO 27001 para mi empresa y me han comentado que vosotros podeis hacer la implantación", a esto le contestan desde la consultora que si, que no hay ningún problema, que ellos le van a dar toda la documentación y que su organización deberá particularizarla para su caso concreto así como implantar las medidas que se consideren adecuadas según sus objetivos, análisis de riesgos y cumplimiento legal, y que el Sistema de Gestión de Seguridad de la Información resultante tendrá que ser administrado y gestionado por ellos. "Bien, ¿cuanto tiempo llevará la implantación?", desde la consultora le apuntan que unos 6 u 8 meses, puede que incluso más, dependiendo de la organización.

[...]

Phishing, la etapa final o cómo el dinero se esfuma

2009-05-28T12:33:00.000-07:00

Hará ahora unas 3 semanas que asisití a una conferencia en la que intervenían dos ponentes, uno era el principal responsable de la III brigada de delitos telemáticos ubicada en Murcia y el otro era Xabiel García Pañeda, Perito Informático experimentado y que ofreció una gran visión desde la mente del perito informático de lo que debe ser un peritaje bien llevado de principio a fin. A todo aquel que tengais la suerte de tenerlo cerca (Asturias) y podais acudir a alguna de sus conferencias es altamente recomendado. En esta conferencia se comentaban los ataques de phishing y allí me di cuenta de que la fase final no es muy comentada y resulta extremadamente curiosa (al menos para mi).

Es por todos conocido cómo opera un ataque de phishing hasta que los números de cuenta y resto de información necesaria llegan a quien no deberían haber llegado nunca, al atacante, pero... quizá no es tan conocido cómo es posible que ese dinero llegue a manos del ciberdelincuente y sea tan difícil cogerle, al fin y al cabo, a algún lugar redirigirá el dinero.

En esta tarea entran en juego los conocidos como muleros, término heredado de las personas que introducen droga en los diferentes paises portandola dentro de su cuerpo con el objetivo de no ser descubiertos. Estos muleros de la red tienen como principal función la de blanquear el dinero que les llegará a sus cuentas.

Las bandas de crimen organizado reclutan a estos muleros mediante mensajes de correo electrónico en los que les ofrecen grandes cantidades de dinero, trabajo desde casa, contrato laboral, el trabajo perfecto. En el momento de la contratación, el mulero se está convirtiendo en cómplice de una estafa de importantes dimensiones.

El recien contratado mulero comienza a recibir en su cuenta grandes cantidades de dinero de las cuales manda un alto porcentaje, entorno al 80%, a la empresa que lo contrató por un servicio de envio rápido de dinero, quedándose con el restante 20%. Inmediatamente después, el dinero es retirado por el phisher en otra oficina de la misma entidad de envío de dinero en otra parte del mundo con documentación falsa.

Vale, ahora habrá quien diga... ¿y la transferencia quien la hace? pues la transferencia puede hacerla el propio phisher tomando las debidas precauciones. Imaginemos que cogemos un módem de ono, de estos piratas que circulan por ahí y le ponemos una MAC de la que ya dispone otro usuario... en el momento de realizar la transferencia, debido a la asignación de direcciones que hace el servicio DHCP de ono tendremos la misma dirección IP que el titular verdadero vinculado a esa MAC, ¿en qué resulta esto?, en el titular que tenía asignada tal dirección IP imputado en un caso de estafa y en ONO buscando entre sus registros indicios de duplicación de tal MAC.

Aquí os dejo los principales objetivos del phishing a día de hoy extraidos de marshal8e6. Como podeis ver principalmente bancos americanos pero hay otros de interés, podeis ver más aquí

salu2!!

Las búsquedas más peligrosas

2009-05-28T07:02:00.000-07:00

Curioso:

McAfee ha publicado un estudio con las palabras que pueden ser más peligrosas a la hora de visitar los resultados que producen en un buscador. O sea, las palabras que tienen más probabilidad que lleven a un usuario a un sitio en el que quede infectado por malware. La ganadora es "screensavers" con un riesgo del 60%.
McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra "free" (en este contexto, sería "gratis") tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud.
El estudio de McAfee no deja de ser anecdótico. El mundo del malware y sus creadores se han anticipado al dinamismo de la Red actual, y parecen trabajar a un ritmo mucho más acelerado "para estar a la última" que el resto de la industria. Esto hace que lo que hoy es considerado "menos peligroso" (un término más adecuado que "seguro"), constituya un peligro grave y patente a corto plazo. ....

Fuente: Hispasec

Ficheros Temporales y LOPD

2009-05-28T06:48:00.000-07:00

Hace ya una semana que Chema Alonso publicaba una serie de post tratando la problemática referente al cumplimiento de la LOPD en el tratamiento de los datos personales que se realiza por los sistemas informáticos.

Una vez he podido terminar de leerlo, me ha parecido importante reseñarlo aquí por la implicacion que esto tiene y porque sencillamente me parece muy bueno :).

Si quereis conocer cómo deberian protegerse los datos durante su procesamiento en el pc y las problemáticas que se plantean con las memorias intermedias no dejeis de visitarlo, muy bueno.

Aquí comienza la serie

La actualidad de los ataques web.

2009-05-26T03:01:00.000-07:00

Ayer fue uno de esos días en los que se te pasan tropecientasmil cosas por la cabeza para poner en el blog y no consigues poner ninguna, si me lee algún blogger me entenderá (eso espero) :).

Hoy he podido terminar de leer un whitepaper de Symantec sobre ataques web que encontré la semana pasada por la web y me pareció interesante. Pues bien, lo es. Aquí hay un resumen sobre cómo nuestro PC se convierte en una lata de conservas merced a los innumerables sitios web de los cuales podemos descargar malware de forma involuntaria.

Hace una exposición clara y ordenada de:

Cómo se introduce un iframe en una página que posteriormente será servida al cliente y éste será redireccionado al sitio malicioso (sql-injection)
Los diferentes tipos de ataques (con participación o sin participación del usuario)
Los Web Attack Toolkits
Los cambios en el modelo de infección de sitios web
Ofuscación
Aplicaciones engañosas (antivirus fake, etc)
Qué hace el malware dentro del PC
Cómo prevenir estos ataques que se hacen cada vez más sofisticados
etc...

y todo esto en 18 páginas en perfecto inglés que dejan todo muy pero que muy clarito.

Salu2!

ISO 27000 disponible públicamente

2009-05-21T00:45:00.001-07:00

A partir de hoy se encuentra disponible el estándar ISO 27000/2009 de manera pública. Este estándar con título "Information technology — Securitytechniques — Information security management systems — Overview and vocabulary" consituye una introducción al Sistema de Gestión de Seguridad de la Información proporcionando una guía para el primer acercamiento al SGSI en términos de vocabulario, funcionamiento y utilidad.

Podeis descargalo desde aquí.

Podeis disponer de más estándares en descarga directa, si bien no hay ninguno más de la familia 27000, en este sitio.

Salu2!

Tus derechos en Tuenti

2009-05-20T02:34:00.000-07:00

Hace ya algunas semanas que quise llamar la atención sobre las condiciones de uso de las diferentes redes sociales, para lo cual analicé las de los servicios Facebook, Tuenti y Linkedin en un post titulado do you practice social networking?.

Pues bien, esta mañana he encontrado que en Security Art Work han profundizado sobre tuenti ofreciendo información que complementa la que en su día yo proporcioné. Para aquellos usuarios de este servicio que quieran saber a fondo a qué se exponen.

Salu2!

Un ordenador infectado envía 600.000 mensajes de Spam al día

2009-05-20T00:00:00.000-07:00

Recorriendo esta mañana las noticias de actulidad me he topado con este dato tan aplastante procedente de un estudio conducido por la compañía Marshal8e6 (cuyo comunicado lo podeis encontrar aquí). Este estudio ha sido realizado por TRACElabs. En spamspam podeis leer este fragmento que es una transcripción directa de los datos que Marshal8e6 expone.

Y no, no es exageración. Según la compañía estadounidense Marsahll8e6, un estudio realizado a equipos de cómputo infectado por alguna de las botnets más prolíferas de nuestros tiempos es capaz de enviar por la red hasta unos 25 mil mensajes de Spam por hora, lo que a la postre nos da la cifra de 600 mil mensajes de correo electrónico no deseados por día y que a la vez nos arroja la suma de 4.2 millones de mensajes de Spam a la semana; impresionante tomando en cuenta que se tratan de cifras de una sola computadora infectada.

Marshal8e6 comunica que TRACElabs infectó sus sistemas de manera intencionada y oberservó el comportamiento de los bots. Los investigadores observaron qué cambios se producian en el registro, qué puertos abrían para su comunicación y observaron cuanto SPAM eran capaces de generar.

El estudio se extendió a 9 botnets que TRACElabs consideró las de mayor tamaño incluyendo: Xarvester, Mega-D, Gheg, Grum, Donbot, Pushdo, Bobax, Rustock y Waledac. Éstas botnets aglutinan el 70% del volumen total de spam de acuerdo con los datos de Marshal8e6.

Los resultados del estudio se pueden encontrar aquí.

Al hilo de esto, me gustaría resaltar cómo se están recuperando los volúmenes de Spam. A fecha 1 de Abril de 2009 exponía este post donde se observaba un gráfico obtenido de la misma empresa que conducía el informe anteriormente mencionado donde, si bien se mostraba que los niveles de SPAM habían bajado considerablemente tras el cierre de la empresa de servidores McColo, también se observaba un ligero repunte. Este repunte se puede confirmar en los diagramas que a día de hoy podemos ver en su correspondiente sección, señores, el SPAM ha vuelto... si es que algún día nos dejó....

Salu2!

Los Test de Intrusión; una estrategia preventiva

2009-05-18T04:21:00.000-07:00

A pesar de no ser uno de los servicios considerados como críticos por muchos directivos, los test de intrusión son básicos para la seguridad lógica de los sitemas críticos de una organización y así se harán valer en el futuro. Asi lo demuestran una y otra vez los diferentes estudios que arrojan resultados tan significativos como los últimos conocidos de un estudio realizado por Forrester Consulting a instancias de Veracode y por título "Application Risk Management in Business Survey". El estudio ha sido realizado sobre 200 empresas de diferentes áreas de negocio en EE.UU. y el Reino Unido. Algunos de los resultados más significativos de este estudio son los siguientes (aquí se pueden encontrar más):

Más del 62% de los encuestados han sufrido algún problema de seguridad en los últimos 12 meses provenientes del aprovechamiento de fallos en sus aplicaciones críticas de negocio.
Aunque las compañías son conscientes de la criticidad de las aplicaciones que soportan sus procesos de negocio, la confianza que se puede depositar en ellas con respecto a su seguridad es poca.
Las compañías no están haciendo lo suficiente para asegurar los niveles de seguridad de las aplicaciones de código abierto, las programadas por un tercero o las comerciales.
Tan sólo un 34% de las compañías disponen de un proceso de desarrollo de software que integra la seguridad de las aplicaciones.
Sólo el 13% de los encuestados conoce el nivel de seguridad de las aplicaciones críticas de su negocio.

La referencia más cercana de la que dispongo en España es el "Estudio sobre el sector de la Seguridad TIC en españa" de Septiembre de 2008, realizado por INTECO y que no llegando a disponer de estadísticas de este tipo (ya me gustaría a mi saber como nos encontramos en españa en este aspecto), expone conclusiones como la siguiente:

En España, aún está por materializarse el cambio de más alcance en la concepción de la seguridad: el que conlleva pasar de una mentalidad reactiva a una proactiva, Sólo las grandes organizaciones, fundamentalmente las de ciertos sectores (banca, sanidad, defensa), tienen una cultura proactiva de la seguridad. En general, predomina una concepción en la que pesan las medidas de protección que no requieren intervención del usuario, soluciones de “instalar y olvidarse” frente a una concepción de la seguridad basada en el fomento de los comportamientos personales y organizativos que la mejoran.

Dentro de esta cultura proactiva se enmarcan los test de intrusión que se encuentran recogidos en ISO 27001 en el bloque 12, control "12.6.1 Control de las Vulnerabilidades Técnicas" y a los que se les debe dar por parte de la organización la importancia que merecen.

La seguridad proactiva en aplicaciones tiene dos vertientes principalmente, la seguridad integrada en todos los aspectos del SDLC o ciclo de desarrollo del software y los test de intrusión para tratar de anticiparnos al descubrimiento de una nueva vulnerabilidad, o una antigua no parcheada, por alguien malintencionado. ISO 27001 dedica un bloque completo, el anteriormente mencionado a todos los aspectos de seguridad que es necesario contemplar en relación a las aplicaciones, otorgándole la debida relevancia. Sin duda alguna cada uno de los apartados de ese bloque da para muchos post.

Salu2!

El mundo empersarial underground

2009-05-14T06:15:00.000-07:00

Se que en estas últimas semanas ya habeis tenido una dosis más que suficiente de botnets y de e-crime, pero me he encontrado un post de Alfredo Reino que hace mención a cómo el crimen organizado realiza operaciones empresariales similares a las del mundo real y me ha parecido interesante. Para calentar una imagen:

No dudeis en visitar el post.

Salu2!

La importancia del BCP

2009-05-13T01:19:00.000-07:00

Hace poco más de una semana que en la lista de distribución de ISO27001security se viene discutiendo un tema que suele ser recurrente en las auditorías que he realizado. El thread se centra en la falta de completitud del Plan de Continuidad de Negocio (BCP por sus siglas en inglés) o su inexistencia.

¿Puede pasarse una auditoría de certificación sin elaborar y probar un BCP?

NO. La falta del BCP constituye una No Conformidad Mayor y supone no pasar la auditoría.

¿Puede ser mi BCP una hoja donde se diga cómo restauro las copias de seguridad?
Esta es la posición de alguien de la lista. De nuevo NO, esto no es un Plan de Recuperación del Desastre (DRP por sus siglas en inglés), es un BCP y NO ES LO MISMO.

Hagamos de abogados del diablo y pongamos que damos por suficiente esa hojita con las instrucciones para restaurar las copias de seguridad. Ahora pensemos que hay un cortocircuito en la oficina principal provocando un incendio y por ende la pérdida de gran parte de lo que allí se ubicaba. Suponiendo que haya una copia fuera de dicha oficina, se nos vendrá encima un aluvión de dudas entre las cuales podemos encontrar:

¿Quién es responsable de cada una de las tareas necesarias para recuperar el funcionamiento mínimo de la organización?
¿Dónde deben ser restaurados los sistemas, puestos en funcionamiento los procesos mínimos de operación y ubicadas las personas?
¿Qué equipos deben ser adquiridos o transladados?, ¿qué personas deben ser contactadas?, ¿qué infraestructura es necesaria para la operación mínima de la organización?
¿Cómo contacto con los proveedores necesarios para abastecerme del material necesario?
¿Cuándo debo contactar con cada proveedor?, ¿cual es el órden en el que los diferentes implicados deben ser avisados?.

Y esto es sólo una muestra de lo que habría que resolver para que un BCP sea realmente un BCP.

¿Por qué es tan importante un BCP?

El BCP es la última línea de vida de una empresa. Cuando las contramedidas fallan, el BCP es la última esperanza de supervivencia de una empresa. Acontecimientos como el ocurrido en las Torres Gemelas o el del edificio Windsor ponen de relevancia este aspecto en ocasiones infravalorado dentro de las organizaciones.

El BCP consigue hacer previsto un imprevisto que puede costar la supervivencia de la empresa. De hecho, ya existe una norma británica que trata este aspecto en profuncidad conocida como BS 25999.

Salu2!!

SOC, ventajas e inconvenientes

2009-05-11T02:31:00.000-07:00

Los SOC (Security Operation Centers) son un servicio de moda, cada vez son más las empresas que se deciden por esta solución externalizando la seguridad lógica de la organización pero... ¿proporcionan estos servicios lo que la organización necesita?.

¿Que es un SOC?

No voy a entrar en cómo opera un SOC a bajo nivel pero sobre esto podeis leer un artículo aquí. Lo que si os recomiendo para aquellos que no tengan una idea clara de lo que es un soc es que le echen un vistazo al siguiente video:

Bajo el nombre de SOC se albergan un conjunto de servicios entre los que podemos encontrar la administración y supervisión de forma remota de los siguientes elementos entre otros:

Servidores
Firewalls
Firewall de aplicaciones
Control de acceso a la red
Antivirus
Firewall de Base de Datos
Firewall de correo electrónico
Sistemas Anti-Spam
Sistemas de Detección de Intrusiones (IDS)
Tráfico de red
Ancho de banda
Copias de Seguridad

Algunos de sus aspectos positivos

Son muchas las virtudes que se pueden destacar y que pueden decantar a una empresa por la contratación de uno de estos servicios. Entre sus puntos fuertes podemos encontrar:

La especialización del personal: siempre que se externaliza un servicio se obtiene un beneficio directo proveniente del conocimiento del personal que realiza la tarea externalizada.
Servicio 24/7: estaríamos contratando un servicio que respondería las 24 horas del día durante los 7 días de la semana, hecho que resulta de especial relevancia para aquellas empresas cuya disponibilidad de sus sitemas es punto clave en su desempeño. Además hay que tener en cuenta que un servicio expuesto a internet no entiende de horarios por lo que un incidente de seguridad puede surgir en cualquier momento.
Relación Coste/Resultado: estos servicios permiten tener a disposición de la organización a un equipo de expertos en seguridad informática por un precio muy inferior a lo que costaría mantenerlos a nivel interno.
Velocidad de Respuesta: Derivado del punto 2, las vulnerabilidades pueden ser subsanadas en un periodo de tiempo muy corto minimizando la ventana de exposición. Aquí se debería distinguir entre medidas preventivas y correctivas, sobre todo cuando se opere con sistemas que se encuentran dentro del entorno de producción. Por poner un ejemplo, la aplicación de un parche a un servidor con el objeto de subsanar una vulnerabilidad puede tener consecuencias inesperadas en el sistema. Es aconsejable que los parches se prueben de forma que no se introduzcan directamente al entorno de producción por lo que es conveniente que entre la organización y el SOC queden claros cuáles deben ser los protocolos de actuación ante el compromiso de uno de sus sistemas.

Cuidado, la seguridad lógica ya no nos pertence...

A la hora de externalizar la seguridad lógica de la empresa se deben tener en cuenta ciertas consideraciones de las cuales ya expuse algunas en el blog de Joseba Enjuto. A la hora de externalizar este servicio se debe tener en cuenta lo siguiente:

Es una solución a la parte de seguriad lógica: No debe perderse de vista que lo que se debe proteger es aquello que es más valioso para la organización. Estos servicios pueden crear la "ilusion" de seguridad mientras la puerta de atrás de la empresa está abierta 24/7. En ningún caso es una solución global puesto que aquello a lo que cada organización debe prestar especial atención debe venir dado por los objetivos de negocio de la organización y aquellos elementos que resulten determinantes tras el análisis de riesgos.
Intrusividad: Algunos de estos servicios pueden no ser recomendables dependiendo de cómo de crítica sea la información que se maneje. Hay que tener en cuenta que algunos de los sensores que se instalan en los sistemas capturan llamadas al sistema con el objeto de crear un perfil de comportamiento del sistema y poder reportar cualquier anomalía que pueda surgir en el funcionamiento del mismo.
La regulación contractual: Ojo porque estamos externalizando la seguridad lógica de la empresa y a nivel contractual esto debe quedar bien amarrado, en caso de duda no estaría demás recurrir a un tercero independiente no vinculado con el SOC con conocimientos legales para que analice las cláusulas del contrato y asegure la correcta inclusión de obligaciones y responsabilidades por su parte.
El tercero que hace seguimiento de los terceros: El seguimiento de los terceros con el objetivo de verificar si éstos cumplen con los acuerdos firmados se enrevesa especialmente con este tipo de servicios que pueden ofrecer monitorización de los terceros de la organización, por ejemplo los ISP. Ahora bien, desde el punto de vista de la organización, el SOC es un tercero, ¿se monitoriza el SOC a si mismo?, si esto fuera así, ¿constituye una fuente fiable?, independiente desde luego no.

Conclusiones

Los SOCs pueden ser un arma de doble filo si se venden o se entienden como una solución global y se tratan de desvincular de un Sistema de Gestión de Seguridad de la Información. La Seguridad Lógica si bien es un aspecto clave de los SGSI, así se refleja en la norma ISO 27001, no es el único aspecto a proteger.

Un SOC bien entendido puede ser altamente favorable en ciertas situaciones dadas sus innumerables ventajas, con una evaluación de aquello que es necesario contratar y para qué elementos a partir de los resultados del análisis de riesgos. Contratando estos servicios la empresa podría recibir informes detallados del estado de su seguridad lógica evitando contratar personal especializado y en ocasiones, dependiendo de la infraestructura existente y la necesaria, con importantes ahorros de costes.

Salu2!

Botnets

2009-05-06T01:17:00.000-07:00

Ayer expuse un post donde pudimos comprobar que lejos de tener como único objetivo replicarse, existen gusanos con un payload que les permite convertir la máquina anfitrión en un robot (también conocido como bot). El término no puede estar mejor escogido porque en eso es en lo que es convierte el sistema anfitrión del gusano, en un robot capaz de acatar órdenes del creador del gusano.

Esta es una forma de hacer negocio. El creador del gusano introduce un payload que le permite controlar los ordenadores que han sido infectados de forma remota. Los Spammers pagan a los creadores de los gusanos por el control de la botnet y de esta forma consiguen generar multitud de Spam en cuestión de minutos. Las botnets no sólo pueden cumplir esa función sino cualquiera que se nos pueda ocurrir relacionada con un sistema de tipo distribuido y derivada de la potencia del mismo; Correos masivos para cualquier cometido incluido el phishing (tanto de e-crime como de phishing podeis ver más aquí), Denegación de servicio distribuida, amenazas a empresas por el poder que supone dejar fuera de servicio sus sistemas y un largo etcétera.

Hace ya un mes que la BBC realizó un experimento "alquilando" una botnet con el objetivo de mandar spam sobre dos cuentas de correo electrónico que ellos mismos habían creado, el resultado no puede ser más ilustrativo.

La calidad del vídeo no es la que me gustaría ni la que en su momento pude disfrutar, pero en la fuente principal no lo he podido localizar...

Salu2

Virus y Gusanos

2009-05-05T01:15:00.000-07:00

No le descubro nada a nadie si digo que el término malware recoge en su regazo una cantidad impresionante de malicious software que provoca actualizaciones continuas de las bases de datos de firmas de virus, nuevas corrientes de detección temprana de virus desconocidos, nuevos mecanismos de protección y toda una gran industria con el objetivo de prevenir fugas de información o daños a la misma.

Sin embargo hay dos tipos de malware con una sutil diferencia que me gustaría destacar aquí. Supongo que no resultará difícil encontrar más información buceando un poco pero desde luego la definición que viene en wikipedia es bastante resumida y me gustaría aclarar aquí un poco más a partir de una traducción de su versión inglesa sobre todo porque aporta claridad en su cometido. Estos dos Términos son los de Virus y Gusano. Aquí mi traducción:

"Un gusano es un programa que se copia a si mismo. Para conseguirlo usa la red para mandar sus copias a otros nodos (ordenadores de la red) no siendo necesaria la intervención del usuario. Al contrario que los virus, un gusano no necesita adjuntarse a ningún programa existente. Los gusanos casi siempre causan como mínimo molestias en el tráfico de red derivadas del consumo de ancho de banda, mientras que los virus casi siempre corrompen o eliminan ficheros en el ordenador objetivo."

Hasta aquí parece que la definición queda bastante clara, el gusano se replica en memoria y el virus queda anexo a un programa existente de forma que se ejecuta con el mismo... pero, entonces cual es la misión del gusano, ¿existir? ¿saturar la red?, nada más lejos de la realidad... A continuación la respuesta...

"Muchos gusanos han sido diseñados con el único propósito de expandirse, y no intentan modificar los sistemas por los que pasan. Sin embargo, como pudo comprobarse en los casos Morris worm y Mydoom, el tráfico de red y otros efectos colaterales pueden causar problemas mayores. Un payload es un código diseñado para proporcionar funcionalidad extra al gusano más allá de la de su propagación - podría borrar ficheros en el sistema anfitrión (por ejemplo el gusano ExploreZip), encriptar ficheros en un ataque de cryptoviral extortion, o enviar documentos vía e-mail. Un payload muy común en gusanos es código que permite instalar un backdoor en el ordenador infectado lo que permite la creación de un ordenador "zombie" que queda bajo el control del autor del gusano. Sobig and Mydoom son ejemplos que crean zombies. Las redes resultantes de dichas máquinas que han sido infectadas por el gusano y en las que se ha instalado un backdoor son conocidas como botnets y son usadas normalmente por los spammers para enviar correos basura. Los Spammers son por tanto una fuente de financiación para la creación de esos gusanos y se han encontrado casos de programadores de gusanos vendiendo lista de direcciones IP de máquinas infectadas. Otro posible uso de estas redes es para provocar ataques de denagación de servicio (DoS) por lo que el programador del gusano puede enviar correos amenazando a una compañía con 'tirar' sus sistemas.

Los backdoors pueden ser aprovechados por otro malware, incluyendo otros gusanos. Ejemplos de esto pueden ser Doomjuice que se propaga usando el backdoor abierto por Mydoom..."

La traducción anterior tiene bastante de mi cosecha propia con el único objetivo de clarificar algunos puntos.

Como conclusiones debemos sacar que la principal diferencia es que un gusano no se va a quedar anexo a un programa o a un archivo de sistema, sin embargo sí puede dejar otro software instalado en el host anfitrión (conocido como payload) y éste puede ser usado con fines deleictivos sin el consentimiento del usuario de dicho host.

Salu2!!

Conficker en el mundo

2009-05-04T04:16:00.000-07:00

Comenzamos la semana con un par de imagenes bastante impactantes sobre la expansión de nuestro queridísimo amigo Conficker que más parece otra cosa porque nadie lo ha visto y sin embargo está en todas partes.

Buscando un mapa sobre la situación del cibercrimen en el mundo me he tropezado con un grupo que se dedica a luchar contra este gusano de forma que si conoceis o creeis estar afectados por el mismo os podeis dirigir aquí para verificar si estais infectados o para informaos de todo lo que necesiteis sobre este gusano que tiene más historia en 5 meses que muchos maestros de la literatura mundial.

Y aquí teneis la imagen del mundo en primer lugar...

Y aún podemos centrarnos un poco más en europa y verlo más en detalle...

Una imagen vale más que 1000 palabras. Aqui teneis todos los mapas.

Salu2!

Gestión del Riesgo

2009-04-29T23:40:00.000-07:00

Mediante este artículo pretendí generar un primer acercameinto a la gestión del riesgo bien definida tal como figura en ISO 27005, explicando la esencia de dicho proceso y tratando de hacérsela llegar a todo el mundo. Si os es más cómodo al final del post hay un enlace para descargar la revista en la que se publicó donde además podreis encontrar otros artículos muy interesantes. Os dejo con la gestión del riesgo.

INTRODUCCIÓN

Todos manejamos el riesgo cada día en nuestras vidas; no cruzamos los semáforos en rojo, tratamos de ser puntuales en el trabajo, dedicamos tiempo a la gente que tenemos cerca... Esto también es manejar o gestionar el riesgo, pero lo hacemos de forma inconsciente. El término riesgo, no resulta fácilmente definible en primera instancia, sin embargo, abordándolo desde lo cotidiano se puede llegar a una definición sencilla; "el riesgo es la probabilidad de que suceda un acontecimiento adverso ante unas circunstancias determinadas". En los ejemplos anteriores estamos manejando el riesgo de forma intuitiva, conocemos las posibles consecuencias y, con el fin de evitarlas, tomamos precauciones reduciendo (mitigando) dicho riesgo.

Sin embargo, esto que en nuestra vida resulta tan intuitivo y consideramos natural, en la mayor parte de los casos no se ha trasladado a la vida empresarial, por lo que se ha caído en un ambiente de incertidumbre en el que se prefiere estar ciertamente en lo incorrecto que vagamente en lo acertado. No existe pues una base sobre la cual justificar las inversiones de la empresa en tecnologías de información y sus servicios asociados para que éstas sirvan a la consecución de sus objetivos de negocio.

Las empresas, todas y cada una de ellas, desarrollan su actividad en un ambiente sujeto a múltiples amenazas, algunas de ellas comunes y otras dependientes de la actividad de la empresa. De esta forma, todas las empresas que se encuentran en una zona con actividad sísmica están sujetas a la amenaza de un terremoto y sin embargo las amenazas es-pecíficas de un banco tienen poco que ver con las de una empresa textil puesto que sus áreas de negocio son muy disjuntas. Algo parecido sucede con las vulnerabilidades, aunque éstas son inherentes al activo (sobre esto puede leer más aquí). Un papel es vulnerable al agua, un CPD a un incendio o un ordenador portátil a una caída. Sin embargo, los activos que podemos encontrar al igual que las vulnerabilidades variarán y dependerán de la actividad de la organización, si bien hoy día muchos activos son comunes a todas las organizaciones, los PCs son un claro ejemplo.

A buen seguro, sea cual sea la actividad de una organización, su dependencia de la información que maneja la hace vulnerable a su pérdida, indisponibilidad o revelación, lo que le puede provocar desde pequeñas molestias, pasando por multas de diferente cuantía, repercusiones a su imagen y hasta su completa desaparición en casos extremos. No en vano, nos encontramos en la sociedad de la información, y ésta se ha convertido en el activo más importante para el buen desempeño de las actividades en las organizaciones.

Con el objetivo de proteger la información organizacional, han surgido diferentes metodologías y normas que pretenden sentar las bases para la implantación de un Sistema de Gestión de Seguridad de la Información (en adelante SGSI) que permita establecer los procesos necesarios para manejar y gestionar la información de forma segura dentro de la organización. Una de estas normas es la ISO 27001 en la que se establecen un conjunto de cláusulas relacionadas con la gestión de un SGSI y 133 controles que deben ser implementados por una organización con el objetivo de proporcionar seguridad a la información que maneja y de la cual se sustenta.

Vamos a ilustrar el proceso de Gestión del Riesgo con un ejemplo lo más cercano posible a nuestro día a día y exponiendo la esencia de dicho proceso con el objetivo de familiarizarnos con este proceso que es, sin duda alguna, el corazón del SGSI.

En un día soleado decidimos salir a dar un paseo por nuestra bonita ciudad y nos encontramos con que debemos cruzar una calle transitada. A lo largo de nuestras vidas hemos aprendido una serie de controles que mitigan los riesgos subyacentes de tener que cruzar una calle, sin embargo, nuestro cerebro obra de forma automática y nosotros no nos paramos a pensar en las implicaciones que ello realmente tiene y en cómo hemos pasado de cruzar la calle sin mirar por cualquier parte a cruzarla por un paso de peatones, esperando a que el semáforo esté en verde y mirando a ambos lados de la carretera.

¿Qué es lo que hacemos realmente?, ¿Qué proceso seguimos inconscientemente?, ¿Podemos inspirarnos en nuestro comportamiento y extrapolarlo al ámbito empresarial?.
El proceso de Gestión del Riesgo se puede dividir en varias fases mediante las cuales se consigue un objetivo. Estas fases quedan expuestas en los puntos siguientes.

ESTABLECIMIENTO DEL CONTEXTO

Lo primero que tenemos que tener claro es dónde queremos llegar y qué estamos dispuestos a tolerar. Debemos por tanto Establecer el objetivo y fijar los criterios:

Establecer el objetivo: Nuestro objetivo es cruzar una calle transitada.

Fijar los criterios: Establecer los criterios bajo los cuales estamos dispuestos a cruzar la calle. Un criterio bastante prudente puede ser: “no estoy dispuesto a cruzar la calle si no se me garantiza razonablemente que mi integridad física no corre peligro”.

Nos ponemos manos a la obra a ver qué acciones podemos llevar a cabo con la intención de conseguir nuestro objetivo.

EVALUACIÓN DEL RIESGO

El proceso de Evaluar el Riesgo consta de dos partes bien diferenciadas. En la primera de ellas se Analiza el Riesgo al que se está sujeto, en nuestro caso, a lo riesgos derivados de cruzar una calle. Mientras que en la segunda se deben priorizar esos riesgos para saber a qué debo prestar más atención y destinar el mayor número de recursos.

Análisis de Riesgos
El análisis de riesgos es el diagnóstico de la situación, ¿a qué me expongo?. Es una fase crítica puesto que si el diagnóstico es equivocado, el tratamiento también lo será. Podemos hacer un símil claro con un caso médico en el que si se nos diagnostica mal y se nos da un tratamiento basado en ese mal diagnóstico, difícilmente nos recuperaremos.

Podemos encontrar aquí dos subfases:

Identificación del riesgo: Identificar las amenazas, las vulnerabilidades, y las posibles consecuencias:

Amenazas: Aquello que puede causarnos algún daño. ¿Qué puede frustrar nuestro objetivo?. En circunstancias normales, la mayor amenaza la suponen los vehículos, sin embargo, un obstáculo en la calzada puede constituir también una amenaza.

Vulnerabilidades: ¿Qué cualidades nos hacen vulne-rables?. Somos vulnerables en esta situación por nuestra condición humana, porque nos encontramos en pié y nos disponemos a cruzar la calle. Nuestra condición y entorno nos hace vulnerables al tráfico y a los obstáculos.

Consecuencias: Vamos a identificar las posibles consecuencias que podemos tener en función de nuestras vulnerabilidades. Los vehículos pueden provocarme un golpe si cruzo sin precaución y un obstáculo en la carretera, una caída.

Estimación del riesgo: Basándonos en las posibles consecuencias y su probabilidad de ocurrencia, debemos estimar cuál es el nivel de riesgo al que estaríamos sometidos. Esto ha de hacerse sin tener en cuenta ninguna de las medidas que se puedan imponer o se hayan impuesto, de lo contario estaríamos calculando lo que se denomina riesgo residual (estaríamos asumiendo que los controles funcionan). Para poder hacer la estimación necesitamos una escala sobre la cual valorar (estimación cualitativa) o un método para calcular ese riesgo (estimación cuantitativa). En este caso vamos a emplear una escala muy sencilla de 3 valores (Bajo, Medio y Alto) y vamos a estimar los riesgos de forma intuitiva por simplicidad. Por tanto, el escenario es que cruzamos la calle para llegar al otro lado de forma inmediata y sin pensar. Podemos determinar que por la condición y el entorno tenemos un riesgo Medio de sufrir una caída en caso de que haya un obstáculo y un riesgo Alto de sufrir un golpe causado por el tráfico.

Valoración de Riesgos
Decidir en base a nuestros criterios, es decir, mantener nuestra integridad, qué riesgos son más importantes. En este caso, dada la simpleza del ejemplo y los niveles bajo los que se clasifican los riesgos tras su estimación, este paso es trivial, pero imaginemos que tuviese varios riesgos en cada nivel de clasificación. En esta fase tendríamos que establecer un orden. Dado que no es el caso, nos vamos a salvaguardar de los riesgos de golpe y caída en el citado orden. Este orden nos da una idea de a qué hay que dedicarse con más cuidado, a qué hay que poner más atención y recursos.

TRATAMIENTO DEL RIESGO

Ver qué opciones tengo para lidiar con los riesgos que me supone cruzar la calle. Las opciones son:

Reducir o mitigar el riesgo: Aplicar contramedidas o controles que nos permitan minimizar el riesgo hasta que lo considere aceptable. Cruzar la calle con un nivel de riesgo que nos permita asegurar al máximo posible nuestra integridad física.

Aceptar el riesgo: No aplicar controles, simplemente aceptar los posibles riesgos.

Evitar el riesgo: No cruzar la calle.

Transferir el riesgo: Al tratarse de nuestra integridad física, nada puede compensarnos cualquier incidente que podamos sufrir, de forma que ésta no es una opción para nuestro ejemplo. Si bien, en el caso organizacional, tiene sentido contratar un seguro para determinados incidentes de forma que, de suceder, la empresa obtiene una compensación económica.

Consideramos que nuestra opción para ambos riesgos es mitigarlos, tenemos claro que queremos cruzar y ahora debemos decidir qué acciones llevar a cabo. Vamos a dirigirnos hasta un paso de peatones, a comprobar que no hay obstáculos para cruzar al otro lado, a situarnos en la acera a una distancia prudencial de la calzada y en una zona con no mucha gente, a esperar a que el semáforo se ponga en verde y una vez que lo haga, miramos a ambos lados de la calzada y cruzamos con la mayor de las garantías.

ACEPTACIÓN DEL RIESGO

Ya hemos decidido qué debemos hacer y aceptamos el riesgo residual que podamos correr una vez aplicadas todas las acciones descritas. Estamos pues de acuerdo a que esas medidas son suficientes para que nuestra integridad física corra el mínimo riesgo.

CONCLUSIONES

Éste ejemplo, nos ha mostrado cómo se puede analizar algo que para nosotros resulta tan cotidiano como cruzar una calle desde la perspectiva del proceso de Gestión del Riesgo, sin embargo, el entorno organizacional es, si cabe, mucho más complejo, no tenemos que proteger una persona sino todas las que integran la organización, y aunque las personas siempre son lo más importante, desde el punto de vista de su gestión económica, la información que se maneja en la organización y cómo se trata es crucial para su supervivencia y la consecución de sus objetivos.

Trasladando el ejemplo desarrollado a lo largo de este artículo a la información que manejan las organizaciones, obtenemos lo que se conoce como Gestión de Riesgos de Seguridad de la Información.

Se han pasado por alto algunas fases de la gestión del riesgo que pueden verse en ISO 27005 así como tareas muy importantes cuando tratamos de trasladar esto al mundo organizacional como es la asignación de responsabilidades (quién hace qué) con intención de no enmarañar aun más algo que de por sí, incluso en un ejemplo como el que se ha mostrado, resulta difícil.

Lo importante es la esencia. Si no nos paramos a pensar qué es para nosotros lo más importante y evaluamos y gestionamos los posibles riesgos, tenemos una venda en los ojos y en cualquier momento puede ocurrir una contingencia que dé al traste con muchos años de trabajo.

Cada vez más, al igual que en otros campos como la prevención de riesgos laborales, en la seguridad de la información la filosofía pasa de reactiva a preventiva. Ya no basta con tener las copias de seguridad, hay que poner los controles necesarios para que esas copias de seguridad no tengan que utilizarse y en caso de que así sea, para que se garantice que son correctas y que albe-gan los datos necesarios para cubrir las expectativas de recuperación del negocio.

En toda carrera siempre hay un primer paso y en ésta el primero es hacerse la pregunta; ¿Puede mi negocio sobrevivir sin mi información?.

Este artículo apareció primero en CTICRM digital nº2 Abril de 2009 revista de libre difusión.

Salu2

Los Movimientos del mercado

2009-04-29T06:21:00.000-07:00

No es ningún misterio que el mercado de la seguridad de la información se mueve tan rápido que si te paras ya no te pones al día, sin embargo, todo aquel que quiera mantenerse en este mundillo tiene que estar al tanto día a día de lo que se está moviendo ahí fuera. En esta entrada quiero destacar un análisis bastante acertado de Joseba Enjuto sobre hacia donde va el mercado de la seguridad de la información. En él se destacan 4 vías de evolución:

SOC
CMI
Seguridad Organizacional (Seguridad lógica, Seguridad física, etc)
Gestión de Identidades, SSO y Gestión de logs

No dudeis en visitar la entrada para disponer de mayor información.

Salu2

Backtrack 3.0

2009-04-28T23:42:00.000-07:00

Esta mañana nos levantamos con una gran noticia:

nueva versión de Backtrack!!, ya tenemos la versión 3.0!.

Por introducir a aquellos que no la conozcan, Backtrack es un live-cd de linux donde se hace una recopilación de herramientas de "test de intrusión", para los que no la habeis probado, es vuestro momento ;). Si quereis saber más podeis mirar en esta entrada del blog de Sergio Hernando y para aquellos que querrais probarla... a que esperais!

Salu2!

OSSTMM

2009-04-28T09:02:00.001-07:00

Hoy he visto una noticia sobre OSSTMM y me he dicho a mi mismo, esto no lo puedo pasar por alto!. He de reconocer que esto de los test de intrusión es mi lectura preferida en mis ratos libres y que ya conocía OSSTMM y también ISSAF del que os hablaré en otra ocasión puesto que tienden a utilizarse juntos para los test de intrusión según comentaban en las listas de Pen-testing de security-focus.

El Open Source Security Testing Metodology Manual (OSSTMM) es una iniciativa del Institute for Security and Open Methodologies (ISECOM) para crear un metodología estándar que permita evaluar de qué nivel de seguridad dispone la organización evaluada. Para ello dispone de cinco secciones a lo largo de las cuales se evalúa:

Controles aplicados sobre los datos y la información
Niveles de concienciación de seguridad del personal
Niveles de control sobre la ingeniería del software y el fraude
Seguridad en Sistemas y Redes de Comunicaciones
Dispositivos inalámbricos
Dispositivos móviles
Seguridad de los controles de acceso físico
Procesos de seguridad
Ubicaciones físicas
Perímetros

OSSTMM se centra en los detalles técnicos de qué es lo que se debe comprobar exactamente, qué se debe hacer antes, durante y después de un test de seguridad y cómo medir los resultados. La metodología es actualizada continuamente con nuevos test para las mejores prácticas, leyes y regulaciones.

ISECOM ha establecido toda una línea de certificaciones que acreditan a su poseedor los conocimientos en la aplicación de OSSTMM a un área específica o desde una perspectiva concreat pudiendo encontrar hasta 4 certificaciones:

Y por último y no por ello menos importante, en este mundo de la seguridad hay más de uno que dice ser algo que no es, de manera que aquí puedes verificar si quien te ha dado la tarjeta diciendo tener alguno de éstos certificados realmente lo tiene o te está metiendo un bulo.

Un saludo a tod@s

Sensores en los Sistemas de Alarma

2009-04-27T01:16:00.000-07:00

Es curioso que de la forma que menos te lo esperas te llega la inspiración para un post. Estando ayer en unas instalaciones me percaté de que había un sensor volumétrico en las dependencias en las que me encontraba. No puedo evitarlo, cuando llego a cualquier parte la evalúo desde el punto de vista de la seguridad de la información, ya sea la oficina de mi amigo, la casa de mi tia o el Ayuntamiento de mi pueblo. Miro si los extintores están en regla, con la revisión pasada, si hay detectores de humo, sistema de alarma, dónde se encuentran los sensores volumétricos, si hay post-it en cualquier parte, la ubicación de los servidores, si se puede realizar shoulder surfing desde una dependencia a otra porque exista un cristal o porque haya línea de visión directa, y así me podría pasar un buen rato.

Si algo tenemos en común la gente que he conocido y yo mismo en el mundillo de la seguridad de la información es la curiosidad. Somos gente inquieta que no puede parar de preguntarse cómo funcionan las cosas y como no, yo ayer me pregunté cómo funcionaban los sensores de las alarmas y de qué tipos habría mas allá de los omnipresentes volumétricos que son los más frecuentes, al menos hasta donde yo he podido ver.

Pues bien, tras dar unas cuantas vueltas por la red, en wikipedia viene una somera explicación tras la que me he dispuesto a encontrar más sobre los diferentes tipos de sensores.

El sensor el la parte del sistema de alarma que es capaz de detectar una alteración en las codiciones que se establecen como normales. Cuando esto sucede transmite una señal a un cuadro de mandos central que la procesa y realiza ciertas acciones; ponerse en contacto con la policía, con un centro de vigilancia 24h, activar una alarma sonora, una luz muy potente, etc, etc.

De la referencia Anterior podemos identificar 6 tipos de sensores si bien el último no resulta de especial interés para este post puesto que no se refiere a sensores físicos o ambientales:

Sensores Magnéticos
Sensores Inerciales o Sísmicos
Sensores de Movimiento
Sensores de Rotura de cristales
Sensores Termovelocimétricos
Detectores de Personas Caídas

Sensores Magnéticos
Este tipo de sensores está destinado a monitorizar la situación en la que se encuentran elementos deslizantes como puertas y ventanas, normalmente constan de un módulo de mayor tamaño que es el encargado de monitorizar la posición del imán que se encuentra en la puerta o ventana. La siguiente imagen es la que, al menos yo, tenía en la cabeza y me ha costado encontrar dada la gran variedad y configurabilidad de estos dispositivos.

Sensores Inerciales o Sísmicos
Normalmente se fijan a una ventana o a una puerta y son capaces de detectar cuando alguien está intentando forzarla, al igual que ocurre con los sensores magnéticos este dispositivo permite el movimiento detro de las instalaciones puesto que es un sensor de seguridad perimetral. Se puede ajustar su sensibilidad de forma que no se active ante un simple toque a la puerta o a la ventana.

Sensores de Movimiento
Los sensores de movimiento permiten una segunda línea de defensa tras las defensas perimetrales. Esto supone que si un intruso ha conseguido vurlar la defensa perimetral tendrá que lidar con un detector de movimiento en el interior de la ubicación. Si bien suelen estar en el interior también pueden usarse para detectar movimientos en el exterior lo que puede generar un gran número de falsos positivos por razones obvias. Estos detectores de movimiento pueden ir acompañados de cámaras mediante las cuales se pueden extraer fotografías o vídeos en el momento de la activación del sensor. Detectan cambios de luz.

Sensores de Rotura de cristales
Estos sensores permiten enviar una señal al cuadro principal de alarma antes de que un instruso acceda al edificio si éste trata de hacerlo a través de una ventana rompiendo el cristal de la misma. Los sensores más avanzados permiten detectar la rotura a partir de la vibración producida y el sonido generado al romper el cristal.

Sensores Termovelocimétricos
Estos sensores son sensibles a los cambios de temperatura por lo que se colocan el lugares que puedan suponer un primer conato de incendio como por ejemplo una sala de archivo. Son capaces de detectar humo en un radio de 40 metros y por debajo de los 7 metros de altura. Para conseguir su cometido cuentan con una membrana que es capaz de detectar la expansion del aire provocada por una subida de temperatura.

Como última reflexión me gustaría apuntar que los sensores viven con nosotros cada día, en las puertas deslizantes para detectar la presencia de un biandante propiciando su apertura automática, en los coches para facilitar el aparcamiento o dejando al coche que aparque solo, en tu móvil para detectar movimientos o cambios de posición, en el aire acondicionado y la calefacción, mira a tu alrededor y te faltará poco menos que decir aquello de "en ocasiones veo sensores"...

Para los que deseeis conocer más, este puede ser un buen lugar.

Un saludo a tod@s.

La AEPD se pone las botas

2009-04-21T03:22:00.000-07:00

La Agencia Española de Protección de Datos incrementa el número de denuncias y el montante recabado por las sanciones, datos que se desprenden de la publicación de su memoria 2008.

Algunos de los principales hechos que se desprenden del citado documento son los siguientes:

Incremento de las actuaciones inspectoras previas a la iniciación de procedimientos sancionadores se de un 45,4%.
Los sectores de telecomunicaciones, entidades financieras y videovigilancia son los que han sufrido más inspecciones suponiendo, en conjunto, el 50,9% de todas las realizadas."
"Las sanciones a las Administraciones públicas crecieron un 19,7% en su conjunto.
22,6 millones de euros en sanciones que suponen un incremento del 15% con respecto a las de 2007

Aquí teneis algunas conclusiones más pero esto pone los pelos de punta a cualquiera...

Google Chrome

2009-04-15T03:01:00.000-07:00

Bueno, bueno bueno, ya estamos de vuelta de vacaciones, espero que no se me haya perdido nadie y que todos lo hayais pasado de... vamos, todo lo mejor posible.

Mientras trabajo en un post acerca de sensores en dispositivos de alarma os dejo una referencia muy pero que muy interesante a un post de Security Art Work donde podeis leer las virtudes y problemas desde el punto de vista de la privacidad que tiene el uso del nuevo navegador de Google; Chrome. No os alarmeis porque como vereis, todo tiene solución :).

Éramos pocos... y Google parió a Chrome.

Salu2.

ubicación físisca de los equipos

2009-04-06T07:21:00.000-07:00

Estos días pasados leí un post de Javier Cao acerca de la ubicación del CPD en una empresa según el estándar ANSI/TIA-942 en el cual se aborda dicha problemática desde 4 puntos de vista; arquitectónico, eléctrico, de comunicaciones y de seguridad y en el que se establecen cuatro niveles (denominados TIER) en base al porcentaje de disponibilidad anual de dicho CPD.

Meditando sobre algunas de las consideraciones que en dicho estándar se hacen y sobre algunas de las situaciones que he vivido como auditor, tengo la sensación que la realidad en la gran mayoría de las empresas pasa simplemente por plantearse que una mala situación de sus sistemas de información representa un problema de seguridad. He visto servidores en lugares tan poco aconsejables como un armario empotrado semicerrado y situados encima de una leja de madera. Que el armario estuviese semicerrado no era por la ventilación (la poca que pudiera tener de esa forma) sino porque junto al servidor se encontraba allí dentro un router enracable encima de otra leja y los cables de red salían del armario por la puerta. Por si todo esto fuera poco, allí también estaban como no, las respectivas regletas de corriente y un monitor para poder administrar el servidor desde el mismo estante.

La norma ISO 27001 recoge un control sobre la ubicación de los sistemas de información y hace mención a que éstos deben ubicarse físicamente de forma que se resguarden de posibles incidentes de carácter ambiental, tales como incendios o inundaciones y donde se minimicen los riesgos de acceso no autorizado. Es por ello que me gustaría dar algunas directrices sobre en qué condiciones deben encontrarse los servidores de una organización en cuanto a ubicación dentro de las instalaciones y condiciones ambientales:

Los servidores no deben estar directamente sobre el suelo.
No deben ubicarse sobre material fácilmente inflamable, como por ejemplo lejas de madera.
No deben encontrarse ubicados físicamente en un lugar de tránsito de personas.
Deben encontrarse protegidos por un sistema que impida su manipulación a personal no autorizado; armarios bajo llave o, en caso de ser posible y/0 necesario, habitaciones dedicadas.
Los cables de comunicaciones y alimentación no deben pasar o cruzar por lugares con tránsito de personas.
Los Servidores deben estar ubicados en un lugar con la debida refrigeración y ventilación de forma que se mantengan entre los márgenes especificados por el fabricante.

Un aspecto sumamente importante a este respecto es la monitorización de la temperatura a la que se encuentra el ordenador. Hemos visto No Conformidades de Auditores de Certificación por unas condiciones ambientales no del todo adecuadas (equipos en un rincón y con poca ventilación) que podrían haberse evitado con una monitorización de la temperatura de dichos servidores de forma que se introduce un control compensatorio. "No tengo presupuesto para más ahora mismo pero estoy monitorizándolo y me aseguro de que se mantenga entre los límites especificados por el fabricante".

e-crime

2009-04-01T02:32:00.000-07:00

Durante años, el modelo de ataque y la motivación que les llevó a realizarlos ha cambiado ostensiblemente pasando una época en la que los ataques se realizaban por personas aisladas para las que la principal cuestión de fondo era su superación personal y la adquisición de conocimientos técnicos hasta llegar a un modelo de crimen organizado en el que las organizaciones de e-crime tienen roles claramente diferenciados y siguen un propósito claramente económico y/o político.

En un reciente estudio de S21SEC podemos ver en detalle las fases por las que ha pasado lo que es a día de hoy la nueva mafia del mundo sin fronteras.

De este estudio me gustaría resaltar algunos puntos que nos dan una idea de hacia donde se dirije el crimen electrónico organizado:

"Las amenzas geopolíticas han sido durante 2008 una preocupación creciente por parte e todos los países debido al incremento de la tensión y actividades militares y políticas en Internet (cyberwarfare)"
"El volumen de spam en 2008 se ha reducido drásticamente"
5 botnets aglutinan más del 70% del envío de SPAM en el mundo
"Los cibercriminales tienen foros en Internet dedicados especialmente a la compra/venta de datos robados, como números de tarjetas de crédito y otros elementos relacionados con el fraude"
"En la actualidad, el objetivo principal de la ciberdelincuencia es el dinero"
"Se prevee un importante incremento de fraude on-line para 2009"
"Continua profesionalización del cibercrimen con la imparable irrupción de bandas organizadas"
Es de esperar que el cibercrimen se oriente hacia el robo de datos corporativos
"Es muy probable que se creen nuevas familias de troyanos cuyo objetivo será atacar a empleados de sectores muy concretos (banca, sanidad, financiero)"

Este estudio se centra claramente en el SPAM pero en la fuente de la cual se han extraido algunos de los datos podemos encontrar información detallada sobre virus, en la que como no, tenemos a nuestro amigo conficker reinando de forma anárquica sobre todos, y estadísticas sobre phishing, de donde podemos resaltar que, a dia de hoy, Europa es con diferencia la principal fuente de emails de estas características.

Para aquellos que les pique la curiosidad sobre el phishing aquí teneis un artículo que escribí hace unos meses sobre este problema de escala mundial.

También teneis la posibilidad de ver más conclusiones de este informe aquí.

Conficker y los Password Débiles

2009-03-25T01:58:00.000-07:00

Es mucho lo que se ha escrito sobre conficker, también conocido como confick o downadup, y no quería dejar pasar la oportunidad de hacer un comentario acerca de la forma de propagación que emplea una de sus variantes.

Amen de copias a los dispositivos móviles utilizando el archivo autorun.inf, Conficker intenta contactar con el recurso compartido $Admin. Mediante este recurso, el gusano obtiene acceso a las unidades de sistema del ordenador remoto. Para acceder a este recurso, Conficker consigue una lista de usuarios del equipo remoto e intenta entrar probando los password que figuran en una lista de 200.

Si examinamos esta lista podemos ver donde está el problema realmente; en el factor humano. A pesar de que estamos cansados de ver recomendaciones sobre cómo fortalecer nuestros passwords, seguimos empleando passwords sencillos fruto de nombres personales, usar el mismo password que el nombre de usuario, passwords formados sólo por letras minúsculas o números, la palabra 'password' como password (de hecho, hay un estudio del que se desprende que el password mas usado es password1) y el usuario admin como administrador.

Hay quien se pregunta cómo es posible que los administradores de sistemas sigan utilizanso passwords fáciles de adivinar pero lo cierto es que esta historia se volverá a repetir una y otra vez porque nuestra naturaleza es la que es y ciertos aspectos de la seguridad informática son cuestión de números.

Las copias... de tus passwords

2009-03-17T07:34:00.000-07:00

Cada día, cuando encemos nuestro PC en la empresa encontramos una pantalla de bienvenida en la que se nos solicita que introduzcamos nuestro usuario y nuestro password, si no es así y no hay otro tipo de mecanismo de autenticación, basado en biométría o en tarjeta inteligente, o en cualquier otro método, mal vamos.

Lo cierto es que nos hemos acostumbrado a este método de autenticación y se nos ha hecho tan familiar que lo tenemos presente en nuestro DNI-electrónico, en las tarjetas de los bancos, en los portales de trasnferencias bancarias, en el acceso a páginas web con contenidos restringidos a usuarios registrados, en el correo electrónico, etc, etc, etc.

Tanto nombre de usuario y password ha dado lugar a que estas cuentas de usuario deban ser administradas, necesidad que así recoge la ISO 27001 en los 3 primeros controles pertenecientes al objetivo de control 11.5 "Prevenir el acceso no autorizado a los sitemas operativos". Si bien, lo que me gustaría recalcar en este post es la inmensa cantidad de passwords y cuentas de usuario que tenemos repartidas por internet y los problemas que esto puede generar, entre los que podemos encontrar:

- Pérdida de password: "aquí me registré, pero no me acuerdo ni del nombre de usuario y mucho menos del password".
- Mismo password y nombre de usuario en todos sitios: "estoy harto de tener que registrarme, voy a poner usuairo 'otrah' y password '1234' y además lo voy a emplear en todas partes.
- Password débiles: "cada vez que tengo que acceder a cualquier parte tengo que estar metiendo el password, voy a poner uno facilito y así me acuerdo, por ejemplo, 'Miguel'.

A todo lo anterior hay que unirle que cada vez son más los sitios en los que necesitamos realizar un registro. ¿Cual es el resutlado? como comentábamos anteriormente, acabamos utilizando el mismo nombre de usuario y password en todos sitios, nuestras cuentas de correo, el foro al que accedemos de vez en cuando y la página a la que acudimos una vez en busca de la solución a nuestro problema, en algunos casos incluso la misma que tenemos para acceder a nuestro sistema. Las últimas cifras hablan del 33%. Para prevenir esto podemos hacer uso de la herramienta keepass.

Esta herramienta es un gestor de contraseñas que nos permite almacenar en una base de datos de forma cifrada todas nuestras cuentas de usuario (nombre de usuario y password). Para poder acceder a esta información se utiliza un password maestro o un fichero clave.

Cada vez que accedemos a un sitio podemos introducir una nueva entrada en la aplicación con la URL en donde se encuentra nuestra cuenta, nuestro usuario y nuestro password, incluso podemos pedirle que nos genere uno con determinada fortaleza de forma que garantizamos que el password es robusto y posteriormente lo introducimos en la página de registro en el momento de creación de la cuenta. Las entradas quedan ahí almacenadas y cuando al cabo del tiempo entras a una página en al que tienes una cuenta, keepass te avisa de que allí tienes ya una cuenta creada ;).

Keepass es una solución opensource y muy práctica para gestionar los numerosos passwords que tenemos repartidos por el mundo.

En un post futuro ahondaremos desde el punto de vista organizacional en cómo resulta de imprescindible una buena administración de contraseñas.

PD: Lamento la tardanza en actualizar pero he tenido algún que otro problema (leve eso si).

do you practice social networking?

2009-03-11T10:03:00.000-07:00

Hace ya algunos años que aparecieron plataformas web que permiten a través de su funcionalidad crear lo que se conocen como redes sociales, grupos de amigos o conocidos que comparten algo en común o que simplemente desean mantenerse localizados y localizables sea cual sea su nuevo trabajo, teléfono de contacto o dirección de casa. Ahora basta con agregarlo a mi lista de contactos y ya podré mandarle mensajes privados, disponer de sus datos personales, su perfil profesional, y toda la información que haya introducido y se encuentre pública.

Hasta aquí todo parece ir bien, ¡Puedo tener a todos mis amigos localizables estén donde estén!, y visto desde la prespectiva empresarial, ¡Puedo establecer nuevos contactos beneficiosos para mi negocio!. Sin embargo, estas redes sociales no están exentas de polémica, fruto principalmente de algunas cláusulas que figuran en las condiciones de uso y por las cuales cualquier cosa que se comparta en ellas pasa a otorgarles a los creadores de la plataforma una gran cantidad de derechos sobre lo que se conoce como el contenido del usuario.

Tres de estas plataformas son Facebook, LinkedIn y Tuenti.

Lo que viene a continuación es un examen de algunas de las cláusulas más llamativas de las condiciones de uso de cada uno de los servicios, cómo éstos nos las presentan y algunos consejos para utilizar estas redes sociales de forma que se prevengan sucesos no deseados.

Facebook

Esta red es una de las más conocidas, estando enfocada a todo tipo de personas y principalmente para redes de amigos que quieren compartir entre si archivos, fotografías, etc.

Tanto en la versión en Inglés como en la de castellano que he tenido acceso a día 12/03/09, la situación es la que se presenta en la siguiente figura:

Se puede encontrar en un lugar medianamente visible y accesible si bien el acceso a los términos no es ni mucho menos imprescindible para llevar a cabo el registro.

Me gustaría apuntar que la lectura de la traducción al castellano de estos términos de uso se hace bastante difícil, más parece propia de un traductor automático, con lo cual nos aclara más la versión en inglés de estos términos y una traducción desde la misma. A continuación tenemos un fragmento de esos términos.

"publicando contenido de usuario en cualquier parte de este sitio, automáticamente otorgas permiso, y expones y garantizas que tienes tal derecho a otorgar permiso, a Facebook a una irrevocable, perpetua, no exclusiva, transferible, completamente pagada, licencia mundial para usar, copiar, explotar públicamente, mostrar públicamente, reformatear, traducir, extraer (en todo o en parte) y distribuir tal contenido de usuario para cualquier propósito, comercial, publicitario, o cualquier otro, sobre o en conexión con Facebook o la promoción del mismo, a producir trabajos derivados de, o incorporar dentro de otros trabajos, tal contenido de usuario, y a otorgar permiso y autorizar sublicencias de lo anteriormente mencionado"

Aquí teneis un análisis más en profundidad de Manuel Benet sobre las cláusulas de Facebook.

linkedIn

Quizá no tan conocida entre quienes no se mueven en el ámbito empresarial esta red está diseñada con un público objetivo que se mueve entorno al mundo empresarial y organizacional.

En LinkedIn la situación de las condiciones de uso es si cabe aún peor, tenemos una ubicación en el pie de página y poco visible. Al igual que ocurría con facebook, no resulta necesario ni se interponen medios para que estas condiciones de uso sean leidas por el usuario previo registro al servicio.

En esta ocasión la traducción al castellano es de una calidad bastante buena y podemos exponerla directamente como se encuentra en el sitio. Una de las cláusulas contempla lo siguiente:

"Licencia y garantía respecto del material que entregues: No tienes que entregar ningún material a LinkedIn, pero si lo haces (incluyendo contenidos, ideas, conceptos, técnicas e información generados por el Usuario) nos otorgas, tal como lo haces al suscribir este Contrato, el derecho no exclusivo, irrevocable, perpetuo, a nivel muncial, ilimitado, sujeto a cesión o sublicencia, totalmente pagado y libre de derechos de regalías (cesión) para copiar, mejorar, distribuir, publicar, eliminar, retener, agregar, utilizar, comercializar dicho material, mediante cualquier forma conocida o que pueda ser descubierta en el futuro, sin que sea necesario otro consentimiento, notificación y/o compensación de ninguna índole. Al entregarnos informaicón, manifiestas y garantizas, según tu leal saber y entender, que esa información es cierta, que no es confiedencial y que no viola ninguna restricción contractual ni otros drechos de terceros. Asimismo, aceptas invormar a LinkedIn en el caso de que tal información haya sufrido alguna modificación desde el momento en que te registraste en LinkedIn y, si corresponde, aceptas realizar esas modificaciones en tu perfil."

Tuenti

Con una clara tendencia hacia la gente más joven, de origen español y habiendo permanecido mucho tiempo como la red preferida en españa, actualmente ha sido sobrepasada por facebook (diciembre de 2008)

La situación de las condiciones de uso es la que aparece en la siguiente imagen.

Sencillamente no existe. No en el proceso de Login y si deseas registrarte en la siguiente pantalla tampoco, solo solicita tu mail para después ver que amigos tuyos se encuentran dentro de la red social y solicitarles una invitaicón, nada de términos de uso por ninguna parte, al menos no antes del registro.

Realizando una búsqueda en google sí que localizamos tales términos de uso, que curiosamente corresponden a la versión mobile de dicho servicio y en la que sí se encuentran en un lugar visible.

Al igual que en los casos anteriores, en estas condiciones de uso figura el siguiente texto:

"El usuario cede en exclusiva a TUENTI y para todo el mundo los derechos de reproducción, distribución, comunicación pública sobre los contenidos que suministre a través del sitio web, así como el de modificación para adaptarlos a las necesidades editoriales de TUENTI, y garantiza además la legítima titularidad o facultad de disposición sobre dichos derechos."

En éste último caso hay incluso una huelga programada no por esta cláusula sino por esta otra:

“PROPIEDAD INTELECTUAL E INDUSTRIAL: TUENTI, como autor de la obra colectiva en que consiste el Sitio Web, es el titular de todos los derechos de propiedad industrial e intelectual sobre la misma. Está prohibida cualquier forma de reproducción, distribución, comunicación pública, modificación y, en general, cualquier acto de explotación de la totalidad o parte de los contenidos (imágenes, textos, diseño, índices, formas, etc.) que integran el Sitio Web, así como de las bases de datos y del software necesario para la visualización o el funcionamiento del mismo, que no cuente con la expresa y previa autorización escrita de TUENTI. El Usuario no podrá en ningún caso explotar o servirse comercialmente, de forma directa o indirecta, total o parcial, ninguno de los contenidos (imágenes, textos, diseño, índices, formas, etc.) que conformen el Sitio Web sin la autorización previa y por escrito de TUENTI.”

Conclusiones

Algunas de las conclusiones que se pueden extraer de los aspectos y servicios examinados son las siguientes:

La lectura de las condiciones de uso del servicio no es un paso más dentro del registro sino que es responsabilidad de quien lo usa localizarlas y leerlas previa utilización del mismo.
Cuando se usa cualquier servicio de estas características se debe tener en cuenta que se puede hacer uso del mismo bajo unas condiciones y que el hacer uso del mismo implica la aceptacion de las condiciones que en su debida sección, más o menos localizable, se exponen.
La percepción de lo importante que resulta la aceptación de dichas condiciones nos vuelve a jugar una mala pasada en este caso fruto de una subestimación de qué es lo que está ocurriendo realmente, básicamente por su desconocimiento, estamos firmando un contrato.
Estos servicios contienen ciertas cláusulas por las cuales aquel que lo usa no cede pero si comparte muchos derechos sobre el material que allí se publique.

Algunos Consejos

A buen seguro podeis encontrar otras recomendaciones mucho más extensas y extensibles a todas las plataformas. Sin embargo a mi me gustaría hacer algunas de forma muy breve:

No usar estas redes sociales para compartir archivos que puedan tener la más mínima importancia.
No exponer más información de la estrictamente necesaria para el objetivo que nos haya llevado a usar dicha plataforma.
No aceptar en tu red gente que no conozcas directamente o de quien no se tengan referencias claras y fiables.
De forma más general, es conveniente leer las condiciones de uso antes de usar ningún servicio, hay que tener conciencia de que se está firmando un contrato.

Por útimo me gustaría hacer hincapié: "Tened siempre en cuenta que cualquier archivo que se suba a estos servicios puede ser usado con propósitos publicitarios, cedido, distribuido y/o modificada sin que sea puesto en el conocimiento de quien lo subió, ya que cuando se usa el servicio así se consiente, incluidas las fotos. Y no solo eso, incluso después de eliminada vuestra cuenta no está claro en algunos casos si vuestro contenido persistirá".

El Incidente del IRA

2009-03-09T09:56:00.000-07:00

Este fin de semana, Irlanda ha sufrido una gran conmoción por un incidente que le ha costado la vida a dos soldados.

Las diferentes fuentes dan versiones aparentemente iguales pero con diferentes matices sobre los hechos que causaron el desgraciado suceso.

En primera instancia la información apuntaba a que los terroristas habían conseguido entrar en el recinto protegido haciéndose pasar por repartidores de pizza. Sin embargo, esta versión fue rápidamente corregida por los medios para reflejar una diferente en la que los soldados salían fuera de las instalaciones a recoger la pizza que los repartidores traían en dos coches (un repartidor en cada coche) y en ese momento dos terroristas que se encontraban en un tercer coche dispararon a los soldados causando la muerte a dos de ellos, heridas de consideración a otros dos y dejando a los repartidores de pizza con heridas de diferente consideración.

Lo que ocurrió realmente sólo lo sabrán unos pocos pero la realidad es que la primera versión hubiera supuesto un gravísimo fallo en el proceso de identificación y autenticación que sucumbió a un ataque por suplantación (impersonation) mientras que la segunda supondría uno poco menos grave por el hecho de no haber valorado adecuadamente los posibles riesgos derivados de lo que en principio era una simple entrega de unas pizzas y 4 soldados que salían a recogerlas. A esto hay que añadirle que si había, como se supone, un control, éste no funcionó. Resulta muy escandaloso que en una base militar no haya nadie en el puesto de control que se encargue de la identificación y autenticación de los visitantes y continuo examen del exterior y que esta persona no vea a otras dos en un coche con ángulo de disparo sobre la puerta de forma que pueda realizar varios disparos certeros provocando tal desgracia.

Cada cual que extraiga sus conclusiones, yo ya tengo las mias.

Reutilización del Hardware en la empresa

2009-03-05T11:23:00.000-08:00

La tecnología y el software han ido de la mano desde el primer sistema de información. Cuando surge una nueva tecnología, nuevas capacidades de procesamiento, nuevas formas de comunicación, etc, no tarda en aparecer un software capaz de sacar rendimiento a las recién descubiertas características de dicha tecnología.

Ya sea por motivos de un incremento en el volumen de datos procesados fruto de un crecimiento de la empresa, por una mejora en la comunicación o por una simple cuestión de eficiencia que lleve a los trabajadores a unos tiempos de espera más reducidos, en las organizaciones se produce un cambio generacional del hardware cada cierto tiempo. En ocasiones, el hardware antiguo no se destruye, sino que se reutiliza dentro de la empresa para actividades que requieren una menor carga computacional o una interacción ocasional. Esto provoca un movimiento de sistemas que pasan de unos departamentos a otros y que exige el debido cuidado con la información que en ellos se guarda.

Suele ser bastante frecuente en la pequeña y mediana empresa el disponer de documentos de carácter confidencial en el ordenador personal de los altos cargos de la organización así como en los departamentos de contabilidad donde podemos encontrar información de facturación, márgenes de beneficio, listados de proveedores, y un largo etcétera. Estos no son los únicos casos sino los que a bote pronto resultan más significativos.

Cuando se produce una reutilización del hardware dentro de la empresa se ha de llevar el debido cuidado de que la información sea completamente destruida. En un gran número de casos, el ordenador antiguo simplemente se pasa al departamento de destino habiendo borrado el usuario antiguo y habiéndose creado uno nuevo, en mejores casos el ordenador es formateado, lo que dificulta pero no imposibilita ni mucho menos, la recuperación de la información. Existen multitud de programas que permiten recuperar información pasada del ordenador, entre los que puedo destacar tras probar varios de ellos Photorec.

Con el objetivo de eliminar esta y otras problemáticas surgen las aplicaciones de borrado seguro de datos, entre las que podemos destacar Eraser. Esta herramienta nos permite realizar un borrado del espacio libre de un disco duro realizando una sobreescritura del mismo en 35 ocasiones consecutivas (aplicando el algoritmo de Gutmann) y de forma aleatoria e imposibilitando la recuperación de la información. De esta forma, una posible opción pasa por hacer un rastreo intensivo de los directorios que contienen información del usuario y un borrado seguro mediante dicha aplicación, si bien esta acción deja margen al error y no es la más recomendable.

Ante la situación descrita, una medida razonable es realizar un formateo a bajo nivel del dispositivo, si bien esto tampoco garantiza la destrucción total de los datos, incluso después de sobreescritos, para los escépticos este artículo es increíblemente clarificador. Sin embargo dicho método de formateo da unas garantías razonables con una inversión de tiempo no muy elevada. En ese mismo artículo, cuya lectura recomiendo encarecidamente, se da una alternativa que puede o no ser viable en el caso que nos ocupa dependiendo de los requerimientos de tiempo y disponibilidad del sistema antiguo. Tras dicho formateo o sobreescritura según sea el caso se debe restaurar el sistema y las aplicaciones desde sus discos originales, realizar la oportuna configuración y ya podemos pasar el sistema a su nuevo entorno de producción.

Si el sistema es directamente retirado, las medidas deben ser incluso más drásticas, pero ese es otro tema...

La percepción de lo importante

2009-02-25T04:45:00.000-08:00

Durante cientos de años, hemos utilizado el papel como soporte para albergar nuestra información y aún a día de hoy sigue siendo protaganista de nuestras vidas. Para comprobarlo sólo echa un vistazo a tu alrededor.

En él se encuentran nuestros contratos, nóminas, documentos acreditativos, facturas, títulos, sellos, y un larguísimo etcétera. Sin embargo, con la llegada de la era digital, toda esta información está cambiando de formato poco a poco, prueba de ello son la factura electrónica, la firma digital, los certificados digitales, etc.

Sin ser nada nuevo, la ofimática supuso un importante cambio, la información ya no tiene que estar en papel, pasamos de manejar documentos en papel a documentos electrónicos y la información puede ser guardada en un dispositivo hardware y recuperada cuando se necesita.

Sin embargo, todos estos cambios, en unos más que en otros, provocan una alteración en la percepción de la importancia de la información. Se guardan en una caja fuerte o en un armario bajo llave los documentos confidenciales, mientras que los mismos en formato electrónico se guardan en dispositivos de almacenamiento externo sin ningún tipo de control. Ésto es particularmente cierto con información interna de la organización que puede ser declarada como crítica en un análisis de riesgos y que, cuando solicitas un dispositivo para guardar cierta información, te dan un pen-drive con información de nóminas, contratos con terceros, estudios de costes, y cualquier cosa que se nos pueda venir a la mente. El problema es que eso no es un pen-drive, es la información de la empresa y puede ser copiada en cuestión de segundos. A buen seguro, si solicitamos un papel para escribir unas notas nadie nos dará uno con las nóminas de la empresa, ni sus contratos, ni ningún tipo de información confidencial.

Como todo cambio, la adaptación requiere un periodo arbitrario de tiempo dependiente de la magnitud del cambio. Actualmente asistimos a uno muy profundo en el que nuestra mentalidad debe cambiar tan pronto como sea posible para reflejar la realidad, ya no son los papeles que puedo ver y tocar, es la información que está dentro de mi pen-drive, de mi disco duro, en el servidor de mi empresa, en mi PDA, en mi Teléfono móvil y esa información, al igual que cuando está o estaba en papel, necesita seguridad y control.

Cifrado en Unidades de Almacenamiento Externas

2009-02-20T11:02:00.000-08:00

Desde hace varios años se ha hecho muy común el uso de dispositivos de almacenamiento externos USB tanto en el ámbito doméstico como en el empresarial. Proliferan Discos Duros con grandes capacidades de almacenamiento y Pen-drives de pequeño tamaño, cada vez más reducidos, con increíbles posibilidades de almacenamiento. Este hecho ha puesto de relevancia la importancia de proteger la confidencialidad de ciertos tipos de información que se alberga en estos dispositivos y que puede ir desde documentos propios que tengan un especial valor intelectual, pasando por archivos confidenciales de clientes que prodrían suponer multas de diferente cuantía por sanciones de la AEPD, y llegando a contener el último recurso de una empresa en caso de desastre, sus copias de seguridad. Éstos dispositivos, en innumerables ocasiones albergan su información en claro, de forma que un extravío o robo puede provocar que se filtre información que no se deseaba.

Con el objetivo de prevenir los efectos derivados del acceso a dicha información por parte de terceros no autorizados, surgen varias aplicaciones de entre las que podemos destacar TrueCrypt.

Esta herramienta nos permite, entre otras muchas cosas, dos formas de crear un espacio cifrado, mediante un fichero o mediante una unidad completa. Si se crea mediante un fichero, éste se monta internamente como una unidad a partir de la pantalla correspondiente a la captura que os dejo. Si se usa una unidad cifrada puede montarse directamente desde Auto-Mount devices en la misma pantalla.

TrueCrypt usa un algoritmo simétrico para cifrar y descifrar la información de manera que será más difícil que un tercero pueda acceder a la información cuanto más difícil sea la palabra de paso que le proporcionemos para realizar el proceso de cifrado.

Prácticamente a diario, vemos estos problemas, CDs con miles de datos de ciudadanos que se pierden y luego alcanzan un alto valor en el mercado del e-crime, incluso portátiles con información militar que se pierden y nadie sabe dónde están, y que misteriosamente aparecen después de dos semanas porque se había hecho un "préstamo" de los mismos, etc.

Como en todos los aspectos de la seguridad de la información, hay que llegar a un punto en común entre la facilidad de uso y la seguridad de forma que el cifrado debe aplicarse en función de las necesidades de la empresa o individuo sin perder de vista los requisitos legales que para cierta información y en determinadas circunstancias obliga a que ésta se encuentre cifrada.

Vulnerabilidad

2009-02-16T09:55:00.000-08:00

Cuando se comienza en el mundo de la Seguridad de la Información, comienza un bombardeo de términos nuevos que acaban nublándote la vista y que poco a poco, con su manejo diario y tras un periodo de asentamiento comienzas a entender y a utilizar.

Algunos de estos términos son, activo, amenaza o vulnerabilidad. Estos tres conceptos están íntimamente ligados y los podemos definir de forma simplificada como sigue:

Activo: Cualquier cosa que tiene valor para la organización.
Amenaza: Evento que es capaz de causar un daño (impacto) a algún activo.
Vulnerabilidad: ¿?¿?

Aquí viene el problema, y la fuente de no pocas conversaciones con la gente que me rodea acerca de dónde viene la vulnerabilidad de un activo. Veamos el problema.

Tengo un papel que contiene una información escrita de gran valor para mi organización, por lo que para mi es un activo de vital importancia. Podemos decir que el papel es inflamable, pero esto es, ni más ni menos, que porque exite el fuego (la amenaza). Ahora bien, ¿y si meto el papel en un armario inífugo?. En este contexto, ¿deja de ser ese papel vulnerable al fuego?. Esto nos lleva a una pregunta más general, ¿depende la vulnerabilidad de un activo del contexto en el que se encuentra?.

Para aclarar este embrollo vamos a acudir al diccionario de la rae:

Vulnerable: adj. Que puede ser herido o recibir lesión, física o moralmente.

Por tanto, una vulnerabilidad existe porque un activo puede ser herido o recibir lesión, física o moralmente. Esto hace mención a su naturaleza, a que existe, y por tanto puede recibir lesión física y a que puede ser de naturaleza humana, pues puede ser dañado moralmente. De esto deducimos que la vulnerabilidad pertenece al activo y es inherente a su naturaleza.

Volviendo al ejemplo del papel con información trascendental dentro de un armario inífugo, tendríamos lo siguiente:

- La información es vulnerable.
- El papel es vulnerable.
- El armario inífugo es vulnerable.

Por su propia condición, estos tres elementos son vulnerables, sin embargo, en Seguridad de la Información, no podemos dejarlo ahí, sabemos que algo puede ocurrirles a los activos de información de una empresa, pero el quid de la cuestión está en saber qué puede ocurrirles para prevenirlo y poner los controles necesarios para minimizar la probabilidad de ocurrencia de un suceso adverso. Para ello debemos saber a qué es vulnerable cada activo, o lo que es lo mismo, qué puede dañar física o moralmente a un activo. Es por ello que asociamos la vulnerabilidad de un activo a una amenaza. Volviendo sobre el ejemplo.

- La información no es vulnerable al fuego.
- El papel es vulnerable al fuego.
- El armario inífugo no es vulnerable al fuego.

De esta forma tenemos que, al escribir la información en el papel, la estamos exponiendo al fuego y al meter este papel en el armario inífugo estamos protegiendo la información del fuego.

Y de todo esto deducimos que, la vulnerabilidad de un activo de información a una amenaza concreta y en un momento determinado del tiempo depende de su contexto, el cual modifica el grado de vulnerabilidad del activo. Y esto no es ni más ni menos que la base de la seguridad de la información, modificar el contexto de un activo de información para que éste sea más seguro :).

Por último, y siempre bajo mi punto de vista, a la definición de la rae yo le añadiría lo siguiente:

Vulnerable: adj. Que puede ser herido o recibir lesión, física, lógica o moralmente.

Hoy comenzamos la andadura...

2009-02-16T09:38:00.000-08:00

Hoy, finalmente me he decidido a comenzar este blog con la temática que anteriormente propuse y con el objetivo de realizar como mínimo una publicación por semana, que es lo que ahora mismo me puedo permitir. Espero que todo lo que aquí expongo os resulte interesante y os sirva para vuestra actividad diaria, para comentarselo a un amigo, para ponerlo en práctica en casa o para cualquier otra faceta que os pueda resultar de interés, eso si, siempre dentro de lo legal :).

Proximamente...

2008-11-05T09:03:00.000-08:00

Hola a tod@s,

Desde este blog pretendo ir introduciendo los conceptos que rodean al mundo de la auditoría y de la seguridad de sistemas de información. Actualmente estoy esbozando cómo voy a ir desarrollando los diferentes temas para que sigan una secuencia coherente y aquellos que se van comentando sirvan de base para entender los posteriores.

Vamos a poder ver conceptos derivados de diferentes certificaciones como CISA, CISM, y LEAD Auditor ISO 27000. A su vez se van a tratar temas de seguridad a nivel técnico y diferentes estándares y códigos de buenas prácticas.

El objetivo principal de este blog no es otro que el de ofrecer un punto de referencia a través del cual se puedan aclarar conceptos y mantener una formación contínua en las materias que ocupan a un ASI.

Un saludo y nos vemos muy pronto