miércoles, 27 de diciembre de 2006 1 comentarios

Zona videovigilada, información de los derechos LOPD

La Agencia de Protección de Datos ha colgado en su Web la nueva instrucción respecto a la regulación del uso de videocamaras que no son de las fuerzas y cuerpos de seguridad del estado.

Las camaras en todos sitios se han puesto de moda, pero tal como indica la Ley Organica de Protección de Datos, la imagen es un dato de carácter personal y por tanto, es objeto de protección. La finalidad de esta recolección de datos debe estar clara y la utilización de las imagenes limitada. Al ser una medida muy intrusiva contra la intimidad de las personas, sólo se considerará admisible la instalación de
cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos
para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
Además, las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad
de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

La Agencia de Protección de Datos ha querido aclarar este hecho mediante la Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Además, como anexo indica que todas las instalaciones de videovigilancia deberán informar al ciudadano de este hecho y estarán señalizadas con un rótulo similar al que a continuación podéis ver:



Esperemos que sirva esto para frenar o al menos limitar esa sensación de indefensión que todos tenemos cuando entramos en un sitio que sabemos está plagado de cámaras. Ahora al menos ya está en nuestra mano el ejercicio de nuestros derechos, que tenerlos se tienen. Destacar que esta instrucción deja claro el máximo periodo de retención de estas imagenes, UN MES y que sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras. No en todos los casos estará justificado la instalación de camaras si es posible otra medida de control menos intrusiva.
viernes, 22 de diciembre de 2006 1 comentarios

Kit de herramientas para revisiones de seguridad

Hacía tiempo que no encontraba una buena recopilación de herramientas de seguridad clasificadas. Vía la gente de Infosecwriters, hoy referencio un documento con un listado de herramientas y sus direcciones clasificadas según la fase del test de intrusión en donde se utilizan.

El documento puede obtenerse en SNair_Tools.pdf
martes, 19 de diciembre de 2006 2 comentarios

Ajax DNS

Vía Genbeta.com he encontrado una herramienta sencilla y Web para obtener la información habitual mediante DNS. Las consultas disponibles mediante AJAX son :
- información DNS de un dominio
- whois tanto al propio dominio como su ip
- obtener la información de cabecera http
- verificar si está en la lista negra como spammer
- realizar pings
- verificar su DNS transversal.

Lo más práctico es que al ser AJAX se ejecuta directamente sobre la página web mostrando la información de manera muy rápida. Una buena herramienta de emergencia a tiro de click en Ajax DNS.
jueves, 14 de diciembre de 2006 0 comentarios

RFID, un arma de doble filo.

Quiero hoy comentar varios post publicados en diferentes blogs entorno a la problemática que plantea el RFID y las potenciales agresiones a la privacidad.

En primer lugar, destacar el comentario en el blog de Jose Manuel Fernández en relación a la noticia publicada por la Asociación de Internautas.

“La CLI, ante la falta de normativa y ante las implicaciones que podría tener la implantación generalizada de RFID (identificadores por radiofrecuencia) en materia de protección de datos de carácter personal, ya informó hace un año a la Comisión Europea de los graves riesgos que conllevaría un uso ilícito de RFID pero también alerta de que sin una mayor sensibilización ciudadana hacia estos asuntos no será posible controlarlos adecuadamente.

El uso de RFID nos está suscitando numerosas preocupaciones en materia de protección de la vida privada de las personas por los nuevos riesgos para la intimidad y el ejercicio de los derechos y libertades que presenta esta nueva tecnología. Cabe destacar que en algunos estados de los EEUU como, por ejemplo, California, ya disponen de una normativa sobre el uso de RFID. Aquí, la Comisión Europea, a través del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, está analizando las implicaciones que conlleva el uso de esta tecnología y, en este sentido, solicitó hace meses la opinión de partes interesadas en una consulta pública, entre ellas a la CLI."

En segundo lugar y en relación con estos hechos, ayer mismo el blog de Bruce Schneier se hacía eco de un estudio de la Universidad de Washington en donde han demostrado como utilizando el kit de Nike+Ipod se puede hacer el seguimiento y localización de la persona que lo lleva puesto mediante Google Maps. Este kit está siendo vendido para corredores que quieren saber el tiempo de carrera, la distancia que recorren, las calorías que consumen.

Como dice Schneier, los chips no tienen información que identifiquen a una persona, pero si todos tienen un identificador único, entonces ser posible entonces localizar a una persona si se sabe el ID del producto que compró.

Aunque anecdótico o de ciencia ficción, es un ejemplo más de como no se piensa en proteger la privacidad cuando se diseñan estos aparatos y de lo sencillo que resulta modificar su uso original para obtener otros usos menos lícitos. Adjunto el estudio que Schneier comenta de la Universidad de Washington.
miércoles, 6 de diciembre de 2006 0 comentarios

Las polémicas sobre la seguridad de Windows Vista.

Son ya varios los blogs y noticias referentes a la valoración de las mejoras en materia de seguridad que Windows Vista está anunciando. Entiendo que toda publicidad debe valorarse siempre de manera excéptica pues trata de potenciar las mejoras sin objetividad, pero también de la misma manera hay que coger con pinzas las críticas cuando no se basan en pruebas técnicas sobre sistemas reales.

Leo vía Genbeta un artículo relacionado con la seguridad de Windows Vista donde resumen los comentarios aparecidos en la Web de Symantec respecto a unas pruebas de malware sobre Vindows Vista. El artículo original puede leerse en Symantec Security Response Weblog: Hit or Miss? Vista and Current Threat Survivability. Es conocido que desde que Microsoft anunció una solución antivirus en su propio sistema operativo, las relaciones con Symantec no son nada buenas.

En este blog Paul Thurrott's SuperSite for Windows: Windows Vista Review, Part 5: Windows Vista Features: Security Features podéis valorar vosotros mismos algunas de las mejoras que en materia de seguridad incorpora el nuevo sistema operativo. Sin entrar en polémicas, creo que el esfuerzo por mejorar el sistema y corregir importantes errores de diseño que no consideraron la seguridad como requisito han empezado a subsanarse.

Ahora, visto todo esto, lo que ningún sistema operativo en materia de seguridad podrá es librarse de comentarios como este:
"¿Significa esto que Vista es mucho más seguro? Bueno, es un poco más seguro, pero la mayoría del malware falló porque daba por sentadas una serie de características del sistema que no se producen en Vista, como que el usuario dispone de permisos de administrador. Seguro que cuando los autores de malware se decidan a atacar esta plataforma encontrarán maneras de esquivar estas protecciones de seguridad que Microsoft ha añadido."

Estamos de acuerdo con el razonamiento, pero es que ¡aplica a todos los productos software!.

¿Serían los sistemas Unix/Linux tan seguros si los autores de malware pudieran evadir la gestión de privilegios? Evidentemente no.
¿Serían las aplicaciones opensource tan seguras si los autores de malware pudieran contaminar el código antes de distribuirlo e introducir rootkits? Evidentemente no.

Cuando se ponen barreras y alarmas contra los malos se minimizan algunos riesgos pero también implica que el próximo ataque no se hará con los métodos para los que las nuevas medidas de seguridad son eficaces. Por tanto, habrá que ver por donde aparecen los nuevos problemas y si esta vez los autores de malware lo tienen tan facil como hasta ahora.

Por tanto, ¿son el resto de sistemas operativos ahora más vulnerables?.
Pues podria pasar que si, puesto que si el coste de atacar sistemas Windows se va a incrementar por la dificultad que pueda suponer evadir las medidas actuales y el resto de sistemas operativos empiezan a contar con suficiente popularidad como para asegurar un buen mercado de victimas potenciales, quizás ahora el atacante empiece a cambiar el punto de mira y lo que antes no merecía la pena atacar ahora puede ser un objetivo interesante.
martes, 5 de diciembre de 2006 0 comentarios

Aumento de la demanda sobre ISO 27001

Leo en ISO27000.es una excelente noticia para el gremio de la seguridad.

Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma.

Algo de sentido común, puesto que cada vez más los servicios están orientados hacia la gestión de activos cuya seguridad debe estar preservada. Toca primero al licitador previamente haber identificado sus activos y haber construido su propio SGSI, pero una vez hecho esto, sus proveedores deben garantizar la "cadena de seguridad".

Tal como indica en la web ISO27000.es, "El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799.

Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información.

URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados.

Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga."

Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste.

El artículo original, puede leerse en Tender conditions drive ISO 27001 update - 07/Sep/2006 - ComputerWeekly.com
 
;