martes, 29 de abril de 2008 0 comentarios

Situación actual de la serie 27000

La semana pasada tuvo lugar en Kyoto una reunión del Subcomité 27 de ISO para seguir avanzando en la elaboración de estandares de la serie 27000. En concreto el listado actual de normas que se encuentran en desarrollo y finalizadas son:

  • ISO/IEC 27000 - proporcionará una vista general del marco normativo y un vocabulario utilizado por las normas de la serie.

  • ISO/IEC 27001:2005 - Especificaciones para la creación de un sistema de gestión de la seguridad de la información (SGSI).Publicada en 2005.

  • ISO/IEC 27002:2005 - Código de buenas prácticas para la gestión de la seguridad de la información describe el conjunto de objetivos de control y controles a utilizar en la construcción de un SGSI (actualizada desde la ISO/IEC 17799:2005 y renombrada en el 2007 como ISO 27002:2005).Publicada en 2005 y renombrada en 2007.

  • ISO/IEC 27003 proporcionará una guía de implantación de la norma ISO/IEC 27001.

  • ISO/IEC 27004 describirá los criterios de medición y gestión para lograr la mejora continua y la eficacia de los SGSI.

  • ISO/IEC 27005 proporcionará criterios generales para la realización de análisis y gestión de riesgos en materia de seguridad. Se espera su publicación en breve a lo largo del año.

  • ISO/IEC 27006:2007 es una guía para el proceso de acreditación de las entidades de certificación de los SGSI. Publicada en 2007.

  • ISO/IEC 27007 será una guía para auditar SGSI.

  • ISO/IEC TR 27008 proporcionará una guía para auditar los controles de seguridad de la norma ISO 27002:2005.

  • ISO/IEC 27010 proporcionará una guía específica para el sector de las comunicaciones y sistemas de interconexión de redes de industrias y Administraciones, a través de un conjunto de normas más detalladas que comenzarán a partir de la ISO/IEC 27011.

  • ISO/IEC 27011 será una guía para la gestión de la seguridad en telecomunicaciones (conocida también como X.1051)

  • ISO/IEC 27031 estará centrada en la continuidad de negocio

  • ISO/IEC 27032 será una guía para la cyberseguridad.

  • ISO/IEC 27033 sustituirá a la ISO/IEC 18028, norma sobre la seguridad en redes de comunicaciones.

  • ISO/IEC 27034 proporcionará guías para la seguridad en el desarrollo de aplicaciones.

  • ISO/IEC 27799 no será estrictamente una parte de la serie ISO 27000 aunque proporcionará una guía para el desarrollo de SGSI para el sector específico de la salud.
martes, 22 de abril de 2008 0 comentarios

Revista (In)secure Magazine, número 16

Ya está accesible el número 16 de la revista (In)secure Magazine. Los contenidos de este ejemplar son:
- Security policy considerations for virtual worlds
- US political elections and cybercrime
- Using packet analysis for network troubleshooting
- The effectiveness of industry certifications
- Building a secure future: lessons learned from 2007's highest-
profile security events
- Advanced social engineering and human exploitation, part 2
- Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young
- Is your data safe? Secure your web apps
- RSA Conference 2008
- Producing secure software with security enhanced software
development processes
- Network event analysis with Net/FSE
- Security risks for mobile computing on public WLANs: hotspot
registration
- Black Hat Europe 2008 Briefings & Training
- A Japanese perspective on Software Configuration Management
- Windows log forensics: did you cover your tracks?
- Traditional vs. non-tranditional database auditing
- Payment card data: know your defense options

El documento está accesible en Numero 16 (In)secure Magazine.
miércoles, 16 de abril de 2008 0 comentarios

Virtualización y seguridad de la información

De nuevo la gente de Infosecwriters nos dejan un interesante documento que afronta el tema de la virtualización y la seguridad de la información.
El texto de 19 hojas trata sobre las ventajas de la virtualización, las características de los productos VMware y Microsoft Virtual Server y las consideraciones en materia de seguridad de la información a tener en cuenta.
El documento puede ser descargado en "Server Virtualization Products and Information Security"
lunes, 14 de abril de 2008 0 comentarios

El valor del documento digital ante la Justicia, por Carlos Sánchez Almeida

Aparece hoy en el Navegante publicada la contestación de Carlos Sánchez-Almeida a la pregunta sobre el valor del documento digital ante la Justicia.
El texto integro puede ser consultado en Privacidad y nuevas tecnologías « Mundo Binario

A continuación extracto las partes que considero más interesantes:
El documento digital en las leyes
"Tradicionalmente, los documentos han estado siempre vinculados con un determinado soporte al que se incorpora su contenido. Esta circunstancia no ha cambiado, puesto que por muy digital que sea un documento, en el Juzgado siempre habrá de aportarse en un soporte físico, bien sea un papel donde se imprime el correo electrónico, bien sea en un DVD donde se incorpora el código fuente de un programa.

De todas formas, no puede decirse que la legislación no prevea ya la virtualidad de los documentos electrónicos, puesto que son numerosas las normas que, de una u otra forma, aluden a esta figura. Por ejemplo, la regulación de la factura electrónica, que la reciente Ley de Impulso de la Sociedad de la información define en su artículo 1 como el "documento electrónico que cumple con los requisitos legal y reglamentariamente exigibles a las facturas y que, además, garantiza la autenticidad de su origen y la integridad de su contenido, lo que impide el repudio de la factura por su emisor".



La prueba del correo electrónico
La normativa no establece qué requisitos ha de tener el correo electrónico, como tal, para que sea admisible en juicio y en la práctica pueden darse diferentes supuestos sobre el grado de 'eficacia probatoria' de lo que se aporte al Juzgado.
En relación con el correo electrónico habría que probar dos cosas: la efectividad del envío y el contenido del mensaje.

La efectividad del envío, es decir, que desde una determinada máquina se ha remitido un correo con destino a otra, puede acreditarse de diversas formas, dado que el correo atraviesa las máquinas de diferentes proveedores. Así, si se utiliza un sistema de correo de una tercera persona, como Gmail o Hotmail, o un servidor de correo independiente del emisor, las empresas responsables del servicio puede acreditar diferentes extremos sobre el correo, que podrían considerarse elementos probatorios suficientes como para acreditar su existencia.

Cuestión distinta será acreditar el contenido. Cuando no exista un tercero de confianza, lo que se conseguirá es un resultado análogo a la remisión de una carta certificada, pudiéndose probar exclusivamente quien mandó la carta y quien era el destinatario, pero no el texto de la misma.


Prueba de páginas web
Es cada vez más habitual la necesidad de aportar a juicio una determinada información presente en páginas web, que constituye en no pocas ocasiones, 'el cuerpo del delito'.

Entre las tremendas carencias del sistema judicial español, destaca sobremanera el apego reverencial al documento escrito, y la proverbial ineficacia de los archivos en papel, extremo éste que la reciente huelga de funcionarios de justicia ha puesto trágicamente de manifiesto. Oficinas decimonónicas, atestadas de legajos, ofrecen una imagen de la justicia muy lejana de la que reclama la sociedad del siglo XXI.

Los jueces consideran poco menos que sagrados los documentos en papel, y en no pocas ocasiones la prueba de páginas web se ha de llevar a cabo mediante aportación impresa de dichas páginas. Muchos abogados nos hemos encontrado con una negativa cuando se ha planteado como prueba la aportación a la Sala de Vistas de un ordenador con conexión a Internet, algo imprescindible cuando la materia objeto de prueba son hiperenlaces: a dónde lleva un clic de ratón puede ser imposible de probar mediante una hoja de papel, especialmente cuando al juez de turno la programación html le suena a música celestial.

El derecho constitucional al juez predeterminado por la ley tiene sus ventajas y sus inconvenientes, no siendo el menor la peculiar lotería sobre los conocimientos informáticos del juzgador. Como nunca se sabe si nos va a tocar una magistrada puesta al día, o un Júpiter pretecnológico, resultará recomendable siempre levantar acta notarial que acredite el funcionamiento de la página web en cuestión. A falta de fe en la tecnología, siempre nos quedará la fe pública.
jueves, 10 de abril de 2008 6 comentarios

Dentro de la Mente Torcida del Profesional de Seguridad, por Bruce Schneier

Una reflexión interesante que justifica como debe ser un buen consultor de seguridad. La traducción es de Pedro Verdín, miembro del Grupo Google Forosi.

"Uncle Milton Industries ha vendido granjas de hormigas a los niños desde 1956. Hace algunos años, recuerdo que un amigo abrió una. No se incluían hormigas en la caja. En vez de ello, había una tarjeta que debías llenar con tu dirección, y la compañía te enviaría por correo algunas hormigas. Mi amigo se sorprendió de que pudieras obtener las hormigas por correo. Yo repliqué: "Lo que realmente es interesante es que éstas personas enviarán un tubo de hormigas vivas a quien quiera que les digas".

La seguridad requiere una mentalidad peculiar. Los profesionales de la seguridad -al menos los buenos- ven el mundo de manera diferente. No pueden caminar en una tienda sin notar cómo podrían robarla. No pueden usar una computadora sin preguntarse acerca de las vulnerabilidades de seguridad. No pueden votar sin imaginarse cómo votar dos veces. Simplemente, no lo pueden evitar.

SmartWater es un líquido con un identificador único vinculado a un propietario específico. "La idea es pintar esta cosa en mis bienes como prueba de propiedad", escribí cuando leí por primera vez acerca de esta idea. "Creo que una mejor idea podría ser poner mi pintura bienes ajenos, y luego llamar a la policía".
Simplemente, no podemos evitarlo.

Esta manera de pensar no es natural para mucha gente. No es natural para los ingenieros. La buena ingeniería implica pensar sobre cómo las cosas están hechas para funcionar; la mentalidad en seguridad involucra pensar sobre cómo las cosas pueden estar hechas para fallar. Esto implica pensar como un atacante, un adversario o un criminal. No tienes que explotar las vulnerabilidades para encontrarlas, pero si no ves el mundo de esa manera, nunca notarás tantos problemas de seguridad.
Muchas veces he especulado sobre cuánto de esto es innato, y cuánto es enseñable. En general, creo que es una forma particular de ver el mundo, y que es más fácil enseñar alguna experiencia en un dominio -criptografía o seguridad de software o ataque seguro o falsificación de documentos- que enseñar algo sobre mentalidad en seguridad.
Esto es por lo que CSE484 , un curso en seguridad computacional para pre-graduados que se imparte este trimestre en la Universidad de Washington, es muy interesante observar. El profesor Tadayoshi Kohno está tratando de enseñar una mentalidad en seguridad.
Se pueden ver los resultados en el blog que los estudiantes están generando. Se les invita a colocar revisiones de seguridad sobre cosas al azar: cajas de píldoras inteligentes, monitores para el cuidado de ancianos, Cápsulas del tiempo de Apple, el sistema de seguridad OnStar de GM, semáforos, cajas fuertes, y seguridad en dormitorios.
El más reciente es sobre un concesionario de automóviles. La persona que posteaba, describía cómo ella fue capaz de recuperar su coche después de un servicio con sólo dar a quien la atendía su apellido. Ahora cualquier propietario común podría estar feliz sobre cuán fácil es tener su coche de regreso, pero alguien con una mentalidad en seguridad inmediatamente piensa: "¿De veras puedo tener un automóviles con sólo saber el apellido de alguien que tenga el auto en el servicio?"
El resto de las ponencias en el blog especulan sobre cómo alguien podría robar un coche explotanto esta vulnerabilidad de la seguridad, y si tiene sentido para el concesionario tener esta seguridad laxa. Se puede evadir el punto con el análisis -tengo curiosidad sobre la responsabilidad que tiene el concesionario, y si su seguro cubriría cualquier pérdida- pero esa es toda la experiencia del dominio. El punto importante es notar, y entonces cuestionar, la seguridad en primer lugar.
La falta de mentalidad en seguridad explica un poco la mala seguridad que está por ahí: máquinas para votar, tarjetas de pago electrónico, dispositivos médicos, tárjetas ID, protocolos de Internet. Los diseñadores están tan ocupados haciendo que estos sistemas funcionen que no se detienen a identificar cómo podrían fallar o hacerlos que fallen, y entonces cúantas de dichas fallas podrían ser explotadas. Enseñar a los diseñadores una mentalidad en seguridad contribuirá en gran medida a hacer los sistemas tecnológicos del futuro más seguros.
Esta parte es obvia, pero creo que la mentalidad en seguridad es benéfica de muchas otras maneras.
Si la gente puede aprender como pensar fuera de su enfoque limitado y ver una imagen mayor, ya sea en tecnología o en política o en su vida diaria, ellos serían unos consumidores más sofisticados, ciudadanos más escépticos, menos gente crédula.
Si mas gente tuviera una mentalidad en seguridad, los servicios que comprometen la privacidad podrían no tener tal nicho de mercado -y Facebook podría ser totalmente diferente. Las computadoras portátiles podrían no perderse con millones de números de seguridad social sin cifrar en ellas, y no tedríamos que aprender algunas cuantas lecciones de seguridad por la vía difícil. La red de suministro eléctrico podría ser más segura. El robo de identidad podría ir a la baja. Los registros médicos podrían ser más privados. Si la gente tuviera una mentalidad en seguridad, no hubieran tratado de ver los registros médicos de Britney Spears, pues podrían darse cuenta que podrían ser atrapados.
No hay nada mágico en estas clases de la universidad; cualquiera puede ejercitar su mentalidad en seguridad simplemente tratanto de ver el mundo desde la perspectiva del atacante. Si yo quiero evadir este dispositivo de seguridad en particular, ¿cómo podría hacerlo? ¿podría seguir lo que dice esta ley, pero evadiendo el espíritu? Si la persona que escribió esta publicidad, ensayo, artículo o documental de televisión no tuvo escrúpulos, ¿qué podría haber hecho? Y entonces, ¿cómo podría protegerme yo mismo de estos ataques?
La mentalidad en seguridad es una habilidad valiosa de la que se puede beneficiar cualquiera, sin importar la trayectoria profesional."

Texto original en Schneier on Security: The Security Mindset
martes, 8 de abril de 2008 0 comentarios

CPD inundado, un video vale más que mil palabras.

La semana pasada recogía unas fotos impactantes respecto al estado del cableado de un CPD y ahora es un video de una inundación. No se si etiquetar estas entradas como "esas cosas que nunca pasan" pero este tipo de situaciones no son tan extraños.
¿Quién no consigue en una consultoría de seguridad que el cliente le confiese las historias más curiosas respecto a incidentes de seguridad sufridos?
Este tipo de hechos son parte de nuestrosecreto profesional. En este sentido, esta parte del trabajo es similar a la de un cura en el confesionario.



Sin embargo, ejemplos palpables como estos sirven para ilustrar que cosas que parecen impensables o remotas, finalmente ocurren en la vida real.

Nuestro estado actual de no concienciación nos lleva a ver estos incidentes como "vergonzosos" y en general, todo el mundo tiende a ocultarlos. Luego, cuando se realizan análisis de riesgos y preguntas por la frecuencia de ciertos incidentes siempre aparece la respuesta de "aquí nunca ha pasado nada, ni podría pasar". La duda siempre queda respecto a si no ha realmente pasado o es que no se notificó y registró. Es por ello que una de las primeras cosas que hay que afrontar en gestión de la seguridad es la notificación y gestión de incidencias.

Joseba Enjuto nos plantea una reflexión en su post ¿Hay seguridad? sobre este tema. Quizás es un ejemplo de más madurez reconocer los errores y responsabilizarse de las consecuencias que meterlos bajo la alfombra y tratar de disimular como si no hubiera pasado nada.


Es lo que denomino "estrategia del avestruz" que protege sus sentidos para ignorar el incidente, pero deja al descubierto otros puntos vulnerables que quizás produzcan un impacto mayor. Y finalmente no tomar las medidas adecuadas a tiempo tienen otras consecuencias.
miércoles, 2 de abril de 2008 0 comentarios

Política de uso de Internet

Al hilo del post que Sergio Hernando publica hoy "Acceso a Internet por parte de los empleados: ventajas, riesgos y amenazas", voy a comentar un documento con el que he dado hace pocos días y que me parece interesante referenciar.

El texto se encuentra en el enlace How to write an Acceptable Use Policy (AUP) y ha sido generado por la empresa SurfControl. Lo que merece la pena destacar del documento es que, previo a un razonamiento de por qué es necesario este tipo de políticas internas, indica los aspectos más interesantes que toda buena política de uso debe contemplar, tanto desde el punto de vista de la redacción como en los apartados que debe contener. Aunque ya comenté en el documento Guía para la elaboración del marco normativo de Seguridad ISO 27002 cual es la función de las políticas de uso y cómo encajan dentro del marco general de documentos SGSI, el texto que hoy me ocupa se centra en concreto en la política de uso de Internet. Los objetivos de un documento así son:
  • Clarificar la posición de la empresa respecto al uso de Internet

  • Proteger a la organización de los abusos internos justificando acciones disciplinarias

  • Concienciar y formar al personal sobre las amenazas que pueden presentarse a través de Internet.

  • Fomentar el uso correcto y eficaz de los recursos de la empresa


Las claves del éxito en la redacción están en:

  • Ser claro en la redacción

  • Consensuar una posición de la empresa

  • Definir expresamente lo que se consideran usos aceptables y tiempos de uso razonables

  • Establecer qué se consideran activos a proteger de la organización y cómo el empleado puede contribuir a ello

  • Definir responsabilidades y consecuencias del incumplimiento de la política


El documento no tiene desperdicio y por tanto, os recomiendo su lectura para profundizar más.
martes, 1 de abril de 2008 1 comentarios

Cableado, una imagen vale más que mil palabras

Una imagen vale más que mil palabras, y sobre todo en seminarios, charlas y eventos con una buena foto puedes hacer recordar muchos más conceptos que con varias transparencias llenas de texto. Nuestra memoria es así y lo visual se retiene mejor que el texto. En concreto hoy quiero dejar algunas "joyas" de la inseguridad en relación al mantenimiento de salas y cableado. Quien se haya movido un poco y haya revisado o visitado instalaciones de empresas grandes y pequeñas puede seguramente haberse encontrado alguna vez con imágenes como las que figuran a continuación.

Al respecto, la norma ISO 27002 establece en su control "9.2.3 Seguridad del cableado" una serie de recomendaciones precisamente para que las cosas no acaben como en las fotos. Disponer de una sala de cableado ordenada depende principalmente de la persona responsable del mantenimiento, que requiere que sea ordenada y paciente. Muchas veces las modificaciones sobre los armarios de comunicaciones son urgentes, pero si cuando se produce un cambio no se hacen las cosas bien, a medio y largo plazo las cosas acaban descontrolándose.
Esta primera foto muestra lo que sería una situación donde se aplica una mala política de gestión de los armarios de comunicaciones y pone de manifiesto que los cambios se hacen a la bravas, sin ir documentando ni etiquetando las modificaciones.


La cosa empieza así y si la organización crece y aumentan mucho sus necesidades de infraestructura, acaba en un desastre como en esta siguiente foto.



Una sala en estas condiciones es ingestionable. Es imposible hacer nada dado que cualquier cosa puede producir un incidente. Lo único que se logra es hacer imprescindible al manitas que sabe desenvolverse en ese contexto, pero que no pase nunca nada porque ese día se arma una muy gorda. Como se suele decir, "el orden llama al orden y el desorden llama al caos".

Esto mismo también se puede extrapolar al mantenimiento del equipamiento PC. Hay equipos que se asignan a labores rutinarias sin usuario directo y que son depositados en lugares no adecuados. Ello no quita que sea necesario cierto mantenimiento preventivo respecto a la limpieza del interior y de la sala donde se sitúan. Si se produce abandono, pueden pasar cosas como las que presenta esta tercera foto.


Quien no con esto tenga suficiente, puede ampliar la información con una colección más completa de imágenes completa sobre "desastres de mantenimiento" puede consultarse en Home Networks pero situaciones similares son cotidianas en muchas partes del mundo.
 
;