miércoles, 30 de marzo de 2005 0 comentarios

Cinco consejos para evitar el Phishing y una utilidad

Aunque en este blog el tema del phishing ha sido objeto de comentario a través de numerosos post, hoy quiero destacar la aparición en Red.es de cinco consejos básicos para combatir el phishing. Es importante dar a este asunto la trascendencia que merece, puesto que el robo de la identidad digital puede causar la pérdida de confianza por parte de los clientes on-line en plataformas de comercio electrónico.

A estos Cinco consejos para evitar el phishing, de Red.es yo personalmente añadiría el uso en el navegador Internet Explorer de la barra de Netcraft que ya he comentado alguna vez y que puede verse en Netcraft Toolbar Anti-phishing.

Hoy también aparece publicado en diversos foros que la amenaza del phishing ha sufrido un incremento del 300%. Es evidente que como ya he venido comentando en este blog, el ánimo de lucro es ahora una de las principales motivaciones de los atacantes, y sin duda, con semejante motivación el aumento de los intentos no va a dejar de incrementarse.
viernes, 18 de marzo de 2005 0 comentarios

Reflexiones entorno a la autenticación...

Aparece esta semana en el blog de Bruce Schneier una interesante reflexión entorno a las contraseñas y los métodos de autenticación de doble factor.

Es evidente que el uso de contraseñas como mecanismo de seguridad ya no está funcionando. Las contraseñas no son un mecanismo eficaz principalmente por dos motivos:
- su uso ha sido tan extendido que para el usuario se ha hecho inmanegable el recordar tantas contraseñas diferentes para todos los procesos de control de acceso que suele tener que sufrir. Además, cuando intenta poder hacer gestión de tantas palabras de acceso, se acaba por caer en dos tentaciones que hacen vulnerable este mecanismo. O bien se elige siempre la misma contraseña para todo, o bien se ponen contraseñas triviales asociadas al sitio en el que se está.

- el segundo motivo está relacionado con la perdida del control sobre la contraseña. Dado que son palabras secretas, a menudo se comparten, se envían por correo, se apuntan en post-it para recordarlas...etc. Por tanto, enseguida dejan de tenerse controladas.


LLegadas a esta situación aparece la necesidad imperiosa de adoptar mecanismos más robustos y fuertes relacionados con la autenticación. Para ello, se recurre a la autenticación de doble factor que como ya comenté en un post anterior, significa utilizar de los tres criterios posibles que sirven para autenticar al menos dos.

La autenticación de doble factor llevada al usuario final se traducirá seguramente en la existencia de un certificado digital cuyo acceso requerirá el uso de una contraseña o pin (Algo que se sabe) que se almacene en algun soporte electrónico de almacenamiento seguro (Algo que se tiene). Otra posibilidad es que el acceso a ese certificado requiera en vez de un pin una prueba biométrica (algo que se es). En cualquier caso, estos son metodos mucho más robustos de autenticación en la medida en la que son mucho más complejos de adivinar o de comprometer.

En cualquier caso, el uso de estos nuevos métodos reducirán algunos riesgos relacionados con el robo de identidades, pero no todos. Riesgos asociados a amenazas como los ataques de "hombre del medio" o el uso de "troyanos" no se reducen con el uso de estos mecanismos de autenticación. Por lo tanto, aunque se avanza, no se gana la batalla. En cualquier caso, en la medida en que se reducen el número de incidentes y se dificulta el robo de identidades, en parte se está mejorando la seguridad dado que se abortan ataques desde las primeras fases de elaboración.

El artículo completo puede leerse en Schneier on Security: The Failure of Two-Factor Authentication.
jueves, 17 de marzo de 2005 0 comentarios

Vuelve el ASCII Art pero con usos malintencionados

Leo via Secureme que la nueva "tendencia" en el mundo del Spam es recuperar el Ascii Art con estos propósitos. Recordemos que este tipo de gráficos se puso de moda en los comienzos de la informática, por ser una forma creativa de poder hacer dibujos con los caracteres básicos del ASCII que permitían crear imagenes bastante aproximadas de lo que se trataba de dibujar.

Esta nueva técnica quizás consiga evitar los tan famosos Filtros Bayesianos que están siendo un éxito en la prevención del spam. Como siempre, vemos que los malos generan un problema y los buenos tienen que ir solucionándolos. En esa persecución del gato al ratón, los malos son muy creativos y van siempre buscando nuevas técnicas que eviten la tecnología que se crea para solucionar el problema abordado.


En * secureme: Interesting Spam: Old school Ascii art making a comeback? podemos ver ejemplos de publicidad en torno al Viagra con estas técnicas.
miércoles, 16 de marzo de 2005 0 comentarios

Descubrir las vulnerabilidades de un servidor Web antes de que lo haga un intruso...

La mayor fuente de incidentes de seguridad suele deberse principalmente a una mala configuración del sistema o a haber dejado los parámetros por defecto en la instalación en producción. El documento que el Sans Institute publica hoy describe paso por paso qué cosas deben hacerse para comprobar que uno de estos errores no ha sido comentido. También sirve para ilustrar, de forma metódica, el camino que sigue un potencial intruso en el intento de ataque a un servidor Web. Desde ambas perspectivas, este documento es interesante porque describe ese proceso.

Fuente: Sans Institute. A Guide to Discovering Web Application Insecurities, Before Attackers Do
martes, 15 de marzo de 2005 0 comentarios

Reduciendo el ruido en los logs de Windows

Vía el blog de Windows Security Logging and Other Esoterica aparece hoy un interesante artículo sobre cómo reducir el ruido en los log's de Windows.

El tema del "ruido" en los logs quiere significar que si se auditan demasiadas cosas, la información que aparece en los log's puede muy cuantiosa, voluminosa en cuanto a espacio ocupado en almacenamiento e intrascendente de cara a detectar anomalías o algún problema de seguridad. Es importante por tanto registrar sólo aquellos eventos que pueden suponer un posible incidente de seguridad. La información que suministra este artículo hace una serie de recomendaciones al respecto, indicando aquellas características de configuración de los logs de auditoría en Windows que son interesantes registrar para con la mínima información registrada, poder saber si pasa algo raro.

Fuente: Keeping the noise down in your security log
lunes, 14 de marzo de 2005 0 comentarios

La regla del 80/20 para la seguridad en aplicaciones Web

Hoy he hallado un interesante artículo sobre seguridad en aplicaciones Web que destaca la existencia de una regla 80/20 o Ley de Pareto en el desarrollo de Web.
La ley de Pareto habla del impacto que pequeños factores puede tener sobre grandes problemas.
En seguridad este enunciado podría significar que con un 20% de esfuerzo podrían reducirse el 80% de los problemas, o que el 80% de las vulnerabilidades se presentan por errores en el 20% del código o en el 20% de errores de configuración.

La identificación de estos factores importantes en donde concentrar el esfuerzo es el objeto del artículo que hoy referencio y que puede encontrarse en WASC Articles: The 80/20 Rule for Web Application Security
sábado, 12 de marzo de 2005 0 comentarios

Derechos de autor y las nuevas licencias Creative Commons

Fuente: Las bibliotecas y los derechos de los autores

"No sólo de pan vive el hombre. Yo, si tuviera hambre y estuviera desvalido en la calle no pediría un pan; sino que pediría medio pan y un libro. Y yo ataco aquí violentamente a los que solamente hablan de reinvindicaciones económicas sin nombrar jamás las reivindicaciones culturales que es lo que los pueblos piden a gritos. Bien está que todos los hombres coman, pero que todos los hombres sepan. Que gocen todos los frutos del espíritu humano porque lo contrario es convertirlos en máquinas al servicio del estado, es convertirlos en esclavos de una terrible organización social."

Federico García Lorca. Fragmento del discurso pronunciado con motivo de la inauguración de la Biblioteca de Fuentevaqueros

Quiero también referenciar a un texto de Carlos Sanchez Almeida y su blog "Republica Internet" con el titulo de Carta a Hipatía.
viernes, 11 de marzo de 2005 0 comentarios

I aniversario del 11 de Marzo

En recuerdo de las victimas...todos los 11-M este blog se vestirá de negro con la viñeta de Forges de ese día.


jueves, 10 de marzo de 2005 0 comentarios

RootkitRevealer, herramienta para la detección de Rootkits en Windows

Aparece publicada en la Web de Sysinternals una nueva herramienta para la detección de rootkits en Windows.

¿Qué es un rootkit?
El termino rootkit es utilizado para describir un mecanismo o técnica asociado a malware, que incluye virus, spyware y troyanos e intenta esconder su presencia en ejecución de cualquiera de las herramientas habituales de protección frente a software malicioso. Por tanto, un rootkit es un programa malicioso que se oculta para que no pueda ser detectado aun estando en ejecución. Esto permite al agresor que lo envía el control absoluto del equipo contaminado, y el usuario del equipo no puede detectarlo porque utilizando las herramientas habituales para ver que procesos se encuentran en ejecución como el administrador de procesos, este tipo de programas no aparecen.

Más información en: Sysinternals Freeware - Utilities for Windows NT and Windows 2000 - RootkitRevealer
martes, 8 de marzo de 2005 0 comentarios

Group Policy Resource Center : www.GPanswers.com

Hoy he encontrado un Web interesante relacionado con el uso de Group Policies en entornos Windows.

La aparición de Windows 2000 trajo como mejora el uso de Active Directory como el elemento de gestión centralizada de los recursos disponibles en entornos Microsoft. Esa centralización permite un mayor control sobre diferentes aspectos de configuración tanto a nivel de equipos informáticos como a nivel de usuarios con acceso al sistema.

Esta potente herramienta ha sido depurada y mejorada en Windows 2003 y va a permitir de forma relativamente sencilla poder implantar una política de seguridad corporativa con todo detalle a nivel tecnológico.

La Web Group Policy Resource Center : GPanswers.com reune diversa información entorno a este tema.
jueves, 3 de marzo de 2005 0 comentarios

Los datos comprometidos de T-mobile

Aunque la noticia lleva ya un par de semanas dando vueltas por diversos Webs y Blogs, es curioso como el principal eco de la noticia se alcanza cuando alguno de los afectados es un famoso. Ha sido sonado que una de las cuentas comprometidas ha sido la de Paris Hilton. T-mobile en un intento de dar mayor servicio a sus clientes se ofrecía como sitio para el almacenamiento de información que sus usuarios albergan también en los móviles. Esto que es en sí mismo una ventaja dado que proporciona una copia de seguridad de los datos del dispositivo móvil, ha sido en este caso un problema debido a la mala custodia que de esa información ha hecho T-mobile.

El incidente de seguridad, en este caso como en casi todos, se ha producido al atacar al sistema de autenticación de T-mobile por el punto más debil, la pregunta secreta.

Es cierto que el uso de contraseñas que está tan ampliamente extendido no es un mecanismo fácil de usar por el usuario. Son tantas las contraseñas a guardar que al final se convierte en un problema. Para eso, muchos sitios ofrecen la posibilidad de utilizar una pregunta secreta que en caso de ser contestada con éxito, permite cambiar la contraseña. Pues bien, esa ha sido la forma como han accedido a la cuenta de Paris Hilton. La pregunta en cuestión era el nombre de la mascota, y dado que para un personaje tan famoso, ese dato no es un secreto bien custodiado, han conseguido acceder a su cuenta y ver toda la información que guardaba.

Lo que no tiene tanto sentido es que para no entrar a través de un mecanismo de autenticación como la contraseña se utilice una forma menos estricta y segura que la opción por defecto. Todos los metodos de acceso deben ser igual de seguros aunque es lógico que se permitan diferentes formas por si el lado humano del proceso falla, olvidando su palabra secreta.

La potencia de los nuevos teléfonos móbiles ademas ya no se limita a guardar numeros de teléfono, sino que contienen imagenes, fotos, grabaciones de sonido, etc...tenemos más opciones y posibilidades, pero también nuevos riesgos.
 
;