jueves, 29 de noviembre de 2007 0 comentarios

Riesgos del teletrabajo

A todo el mundo se le hacen los ojos "chiribitas" cuando oye que en el futuro podrá ser un teletrabajador. Sin embargo, desde la perspectiva de los responsables de sistemas de información, es justo en ese momento cuando empieza un temblor en las piernas.
En esta vorágine de modernizarlo todo, “alguien” debe profundamente reflexionar y pensar que nuevos medios implica revisión de los diseños. Es como si a un edificio ya construido, le ponemos por encima cuatro plantas más. ¿Vale el mismo proyecto arquitectónico? ¿Resistirá la nueva carga?. Pues eso es lo que habitualmente se hace con los sistemas de información, y por desgracia, sin contar con “sus arquitectos” ni con expertos en “seguridad de la información” (que no ya informática).

El teletrabajo es un nuevo elemento que hay que tratar de proteger de la manera mejor posible. Sin todavía justificar mi respuesta, ya anuncio que el principal problema de seguridad es el usuario teletrabajador que no sea un empleado fiel.

Cuando se estudia y diseña un sistema de seguridad, se realiza lo que llamamos un análisis de riesgos. Básicamente consiste en identificar el sistema de información, sus procesos, sus actores y para cada una de estas piezas plantearte qué cosas pudieran suceder y cuales son realmente los daños y por tanto, los riesgos.

En el tema del teletrabajo, podemos identificar tres trozos que forman el proceso: Usuario-cliente, el canal de comunicación, y los sistemas centrales que suministran los datos. Este esquema es por ejemplo, el que también presentan los servicios de banca electrónica.

Ante esta situación, ¿qué nuevos riesgos aparecen? Pues bastantes más que cuando el proceso está localizado en una única sede. En un servicio presencial, podemos controlar de alguna manera tanto a los visitantes como a los empleados.

A nivel técnico, las decisiones de seguridad para establecer controles tienen por objetivo garantizar:

  • Seguridad del canal de comunicación a través de conexiones seguras, utilizando para ello VPN (virtual private networks) que en teoría, son eso, redes privadas virtuales (digo en teoría, porque que una red sea vpn no implica explícitamente que el tráfico que circula por ella vaya cifrado, aunque así sea en el 99% de los casos).

  • Seguridad en el cliente, tratando de garantizar su identidad mediante un proceso de autenticación (usuario y contraseña, tarjeta de claves, dni-e,etc.)

  • Seguridad del proceso que sirve datos, que es lo que ya tiene medidas de seguridad porque esta parte no ha cambiado en cuanto a lo que hace, pero sí en cuanto a los medios de acceso. Es necesario ahora que ésta parte también se identifique, requiriendo una prueba técnica de que la dirección de Internet asociada es la correcta. Esto es básicamente un certificado digital de servidor (por lo que ponemos httpS://www.banco.es). Necesitamos poder verificar que cuando en el navegador ponemos la dirección que nos sabemos (la URL), www.banco.es, el servidor que nos atenderá será realmente el del banco.

Siguiendo con el ejemplo de la banca online, lo que se ha hecho mal ha sido no garantizar suficientemente la robustez del mecanismo de identificación del cliente ( y por ello se sufre el phishing) ni de los procesos que sirven datos (Identificación del servidor mediante un certificado digital y por ello se sufre el pharming).

En un entorno de teletrabajo, ¿Qué puede controlar una organización?
  • a) Que no se acceda por canales inseguros o manipulables, o sea, no permitir teletrabajo sin una conexión cifrada y nada de redes wifi abiertas.

  • b) Que no pueda acceder cualquiera, requiriendo una adecuada y robusta autenticación (olvidarse de usuario y contraseña)

  • c) Que los servidores responderán las 24 horas los siete días de la semana, unos 365 días al año.

¿Qué es difícil que pueda controlar una organización? Pues, sencillamente que el usuario sea honrado. Nadie va a poder evitar que ese teletrabajador en su casa, no siente a su lado, por ejemplo, a un empresario que sea de la competencia, o al vecino que quiere ver un expediente donde es afectado. Imagino que dentro de unos años, al igual que ahora se graban las conversaciones telefónicas en los servicios prestados mediante este medio, también se obligará al uso de una cámara Web y se grabará todo el rato al teletrabajador que está delante teóricamente trabajando.
¿Descabellado? Tiempo al tiempo…

Ya he comentado alguna vez la normativa internacional utilizada en materia de seguridad, ISO 27001 e ISO 27002. En ellas, esta problemática está extensamente cubierta por diferentes tipos de controles que indico:
Seguridad ligada al personal
- Funciones y obligaciones, investigación de antecedentes, concienciación, proceso disciplinario.
Gestión de comunicaciones y operaciones
- Políticas de intercambio de información, mensajería electrónica
Control de acceso
- Responsabilidades del usuario, control de acceso a la red, al sistema, a la aplicación e información, Controles 11.7. Ordenadores portátiles y teletrabajo.

El problema como se puede ver, tiene solución, pero requiere, por un lado de interés por parte de la Dirección, Recursos técnicos, establecimiento claro de responsabilidades, concienciación, disciplina, fidelidad del empleado, monitorización del uso, … y un adecuado diseño de la seguridad de la información que realmente es necesaria.

Todo el mundo quiere teletrabajo porque busca sus beneficios, pero ¿conocemos los nuevos riesgos?
martes, 27 de noviembre de 2007 4 comentarios

Métricas y recomendaciones de implementación sobre ISO 27001

En una labor encomiable de Javier Ruiz Spohr y Agustín Lopez Neira, de ISO27000.es similar a las que nos vienen mal acostumbrando en su portal, hoy quiero dar a conocer la traducción al castellano del documento elaborado por Gary Hinson para la web ISO27000security.com sobre métricas y guía de implantación de controles de la norma ISO 27001 (Anexo A).
El documento podéis descargarlo en el portal ISO27000.es o desde este enlace.

Es de gran ayuda disponer de recomendaciones sobre cómo medir para plantearse cómo resolver una situación o implantar un control. Como consultor el tema de la medición es uno de los que más quebraderos de cabeza genera en el proceso de certificación ISO 27001, quizás por su importancia dado que el buen funcionamiento del SGSI debe valorarse en base al cumplimiento de objetivos y para ello, es crítico medir bien.

El mes pasado nuestro primer cliente ha logrado obtener su certificado ISO 27001, hecho que nos llena de satisfación por el trabajo de consultoría bien realizado y por ser un proyecto pionero al tratarse, según parece, de la primera Administración Pública que obtiene una certificación ISO 27001. También comentar que el proyecto ha sido bonito principalmente porque el alcance era extenso y horizontal para toda la organización, con unas doscientas personas involucradas en los procesos administrativos de tramitación que han sido objeto de certificación. Tras un año y medio de proyecto y superar algunas dificultades, el cliente ha superado con éxito el proceso de auditoría y ya solo queda esperar la tramitación del expediente de certificación.

De esta forma, Firma, Proyectos y Formación S.L. , una consultora modesta de la Región de Murcia se suma al resto de consultoras que ya han logrado una certificación ISO 27001. En nuestro caso además, también destacar que por necesidades del cliente, han sido ellos los primeros en lograr el sello aunque en Firma estamos también trabajando para pronto lograr el reconocimiento de la gestión de la seguridad sobre nuestros servicios de consultoría. En estos temas, es necesario predicar con el ejemplo, aunquen en nuestro caso, nuestro cliente es nuestra mejor referencia.

También comentar que a través del Grupo de Google "http://groups.google.es/group/Seguridad-de-la-informacion" se están compartiendo y comentando diferentes enfoques o dudas respecto al proceso de certificación por el que todos tenemos que pasar y sobre el cual algunos ya tenemos experiencia, tanto como Auditor provisional IRCA 27001 como consultor que ha vivido en primera persona el proceso de certificación.

Quien quiera participar o colaborar puede suscribirse, es un foro abierto sin restricciones salvo respectar las normas de educación de todo foro.
lunes, 26 de noviembre de 2007 0 comentarios

UNLOCKER 1.8.5. ¿Quién está usando este fichero?

Como usuario, una de las cosas que siempre me genera algún problema es al intentar copiar o borrar cualquier fichero, que el sistema me anuncie que no puede hacer esa tarea por encontrarse en uso el archivo. Esta situación se anuncia como:
- No se puede eliminar el archivo: se ha denegado el acceso
- Se ha producido un intercambio de violación.
- La fuente o el archivo de destino puede estar en uso.
- El archivo está siendo usado por otro programa o usuario.

Hasta la fecha, en esos casos, tenía que tirar de Process Explorer, de la gente de Sysinternals para ver qué procesos tenía en ejecución y así matar aquél que pudiera estar bloqueandome el archivo bloqueado.
Desde hace unos días, he descubierto la utilidad UNLOCKER, que precisamente su misión es avisar sobre qué programa está bloqueando un archivo cuando intentas hacer cualquier cosa que no puede ser ejecutada por este motivo. UNLOCKER te permite desbloquear el archivo para que la tarea pueda ejecutarse.


Podéis obtener más información sobre las bondades de este programa y su descarga en UNLOCKER 1.8.5 BY CEDRICK 'NITCH' COLLOMB
miércoles, 21 de noviembre de 2007 0 comentarios

Publicada la segunda parte de la BS 25999.

Javier Ruiz Spohr, de ISO27000.es ha comentado hoy en el grupo ISO2000security que ya ha sido publicada la norma BS 25999-2.
Para quien no ubique esta norma, es la segunda parte de la norma BS 25999 y ambas están relacionadas con la gestión de la continuidad de negocio.
He encontrado bastante información la Web http://www.bs25999.com/ donde se comentan las dos partes de esta norma que puede ser adquirida en la tienda del BSI.

Coincide también que ayer, en la II Jornada Internacional del ISMS, el Bussiness Continuity Institute (BCI) repartió en castellano el manual en buenas de prácticas en gestión de continuidad de negocio.

Un tema muy vivo del que seguro que pronto también surge la necesidad de una normalización y estandarización, sobre todo, si la Comisión Europea se está planteado cómo garantizar la continuidad de negocio de las denominadas "infraestructuras críticas".
viernes, 16 de noviembre de 2007 0 comentarios

Herramienta DataRecovery

Ya he comentado en los bri-consejos de seguridad algunas herramientas de recuperación de archivos como recuva,
restoration o ontrack easy recovery.
Normalmente cuando este tipo de herramientas hacen falta es porque por descuido detectamos que hemos borrado algún fichero del ordenador. En estos casos surge el problema de que si la herramienta no está ya disponible en el disco, al instalarla podemos fastidiar los archivos que potencialmente podemos recuperar.
Es sencillo, pensar que estos temas de recuperación de documentos son como el CSI. Como uno de los principios del análisis forentes, nunca deben alterarse las pruebas en el proceso de recogida de evidencias. Por tanto, si queremos recuperar algún archivo pero no disponemos del software instalado tendremos a priori un problema.

La herramienta que hoy quiero recomendar localizada vía Genbeta es muy útil en estos casos porque es autónoma y puede ser ejecutada directamente desde un dispositivo externo. Por tanto, en caso de problemas, podremos utilizar un pendrive en donde tengamos esta herramienta para solucionar el problema.

Desde la perspectiva purista del análisis forernse, es cierto que "pinchar" un dispositivo externo altera la información forense del equipo examinado (nuevo proceso en ejecución, consumo de recuersos en memoria,etc) pero para el objetivo de recuperar información, este tipo de efectos colaterales no debe preocuparnos. El resultado es la recuperación de los archivos.


Las características técnicas de la herramienta son:
- soporta la recuperación de archivos FAT12,FAT16,FAT32,NTFS.
- recupera archivos borrados de ficheros comprimidos NTFS.
- recupera archivos cifrados de ficheros EFS NTFS.
- ejecutable desde un dispositivo externo.
- recupera los archivos de un directorio borrado
- no necesita instalación de DLLs

El único requisito importante es que requiere privilegios de administrador sobre el equipo utilizado. La herramienta es freeware y podéis localizarla en DataRecovery Web. La descarga se realiza desde este enlace.
miércoles, 14 de noviembre de 2007 0 comentarios

(IN)SECURE Magazine 14

Ya se ha publicado el número 14 de la revista (IN)SECURE Magazine.
En esta publicación sus contenidos son:
  • Attacking consumer embedded devices

  • Review: QualysGuard

  • CCTV: technology in transition - analog or IP?

  • Interview with Robert "RSnake" Hansen, CEO of SecTheory

  • The future of encryption

  • Endpoint threats

  • Review: Kaspersky Internet Security 7.0

  • Interview with Amol Sarwate, Manager, Vulnerability Research Lab, Qualys Inc.

  • Network access control: bridging the network security gap

  • Change and configuration solutions aid PCI auditors

  • Data protection and identity management

  • Information security governance: the nuts and bolts
  • Securing moving targets

  • 6 CTOs, 10 Burning Questions: AirDefense, AirMagnet, Aruba Networks, AirTight Networks, Fortress Technologies and Trapeze Networks


Podéis descargar este ejemplar mediante este enlace.
jueves, 8 de noviembre de 2007 0 comentarios

Los formularios CAPTCHA empiezan a ser vulnerados por los spamers

Leo del Blog de Trendmicro qué método están usando los spamer para saltarse los formularios CAPTCHA.¿Qué son los captcha? Bueno, la respuesta se puede obtener desde la Wikipedia.

Captcha es el acrónimo de Completely Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing pública y automática para diferenciar a máquinas y humanos).

Este es un típico test para la secuencia "smwm" que dificulta el reconocimiento de la máquina rotando las letras y añadiendo un gradiente de fondoSe trata de una prueba desafío-respuesta utilizada en computación para determinar cuándo el usuario es o no humano. El término se empezó a utilizar en el año 2000 por Luis von Ahn, Manuel Blum y Nicholas J. Hopper de la Carnegie Mellon University, y John Langford de IBM.

La típica prueba consiste en que el usuario introduzca un conjunto de caracteres que se muestran en una imagen distorsionada que aparece en pantalla. Se supone que una máquina no es capaz de comprender e introducir la secuencia de forma correcta por lo que solamente el humano podría hacerlo (salvo error).


En el Blog de TrenMicro comentan la aparición de un nuevo troyano que utiliza ingeniería social para conseguir que los usuarios colaboren y descifren codigos captcha licitos de otras Webs.


El troyano usa de nuevo la ingenería social con uno de los principales argumentos motivadores, el SEXO.
La aplicación malware plantea un juego donde debes ayudar a Melissa a perder algo de ropa. Para ello, van apareciendo diversos códigos CAPTCHA que el usuario debe teclear. Esta información es enviada a un servidor remoto y se corresponde con retos de sitios válidos que así el spamer ya tiene listos para poder utilizar y saltar. Sencillo, ingeniero y efectivo, como suele ser normal en técnicas malware.

La información con el detalle técnico del troyano y su mecanismo podéis leerla en
CAPTCHA Wish Your Girlfriend Was Hot Like Me?
miércoles, 7 de noviembre de 2007 2 comentarios

Ingenieros de primera

Esta semana se celebra en Madrid la feria de informática SIMO que es normalmente escaparate de los nuevos productos y tecnologías que van a ser lanzados al mercado. Normalmente la cobertura mediática de este evento es ver en telediarios los nuevos gadgets, portatiles y cacharros que la industria quiere ofrecernos para facilitar el acceso a la información.

En esta edición curiosamente se han encontrado con la sorpresa de una concentración de los titulados universitarios en la materia que exigen una regulación del mercado. Ya se que estos temas suelen asociarse a "cotas de poder", poner "limites a la actuación profesional", definir "capacidades y competencias", que en general son temas muy impopulares.

Por otro lado, nuestro mundo ha basado su avance en la mejora y calidad de actividades y procesos. En el siglo II seguramente no había arquitectos titulados para hacer construcciones y no se caían, tampoco se había formalizado los estudios para el ejercicio de la medicida y se curaba a la gente, etc.

Definir capacidades y competencias es simplemente indicar qué requisitos mínimos debe tener todo profesional que se enfrente en el día a día a una problemática para garantizar el éxito de su tarea.
¿Nos libra eso del fallo humano? Claro que no. En todos los gremios y disciplinas se comenten errores pero al menos, existe la posibilidad de depurar responsabilidades. Si se puede definir quién es el autor o contibuidor en la negligencia cometida. Y eso, aporta seguridad al sector o gremio que se regula.

¿Por qué? Creo que por varios motivos:
- Disuade al ignorante y atrevido a hacer cosas por las que luego tendrá que asumir responsabilidades en caso de problemas.
- Garantiza una formación mínima de la mano de obra que realiza los trabajos.
- Delimita tareas y responsabilidades que luego pueden ser investigadas para buscar culpables.
En general, profesionaliza el ejercicio de una actividad y el desarrollo de unas competencias.

¿Qué problema hay con la regularización de la "Informática"? Pues creo que el principal es que la palabra es muy grande y dentro de ella hay demasiadas actividades y tareas. En las titulaciones informáticas evidentemente no se abarcan todas las áreas de conocimiento relacionadas con la Informática, pero si todos pasamos por unas asignaturas horizontales que son los auténticos cimientos de la construcción de hardware y software, así como de su gestión e implantación. Pero esto es algo común ya que pasa lo mismo con el gremio médico, la carrera da unos cimientos y la especialización capacita para el ejercicio.

Yo soy ingeniero en informática y me he especializado en seguridad de la información ¿Es esta la única titulación con la que se puede realizar este tipo de actividad? Pues quizás no del todo, porque dentro de este área caben muchos perfiles y visiones que contribuyen al avance en general de la materia pero si que es una de las que sale de "fabrica" más capacitada porque utilizo los conocimientos adquiridos en varias de las ramas de la informática que estudié aunque he tenido que ir complementando para especializarme en esta materia concreta. Lo que si tengo claro es que hay otras áreas de la informática en donde sólo deberían ejercer ingenieros e ingenieros técnicos en informática. Ello nos lleva a un antiguo debate respecto a si se debe limitar o no el ejercicio libre de profesiones, pero igual que creo que podría construir una casa que no se me caería, se que en la vida real esto sería imposible sin pasar por todo el proceso burocrático pertinente en donde al final, necesitaría contar con el visto bueno del gremio de la arquitectura para tener la certeza de que no se caerá a pesar de mi convencimiento.

Quizás a la informática se la juzga por sus resultados y eso es lo que más daño le hace. En la carrera todos estudiamos algoritmos y veíamos que un problema tiene muchas soluciones, pero siempre hay una que es la óptima, la que menos recursos y tiempo consume y cuyo orden del algoritmo presenta el mejor valor. Sin embargo en el día a día ¿Quién valora un programa por su eficiencia? Como no se mide el tiempo que se está perdiendo en ciclos de computación inútiles, no se puede cuantificar la pasta que se pierde.

Lo contrario sin embargo si que vende. El mercado quiere soluciones eficaces y rápidas. Creo que solo hay que pensar en Google para imaginarnos lo que supone un buen algoritmo y el negocio que ello genera. Y todo ello porque contaban con los conocimientos adecuados de dos disciplinas intimamente relacionadas, las matemáticas y las matemáticas aplicadas a la información y tecnología, también llamada "informática". Por reseñar las titulaciones de los creadores de Google, tenemos:

Larry Page
Hijo del profesor de Informática de la Universidad Estatal de Michigan, el doctor Carl Victor Page, la pasión de Page por los equipos informáticos empezó a los seis años. Siguiendo los pasos académicos de su padre, Page se graduó con honores por la Universidad de Michigan, donde obtuvo una licenciatura en ingeniería, en la especialidad de ingeniería informática.

Sergey Brin
Originario de Moscú, se licenció con honores en matemáticas y en informática por la Universidad de Maryland en College Park. Actualmente se ha tomado un descanso del doctorado en Informática de la Universidad de Stanford, en la que obtuvo un máster.

Por tanto, hay que empezar a ver la informática con otra perspectiva o esta sociedad de la información que ha nacido con cimientos de barro se nos vendrá encima. Vamos a empezar a hacer las cosas bien en todas las etapas:
- Construcción del hardware con procedimientos de desarrollo industrial y certificaciones de producto.
- Construcción de software siguiendo metodologías de desarrollo y de madurez.
- Implantación de sistemas con descripción de proyecto y visado del mismo.

Una cadena de actividades destinada a proporcionar confianza y garantías de que lo que se ha montado no funcionará "casi por azar" sino porque se tiene la certeza y evidencias de que todo está correcto y nada fallará.

Por eso, desde este blog quiero unirme a la iniciativa de Ingenieros de primera y dar el apoyo simbólico que supone dedicarle un post.
martes, 6 de noviembre de 2007 0 comentarios

BgInfo v4.12

La aplicación que hoy voy a recomendar puede ser útil para los administradores de entornos Microsoft. Es frecuente disponer de un acceso remoto para labores de soporte, cuando el usuario notifica una incidencia que no requiere ir a su sitio de trabajo para solucionarla.

Lo normal es que la gente de soporte tenga que solicitar una información mínima al usuario, como suele ser el nombre del equipo o la dirección IP. Pues bien, la gente de Sysinternals, que ahora ya son de Microsoft, han creado una utilidad que sobreimpresiona al fondo de pantalla del usuario los datos técnicos que se quieran. El aspecto que toma el escritorio es similar al que representa la siguiente captura:

En cuanto a configuración, se puede añadir tanta información como se desee. Los técnicos deberán cortarse un poco para no llenar de texto el fondo y que el resultado no sea demasiado molesto para el usuario, pero cada uno puede adaptarlo a sus necesidades. También BGInfo permite que los datos sean almacenados en una base de datos o fichero cada vez que el programa se ejecute.

Lo más normal es colocar este programa como uno de los iniciados al entrar al equipo, para de esta manera sea algo transparente al usuario final.

El programa se puede descargar en BgInfo v4.12
 
;