martes, 20 de septiembre de 2005 0 comentarios

Google Secure Access

Leo via Ojobuscador otra nueva iniciativa de los chicos de Google, en concreto de un ingeniero que destinó su tiempo libre a solucionar un problema con la seguridad en sus conexiones en remoto.

Esta vez con unas implicaciones directas sobre la seguridad que es el objeto de este blog. La pericia de estos chicos ha consistido en crear un cliente VPN que conecta contra sus servidores de forma totalmente transparente para el usuario.

Esta aplicación sirve para tunelizar una conexión wifi y a la par proporcionar navegación anónima (Al menos en el tramo Tu-pc ->Concentrador-VPN-Google).
El qué harán estos chicos una vez sale la conexión del tunel VPN ya es todo un misterio. Confiemos en que todo cosas buenas.

Descarga:
Google Secure Access
viernes, 16 de septiembre de 2005 1 comentarios

Revista (In)secure Magazine

Llevo meses sin referenciar fuentes interesantes respecto a la seguridad y de las que conviene estar al tanto. Hoy voy a comentar la revista (In)secure magazine, que es una revista de seguridad informatica en formato electrónico y que puede ser descargada desde http://www.insecuremagazine.com/.

Lo más recomendable es estar informado via RSS pero dado que es una publicación que acaba de empezar y con una periodicidad de 2 meses, solo hay que acordarse cuando toca.
Los tres numeros publicados hasta la fecha son:

- Número 3.Agosto.


- Número 2.Junio.


- Número 1.Abril.
lunes, 12 de septiembre de 2005 0 comentarios

La seguridad como propiedad para proporcionar garantias y exigir responsabilidades

Alguna vez ya he comentado en este blog el cambio cultural que suponen la introducción de las tecnologías de la información en nuestro mundo. También he comentado las grandes diferencias que existen entre lo físico y lo digital en relación con la seguridad de la información.

Hoy quiero comentar una noticia que fue objeto de discusión entre un grupo de colegas entorno a dos posiciones:
-Por un lado, algunos defendemos que los nuevos procesos que se implanten con tecnologías de la información deben permitir por un lado exigir las mismas responsabilidades que si estas tecnologías no se utilizaran y deben establecer claramente los responsables en el caso de cualquier tipo de problema.

-Por otro lado, la otra posición defiende que la informática se encuentra construida sobre pilares no deterministas y así no es posible "probar" o "demostrar" cuando se producen errores y por tanto, no pueden determinarse responsabilidades.

La discusión vino generada por la noticia entorno a la anulación de una multa a un australiano por considerar que la foto digital aportada como prueba no cumplia con las minimas garantías para ser considerada como tal. La noticia concreta que se leía via Noticias Hispasec en el enlace: Utilizar MD5 para recurrir las multas de tráfico pone de manifiesto la ligereza con la que se están implantando algunas nuevas formas de hacer las cosas.

La justicia se basa en el principio básico de la presunción de inocencia. Quién acusa a alguien debe probar con indicios o evidencias la autoria del hecho delictivo para que el acusado pueda ser declarado culpable.

¿Qué implica esto en el mundo digital?
Las evidencias del mundo físico son hechos inmutables, es decir, una vez ocurre un suceso las pruebas pueden ser destruidas pero no modificadas. En el mundo digital las pruebas son también datos en si mismos y por tanto, deben garantizarse las propiedades de la integridad y autenticación de los mismos. Ya empiezan a considerarse como propiedades de la información la trazabilidad del uso del servicio y la trazabilidad del acceso a datos.

Sin estas propiedades correctamente garantizadas, una prueba en formato electrónico no podrá garantizar el principio de "inmutablidad de la prueba" y por tanto, será desestimada por los jueces. Ante la duda de poder haber fabricado una prueba digital, será el perito de turno quien deberá deducir si hay garantías suficientes para poder dar por validos los hechos que los log's traten de probar.

Si no estamos considerando estos nuevos requisitos de seguridad en el diseño de los sistemas de información que soporten la Administración electrónica, la validez jurídica de muchos de estos procesos será nula y por tanto, el trabajo del informático que rediseña un proceso administrativo trasformándolo en un proceso informático será inutil al no dotarlo de suficientes garantías para poder luego depurar responsabilidades.

Es un camino duro pero si queremos "construir" algo, no solo basta con levantar el edificio, hay que proporcionar garantías tanto sobre su uso como sobre los requisitos mínimos que se satisfacen y además probar que en el momento de la implantación se cumplen. He ahí el sentido de la certificación del software y el visado de proyectos.

La Informatica por su juventud todavía no es tratada como una verdadera ingeniería. Es un gremio no regularizado en donde no están establecidas competencias de cara al ejercicio profesional.

En la revista del Colegio de Ingenieros de la Region de Murcia se publica un interesante artículo entorno a la naturaleza de la Informática. Puede leerse en el enlace La informática y la Ingeniería.

Debemos pensar que al final la ambigüedad en el funcionamiento y la impunidad a la hora de exigir responsabilidades siempre tiene una misma victima, el usuario final o el analfabeto tecnológico que se ve obligado a utilizar estas nuevas formas de hacer las cosas sin comprender que ocurre por debajo.

¿Qué sería de otros gremios como la arquitectura, la ingeniería civil o la medicina si hubieran sido construidos como lo está siendo la Informática?
martes, 6 de septiembre de 2005 0 comentarios

Normalización en seguridad de las tecnologías de la información

He venido comentando a lo largo de este verano las constantes noticias en materia de seguridad y normalización que se han venido produciendo.

El Ministerio de Administraciones Publicas a través del Consejo Superior de Informática también ha trabajado duro estos ultimos meses y a lo largo del verano han ido publicando alguno de sus resultados.

Dado el carácter estratégico que tiene la seguridad de la información para el Estado, es tranquilizador saber que los técnicos de la Administración Pública están atentos a la evolución del mercado y van adaptando las diferentes normas a recomendaciones y metodologías a implantar en la Administración Pública.

En la sección del SSITAD (Comité Técnico del Consejo Superior de Informática de Seguridad de los Sistemas de Información y Protección de Datos Personalizados Automatizados) del MAP, aparece el documento Normalización en seguridad de las tecnologías de la información donde describe qué papel está desempeñando la Administración Pública en la definición del nuevo marco normativo en materia de seguridad.

Este documento ilustra cuales son los grupos de trabajo dentro de ISO en los que el MAP se encuentra involucrado, la evolución de las diferentes normas, el estado actual de algunas de ellas y el nuevo dibujo que se perfila. La siguiente figura ilustra la evolución histórica del conjunto de normas.



Es un documento interesante para comprender el contexto de las futuras normas de seguridad de la información y su justificación.

También ha aparecido la versión 2.0 de MAGERIT, la metodología de análisis y gestión del riesgo de los sistemas de información. Aunque postearé algo al respecto en breve, mis primeras impresiones al mirar por encima los tres documentos de la metodología es que no hay cambios importantes en cuanto a conceptos pero si un cambio profundo en cuanto a su aplicación.

Han convertido MAGERIT 1.0 que era teóricamente un modelo muy bueno pero en la práctica poco viable de utilizar en un MAGERIT 2.0 con mejoras muy importantes. Se han resuelto muchas de las incognitas que surgen a la hora de aplicar esta metodología como son:
- estados de la seguridad, que ahora se renombran como dimensiones de la seguridad
- criterios de valoración de activos y sus diferentes tipos
- representación de las dependencia entre activos
- tipos de amenaza y sus daños

En próximos post realizaré una evaluación más completa de mis primeras impresiones.

- identificación de amenazas
lunes, 5 de septiembre de 2005 0 comentarios

Guías para combatir el phishing y el pharming

Ya se ha comentado en este blog la problematica asociada al phishing y al pharming.

Hoy referencio dos documentos técnicos que realizan un examen minucioso del problema y de las estrategias para solucionarlo.

Muy recomendable para tomar conciencia sobre estos dos tipos de ataques y sus consecuencias.

Documentos:
-The Phishing Guide

-The Pharming Guide.
 
;