viernes, 30 de julio de 2004 2 comentarios
RFID Vulnerable

Ayer empezaron a aparecer los primeros articulos referidos a la aparición de la herramienta RF_DUMP. Se supone que la tecnología RFID (Identificación por radio frecuencia) puede suponer una revolución en el mundo del etiquetado y la gestión de stocks.

El mercado de RFID es muy prometedor, con muchas empresas interesadas en esta tecnología. RFID se puede utilizar de distintas maneras: por ejemplo, para localizar productos en una cadena de suministro, para localizar equipajes en un aeropuerto o para gestionar los libros en una biblioteca, tal como se está haciendo ya en una biblioteca de Tokio. La integración de un pequeño lector de RFID en un teléfono móvil para su interacción con la red ampliaría aún más las posibilidades. Por ejemplo, podrías acercar tu teléfono móvil al cartel de una película con RFID integrada para ver un avance de la película. O, tocando la funda de un CD con tu teléfono móvil, podrías escuchar un fragmento de la música.

Pues bien, todos estos avances prometedores no han pensado en los posibles riesgos a gestionar. ¿Cómo puede funcionar un sistema de etiquetado si cualquiera puede cambiar el contenido de la etiqueta?. Parece que se sigue sin pensar en "DIGITAL". Una etiqueta en papel es algo físico e inmutable. Una etiqueta digital es INFORMACION almacenada en soporte FISICO pero MUTABLE. El papel es un soporte de una sola escritura. El soporte electrónico es de multiple lectura-escritura. Los problemas en el mundo digital son más complejos y deben gestionarse de otra forma.

A ver que soluciones se le dan a los futuros posibles problemas...puesto que esta tecnología está todavía por llegar.
Enlaces relacionados con esta noticia:
- Herramienta para leer identificadores RFID (RF.DUMP).
- Forbes.com: A Hacker's Guide To RFID
- RFID Hack Could Allow Retail Fraud
jueves, 29 de julio de 2004 0 comentarios
Dispositivos portables de almacenamiento

A principios de mes, leía en el Crypto-gram de Bruce Schneier un artículo donde analizaba los riesgos de los dispositivos portables. Me resultó curioso que él sacara el tema a raíz de un estudio que había llegado a sus manos al respecto. Hoy me ha llegado a mi el estudio, a traves de un blog via RSS que resulta ser de la prestigiosa compañia Gartner Group.

Dicho estudio advierte del riesgo asociado a estos dispositivos, puesto que pueden suponer un vehiculo idoneo para las fugas de información o una forma de introducir código malicioso evitando las medidas de protección contra el mismo.

En este tema en concreto, estoy de acuerdo con la visión de Bruce Schneier al respecto. ¿Por qué satanizar este tipo de dispositivos, si antes no se ha dicho nada de los CD, DVD, el mismo papel, y otros soportes magnéticos?
En el análisis de las diferentes amenazas asociadas al uso de este tipo de dispositivos, el destaca como principales:
1.- El robo deliberado de información.
2.- El uso descuidado de estos soportes utilizados como mecanismo para el transporte de grandes volumenes de datos.

En fin, como bien resume Schneier:
"In the end, you have to trust your employees. If they want to steal information, or if they make mistakes, they'll do it regardless of your precautions. You can change the mechanisms of those actions, but don't confuse changing mechanisms with making things safer."

El estandar ISO 17799:2002 establece la necesidad de clasificar la información. No todos los documentos son igual de importantes y por tanto, el circuito para tratarlos debe ser diferente. El problema vuelve a ser el mismo de siempre, "CULTURA DE SEGURIDAD DE LA INFORMACIÓN". Entornos como el militar o el sector sanitario SI están acostumbrados a diferentes canales de tratamiento, pero en una empresa corriente todavía no me imagino yo este asunto. Actualmente trabajo precisamente en eso, la implantación de la norma ISO 17799:2002 sobre una entidad financiera y creo que mis principales dificultades van a ser precisamente los temas que tienen que ver con los cambios organizativos que supone esta nueva forma de pensar y actuar con la información de la empresa. Yo al menos he tenido suerte, al plantearse internamente también la necesidad de implantar un sistema de gestión de calidad. Estoy aprovechado esa sinérgia para introducir en la definición de procesos los aspectos de la seguridad que la norma requiere y controlar también estos aspectos como parte del conjunto de indicadores de la calidad de un proceso.

Al final todo es una cuestión de responsabilidad personal y de definición del rol asociado al manejo de la información. Quien tenga documentos sensibles debe saber claramente cuales son sus funciones al respecto (Propietario, depositario o usuario de esa información) y sus responsabilidades asociadas a formar parte de una cadena de tratamiento de información.

Tema arduo complicado. De nuevo, la seguridad de la información depositada en un amplio tanto por cierto en las personas, porque en definitiva, la seguridad de la información es un proceso, no un producto.
miércoles, 28 de julio de 2004 0 comentarios
Versiones de virus

Un fenómeno que viene ocurriendo este ultimo año es la aparcición de versiones de los virus más conocidos. Supongo que esto ocurre porque en el "lado oscuro" circula rapidamente el código fuente de los virus más populares del momento y ingenuos programadores o gente sin escrúpulos crea nuevas versiones del código introduciendo mejoras o cambios en los objetivos del virus.
Ayer era conocido el efecto que el virus Mydoom.M había tenído sobre los principales buscadores y hoy empieza a sonar una nueva versión Mydoom.O cuyo objetivo es producir el mismo efecto sobre Microsoft.com.

Además, debemos destacar que ya los virus no vienen solos. Se han juntado con otro tipo de amenazas como troyanos o keyloggers para crear un engendro mucho más peligroso. Como digo, se están juntando las fuerzas del mal aprovechandose la potencia dañina de cada uno de los especimenes creados. Mydoom, Sasser, Beagle, Gaobot, Korgo, y otros especimentes son al final suma de varios elementos:
1.- Difusión inmediata con técnicas de reproducción y contaminación vírica.
2.- Habilidades para inhabilitar o desconectar el software de protección perimetral y vírico existente en el PC.
3.- Inclusión de troyanos para hacer al equipo un "zombie" y poder lanzar ataques de Denegación de Servicio Distribuida (DDoS) contra diferentes objetivos.
4.- Inclusión de keyloggers para espiar al usuario y de paso, intentar obtener información de sus accesos a bancos on-line para el posterior hurto.
5.- Posibilidad de ejecución remota de comandos sobre el virus para cometer diferentes fechorías e ir modificando el comportamiento del virus en función del interes del atacante.


En fin, que el tema de la seguridad informática se parece cada vez más a un iceberg. A día de hoy, solo conocemos una pequeña porción de los problemas que pueden ir apareciendo. Si bien la industria del software empieza a consierar el tema como una prioridad en el diseño, vamos a sufrir las consecuencias de unos diseños sin pensar en la seguridad de protocolos de Internet y el software todavía unos años más.



Estos cambios de mentalidad deberían tambien extenderse al ámbito educativo. Creo que las actuaciones ahí deberían basarse en tres aspectos:

- Concienciación sobre el tema en las etapas del bachiller, para que los adolescentes no consideren una gracia desarrollar habilidades que pudieran producir desastres informáticos. Desmitificar el mundo del hacking y hacer ver que todas esas acciones son actos delictivos.

- Educación en las facultades de informática, para que los profesionales del gremio tuvieramos un código deontologíco que nos comprometiese a un conjunto de normas de comportamiento ético de la informática.

- Formación en las principales empresas sobre criterios para el desarrollo de software seguro y la necesidad de la gestión de la seguridad en los sistemas de información para garantizar la continuidad de negocio.


0 comentarios
Guías de seguridad en Windows 2003


Como en las versiones anteriores desde Windows 2000, Microsoft documenta y detalla todos los aspectos técnicos de seguridad que es necesario configurar al instalar sus sistemas para lograr una protección adecuada. Con esta nueva filosofía de trabajo, Microsoft creo que pretende reducir el número de incidentes de seguridad que sufren sus sistemas, ya que muchas veces, la intrusión se debe más a la negligencia del administrador que deja las puertas abiertas para el acceso, que a la seguridad intrinseca de los mecanismos que Microsoft proporciona.

Los sistemas Windows cuentan con muchas medidas de seguridad. Antes estas medidas por defecto no venían activadas. Ahora la filosofía de instalación del fabricante se orienta mas a "no permitir por defecto". Un acertado cambio, pese a que así, muchas cosas no funcionaran a la primera, pero en todo caso, que sea el administrador de la máquina el que relaje las medidas de seguridad y no el propio fabricante.

Download: Windows Server 2003 Security Guide
martes, 27 de julio de 2004 0 comentarios
Detalles técnicos del gusano Mydoom.M

El Centro de Alerta Temprana ya ofrece hoy martes información detallada de esta nueva versión del gusano Mydoom. Aunque al PC infectado no llega a producirle daños en sus ficheros, instala su propio servidor SMTP que enviará en su nombre correos a las direcciones válidas de los dominios de correo que encuentre en su libreta de direcciones. Además, incluye también un troyano que escucha por el puerto 1034.

Links a información adicional y herramientas de eliminación:

- Alerta-Antivirus.es: Detalles del virus Mydoom.M

- Symantec: Herramienta para borrar el Mydoom.M

- TrendMicro: Información sobre Mydoom.M
lunes, 26 de julio de 2004 0 comentarios
Los principales buscadores ralentizados por nueva versión de MyDoom


Esta tarde, a eso de las cuatro, como cualquier día normal, he procedido a utilizar Google. Tras un par de intentos en donde me salia el mensaje de Error de Servidor no disponible, he empezado a sospechar y el peor de mis supuestos se ha hecho realidad.




Una vez más, otra nueva versión del virus MyDoom está utilizando a los principales buscadores para encontrar direcciones válidas y seguir reenviando el virus. En este proceso, los principales buscadores están viendo ralentizadas sus operaciones debido al incremento de tráfico en su uso. Resultado final, que los principales buscadores no se encuentran operativos, dando errores de time out en la conexión.

Por desgracia,es otra demostración más de los pies de barro con los que hemos construido Internet.

SANS - Internet Storm Center - MyDoom Search Engine Use

Reuters - Web performance hit by slowdown, including Google
0 comentarios
Gestión del Riesgo


Esta presentación en formato PDF nos comenta la necesaria revisión de los conceptos relacionados con la Gestión del Riesgo. Hasta la fecha, no existe un criterio comun para establecer y definir una metodología única para la gestión del riesgo en la seguridad de los sistemas de información. Aunque estructuralmente todas las metodologías hacen lo mismo, es cierto, como bien ilustra la presentación que hoy referencio, que el "Análisis y la gestión de riesgos" puede producir una visión parcial del estado de la seguridad en aquellos sistemas complejos que tienen componentes diferentes que interactuan entre si. Un ejemplo trivial de estos sistemas complejos pueden ser los sistemas de información gestionados mediante el outsourcing de servicios.

Rethinking Risk Management
jueves, 22 de julio de 2004 0 comentarios
Analisis forense II (Detalles de como hacerlo)

En el post de ayer comenté varios aspectos del análisis forense a tener en cuenta. Hoy envio enlaces con material sobre cómo hacer un análisis forense sobre nuestro propio equipo para detectar algún posible incidente o saber si nuestra máquina ha sido hackeada. Lo más importante siempre es recopilar adecuadamente las evidencias y analizar las pistas para averiguar qué ha pasado.
En los dos siguientes enlaces teneis información detallada al respecto:

- FIRST- Cómo hacer análisis forense sobre sistemas Windows

- Captura de información volatil en sistemas Windows


Para aquellos que quieran saber más, aquí encontraréis Enlaces a información sobre análisis forense

miércoles, 21 de julio de 2004 0 comentarios
Análisis Forense

Estamos ya acostumbrados a noticias diarias relacionadas con incidentes de seguridad y acciones delictivas en el ciberespacio. El aumento de este tipo de incidentes es exponencial, como vienen demostrando los informes de los diferentes centros de respuesta frente a incidentes (CERT's) y consultoras independientes como Ernest&Young o organismos como el Computer Security Institute (CSI).

El ciberespacio como nuevo escenario del crimen organizado tiene muchos ingredientes atractivos que lo hacen el medio idóneo para delinquir en el siglo XXI. Creo que entre otros, los factores principales para el uso de las nuevas tecnologías son:

- Escasa legislación reguladora y pobre definición de lo que se considera delito informático.
- Facilidad técnica para cometer el delito
- Dificultad técnica para probar que el delito se ha cometido
- Ausencia de pruebas o evidencias y poca robustez de las mismas a nivel jurídico.

El análisis forense es una especialidad de la seguridad informática que cada vez va a ser más demandado, puesto que los expertos no abundan y el volumen de incidentes a investigar aumenta.
Hoy adjunto un enlace relacionados con el tema. El texto describe que hacer para que los famosos ficheros de log's sean utiles en el proceso forense de investigar un supuesto incidente. El documento puede consultarse en el siguiente enlace: Mantener la viabilidad forense de los ficheros de Log
martes, 20 de julio de 2004 0 comentarios
Remove Hiden Data en documentos Office 2003/XP

Los documentos Office almacenan mucha información que no sólo es el contenido literal del documento. El control de versiones y el trabajo colaborativo hacen que un documento almacene también meta-información sobre su creación, autores, cambios en el texto, etc.

Para ello, Microsoft ha sacado un plug-in que permite eliminar todas estas pistas de cualquier documento. Se puede descargarn en la dirección Download details: Office 2003/XP Add-in: Remove Hidden Data
lunes, 19 de julio de 2004 0 comentarios
Microsoft Security Bulletins en RSS
Ya es posible seguir los boletines de seguridad de Microsoft en formato RSS. Los podéis consultar en la dirección Microsoft Security Bulletins RSS

Microsoft cataloga la criticidad de los parches atendiendo a la siguiente leyenda:


Los valores son los siguientes:

Critical
Una vulnerabilidad cuya explotación podría producir la propagación de un gusano por Internet sin la acción del usuario.
Important
Una vulnerabilidad cuya explotación podría comprometer la confidencialidad, integridad o disponibilidad de los datos de usuario o la integridad o disponibilidad de recursos.
Moderate
Su explotación es evitada por diferentes factores relacionados con la configuración del sistema.
Low
Una vulnerabilidad cuya explotación es complicada o el impacto es mínimo.

+ info
viernes, 16 de julio de 2004 0 comentarios
Seguridad para usuarios en Microsoft

A través de un blog de MSDN he descubierto que Microsoft ha sacado a la luz un portal para usuarios cuyo monográfico es la seguridad. Planteado como entorno didáctico y sencillo hacia un público general, se abordan todos los problemas que un usuario doméstico puede sufrir respecto a la seguridad de la información.

Por fin Microsoft pone la seguridad de Internet en su sitio. Ya ha dejado de ser importante que un producto funcione, ahora es más importante que sea seguro.
 
¿Y por qué? La respuesta de siempre, por motivos económicos.

Y es que en la venta de software y la venta mediante el comercio electrónico, la
confianza es el pilar básico que puede mover el mercado. Además, la seguridad es un concepto que afecta directamente a la imagen de Microsoft en el mercado. A día de hoy  es uno de sus principales problemas como compañía, puesto que nadie duda de la calidad de sus productos, pero si que temen las vulnerabilidades que presenta su software.
Ademas, tenemos otro gran problema, El comercio electrónico no termina de arrancar.

¿Quién a estas alturas compraría en comercios que no garantizaran los mínimos derechos al consumidor?.
Si a lo largo de la historia, hemos ido proporcionando garantías y controles en las transacciones para la compra y venta, ¿por qué en el mundo del comercio electrónico no partimos con las mismas premisas?

- Para montar una tienda en el mundo real, es necesario licencias y el registro mercantil. En Internet hasta la LSSICE no.
- Uno tiene siempre unos derechos básicos como consumidor que puede ejercer, en primer lugar, utilizando el libro de reclamaciones. En Internet no.
- Además, puede denunciar al comercio, puesto que físicamente está localizado y las personas que lo regentan existen y son de carne y hueso. En Internet no.

A ello sumamos la infactibilidad del material de registro de la transacción.
- Cuando uno compra, recibe su ticket en la tienda, con la factura de compra que se lo entrega el dependiente. En Internet, como mucho puedes recibir un email que ni siquiera va firmado digitalmente.

Ante tanta precariedad de garantías, ¿que nos puede llevar a comprar por Internet?
Pues creo que lo único que se puede contestar a esta pregunta es un simple depende. Cuando las ventajas superar a estos inconvenientes, se realiza la compra. Sobre todo las ventajas suelen ser precios, pero aun así, siempre pesa mucho la confianza del sitio que vende.

Nadie duda en comprar en "El Corte Ingles online" aunque no proporcione seguridad informática porque la imagen de la empresa contraresta esa sensación de abandono e indefensión de la compra on-line, pero ya te lo piensas dos veces, cuando el comercio es una tienda en Taiwan aunque te cueste mucho más barato que en la tienda de la esquina.


Hoy me limito a indicar el enlace de este web que se puede encontrar en Security at home. En días sucesivos iré comentando  y traduciendo apartados de este portal que considero bastante interesante para el público en general.
Es importante conocer donde están los posibles problemas para, o bien aplicar soluciones, o bien detectar cuando pasa algo raro y que al menos no nos timen.


jueves, 15 de julio de 2004 0 comentarios

Desarrollo Web Seguro

El enlace de hoy hace referencia a las preguntas básicas que todo programador Web debe hacerse a la hora de plantearse la seguridad de la aplicación. El enfoque del artículo está platenado como una FAQ (preguntas y respuestas) entorno al tema y cuyos principales aspectos a  considerar son los siguientes:
- Proceso de identificación y autenticación (login)
- Inyección SQL
- Manipulación de variables
- Cache en el browser
- Cross Site Scripting
- Web Server Fingerprinting
- Prueba
- Criptografía y comunicaciones seguras
- Cookies y gestión de la sesión
- Control de acceso y pistas de auditoría

La FAQ puede obtenerse de la siguiente dirección: The Open Web Application Security Project (OWASP)

miércoles, 14 de julio de 2004 0 comentarios
Visualización de los niveles de riesgo en Internet

Hoy he incluido como información en el blog, un indicador de ISS.net respecto al estado general de la seguridad en Internet. Aunque cada fabricante tiene su propio criterio a la hora de calificar la peligrosidad, en general los niveles de riesgos son igual de significativos.
En este caso, el nivel de riesgo utiliza como métrica la gravedad de las vulnerabilidades detectadas. Una vez que aparece un fallo, se crea una "Ventana de vulnerabilidad" que es el tiempo que pasa entre que el error se descubre y el equipo es vulnerable a ese fallo.
 
En general, las ventanas de vulnerabilidad presentan tiempos cortos en el tramo "descubrimiento del fallo-generación del parche". Los tiempos largos aparecen en el tramo "publicación del parche-aplicación del parche" y es que por desgracia no en todos los sitios  las tareas de mantenimiento de sistemas incluyen las actividades relacionadas con la gestión de parche del sistema.
 
En fin, al menos, que en el blog haya un pequeño termómetro de como está Internet respecto a la seguridad. Conforme vea evolucionar los resultados del indicador decidiré si aporta o no algo a mi blog.

0 comentarios
Virus, virus y más virus

Por desgracia continuamente están apareciendo nuevas e inquietantes noticias respecto al tema "Virus".

Hoy he podido hojear un par de noticias que apuntan nuevas novedades en las estrategias de infección de estos dañinos programas. La última novedad al respecto, es la creación de código vírico que "hiberna" para evitar ser detectado por el software antivirus.

Y es que está claro que la actual estrategia utilizada para abordar el problema no es la más adecuada. La carrera contra los virus actualmente se basa en la persecución. A cada virus se le busca una solución lo más rápida posible, pero siempre como paso posterior a su descubrimiento. A ello se suma, que uno de los mayores esfuerzos realizados por los desarrolladores de código malicioso se centra en la difusión y replicación, precisamente para luchar contra la persecución.
Si cuando un fabricante antivirus encuentra la solución ya hay infectados un millon de ordenadores, la velocidad de propagación del virus será mayor que la velocidad de desinfección de los administradores que apliquen la solución.

Habrá que empezar a plantearse otras filosofías para solucionar este problema. Algunas ideas innovadoras e implementaciones eficaces existen ya al respecto. Está claro que si alguien sabe mucho de virus, sabe que ir parcheando las nuevas creaciones no es una buena solución, y sobre todo, no es la solución definitiva. Mas información en Soluciones secuware.



Noticia original sobre las nuevas estrategias de virus en Techweb: Worm Tries To Foil Anti-Virus Researchers , July 13 2004
viernes, 9 de julio de 2004 0 comentarios

Basilea II, buenas prácticas para la gestión del riesgo operacional

El entorno bancario anda combulsionado por la aplicación pronto de los criterios de Basilea II en la gestión del riesgo operacional.

Este nuevo concepto de riesgo relacionado con la gestión trata de evitar los posibles daños que puede ocasionar a una entidad bancaria temas como el fraude interno, el robo de información confidencial, una mala gestión de los sistemas de información, un desastre que afecte a sus infraestructuras,etc.

Precisamente la seguridad de la información trabaja por evitar identicos riesgos y por tanto, existe un solape en los objetivos que persiguen ambas disciplinas. Para conocer exactamente los principios en los que se basa el tratado de Basilea II, podemos recurrrir al siguiente enlace.
Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised Framework (Documentos disponibles también en castellano)

Respecto a las buenas prácticas para la gestión del riesgo operacional, debe uno leerse el siguiente documento: Basilea II, buenas prácticas para la gestión del riesgo operacional
0 comentarios
Axiomas de Seguridad de la Información.

Como resumen, las grandes verdades de la seguridad son:

- Axioma número 1: "La seguridad al 100% no existe".
- Axioma número 2: "La seguridad y la complejidad son inversamente proporcionales"
- Axioma número 3: "La seguridad y la usabilidad son, a menudo, inversamente proporcionales"
- Axioma número 4: "La seguridad es una inversión, no un gasto"
- Axioma numero 5: "Una buenas medidas de seguridad hoy son mejores que una "perfecta" seguridad ... nunca"




A continuación, recojo una serie de enlaces relacionados con el enunciado de algunos axiomas de la seguridad de la información.

Network Security Credo
Avolio Axioms Information Security
Security Axioms from

0 comentarios
La dirección IP es un dato de carácter personal

Esta semana hemos conocido el informe jurídico de la Agencia de Protección de Datos donde indica que la dirección IP es un dato de carácter personal.

En todo tipo de interpretación jurídica de un texto siempre hay que ser riguroso con el lenguaje y utilizar la definición de términos que se realice en el articulado de la ley. En este caso, debemos recurrir al artículo 3 de la citada Ley 15/1999, de protección de datos de carácter personal, en donde se define "Dato de carácter personal" como cualquier información concerniente a personas físicas identificadas o identificables.

Normalmente una definición ambigüa de términos produce a posteriori interpretaciones muy diferentes de la Ley. Respecto al tema que nos ocupa, la Agencia de Protección de Datos argumenta en su informe jurídico el por qué una IP es una información relativa a una persona física.


El tema es complicado y conflictivo, puesto que como bien sabemos, el acceso a un sistema de información se realiza tras un proceso de identificación y autenticación, manejando como personalidad dentro del ciberespacio el concepto de usuario del sistema. La vinculación 1:1 entre usuario y persona física también es otro tema conflictivo, puesto que demostrar este hecho con un carácter probatorio suficiente depende de diversos factores ya que muchas veces, esta vinculación se basa en el supuesto de que solo la persona física conoce la palabra de acceso o password del sistema. Hasta que no llegue la firma digital y este proceso de identificación y autorización sea algo más riguroso y formal, existen muchas posibilidades de averiguar la contraseña de un usuario y por tanto, suplantar su identidad virtual. Por tanto, es cierto que una dirección IP podría asociarse y sólo en algunos casos, a un usuario con una vinculación uníca. Imagino que cuando empiecen a aparecer los primeros conflictos al respecto se intentará definir mejor esta relación "Dirección IP-persona".

Respecto a la trascendencia que este hecho pueda tener en el futuro, en mi opinión personal, creo que lo que la Agencia de Protección desea regular es el descontrol existente respecto a la recogida de rastros de navegación "Log's" que realizan los sistemas de información sobre los usuarios. Siempre, para ver con claridad el trasfondo de un problema en el ciberespacio es bueno recurrir a hacer un paralelismo con el mundo físico. En este caso, lo que tendríamos que imaginar es que si en el mundo real ocurriera lo mismo que en el mundo virtual, nada más salir de casa tendríamos a un cámara de televisión grabandonos desde la puerta de nuestra casa. Por tanto, conocería que carreteras, calles y avenidas utilizamos (igual que es posible saber los equipos de interconexión que utilizamos al alcanzar un sitio web), conocería en que tiendas o comercios entramos e incluso que le preguntamos a cada uno de los dependientes (igual que se registran rutas de navegación dentro de un portal, enlaces desde donde llegamos a un sitio web o palabras que buscamos en los portales). En fín, si toda esta información se almacenase y posteriormente se procesase (hecho que no se si ocurre o no pero que en el futuro podría ocurrir), podrían conocer nuestro perfil psicológico y de consumo con pelos y señales.

Por tanto, está claro que esta información que si es de CARACTER PERSONAL debe regularse, y al menos, el usuario debe saber QUIENES y QUÉ se está grabando respecto a su persona, para posteriormente que el mismo usuario decida que permite hacer a esas instituciones con sus datos.

Por tanto, me parece muy bien que la Agencia de Protección de Datos quiera poner un poco de control sobre todo esto, aunque técnicamente veo muy complicado la aplicación del Reglamento de Medidas de Seguridad que la Ley de Protección de Datos exige aplicar sobre los ficheros de Datos de Carácter Personal. Otro día comentaré las supuestas implicaciones que va a tener esta nueva filosofía a la hora de tratar los log's de acceso.



El informe jurídico de la Agencia de Protección de Datos puede consultarse aqui:
Agencia de Protección de Datos:: Informe 327/03 :: Carácter de dato personal de la dirección IP.
miércoles, 7 de julio de 2004 0 comentarios
Conocimientos profundos sobre vulnerabilidades

Hoy solo voy a incluir links a Webs que contienen información técnica muy completa sobre vulnerabilidades y cómo explotarlas. Normalmente hay mucho más conocimiento técnico en el lado oscuro que en las páginas oficiales de seguridad. Dado que esta información está accesible, hay que contar también con este tipo de recursos, sobre todo para saber hasta donde pueden llegar los intrusos y qué es lo que podrían llegarte a hacer.


.:[ packet storm ]:. - http://packetstormsecurity.org/
.:[ phrackm ]:. - http://www.phrack.org/
.:[ astalavista ]:. - http://www.astalavista.com
.:[ hackinthebox ]:. - http://www.hackinthebox.org/
.:[ wardriving ]:. - http://www.wardriving.com/
martes, 6 de julio de 2004 0 comentarios
Crypto-gram en español

Bruce Schneier es uno de los actuales gurús en materia de seguridad informática y seguridad de la información. Una de sus principales cualidades, a la hora de explicar los actuales problemas en la sociedad de la información, es la sencillez de su planteamiento y la claridad con la que expresa sus opiniones.

Su libro "Secret and lies" es un auténtico ensayo didáctico que explica claramente que los problemas de la seguridad informática, en el fondo, no son muy distintos de los de la seguridad física.

Internet sólamente ha introducido dos factores que multiplican exponencialmente la complejidad del asunto, pero la esencia del problema sigue siendo la misma. Estos dos factores son:
- Mayor velocidad para cometer los ataques
- No existencia de ubicuidad física para realizar los mismos.


En el libro hace constantes comparaciones de los diferentes problemas de seguridad informática con el mismo problema en el mundo físico. Esta forma de pensar sirve a menudo para descubrir la verdadera esencia del problema. Por tanto, cada uno de sus artículos aporta muchisimo conocimiento. Kriptópolis es la web autorizada por Bruce Schneier para traducir y albergar sus publicaciones mensuales, conocidas como Crypto-gram.

El enlace a los textos traducidos se encuentra aqui:
Kriptópolis: Traducción de los Crypto-gram de Bruce Schneier
lunes, 5 de julio de 2004 0 comentarios
Seguridad Wi-fi


El documento que indico hoy tiene por objetivo explicar los principales conceptos relacionados con la seguridad en entornos Wireless. Dada la proliferación de las redes Wi-Fi, es necesario conocer cuales son los parámetros de configuración relacionados con la seguridad y qué significan.

Es sorprendente ver que muchas de las redes Wi-fi se encuentran abiertas, al libre uso de cualquiera que esté dentro del alcance del punto de acceso esa red. Si no dejamos que cualquiera se conecte a un punto de red de nuestra casa, ¿por qué vamos a permitir lo mismo en redes inalámbricas?

Las principales medidas de seguridad a implantar son:

1.- Establecer un SID complejo y deshabilitar el Broadcast SSID.
2.- Establecer autenticación MAC de las tarjetas de nuestra red.
3.- Utilizar el protocolo WEP en la trasmisión de datos.


Por tanto, es recomendable leer el documento que el SANS Institute ha elaborado con la descripción de cada uno de los conceptos implicados en la configuración de una red inalámbrica. SANS Securing your Wireless Access Point
viernes, 2 de julio de 2004 0 comentarios
Selección de navegadores

Hasta ahora, la elección del navegador ha sido una cosa más basada en el gusto por el diseño y la comodidad del uso que en criterios de seguridad.

Esta semana se ha vuelto a montar revuelo entorno al tema de la selección del navegador más adecuado para los tiempos que corren.

Desde el USA-CERT, el centro de respuesta frente a incidentes americano, se ha recomendado utilizar otros navegadores alternativos como Mozilla Firefox u Opera, que son mucho más seguros y menos vulnerables que el archi-utilizado explorer.

Y es que este año, en el tema de la seguridad informática las cosas se han acelerado a peor muchísimo. Recuerdo que hace 6 años, cuando empecé en este mundillo, se vaticinaban apocalipsis electrónicos cuando las fuentes del conocimiento oscuro (hackers y crackers) se unieran con las mafias del crimen organizado. El hecho que lograr ingresos cometiendo delitos tecnológicos y la aparente impunidad existente en este tipo de delincuencia, está generando un factor atractivo para el crimen organizado.

Empezamos presenciando incidentes relacionados con virus, pasamos posteriormente a la denegación de servicio y este año, los principales frentes son el spam y los virus-troyanos.

El nuevo objetivo está claro, GANAR DINERO. Los pasos que se han ido dando han allanado el camino para lograr el objetivo final, robar de forma electrónica dinero.

Esta por llegar, pero la banca electrónica y el robo de identidades digitales de firma electrónica serán los siguientes objetivos.

Si te quitan tu dinero y son capaces de suplantar electrónicamente tu identidad, ¿que más nos puede pasar?.

El tema de la seguridad de la información empieza a ser algo crítico en el sosten de los pilares de la sociedad de la información y el conocimiento del siglo XXI.



Fuente: Los agujeros de Explorer dan un empujón a los navegadores alternativos

jueves, 1 de julio de 2004 0 comentarios
Webcast de seguridad de Microsoft entorno al ISO 17799 y la configuración de los servidores.


Es interesante ver como cada día más el estandar ISO 17799:2002 "Código de buenas prácticas para la gestión de la seguridad de la información" ha consensuado y aglutinado esfuerzos entorno a la seguridad de la información y la gestión que debe hacerse de los procesos de operación y mantenimiento de los sistemas.



Por fin, el mercado se ha dado cuenta de la seguridad no es un problema tecnológico, sino que es necesario integrar tres factores: procesos de gestión, personas que utilizan los sistemas o los administran y tecnología de seguridad.

Como bien dijo Bruce Schneier hace tiempo, 'cualquiera que crea que la tecnología resolverá su problema de seguridad de la información o no entiende de tecnología o no entiende su problema'.

En otras palabras: más y mejores candados no harán tu casa más segura.

Los datos concretos del evento son:

- TÍTULO: Cómo securizar sistemas servidor Microsoft apoyándonos en la norma ISO 17799
- FECHA: Miércoles, 14 de Julio de 2004
- HORARIO: de 17:00 a 19:00, hora peninsular española

La información completa puede obtenerse en el siguiente enlace. Microsoft TechNet - Webcast de Seguridad 14 de Julio de 2004
 
;