lunes, 26 de febrero de 2007 0 comentarios

«Al final, la sociedad reclamará un mayor control sobre Internet»

Hoy ha tenido lugar en el salon de actos de Cajamurcia una charla de Juan Salom Clotet, Jefe del Grupo de delitos telemáticos de la Guardia Civil. El contenido de la charla ha sido ameno y didáctico, ya que el Sr. Salom nos ha descrito el amplio abanico de delitos informáticos existentes, sus diferentes categorías y las medidas que la Guardia Civil utiliza en la investigación de este tipo de delitos.

Por hacer resumen, entre las categorías, creo recordar cuatro bloques de clasificación:
- Delitos relacionados con la propiedad intelectual.
- Delitos relacionados con el hacking.
- Delitos relacionados con el fraude electrónico.
- Delitos relacionados con cotenidos delictivos (pedofília, xenofobia, apología del terrorismo, etc.)

Aunque creo que el mensaje a transmitir por el Sr. Salom era como define el titular, que "es necesario ponerle ciertas puertas al campo" o como bien ha explicado el, limitar o definir que contenidos son licitos y publicables en Internet y que contenidos no lo son, en su recorrido por la situación actual ha dibujado un panorama nada alentador (que por otro lado, es el que realmente existe y con el que él convive día a día).

Si bien el aforo no parecía muy puesto en el uso y "abuso" de las tecnologías de la información, lo comentado en la charla está a la orden de día y la comisión de este tipo de delitos va en aumento principalmente por el alto grado de impunidad que existe a la hora de poder encausar a un presunto delincuente. Como bien ha explicado el Sr. Salom, la investigación se basa en indicios que son altamente volátiles y que a menudo son dificiles de recabar. Una vez obtenidas esas evidencias, empieza la investigación tradicional pero en un alto porcentaje de casos, no consiguen suficientes indicios como para poder solucionar los casos.
En conclusión y según lo deducido por sus afirmaciones, todo lo investigado se resuelve, pero la pregunta es ¿Todos los incidentes son denunciados? ¿Todas las denuncias obtienen indicios suficientes para generar una actuación o comienzo de una investigación?

En fin, es la realidad que no se debe ocultar aunque el pueblo llano traduce esta situación en miedo e indefensión ante los potenciales riesgos que supone estar conectado.

El contenido integro de la entrevista realizada al Sr. Salom puede ser consultada en Articulo en La Verdad: «Al final, la sociedad reclamará un mayor control sobre Internet».

Para los que no hayan podido asistir, el cotenido de la charla ha utilizado la presentación Powerpoint que aparece en el siguiente enlace: Delitos telemáticos.

Juan Salom pertenece a la Grupo de delitos telemáticos de la Guardia Civil y como una de las pocas herramientas del ciudadano de apie por solucionar esta lacra en el ciberespacio, ha solicitado la colaboración ciudadana en la denuncia de todo tipo de acciones presuntamente delictivas a través de su página Web. Seguro que cuando el indice de delitos lleve a escándalo a los políticos, se tomarán las medidas adecuadas para legilar y controlar este tipo de infracciones.
jueves, 22 de febrero de 2007 0 comentarios

Windows PowerShell

A pesar de que las noticias entorno a Windows Vista están monopolizando la atención de todos los foros, quiero hoy hacer referencia a una novedad que Microsoft ha denominado Windows Powershell.
Se trata de un lenguaje de scripting que intenta proporcionar una potencia semantica en modo texto que permita a los administradores automatizar sus tareas y programar sus actividades mediante un lenguaje sencillo y potente. Para ello, Microsoft se ha basado en una tecnología que viene introduciendo desde las versiones de Windows 2000 que es el interfaz WMI que es como un agente interno al que interrogar cuando se desea conocer el estado de un equipo Windows.

Esto suena mucho a intentar reproducir en entornos Windows las bondades de los entornos de shell de Unix/Linux.

Este producto descargable es gratuito y sin licencia y puede descargarse en Windows PowerShell.

Ya hay quien a visto el filon a esta nueva manera de comunicarse con las máquinas Windows y dispone de productos que transforman la información en formato texto a algo mas visual. A tenor de lo que he podido curiosear y las demos que pueden consultarse en Powergadgets, y la Quick Start Guide esto promete...
miércoles, 21 de febrero de 2007 0 comentarios

Fallo de seguridad en Google Desktop

La revista Wired se hace eco de un fallo de seguridad en el producto Google Desktop que podría exponer los ficheros personales de un ordenador al robo de datos por terceros.
En este caso, la vulnerabilidad fue comunicada a Google que no la ha hecho pública hasta que no han podido subsanarla.

El fallo fue descubierto por Watchfire Corp. y el potencial ataque utiliza una técnica similar al cross-site scripting que permite al atacante colocar codigo malicioso sobre el PC que tiene instalado Google Desktop. El PC puede ser infectado de multiples maneras y podría pasar desapercibido por los firewalls y antivirus del mercado. La vulnerabilidad fue comunicada a Google el 4 de enero y ha sido cerrada el 1 de febrero. Si bien es cierto que Google Desktop se actualiza periodicamente y de manera automática con el Google Pack, esta vulnerabilidad ha pasado algo desapercibida.

La noticia puede ser contrastada en Wired o Statesman.

Aunque todos los agujeros de seguridad son vulnerabilidades, hay unos productos más sensibles que otros. En primer lugar está el software de protección perimetral ya que supone la primera barrera de protección, pero software como Google Desktop es también extremadamente sensible ya que ordena e indexa todo el contenido del disco y por tanto, permite proporcionar la lista de todo aquello que podría ser interesante.
martes, 20 de febrero de 2007 0 comentarios

Garantizando la integridad de ficheros en DVD o CD

Leo vía Guru de la informática que la herramienta ICE ECC permite verificar la integridad de los archivos almacenados en DVD y CD, y en el supuesto caso de un archivo corrupto por daños en el disco, puede recuperarlos.

ICE ECC crea un archivo de recuperación de las carpetas o archivos que elegimos de los DVD o CD que queremos proteger. Esta herramienta nos permite chequear una vez creado el archivo de recuperación la integridad del archivo y en caso de fallo poder repararlo.

Para ello, ICE ECC utiliza Reed-Solomon que es un código cíclico no binario y constituye una subclase de los códigos BCH. Los códigos cíclicos son una subclase de los códigos de bloque estándar de detección y corrección de errores que protege la información contra errores en los datos transmitidos sobre un canal de comunicaciones. Este tipo de código pertenece a la categoría FEC (Forward Error Correction), es decir, corrige los datos alterados en el receptor y para ello utiliza unos bits adicionales que permiten esta recuperación a posteriori.

ICE ECC es un buen complemento de las copias de seguridad para proteger nuestros datos del deterioro de los soportes ópticos.

La herramienta puede ser descargada en ICE ECC.
jueves, 15 de febrero de 2007 0 comentarios

DRM en Windows Vista

Leo vía Kriptópolis la traducción al español del artículo publicado el 12 de Febrero por Bruce Schneier entorno a la gestión de derechos digitales y Windows Vista.

Las críticas entorno a este sistema operativo están siendo tan intensas como la campaña de marketing que la propia compañía ha realizado. Es en estos momentos cuando debe generarse la necesidad para el cambio, la batalla por convencer al usuario final se libra más intensamente y en todos los frentes. He recibido varios correos cadena con argumentos dispares y confusos pero cuyo objetivo es atemorizar a la gente para que no migre.

Sinceramente no soy ni de unos ni de otros, aunque soy usuario Windows. Todavía como usuario no me convencen los entornos Linux porque su funcionalidad es similar y no veo ventajas a migrarme dado que voy a disfrutar de software que hace cosas similares a las de Windows o incluso muchas veces más limitadas.
La seguridad como argumento tampoco me convence porque con mis herramientas gratuitas siempre he conseguido mantener el PC libre de todo tipo de malware. Hay mucha potencia y mecanismos de prevención en los sistemas Microsoft que bien configurados consiguen unos niveles de seguridad muy considerables. Solo quiero recordar que la norma utilizada para certificar la "seguridad del software" son los Common Criteria o ISO 15408 y otorgan a Windows 2000 un nivel EAL 4. Mencionar que estas certificaciones son realizadas por laboratorios INDEPENDIENTES y que ponen a disposición de todo el mundo el escenario que se evalua y la información de configuración para conseguir el nivel certificado. En esta regla de comparación objetiva, otros sistemas operativos tienen resultados similares o inferiores:
- Apple Mac OS X v10.3.6, EAL 3.
- Hewlett-Packard HP-UX 11i v2, EAL 4+.
- MIRACLE LINUX V4.0, EAL 1.
- Nokia IPSO 3.5, EAL 4.
- Red Hat Enterprise Linux AS, EAL 3+
- Red Hat Enterprise Linux (RHEL) Version 4 Update 1 AS, EAL 4+.
- SUSE Linux Enterprise Server Version 9 with Service Pack 2, EAL 3+.
- VMware ESX Server 2.5.0, EAL 2.

Las configuraciones necesarias para obtener estos niveles y los requisitos de seguridad evaluados están disponibles al consultar cada certificación y accesibles visitando la url href="http://www.commoncriteriaportal.org/public/consumer/index.php.

Por tanto, no hay ni trampa ni cartón. En ese sentido comparto muchas veces los razonamientos del blog Un informático en el lado del mal como recientemente publico en su post Tonterías a la vista.

Se que en aspectos de seguridad se han realizado bastantes mejoras, que han sido cambios profundos en la propia Microsoft. Se han hecho bastantes esfuerzos y todos creo que correctos, como son el desarrollo de una metodología propia de desarrollo donde aplica seguridad en el diseño como es SDL o la construcción de un marco de operación de los sistemas con el famoso Microsoft Operation Framework (MOF). Todos estos esfuerzos por garantizar la fiabilidad y robustez de la informática son objetivamente una mejora en el camino correcto y desde este punto de vista,(en mi modesta opinión) Microsoft va siempre por delante. Es más dificil explorar un nuevo camino y abrir una senda, que recorrerlo cuanto ya está señalado y muy pateado.

Dicho esto, los argumentos que Schneier plantea cambian ya mi manera de ver este nuevo sistema operativo. No porque no satisfaga todos los requisitos necesarios para ser un sistema operativo más fiable, más robusto o más seguro sino porque empieza a hacer cosas que no me interesan. Como usuario no tengo por qué dedicar mi máquina a estar vigilando que se garantizan los derechos de terceros que no se hacen con otro tipo de amenazas o peligros. El 90% de mi tiempo lo dedico a retocar mis fotos, elaborar mis documentos o navegar por Internet para documentarme. ¿Por qué entonces el ordenador tiene que estar perdiendo el tiempo y recursos(memoria, ciclos de procesador) en monitorizarme para salvaguardar los intereses de unos terceros. ¿No es el usuario responsable e inocente hasta que se demuestre lo contrario?

Que yo sepa, nadie se plantea limitar los coches para que cumplan con las leyes de seguridad vial.¿Por qué debe ser el software diferente?.
miércoles, 14 de febrero de 2007 0 comentarios

(IN)SECURE Magazine numero 10

Ha sido publicado el número 10 de la revista (In)secure Magazine. El contenido de este número es:

- Microsoft Windows Vista: significant security improvement?
- Review: GFI Endpoint Security 3
- Interview with Edward Gibson, Chief Security Advisor at Microsoft UK
- Top 10 spyware of 2006
- The spam problem and open source filtering solutions
- Office 2007: new format and new protection/security policy
- Wardriving in Paris
- Interview with Joanna Rutkowska, security researcher
- Climbing the security career mountain: how to get more than just a job
- RSA Conference 2007 report
- ROT13 is used in Windows? You're joking!
- Data security beyond PCI compliance - protecting sensitive data in a distributed environment
La revista puede ser descargada desde el siguiente enlace: Insecure Magazine número 10
jueves, 8 de febrero de 2007 0 comentarios

Control 6.1.7. Contacto con grupos de interes especial.

Vía Gaona-sec me ha llegado una url muy interesante que monitoriza el nivel de amenaza de Internet. Parecida al Radar Talisker que ya comenté en la entrada La NSA y el software libre y El primer SOC de España, esta Web monitoriza los ataques más repetidos, las vulnerabilidades que están siendo más utilizadas, los servicios más atacados y el código CVE por el que se utiliza, así como los paises que generan el mayor volumen de ataques.

La presentación visual de los resultados no tiene desperdicio. Además proporciona información detallada pulsando en los diferentes enlaces. Es otra candidata más a aparecer como fondo en cualquier SOC o centro de proceso de datos donde se esté vigilando en tiempo real el estado de la seguridad de internet.

Por hacer de recopilación, indico las urls interesantes para cubrir el control 6.1.7. de la norma ISO 17799:2005:

En versión española, podemos utilizar:


Se admiten comentarios para ampliar esta lista.
miércoles, 7 de febrero de 2007 1 comentarios

Analisis forense en entornos corporativos

No tenía conocimiento del blog de Alfredo Reino pero ya lo he añadido al conjunto de Blog compañeros en temas de seguridad de la información. El caso es que he dado con él gracias a uno documento técnico que comparte sobre el análisis forense en entornos corportativos.

Está disponible el documento Powerpoint donde brillantemente se explican y cubren todos los aspectos a tratar entorno a este tema, sin olvidar ninguna de las perspectivas que de deben considerarse, sobre todo las cuestiones legales para que el proceso sea fiable. También ilustra y documenta el conjunto de herramientas con las que contar para no olvidar recolectar las evidencias, con especial cuidado en aquellas que son volátiles.

Hay archivos interesantes que pueden descargarse en la sección de alfredo reino » Documentos técnicos.


Está distribuido bajo licencia Creative Commons. Un saludo y felicitaciones por este trabajo a Alfredo Reino.
lunes, 5 de febrero de 2007 1 comentarios

ISO/IEC 27006, Requirements for bodies providing audit and certification of information security management systems

Leo vía ISO 27000.es que a mediados de este año (según apunta Agustín en su comentario, parece que será antes) va a publicarse la norma ISO 27006, "Requirements for bodies providing audit and certification of information security management systems" que permitirá la acreditación de los organismos que están certificando sistemas de gestión de seguridad de la información.

Con esta norma, ENAC ya podrá acreditar en España a los diferentes certificadores y dar así un impulso más a este proceso obteniendo una certificación acreditada bajo el esquema de acreditación español. Esto supone la definición clara de los requisitos que deben satisfacer los organismos certificadores, que posteriormente son quienes otorgan el sello ISO 27001 a las instituciones y empresas que solicitan el proceso de certificación.

Por confirmar esta noticia, he recurrido a las dos Webs donde puede uno mantenerse al día entorno a las novedades en cuestión de normas de seguridad. En la Web de ISMS International User Group (Xisec.com) aparece como noticia y en la Web de la International Organization for Standardization
(ISO.org) aparece publicado con fecha del 30 de enero de 2007 el paso del estandar al estado 60.00, que es justo el paso anterior al estado 60.60 que es cuando se publica como norma internacional. Por tanto, se espera en no mucho tiempo que esta norma sea publicada.
jueves, 1 de febrero de 2007 0 comentarios

Seguridad de los datos confidenciales y de carácter personal almacenados en soporte papel

Leo vía el Blog de Xavier Ribas los resultados de un estudio que ha realizado entorno a la seguridad de los datos de carácter personal almacenados en soporte papel.

Los datos del estudio son contundentes, el 63% de las empresas españolas no dispone de normas de seguridad específicas.El estudio se ha realizado por Landwell y PricewaterhouseCoopers sobre una encuesta de más de 600 empresas.

A continuación, selecciono los resultados más interesantes publicados en el Web.

"El 27% de las empresas encuestadas dispone de una metodología para clasificar y almacenar los documentos con datos personales o con información confidencial. Además sólo un 44% de las firmas consultadas incluyó una cláusula de confidencialidad en el contrato con la empresa que realiza la limpieza de las oficinas."

"El sondeo muestra que tres de cada diez compañías no controlan el acceso a los documentos en soporte papel y apenas un 18% de las mismas tiene un responsable de seguridad de los datos con competencias en materia de documentos en papel. De ello se deduce que las empresas españolas no están en condiciones de cumplir el nuevo reglamento que prepara el Ministerio de Justicia sobre este tema, que previsiblemente entrará en vigor este año, y que tendrán que invertir entre 3.000 y 90.000 euros, según su tamaño y necesidades, para adaptar sus políticas a dicha normativa."

Los resultados del informe pueden consultarse en el siguiente enlace.
 
;