jueves, 28 de febrero de 2008 0 comentarios

Guía para la elaboración de los procedimientos y registros establecidos en el nuevo reglamento 1720/2007 de protección de datos

Firma, Proyectos y Formación ha elaborado un documento donde se recopilan los contenidos mínimos que deben incluir los procedimientos y registros establecidos en Título VIII del nuevo Real Decreto 1720/2007. Para ello hemos analizado los requisitos que establece cada una de las medidas, teniendo en cuenta las aplicables al tratamiento tanto automatizado como manual, seleccionando todas aquellas que requieren la elaboración de algún tipo de documento e identificando los contenidos mínimos de cada una de ellas. A la hora de establecer y documentar los procedimientos hay que tener en cuenta siempre que deben ser eficaces y ajustarse al estado de implantación en la empresa, dado que es la información utilizada para la revisión del cumplimiento.

El documento puede ser obtenido aquí
martes, 26 de febrero de 2008 0 comentarios

Un país censura globalmente a un proveedor de contenidos, Youtube

Salta a la actualidad hoy el incidente causado por Paquistán en relación al bloqueo y censura del portal Youtube. La noticia recogida por los medios tradicionales tiene también una cobertura técnica más completa que relata los problemas de seguridad que tienen los protocolos de enrutamiento de Internet.
El Gobierno de Pakistán decidió hace unos días impedir el acceso a sus ciudadanos a YouTube, por considerarlo un portal "blasfemo" por los vídeos sobre el islam que se pueden encontrar en esta Web. Pakistán bloqueó el acceso a YouTube pero ésta es la primera vez que una censura del servicio a nivel local tiene repercusiones en los acceso a esta Web desde otros países.

Tal como explica el blog de ArbornetWorks, la Autoridad de Telecomunicaciones de Pakistán exigía que de inmediato se bloquease el acceso a una URL de YouTube, o más concretamente el acceso específico a 3 Direcciones IP: 208.65.153.238, 208.65.153.253 y 208.65.153.251. Estas tres direcciones IP corresponden a los registros de recursos DNS Un asociados con www.youtube.com:

Así que, evitando todo debate acerca de si dice o no la censura es adecuada, y sólo centrándose en la manera en que se puede bloquear el acceso a esas direcciones IP, o YouTube, en general, se disponen de tres opciones:
  • 1. Implantar listas de control de acceso en los routers para descartar en todas las interfaces los paquetes hacia o desde esas direcciones.

  • 2. Incluir rutas estáticas para esas tres IP o tal vez a la que abarca el prefijo (208.65.153.0/24), a null en la interfaz de todos los routers en su red

  • 3. Emplear algo similar a una función de enrutamiento BGP blackhole que los resultados en todos los paquetes destinados a las tres direcciones IP, o el que cubre los prefijos, sea desechado o descartar el próximo hop reenvío de paquetes.
Pues el uso de esta tercera opción y el funcionamiento del protocolo BGP ha producido, de manera intencionada o no la inaccesibilidad, el bloqueo de Youtube a escala mundial. Toda una denegación de servicio en toda regla.
El detalle técnico del incidente puede ser consultado en Internet Routing Insecurity::Pakistan Nukes YouTube?.
viernes, 22 de febrero de 2008 0 comentarios

Cifrados "vulnerables" de discos duros

Esta semana se juntan dos noticias en relación a problemas de seguridad de discos completos.

Por un lado, el buen trabajo de Heise Security que acaba de dejar en evidencia a toda una gama de discos USB que proclaman utilizar cifrado AES para proteger los datos y a la hora de la verdad se conforman con hacer un simple XOR de los mismos contra un bloque-clave fijo. El detalle del estudio se puede leer en Enclosed, but not encrypted.

Por otro, la noticia que salta hoy a la primera plana de los blogs más destacados es la posibilidad de romper el sistema de cifrado de disco completo de algunas de las aplicaciones más utilizadas por almacenar en memoria DRAM la clave de cifrado simétrico. Un equipo de la Universidad de Princeton lo ha logrado y encima ha dejado un video demotración de cómo lograrlo.

Los investigadores de Princeton han demostrado que los datos en la DRAM pueden sobrevivir entre varios segundos y -digamos- un minuto tras apagar un ordenador a temperatura ambiente, pero que además ese tiempo puede alargarse enormemente si se procede a enfriar la memoria con un simple spray congelante (y ya no digamos con nitrógeno líquido).
Para muestra la imagen que cuelgan en Kriptópolis con los los datos recuperados (de izquierda a derecha) de la RAM a los 5, 30, 60 y 300 segundos de apagar el ordenador:

Ni TrueCrypt, ni BitLocker, que viene con Windows Vista; ni FileVault, que viene con MacOS X; ni dm-crypt, usado en Linux resisten el ataque.
En resumen, estos sistemas pretenden ser más seguros mediante el almacenamiento de la clave de cifrado en memoria DRAM (sin escribirla en ningún momento a disco) pero un atacante (o investigador forense) con acceso físico al PC puede extraer los chips de memoria, enfriarlos de alguna manera (incluso con sprays de aire comprimiedo), y acceder a la clave sin problema. Cosas de película pero ¿que no se hace por un puñado de dolares, una buena motivación o una buena recompensa?
Quien quiera curiosear, en este enlace tiene la documentación técnica de cómo lo han conseguido y a continuación adjunto también el video demostración de cómo se ha logrado.



Sugerencia: Esperar cinco minutos antes de abandonar el portatil en una ubicación física no controlada o bien hacer una pausa para el café y apagar antes el portatil para tener la certeza de que la DRAM se volatiliza o bien usar discos cifrados por hardware como ya comenté hace un año que tienen la clave en un dispositivo USB para tener controlada la clave de cifrado.

Quiero también dejar claro que estos incidentes no deben generar desconfianza sobre el cifrado.
"No fallan las matemáticas, falla la implementación tecnológica de las mismas."

jueves, 21 de febrero de 2008 0 comentarios

Los cables de Internet

Internet, la red de redes que conecta globalmente a todas las personas está construida mediante una ingente cantidad de nodos de comunicación conectados entre sí. Alguna vez me he preguntado cómo podría ser la estructura física de la "red de redes" y hoy a través de un artículo comentando la incidencia ocurrida sobre los cables submarinos, aparecen los planos de Internet.



Aunque hay millones de usuarios de internet, sólo hay un puñado de cables submarinos que llevan la gran mayoría de los datos. Agregale a eso que hay 13 enlaces claves que forman la columna vertebral de internet y te das cuenta de que Internet también tiene unos cimientos localizables que algún día alguien puede querer zarandear.

Por suerte en el diseño de Internet si se contempló la hipótesis del ataque a nodos y la red fue preparada para soportar ataques. Al ser un sistema totalmente distribuido, la magia de Internet permite que los datos puedan encontrar vías alternativas para llegar a su destino. Sin embargo, cuando se cae un enlace, quedan menos enlaces que deben manejar la misma cantidad de información, por lo que se arman atascos y el tiempo de espera se hace eterno.

Como explica la gente de Fayerwayer en ¿Quién cortó los cables submarinos de internet? a finales de Enero se cortaron dos enlaces de una subsidiaria de la norteamericana Verizon que iban desde Europa, por el Mediterráneo, hasta el Medio Oriente. Esos dos cortes causaron la disminución de un 50 a 60% del ancho de banda en Egipto e India. Eso significa no solamente una conexión a internet más lenta, pero menor capacidad para los centros de llamado que varias multinacionales tienen en India.

¿Cómo sucedió? En un principio se pensó que un buque carguero había arrastrado su ancla en una zona con cables, pero se descubrió que ningún buque había transitado la zona. Comenzó la investigación.

Cuatro días después, Dubai, tierra del ski y rascacielos que no paran de crecer, anunció que se había quedado sin internet. El culpable fue otro cable, de otro operador, que también cruzaba el Mediterráneo. No eran buques cargueros y tampoco había explicación. No podía ser tanta la coincidencia.

Al día siguiente, falló la fuente de poder de un cuarto enlace en Qatar y Twitter ya no cargaba. La operadora Qtel anunció una baja de un 40% en su capacidad, relativamente baja gracias a la alta cantidad de rutas alternativas que operaba.

Seis días después del primer corte, lo imposible pasa. Uno de los cables que se habían cortado la primera vez, se vuelve a cortar. No me pregunten. Sólo informo: El cable FALCON de Flag Telecoms que llega al puerto de Alejandría en Egipto sufrió un segundo corte.

En total, 5 enlaces caídos en 6 días. 82.7 millones de personas en India, Pakistán, Egipto y Arabia Saudita afectadas por los cortes. ¿Cómo sucedió? ¿Qué o quién los cortó? ¿Simple coincidencia?
martes, 19 de febrero de 2008 0 comentarios

DVD disaster, herramienta de diagnóstico y recuperación de CD/DVD

Leo en Gurú de informática un post bastante interesante con una aplicación de diagnóstico de CD/DVD.

De todos es conocido que los dispositivos de almacenamiento opticos tienen un tiempo de vida limitado aunque depende principalmente de la calidad del material utilizado en su fabricación. Nunca he sido de los que buscan precio competitivo en este tipo de material cuando son utilizados para proteger información importante.

El Consejo Superior de Informática, dependiente del Ministerio de Administraciones Públicas establece en su documento "Criterios de seguridad, normalización y conservación del Ministerio de Administraciones Públicas" en relación a la información en soporte electrónico, una estimación del tiempo de vida de un CD/DVD:
- CD/DVD: tiempo de vida de 10 a 20 años
- CD-RW y DVD-RW: Regrabable (RW) + 1.000 veces: Reescribir cada 10 años.

En el cuidado de estos soportes debemos sobre todo proteger la superficie del dispositivo. El deterioro de un CD/DVD suele producirse desde la región interna del disco hasta su región externa.

La herramienta que hoy comento, DVD-disaster, nos puede ayudar a recuperar información de soportes ópticos dañados, que muchas veces no son legibles por el sistema y llegan a bloquear la unidad. Dvdisaster permite recuperar perdigadas de información por deterioro del soporte y genera un archivo de corrección de errores ECC del disco y una imagen de dicho disco. A partir de la imagen del disco y el fichero de ECC, corrige los sectores que no son legibles y el resultado lo vuelca una nueva imagen con lo que se ha podido recuperar del disco.


Esta pensado para generar archivos ECC como copias de seguridad de CD/DVD con información importante de manera que permita su posterior recuperación con Dvdisaster en caso de deterioro pero también puede utilizarse para evaluar el estado de un CD/DVD.
Este software está actualmente disponible en las plataformas: FreeBSD, Linux , Mac OS X, NetBSD y Windows 2000 o XP. Soporta: CD-R, CD-RW, DVD-R, DVD+R, DVD-R DL, DVD+R DL, DVD-RW, DVD+RW y DVD-RAM. El programa está accesible en descarga de DVD-disaster
jueves, 14 de febrero de 2008 3 comentarios

En el juego online también se hacen trampas

Esta semana Sergio Hernando ha elaborado un excelente post sobre el juego online y cómo se está utilizando para la distribución de malware que recomiendo leer.
A esto se junta la noticia que aparece hoy en DiarioTI que revela que mucho de este malware tiene como objetivo hacer trampas y estafar al jugador profesional que se mete en este tipo de plataformas.
La técnica es similar a la utilizada en los troyanos bancarios para adivinar los números de acceso: ir capturando cada poco tiempo las pantallas para enviar a un lugar esa información y que el jugador profesional acabe perdiendo la partida.

La noticia ha sido destapada por un canal de la televisión sueca que ha mostrado en un documental cómo estos estafadores ganan haciendo trampas a usuarios profesionales de poker en línea.



A veces soy demasiado repetitivo pero la vida real y el ciberespacio no se encuentran limitados por las mismas restricciones tanto de espacio como de tiempo, y por tanto, cosas que en la vida real no son posibles SI lo son en el mundo electrónico.

Un jugador profesional en una partida real sentado a una mesa puede más o menos controlar si está siendo espiado o al menos, proteger el contenido de sus cartas mirandolas cuidadosamente.

Un jugador profesional en una partida real sentado en una mesa virtual tiene que tener claro, a priori muchas cosas antes de poder dar por válida la limpieza de la mesa de juego y básicamente ello supone tener conocimiento de que su silla (en este caso su PC) es quien no va a jugarle una mala pasada y va a estar chivando sus cartas. Porque cuando sentado en tu PC miras tus cartas, las sabe el jugador y todas las aplicaciones que estén utilizando esa información para mostrar la partida. Si alguna aplicación de malware es capaz de interceptar nuestro juego, la partida está perdida si al otro lado el estafador sabe jugar.

La motivación como siempre, el beneficio económico y la facilidad con la que nuestras jovenes promesas pueden hacerse con estas cantidades de dinero. En el caso de la noticia, un joven de 16 años confiesa haber sustraído varios millones de euros. Como expresa perfectamente su confesión “No pensé mucho en lo que hacía. Entré y vi que había mucho dinero y sencillamente no puede contenerme. Era demasiado fácil". Con esa edad es dificil encontrar a gente con la madurez suficiente como para valorar la gravedad y trascendencia de este tipo de actos delictivos.

La noticia completa la podéis leer en DiarioTi:Realizan estafa millonaria contra jugadores de poker en línea
martes, 12 de febrero de 2008 0 comentarios

12 de febrero, Día de la Internet Segura

PROTEGELES.com realiza la actividad de promoción y sensibilización de un uso seguro de Internet por parte de los menores, mediante campañas de sensibilización dirigidas a menores, educadores y padres, así como campañas de comunicación e informativas que alcancen a los medios de comunicación y al público general. PROTEGELES desempeña la función de ser el Nodo español de sensibilización dentro de la Red Europea INSAFE . Tanto la actividad como Nodo español de sensibilización sobre un uso seguro de Internet, como la Red Europea INSAFE, son directamente promovidas y co-financiadas por la Comisión Europea.

Estas iniciativas han elaborado un par de spot publicitarios muy impactantes y significativos:
- El primer spot puede verse en la dirección Internetsegura2008.
- El segundo spot puede verse en la dirección Safenet2.com

Hoy 12 de febrero es el día internacional de Internet Segura y desde Protegeles.como se han desarrollado diferentes iniciativas que pueden ser consultadas en Día de la Internet Segura.
lunes, 11 de febrero de 2008 0 comentarios

El PCI Security Standards Council emite un cuestionario de auto evaluación

Leo vía FinancialTech Magazine que ya está disponible un nuevo cuestionario de evaluación de PCI-DSS. Para quien no conozca de que va el tema, PCI-DSS es fruto del esfuerzo del PCI Security Standards Council (PCI SSC) formado por las principales compañías emisoras de tarjetas de crédito (Visa, Mastercard, American Express, JCB y Discover), para forzar y facilitar a comercios, proveedores de servicios y bancos a reducir el riesgo de fraude con tarjetas de crédito, mediante la protección de las infraestructuras que procesan, transmiten o almacenan datos relativos a tarjetas de crédito. Cualquier organización que participe en el procesamiento, transmisión o almacenamiento de información de tarjetas de crédito queda afectada por el cumplimiento de los requerimientos que establece PCI DSS. PCI DSS cataloga a estas organizaciones en comercios o merchants (super/hipermercados, autopistas, e-commerce, agencias de viajes, etc), proveedores de servicios o service providers (ISP/ASP, pasarelas de pago, fabricantes de tarjetas, servicios de envío de tarjetas, procesadores de transacciones, etc.) y entidades financieras o acquirers (bancos, cajas de ahorro, entidades de crédito, etc.).

El PCI Security Standards Council, el organismo global de normas abiertas que suministra gestión de la norma para la seguridad de la información PCI Data Security Standard (PCI DSS) y requisitos de seguridad para los dispositivos de entrada de PIN, PCI PIN Entry Device (PED), así como para la norma de seguridad de la información para las aplicaciones de pago, Payment Application Data Security Standard (PA-DSS), anunció que se encuentra disponible a partir de ahora el Cuestionario de Auto Evaluación (SAQ) para comerciantes y proveedores de servicio.

En respuesta a estos comentarios de la industria, este nuevo SAQ incorpora actualizaciones diseñadas para reflejar la última versión 1.1 de la DSS y reemplaza una versión anterior que había estado vigente desde enero de 2005. La versión 1.1 del SAQ está disponible en la web del organismo, y consta de cuatro formularios únicos para ajustarse a distintos escenarios comerciales. Estos cuatro incluyen:
  • SAQ A: Está orientado a las necesidades de los comerciantes que han externalizado todo el almacenamiento, procesamiento y transmisión de la información del titular de la tarjeta.

  • SAQ B: Creado para satisfacer las necesidades de los comerciantes que procesan la información del titular de la tarjeta, únicamente mediante máquinas de impresión o terminales independientes de acceso telefónico.

  • SAQ C: Construido para orientarse a las necesidades de los comerciantes cuyos sistemas de aplicaciones de pago están conectados a Internet.

  • SAQ D: Diseñado para satisfacer las necesidades de todos los proveedores de servicios definidos por una marca de pago como elegibles para completar un SAQ, y de aquellos comerciantes que no entran dentro de las categorías a las que se destinan los SAQ A, B, o C.


Se puede leer la noticia completa en el artículo de FinancialTech Magazine titulado El PCI Security Standards Council emite un cuestionario actualizado de auto evaluación.
Quien quiera acceder directamente a los cuestionarios de auto-evaluación(en ingles), puede hacerlo a través del enlace PCI SSC New Self-Assessment Questionnaire (SAQ).

Las empresas españolas S21sec e Internet Security Auditors proporcinan servicios en relación a este tema.
viernes, 8 de febrero de 2008 0 comentarios

Disponible la versión 5.0 de Truecrypt.

Nacido en 1997, TrueCrypt es una de las soluciones para cifrar datos mas sólida, real y segura jamás creada para plataformas comerciales.
Además, permite un uso casi transparente para usuarios no acostumbrados al uso de este tipo de aplicaciones de seguridad como ya os comenté en el post Consejos para el uso de Truecrypt.


Tener en cuenta que si tenéis instalaciones móviles y empezáis a crear nuevos volumenes con esta versión, debereis también actualizar el ejecutable que lleváis en el pendrive para que os funcione.

La nueva versión 5 incorpora soporte para Mac OS X, una interfaz gráfico para su versión Linux y la funcionalidad de crifrar en Windows una partición de sistema completa, con autenticación antes de que el sistema se inicie (pre-boot authentication).
TrueCrypt 5 es totalmente gratuito, y siempre lo será en la dirección www.Truecrypt.org

NOTA: Ya he probado la nueva versión y da error al abrir los ficheros generados con versiones anteriores, por problemas de incompatibilidad del driver. Por tanto, antes de instalar la nueva versión, extraer de archivos cifrados el contenido protegido, instalar la nueva versión y volver a crear volumenes cifrados para de nuevo almacenar la información a proteger. Otra de las pegas que me he encontrado con Truecrypt y que me advirtió Javier Ruiz Spohr es que requiere privilegios de administrador para poder ejecutar el archivo Truecrypt en instalaciones móviles, con lo que en entornos muy restrictivos el programa no va.
martes, 5 de febrero de 2008 0 comentarios

Numero 15 de (In)secure Magazine

Ya ha sido publicado el número de febrero de la revista (In)secure Magazine. Los contenidos de este ejemplar son:

  • Proactive analysis of malware genes holds the key to network security

  • Advanced social engineering and human exploitation

  • Free visualization tools for security analysis and network monitoring

  • Internet terrorist: does such a thing really exist?

  • Weaknesses and protection of your wireless network

  • Fraud mitigation and biometrics following Sarbanes-Oxley

  • Application security matters: deploying enterprise software securely

  • The insider threat: hype vs. reality

  • How B2B gateways affect corporate information security

  • Reputation attacks, a little known Internet threat

  • Data protection and identity management

  • The good, the bad and the ugly of protecting data in a retail environment

  • Malware experts speak: F-Secure, Sophos, Trend Micro


El ejemplar puede ser descargado directamente en este enlace.
 
;