viernes, 31 de diciembre de 2004 0 comentarios

Último post del año 2004

Hoy, ultimo día del año, tengo la desgracia de tener que estar en mi puesto de trabajo. Acorde con mi filosofía de publicar los días laborales, me toca escribir el último post del año. Hace unos días publique un resumen de los eventos acontecidos en este agonizante 2004 y de los pronósticos para el año que entra. Hoy toca reflexionar sobre este blog.

Como conclusión general, este 2004 ha sido un muy buen año para mi blog, desde mi punto de vista como autor y generador de contenidos.
-Aumento de la frecuencia de publicación: En este año por fin he conseguido cierto nivel de disciplina a la hora de publicar con más o menos un post diario de lunes a viernes. La incorporación de un lector RSS ha tenido mucho que ver con esto, dado que el volumen de información que puedo procesar ha aumentado muchisimo y estoy suscrito via RSS a unos 100 webs del sector de la seguridad de la información. Con esta materia prima y con lo convulsionado que esta el tema, es fácil que todos los días haya algo que comentar.

- Aumento de la funcionalidad del Web: como complemento a mis necesidades de compartir información y conocimiento, mi blog ha sufrido cambios respecto a la versión anterior (http://seguridad-para-usuarios.blogspot.com/").
No solo ha cambiado el nombre, también el diseño y he incorporado nuevas funcionalidades. He incorporado el uso de herramientas para publicar imagenes, he añadido el buscador local al blog y un calendario de eventos para avisar de las reuniones y conferencias más imporantes. También y con carácter informativo, he puesto contadores para ver el número de visitas que recibo.

Por tanto, por mi lado, este año estoy satisfecho con el trabajo realizado.

Como propósitos para el año que viene, repito el objetivo del año pasado, hacer de esta pagina un sitio de referencia útil, con información interesate de lo ultimo publicado, de reflexión y comentarios sobre las tendencias en el área de la seguridad de la información.

Solo me queda como deseo para el año que entra que estos factores antes comentados hagan de este sitio un lugar visitado. Creo que a ello contribuirá el aparecer por fin en Google vinculado a los términos "seguridad de la información", "blog", "UNE 71502:2004" o "UNE ISO/IEC 17799:2002" pero a fecha de hoy no lo he conseguido y tampoco se que hacer para conseguirlo. Imagino que los comentarios que voy depositando en otros blogs conocidos pueden por fin conseguir este deseo.

Como curiosidad final solo me gustaría referenciar precisamente el estudio que anualmente hace Google sobre lo "mas buscado". Este año, incluso proporcionan una versión interactiva mucho más atractiva.
2004 Year-End Google Zeitgeist - Interactive Edition.

¡Feliz Año 2005!
miércoles, 29 de diciembre de 2004 0 comentarios

BBC NEWS | Cyber crime booms in 2004

Algunos Webs empiezan a hacer un repaso del año en materia tecnológica y en toda reflexión por supuesto aparece la IN-seguridad informática. Lejos de quedarnos en el análisis anecdótico del virus más popular, el más dañino, lo ÚNICO que cabe destacar es que las cifras son alarmantes.
Por recoger algunas de las más significativas del artículo de BBC News, destacar:
- Incremento del 50% en materia virica. Se ha superado la barrera de los 100.000 virus conocidos y han aparecido un 50% más de nuevos virus que el año pasado.
- Incremento de un 500% en correos de phishing y un 30% de ataques de esta forma. Esta amenaza ha sido una de las más trabajadas este año y muchos de los objetivos han sido entidades bancarias en su plataforma online.
- Incremento diario del numero de PC Zombies contaminados. Se estima que del orden de 2.000 a 30.000 PC se infectan para ser utilizados como zombies diariamente.

Estas cifras que serían alarmantes en cualquier otro sector, en este preocupan pero no implican grandes novedades o cambios. Y es que nos pasa siempre lo mismo. La marabunta ruge pero sigue siendo ignorada. Tendrá que venir un evento grave cuya repercusión sea trascendente, como la caida de Internet para que se tomen medidas de verdad.

Cambios de objetivo

Si estos datos son preocupantes, la cosa se pronositca peor. El objetivo de este mal-ware empieza a apuntar a nuevas victimas que hasta ahora no han sido muy atacadas como van a ser los telefonos móviles y los equipos con sistema operativo Linux. Siempre he dicho y defenderé que no es tanto una cuestión de tecnología sino de motivación el hecho de que esta plataforma no haya sido atacada. El virus Santy ha pegado duro sobre servidores que utilizan PHP. Los administradores Linux deben empezar a plantearse la instalación de antivirus en el sistema operativo que se vendía como "Free-virus".

La noticia comentada puede leerse en BBC NEWS | Technology | Cyber crime booms in 2004
martes, 28 de diciembre de 2004 0 comentarios

Por qué más seguridad puede producir menos seguridad

De uno de mis enlaces RSS olvidados he extraido hoy una interesante reflexión que quiero trasladar y traducir. El artículo que quiero comentar se deriva del publicado por la revista RISK Digest, With safety and security, more can be less.

El asunto que nos ocupa es por qué introducir medidas de seguridad puede producir como resultado menor seguridad. El texto original puede leerse en Why adding more security measures may make systems less secure. Las cuatro principales razones son:

1.- Problemas de redundancia.
Añadir redundancia solo hace más seguro el sistema si los nuevos elementos introducidos son absolutamente independientes de los ya existentes. Por ejemplo, duplicar infraestructura de red solo funciona realmente como redundante si fisicamente ambas infraestructuras se encuentran separadas. En caso contrario, reducen el riesgo en ciertas amenazas pero no proporcionan absoluta redundancia. Pensemos en el supuesto solo de un incendio sobre la sala. La redundancia no evitará el daño físico a ambos equipos y por tanto, la redundancia no proporcionará la seguridad deseada.

2.- "Apatía de la persona presente".
El efecto psicologico conocido como "Apatía de la persona presente" o "evasión de responsabilidad" conocido en el ámbito de las Redes sociales describe que cuanta mayor gente presencia un evento, menor el grado de responsabilidad de cada individuo y más facilmente se evade la responsabilidad otorgada. Por tanto, cuanta más gente chequea un sistema menos cuidadosa será la revisión realizada.

3.- El problema de la sobrecompensación.
Este problema puede resumirse con la siguiente frase. "Como el sistema es más seguro, podemos asumir más riesgos". Son hechos que se evidencian a menudo en otros ambitos de la seguridad. Como los coches son más seguros, los conductores conducen más rápido. Como disponemos de un sistema de backup, podemos intentar ciertas operaciones sobre el sistema porque estaremos a salvo, etc.

El articulo en concreto, añade a estos tres factores un cuarto no menos importante y que es:

4.- El problema del trabajador dedicado.
Si los requisitos de seguridad se implementan en las actividades del día a día, los trabajadores más especializados los comprometerán. Pedir contraseñas robustas, sistemas de control de accesos, políticas de mesas limpias... son actividades que implican una tarea rutinaria en el día a día. Despues de todo, los problemas de seguridad son riesgos, no realidades y además son eventos con poca probabilidad. Las medidas de seguridad implican trabajo extra y eso Sí es una realidad, y estas medidas hacen más pesado y tedioso nuestro día a día. Por tanto, el personal más especialidado y experto en seguridad obviará estas medidas por no considerar estos riesgos como probables.

De estos cuatro argumentos, uno es técnico y los otros tres psicológicos. Por tanto, cuando se esté intentando incrementar la seguridad de los sistemas han de tenerse en consideración estos factores con igual o mayor importancia que el análisis técnico realizado. En general, se suele indicar que es necesario entrenamiento en materia de seguridad. Efectivamente es necesario pero esta formación ha de ser útil.
lunes, 27 de diciembre de 2004 0 comentarios

Derechos de autor

Recojo via Carlosues una bonita carta de Internet a los autores españoles.

"A TI, AUTOR ESPAÑOL
Permíteme presentarme, soy La Red (algunos me llaman Internet) y te dirijo éstos bites debido a la alarma que hay generada entre los miembros componentes de nuestra comunidad.

Ignoro si, a pesar de haber alcanzado la fama gracias en parte a que algunos de tus fans colgaron tu obra en mí, todavía no me conoces como le ocurre a Estopa o si por el contrario me conoces bien e incluso me utilizas a menudo pero déjame hacerte algunas preguntas a ver si aclaramos el tema.

¿Solo hablas, escribes o cantas por dinero? ¿Nunca por placer? ¿Nunca has dado nada solo por el gusto de darlo? ¿No te hubieras quedado horas y horas sobre un escenario como le ocurre al Boss cuando hay Feeling? ¿O quizás como Michael Jackson jamás concedes un bis y acabas en el minuto y segundo preestablecidos?


Quizás y a pesar de ser una Nueva Tecnología peco de ilusa y de creer tópicos como que los Artistas/Autores sois efectivamente personas cultas y dispuestas a compartir vuestro mensaje pero hay cosas que no comprendo, ¿Es posible que Alex Ubago no esté dispuesto a que un Instituto Español utilice 15 segundos de una canción suya en un proyecto cultural ínter centros a nivel Europeo? Lo digo por que desde ese día los bites españoles que circulan por mis vías se hacen el mudo por la vergüenza que les produce que los reconozcan.

¿Puede alguien asegurarme que ese despreocupado y alegre chico de los ricitos no acepta que 5 chavales de Galicia que se reúnen 2 veces al año (el día del Patrono y la verbena de San Juan) y desempolvan sus guitarras puedan cantar sus Bulerías sin pagarle a pesar de que cada año él actúa allí y le pagan sus 180.000 Euros de caché religiosamente?

Alguna que otra Entidad gestora ha intentado en nombre vuestro cerrar Talleres de Radio o Radios Libres NO-COMERCIALES y de proyectos estudiantiles y eso es algo que yo, que siempre estoy en constante evolución, no alcanzo a entender…

¡¡¡Por un millón de Terabites!!! ¿Qué panda de descerebrados os gestiona? A mi tecnológico modo de ver, esos talleres y esas Radios son, para vosotros, una mina de información, nadie les paga por poner uno u otra canción, ponen lo que de verdad les gusta y son un perfecto observatorio para ver por donde van los tiros en cuanto a gustos musicales ¿Nadie se da cuenta de eso?

Los bares Españoles pagan todos los meses del año por poner vuestra música aunque eso debería ser considerado promoción para vosotros, pero... ¿Estáis de acuerdo en que por ser Nochevieja tengan que pagar un extra y además exigido con métodos intimidatorios?

Como personas amantes de la música imagino que conoceréis bien el medio y cómo se utiliza, los dj´s profesionales realizan sus mezclas en casa y las graban en cd por comodidad… ¿Os parece de recibo que se utilice a las fuerzas del orden para arrasar locales musicales y llevarse esos cds sin comprobar su legalidad previamente?

No quiero extenderme en éste primer encuentro dado que no hay confianza entre nosotros, solo deciros que, simplemente como autónomos y poniendo una Web de descargas por un precio asequible podéis ganar muchísimo mas que ahora con la agravante de que si cobráis 6€ por cd son todos vuestros menos la parte de Hacienda y lo poco que os cueste la Web. ¿Qué? ahhh si…la promoción, si lo hacéis bien esa parte dejármela a mi, lo hago bastante mejor que los que os promocionan ahora y por muchísimo menos.

Yo pongo la Banda Ancha y vosotros ensancháis un poco las mangas ¿vale?
Si tenéis ocasión manifestaros en los medios a los que normalmente acudís, prensa, tele, radio etc. y si queréis hacerlo vía Web os brindaré tantas como queráis para que podáis expresaros con total libertad y si intentan coartaros como por ejemplo a Alaska retirando discos en las tiendas, pensar que yo y mis millones de usuarios podemos encumbrar a un autor y hundir una discográfica.

La Red"


viernes, 24 de diciembre de 2004 0 comentarios

Pronósticos para el año 2005 en materia de seguridad.

Continuando con el post de ayer y pensando en positivo, paso a comentar las cosas interesantes que se avecinan para el lado de los que "defienden".

-PROCESOS: Sistemas de gestión de la seguridad de la información.
La aparición de una norma nacional para certificar seguridad seguro que este año será uno de los protagonistas del sector. El hecho de implantar sistemas y certificarlos proporcionará cierta motivación a las empresas para mejorar su seguridad. El factor "imagen" unido a la importancia estratégica que esta materia empieza a tener en algunas organizaciones empujará a tomarse en serio el tema de forma definitiva, implantando un sistema de gestión que podrá ser integrado con los sistemas de gestión existentes ya en muchas empresas para temas como calidad, riesgos laborales, medioambiente,etc.

-TECNOLOGÍA: Seguridad en el navegador y virtualización.
La posibilidad de crear sistemas virtuales a bajo coste va a permitir implantar sistemas de seguridad como los honeypots que sirven para engañar al atacante sobre el objetivo. Tecnologías como los sistemas de prevención de intrusos se consolidarán este año, siendo mucho más proactivos en las acciones reactivas frente a ataques.
La difusión de la firma digital como mecanismo de seguridad también será un hecho importante, aunque su proliferación será lenta debido a la escasa formación de los usuarios.

-PERSONAS: Formación de usuarios .
Las diversas iniciativas tanto europeas como estatales para informar al usuario final sobre las amenazas existentes y la continua experiencia del navegante debido a incidentes así como la aparición en los medios de comunicación de los eventos de seguridad más destacados llevarán de forma paulatina a una necesaria concienciación en esta materia. El suministro por parte de fabricantes de herramientas de sencillo uso que permitan realizar el trabajo de actualización tanto de sistemas como de antivirus también facilitará esta labor. Aun así, el usuario final será el verdadero talón de Aquiles de la seguridad, dado que los nuevos ataques van siempre destinados a lograr su colaboración para tener éxito en consumar el mismo.

Un sector en constante ebullición que hace de esta profesión algo apasionante e intelectualmente atractivo, debido a la continua aparición de retos y una necesidad constante de formación.

Personalmente un hecho que ha cambiado mi forma de adquirir conocimientos ha sido el acceso por contenidos sindicados a fuentes de información.(Gracias JIMC). En una primera fase que ha durado en general este año, he ido localizando aquellas fuentes más interesantes. En una segunda fase, a lo largo de este año que empieza, seguro que maduran muchas de mis subscripciones y consigo averiguar que blogs y webs son "fuentes de información" y cuales son meros tablones de publicación de otras fuentes.

¡Feliz Navidad y próspero año 2005!


jueves, 23 de diciembre de 2004 0 comentarios

Revisión del año 2004 en materia de seguridad.

En las fechas que estamos suele ser práctica habitual hacer balance del año. En el caso de este blog, en concreto, del estado de la seguridad y de los incidentes ocurridos a lo largo del mismo.

Pensando desde el lado de los que "atacan" como resumen general podríamos decir que el 2004 destacará por ser el año del "Phishing".

Una amenaza que existe desde los comienzos del uso del correo electrónico y los servidores Web pero que este año se ha consolidado como un nuevo riesgo de complicada solución.

No es por ser pesimista, pero en relación al post del 28 de julio
donde representaba la "Seguridad de la información" como un iceberg, los hechos no hacen más que evidenciar la certeza de esa afirmación.

Estamos presenciando un incremento en el número de ataques, la complejidad de los mismos y el ingenio de los atacantes con un factor comun motivador para producir el daño: "EL ÁNIMO DE LUCRO".
Revisando el año por apartados, como si fueran "Los Oscars", tenemos:
- Virus del año: Mydoom y Sasser por impacto global en saturación de la red y denegación de servicio.
- Nueva amenaza del año: el "Phishing" por su sencillez de concepto y su beneficio economico obtenido.
-Pesadilla del año en vías de solución: "el Spam" para el cual se empiezan a desarrollar soluciones tecnológicas de eficiencia contrastada.

A modo de resumen, se puede ampliar este resumen también en 2004 Review of the Year: Security - Infomatics

Como previsiones para el año 2005, en plan "Consultor" de la bola de cristal de la seguridad posiblemente en el año venidero veamos cosas como:

- Mezcla de las nuevas amenazas del año 2004, como puede ser un spam dirigido para un phising efectivo. El usuario recibirá solo spam de cosas que SI le interesen y los ataques de phishing serán falseando a SU PROPIO banco.

- Uso de otras técnicas de investigación para generar amenazas, como el uso de buscadores (Google, Msn, etc...) o los nuevos buscadores locales (Google Desktop, MSN Desktop) para robar información o localizar información que pueda hacernos vulnerables.

- Escándalos por fugas de información en grandes volúmenes como los códigos fuente de softwares importantes, juegos electrónicos, etc.

- Contaminación de contenidos, con la aparición en sitios de prestigio de bulos o información falsa.


miércoles, 22 de diciembre de 2004 0 comentarios

ATK - Attack Tool Kit

El fenómeno del software libre solo puede generarme cada vez más admiración. La aparición de nuevas aplicaciones es constante y la calidad llega a niveles muy altos.

A traves de un feed de Astalavista, he encontrado ATK, una herramienta para Windows que permite auditar la seguridad de un equipo. Esta aplicación permite analizar las vulnerabilidades presentes proporcionando los códigos CVE para investigar en cómo solucionarlas. El interfaz es intuitivo y la posibilidad de actualización en el número de ataques viene garantizada con la opción de ejecutar plug-in de Nessus (Otra herramienta GPL utilizada para el análisis de vulnerabilidades).

Las características técnicas concretas son:
"- Open-source (GPL) and free available for everyone
- Simple plugin and attack editing during run-time
- Plugins are written in xml and open-source (GPL) too
- Modular architecture (e.g. suggestions and reporting)
- Real-time attack visualisation and advanced logging
- Detailed response and attack analysis
- Generation on individual reports
- Scanning and enumeration tools (nslookup, ping, portscanner)
- Nessus NASL support (experimental)
- Support for CVE names, SecurityFocus, CERT, Snort, etc. "


ATK - Attack Tool Kit
martes, 21 de diciembre de 2004 0 comentarios

Vulnerabilidad grave de Internet Explorer

Ayer, Hispasec publicaba una noticia que ya recogían los blogs un día antes y que habla de una grave vulnerabilidad de IExplorer. Hasta ahora, las recomendaciones al usuario para evitar el phising se han orientado en concienciar al navegar por sitios seguros en hacer unas simples comprobaciones en la dirección y la validez del certificado.

Como se puede observar en la captura que he realizado sobre la prueba de concepto de Hispasec, con esta nueva vulnerabilidad aparentemente no hay ninguna evidencia que permita saber al usuario que está sufriendo un ataque de phishing. Aunque este fallo tiene solución, es muy grave que el usuario se encuentre tan indefenso y que existan tan pocas medidas de seguridad en temas como la banca on-line. La excusa es "no añadir complejidad al usuario" pero al menos, que sea el usuario el que decida si quiere utilizar más medidas o no.

¡Autenticación de CLIENTE y SERVIDOR YA en transacciones de Banca on-line!

A continuación, publico lo aparecido ayer en Noticia-una-al-dia.

Fuente: 20/12/2004 - Nueva técnica de "phishing" afecta a Internet Explorer

"Descubierta una vulnerabilidad XSS en el control ActiveX DHTML Edit de
Internet Explorer que puede ser especialmente aprovechada en ataques
de tipo "phishing". A efectos prácticos, por ejemplo, un atacante
podría simular una página web segura de una entidad bancaria, sin
que el usuario pueda detectar anomalías en la dirección ni en el
certificado de seguridad que aparece en el navegador.

Como prueba de concepto, para comprobar si su versión y configuración
de Internet Explorer es vulnerable, en la siguiente página encontrará
un enlace a www.bbvanet.com. Si pincha el enlace y su navegador es
vulnerable, aparecerá una nueva ventana, donde podrá visualizar en el
campo dirección la URL https://www.bbvanet.com/, y en la barra de
estado el candado cerrado que informa que se encuentra en una web
segura. Si hace doble click en el candado, observará el certificado
de seguridad legítimo de www.bbvanet.com. Pese a todas esas
indicaciones, la web que se visualiza es de Hispasec.

http://www.hispasec.com/directorio/laboratorio/Software/tests/xssie.html


Ejemplo de phising realizado por Hispasec


"Para prevenir este tipo de ataques, y a la espera de que Microsoft
publique un parche para corregir el problema, los usuarios de
Internet Explorer pueden optar por desactivar la secuencias de
comandos ActiveX en la configuración de su navegador:

menú Herramientas -> Opciones -> pestaña Seguridad -> botón Nivel
personalizado -> Secuencias de comandos ActiveX -> Desactivar

Si recarga la página con esta nueva configuración de Internet
Explorer, o la visita desde un navegador no vulnerable, como Firefox,
podrá comprobar que al pinchar en el enlace no se abre ninguna nueva
ventana."


lunes, 20 de diciembre de 2004 0 comentarios

Criptografía y Seguridad en Computadores, Cuarta Edición. Versión 0.5

Manuel Lucena presentó en el año 1999 una primera edición del libro digital "Criptografía y Seguridad en Computadores". Hoy cinco años despues y como la otra vez, a través del web de Kriptópolis ofrece la cuarta edición, revisada y ampliada de éste que se ha convertido en un libro de referencia en castellano sobre Criptografía.

El libro se ofrece bajo la licencia Creative Commons.

La url de la página del autor y el libro es: Criptografía y Seguridad en Computadores
viernes, 17 de diciembre de 2004 0 comentarios

Informática personal segura, por Bruce Schneier via KRIPTÓPOLIS

Kriptópolis es una Web que como bien se autodefine " proporciona información gratuita a sus lectores y visitantes sin ningún tipo de contraprestación monetaria por su parte. Kriptópolis es un sitio web personal, creado y mantenido por un particular, que corre con los gastos derivados de su funcionamiento."

Pues bien, este Web es el único autorizado por Bruce Schneier para la traducción al castellano de los boletines Crypto-gram. Dado lo importante que es la opinión de este gurú para la seguridad de la información, es un esfuerzo muy de agradecer el que hace Kriptopolis para la comunidad hispanohablante interesada en estos temas.

Yo intento a menudo hacerme eco de las reflexiones que Bruce Schneier hace en su blog y en sus boletines. En concreto, Kriptópolis ha traducido hoy las recomendaciones de seguridad para usuarios de Internet. No tiene desperdicio.

Informática personal segura | KRIPTÓPOLIS
jueves, 16 de diciembre de 2004 1 comentarios

ACM Queue - Diseño orientado al fallo puede ser la clave del éxito.

Vía Dana Epp's ramblings at the Sanctuary leo una entrevista a Bruce Lindsay, uno de los padres en IBM de la arquitectura de bases de datos RDBMS.

En la entrevista habla de cómo diseñar pensando en la cadena de fallos posibles puede ser un factor de éxito. A continuación incluyo sus palabras en la entrevista.
"BRUCE LINDSAY: - Let’s think a little bit about how errors happen—and they happen at all the different levels of the system, from an alpha particle discharging a capacitor in your memory to a fire, flood, or insurrection wiping out the entire site. From program logic blunders to the disk coming back with data from the wrong sector, things go wrong. You have to engineer for failure at all the different levels of the system, from the circuit level on up through subsystems like the database or the file system and on into the application programs themselves.

Engineering for failure sounds like a bad phrase, but that’s really what’s required to deliver reliable and dependable information processing. "

Fuente: ACM Queue - A Conversation with Bruce Lindsay - Designing for failure may be the key to success.

Esta reflexión se suma a la que ayer hizo Bruce Schneier sobre el desequilibrio existente entre la estrategia del defensor y la estrategia del atacante.

El defensor tiene el difícil papel de plantearse todas las posibles hipótesis sobre cuales son sus puntos
vulnerables para tratar de estar preparado para cada uno de ellos utilizando tácticas preventivas o de recuperación frente a incidentes.

El atacante sólo tiene que investigar para encontrar un punto vulnerable y explotarlo para producir el daño.

La descompensación es principalmente de ámbito y dominio de lo que hay que proteger. El defensor lo abarca todo, el atacante puede concentrarse en el punto más debil.

Un reto pero una labor interesante. Por ello la necesidad de empezar a utilizar las metodologías de gestión del riesgo. Al menos, que la defensa sea con una táctica inteligente para proteger mejor lo más importante.

martes, 14 de diciembre de 2004 0 comentarios

Internet Security Foundation:Protección de contraseñas

Hoy he leido, via el Blog de Bruce Schneier, que desde el 20 de septiembre de este año Microsoft conoce una vulnerabilidad que afecta a los campos de introducción de contraseñas que ocultan los caracteres tecleados. Como apunta Schneier, el problema con la gestión de contraseñas en las aplicaciones es que estas no te tratan ni almacenan de forma segura. Si la contraseña es confidencial que menos que garantizar que no se quede cacheada una vez introducida en texto claro. Son cosas muy básicas y de sentido comun pero es que hasta ahora la seguridad ha importado muy poco.

Desde la página Web de esta asociación, puede escribirse una carta a Bill Gates para que trate de parchear esta vulnerabilidad para la que Microsoft hasta la fecha no parece mostrar ningún interés en cerrar.

Internet Security Foundation
jueves, 9 de diciembre de 2004 0 comentarios

Recuperación de ficheros borrados

La aparición de nuevos virus de carácter destructivo como Tasin pone de manifiesto la necesidad de contar con un buen software capaz de recuperar ficheros borrados del disco tanto por error como por la ejecución de código malicioso.

En concreto, yo utilizo PC INSPECTOR File Recovery que es freeware y de sencillo manejo.Dispone de versiones para la recuperación de archivos en disco duro y en tarjetas de memoria, algo muy util debido a la proliferación de las cámaras digitales.

Dentro de los software de pago, también merece la pena recomendar EasyRecovery™ Profesional que es sencillo y muy efectivo, sobre todo en sistemas de ficheros NTFS.

jueves, 2 de diciembre de 2004 0 comentarios

Ejemplo real del concepto "ventana de exposición"

Aunque ya publique el 23 de septiembre algo al respecto, hoy he encontrado un ejemplo real del concepto ventana de exposición sobre el virus Sasser.

En el siguiente dibujo podemos ver la representación gráfica del asunto:



En este ejemplo, vamos ahora a ver la evolución del virus Sasser en su linea de tiempo.



- El día 2 de octubre de 2003 se descubre la vulnerabilidad por parte de Yuji Ukai de Eeye.Al día siguiente, Eeye informa de la vulnerabilidad a Microsoft. Aquí comienza la ventana de exposición.

- Durante 188 días, Microsoft investiga el suceso y trata de encontrar una solución al error reportado por Eeye sobre la librería LSASRV.dll. Este intervalo de tiempo representa el tramo inicial del gráfico anterior durante el cual, la vulnerabilidad ha sido descubierta pero no existe solución.

-El día 13 de abril del 2004, Eeye y Microsoft anuncian al público la existencia de la vulnerabilidad y publican el parche correspondiente para solucionarla. Esto representa el punto del gráfico de "Anuncio de la vulnerabilidad".

- 18 días despues, el día 29 de abril de 2004, aparece en un foro de Bugtraq el primer exploit utilizando esta vulnerabilidad.

- El día 1 de mayo a las 7:AM F-Secure publica el anuncio de esta versión del virus y lo denomina Sasser. A las 5:PM F-Secure anuncia la aparición de otra versión derivada de este primer virus, llamandolo Sasser.B

- El día 4 de mayo, Sasser logra infectar 1 MILLON de ordenadores.

- El día 5 de mayo, alguien se pone en contacto con Microsoft para comentarles cierta información sobre el posible autor de Sasser.

- El día 7 de mayo de 2004, la policía germana detiene a Sven Jaschan como presunto autor del virus Sasser.

- Desde el día 10 de mayo, han ido apareciendo diferentes versiones del virus, pero su incidencia a ido disminuyendo conforme los equipos han ido parcheandose con las actualizaciones de Windows.

- En Enero de este año, Jaschan es enviado a la carcel.


Muy significativo el hecho de ver lo dificil que es encontrar una solución para una vulnerabilidad (188 días) frente a lo que tarda en aparecer el primer exploit (18 días). Como se puede ver, los malos son rápidos y listos.




miércoles, 1 de diciembre de 2004 0 comentarios

Comentarios de Bruce Schneier sobre Google Desktop

Desde que Bruce Schneier tiene su propio blog parece que se anima a publicar con mas asiduidad y no tenemos que esperar de mes en mes a su Crypto-gram.
A lo que iba, el post de hoy de su blog habla de la seguridad de Google Desktop.
Aunque ya comenté algunos aspectos que me parecieron inquietantes en su momento como usuario de la versión demo en Google Desktop, arma de doble filo, recojo y traduzco las diferentes reflexiones que aporta ahora Bruce Schneier en un análisis más profundo y exacto. El resumen del contenido de su post lo escribo en itálica.

Al instalar la herramienta en nuestro PC, Google Dk crea unos
ficheros de indices que registran los ficheros de Word, hojas de calculo de Excel, presentaciones Powerpoint, correos electrónicos, paginas Web cacheadas y sesiones de chat de algunos programas de mensajería instantánea.
El objetivo de la herramienta es muy acertado dada la mediocridad del buscador de Windows. El principal problema de seguridad es que Google Desktop Search (GDS) encuentra documentos que seguramente preferirías no encontrar.

Por ejemplo, GDS busca en la cache del navegador, lo que permite ver las páginas por las que se ha navegado, el contenido de sesiones de banca online o webmails incluso si su acceso se encuentra limitado con contraseña.

GDS también encuentra ficheros cifrados en claro. Ello no rompe la robustez del sistema de cifrado ni la clave utilizada pero por un error de diseño, la cache de Windows almacena el texto en claro y GDS es capaz de encontrarlo. No es un problema del buscador sino un error de la herramienta de cifrado que bajo ningun concepto debería permitir que se cachearan contenidos cifrados.

Primero, los navegadores no deberían almacenar paginas SSL cifradas bajo ningún concepto o al menos, deberían preguntar al usuario.

Segundo, los programas de cifrado no deben almacenar en cache nada en claro una vez deja de ser utilizado el fichero descifrado.De esa forma GDS no los encontraría.

Tercero, GDS no distingue entre los diferentes usuarios que trabajan en un PC y por tanto, no respeta los permisos dado que el servicio requiere de permisos de administrador.

Mucha gente está reportando estos agujeros de seguridad a Google pero en el fondo hay que preguntarse si es responsabilidad suya o no la aparición de estas vulnerabilidades.

El problema es que estas cosas SI afectan a la seguridad del usuario, que en el fondo, es la principal cuestión.
lunes, 29 de noviembre de 2004 0 comentarios

Aplicación anti-phishing

El phishing está popularizandose y los intentos por lograr mediante medios automáticos su detección comienzan a dar sus pequeños frutos. Con una filosofía idéntica a la de los antivirus, esta herramienta software que hoy referencio se instala en el PC y detecta los posibles correos con "Phishing" que circulan.

El funcionamiento de la aplicación es sencillo. El primer usuario que detecta un correo de phishing lo reporta hacia el equipo de monitorización de Phishing Guard. Ellos evaluan el correo y deciden si incorporarlo a la base de datos ScamBase™. Estas actualizaciones se comunican a los clientes software que inmediatamente incorporan este nuevo correo de phishing. Es idéntico a la detección de virus mediante patrones.

PhishGuard.com Anti-Phishing System
viernes, 26 de noviembre de 2004 0 comentarios

¡Superadas las 1000 visitas!

Da gusto ver en el contador del Web que por fín se supera el hito de las 1000 visitas. Aunque uno hace esto por amor al arte, es gratificante ver que pueda servir para algo. Aunque el blog tiene 2 años de antigüedad, realmente llevo posteando de forma diaria sólo 6 meses que es desde cuando comenzó a cuantificar el contador. En fin, ya he incorporado el postear a mi rutina diaria y casi siempre encuentro el hueco para poner algo. Además, la actualidad siempre tiene alguna noticia o información respecto a la seguridad que merece comentario. Solo quiero agradecer a quien me siga regularmente que considere este blog interesante y trataré dotarlo cada vez más de contenidos interesantes y soluciones prácticas para la protección de información.

Apuntes de seguridad de la información
jueves, 25 de noviembre de 2004 0 comentarios

Autenticación de doble factor utilizando teléfonos móviles.

El entorno de la Banca on-line empieza a estar bastante preocupado por los nuevos riesgos que han empezado a surgir entorno al uso de estos servicios. El principal esfuerzo de las entidades bancarias ha sido, hasta la fecha, principalmente proteger sus sistemas de información y posteriormente, proteger la confidencialidad e integridad del canal de comunicaciones utilizado. Básicamente las medidas de seguridad adoptadas es el uso de Autenticación de Servidor utilizando certificados digitales, que consigue la conexión segura mediante el protocolo SSL.

Como siempre, el atacante dirige su esfuerzo hacia el eslabón más debil y en este caso, el objetivo de los ataques es el PC del cliente de banca, que está fuera de control de la Entidad bancaria y que suele estar mal protegido.

Amenazas como el phising, scam o los virus y troyanos con keyloggers tienen como victima a ese pobre e ingenuo usuario al que mediante ingeniería social se le consigue engañar facilmente.

El objeto de comentario del Blog de Bruce Schneier es el anuncio por parte de un Banco Australiano del uso de teléfonos móviles para proporcionar autenticación de doble factor.

Hasta la fecha, la autenticación se basa en contraseñas (algo que se sabe). La novedad es que este banco, para transferencias que superen cierta cantidad va a enviar un SMS al cliente con una segunda contraseña de operación. En este caso, la autenticación se basa en password (algo que se sabe) y el móvil (algo que se tiene).

La bondad del método es que es sencillo, no implica complejidad para el usuario, es fácil de implementar y eficiente respecto a la seguridad que proporciona.

Bueno, bonito y barato, y encima el usuario lo entiende bien y no supone un gran esfuerzo u obstaculo su uso, o sea, perfecto.




Schneier on Security: Two-Factor Authentication with Cell Phones
miércoles, 24 de noviembre de 2004 0 comentarios

CERT: Principios de la supervivencia y protección de la información

La Universidad del Cernegie Mellon, en concreto el área de Software Enginereering Institute alberga el Centro de Respuesta Frente a Incidentes(CERT) americano.

Dentro de este organismo podemos encontrar extensa información, de carácter científico y didáctico, sobre la seguridad de la información. Como centro de investigación, proporcionan herramientas y teorías sobre la protección de información. Están más centrados en la respuesta frente a incidentes, aunque también disponen de una metodología propia de análisis de riesgos que es OCTAVE y de cursos de formación y concienciación de usuarios.

En fin, se puede encontrar información muy útil al respecto en este Web. Hoy concretamente posteo los 10 principios básicos para garantizar la supervivencia y protección de la información.Los diez puntos son muy interesantes y la ilustración que refleja cada principio es muy significativa.

href="http://www.cert.org/info_assurance/principles.html">Principles of Survivability and Information Assurance
martes, 23 de noviembre de 2004 0 comentarios

Seguridad en dispositivos de almacenamiento masivo

La seguridad hasta ahora se ha basado en el axioma "Defensa en profundidad" imaginándonos la protección de nuestros sistemas de información como la construcción de diferentes barreras concéntricas desde el exterior hacia la red interna.

Imaginar esos bordes ciberespaciales es relativamente fácil puesto que la interconexión de sistemas sigue este patron de cercania/legania en base a la arquitectura de red de los sistemas. Nos encontramos con equipos perimetrales, DMZ, servidores internos y la LAN.

Ahora bien, en la protección de información, la frontera desaparece cuando un usuario en cada PC puede montar un dispositivo móvil capaz de sacar de la red hasta 1 GB. La amenaza ahora se situa en el interior de la red, donde no existen tantos controles.

De la mano de la empresa GFI aparece un software que pretende gestionar este riesgo, implantando mecanismos de seguridad que evitan la conexión descontrolada de dispositivos de almacenamiento masivo de información.

GFI-Control of portable storage devices
lunes, 22 de noviembre de 2004 0 comentarios

Linux Phishing Attack Circulates on Net

La autenticación está en crisis.
La noticia de la que hoy me hago eco es del phishing entorno a un aviso de seguridad de Linux Red Hat que circula por la red Linux Phishing Attack Circulates on Net.
En este caso, el atacante intenta engañar a los usuarios linux para que descarguen un parche de seguridad que lleva embebido un troyano. La noticia es solo una mas de las que se vienen sucediendo y que ponen de manifiesto un problema muy grave que sigue a dia de hoy obviandose.

La seguridad de la información hasta ahora ha seguido los conceptos tradicionales heredados de la filosofía americana basada en el Orange Book en donde se habla de los 3 pilares de la seguridad que segun este documento son la confidencialidad, la integridad y la disponibilidad.

Hasta la fecha, la autenticación definida como "la característica de dar y reconocer la autenticidad de los activos y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones" ha quedado relegada a un segundo plano, pero actualmente el objetivo de los ataques se está enfocando hacia propiedad descuidada por parte de las medidas de seguridad en Internet.

Las tecnologías para implementar medidas que verifiquen esta propiedad existen desde hace tiempo, basándose principalmente en la firma digital o en la autenticación fuerte que utiliza dispositivos que generan contraseñas de un solo uso.
Estas soluciones son caras y hasta ahora no han sido utilizadas dado que se pensaba que estas amenazas no deberían considerarse.

Dado que siempre parece actuarse de forma reactiva, las soluciones siempre se adoptan cuando el problema o el incidente se manifiesta, en vez de diseñar e implantar los servicios Web almenos con unas medidas de seguridaad robustas para en entorno operativo en donde se situan.

Como pasaba con la Ingeniería del Software, hasta que no se dieron cuenta que usarlas era más rentable que soportar los costos de mantenimiento y soporte de los productos no documentados, en la Seguridad estamos ahora mismo en el mismo punto. Hasta que no seamos conscientes de que la seguridad debe incluirse en el diseño, nos encontraremos con problemas cuya solución pasa por el rediseño, que tiene un costo siempre mayor que hacer las cosas bien desde el principio.

En fin, paciencia y esperemos que esta cultura de la inseguridad en el mundo electrónico cambie.

viernes, 19 de noviembre de 2004 0 comentarios

El rey en recibir Spam: Bill Gates

Tal como publica Yahoo News, el señor Bill Gates recibe al día, del orden de 4 MILLONES de emails. Tiene un departamento entero encargado de supervisar y revisar que ningun correo deseado no
se pierde entre la basura.

De todas formas, este hecho es reconducido positivamente para investigar y probar tecnologías antispam. En este caso, Microsoft transforma un problema en una oportunidad de negocio y un reto tecnológico a tratar.

Yahoo! News - Bill Gates Gets 4 Million E-Mails
miércoles, 17 de noviembre de 2004 0 comentarios

Configuración de Servicios prescindibles en Windows XP Home and Professional Service Pack 2

He encontrado una joya para el usuario final de Windows XP. Este Web nos indica qué servicios de Windows XP pueden desactivarse de forma segura sin implicaciones graves para el sistema operativo.

En esta tabla salen diferentes perfiles de ejecución en función de lo que el usuario quiera hacer. A continuación, detallo el contenido de cada uno de ellos.

- Display Name ~ How it displays in the Services Control Panel.
- Process Name ~ Name of the Process running in the background (displays in Task Manager by hitting Ctrl+Alt+Del).
- DEFAULT Home ~ What Bill G. thinks should be running on Windows XP Home.
- DEFAULT Pro ~ What Bill G. thinks should be running on Windows XP Professional.
- "SAFE" Configuration ~ This is the configuration that 95% of the people will be able to use with little or no side effects. It will also minimizes the amount of "errors" that is reported in the Event Viewer. This does not guarantee it will work for you, but if adjusting your services scares you, this configuration would be a good starting point.
- Power User Configuration ~ This is the power user setup. A great way to test this setup is here. This setup is a system that connects through a network (such as a gateway / router) to the internet, provides file and print sharing resources and gaming enjoyment. Some things may not function with this setup. No passwords save. Its use is not for a computer with analog modems or some direct DSL/cable connections. Try the "Safe" Configuration first.
- Bare Bones Configuration ~ This is the super geek setup. A great way to test this setup is here. This setup is a system that connects through a network (such as a gateway / router) to the internet with a static IP address. This system does not provide file and print sharing resources, nor have the ability to print. Its use is not for a computer with analog modems or many direct DSL/cable connections. You can use this configuration for extreme tweaking and testing purposes. Many things may not function with this setup. No passwords save. The Event Log will display "errors" of not being able to start certain services. Built in Windows CDR-RW functions may no longer work. Please do not ask, "How do I fix" questions while using this configuration. The answer will be "Use SAFE." This information's intention is for reference only.

Windows XP Home and Professional Service Pack 2 Service Configurations by Black Viper
martes, 16 de noviembre de 2004 0 comentarios

ENISA: European Network Information Security Agency

Por fin Europa ha puesto en marcha su Agencia Nacional de Seguridad. Bajo las siglas de ENISA, se encargará de la protección de la seguridad de la información y de las redes de telecomunicaciones pertenecientes a los diferentes gobiernos de la Union Europea. A raiz de los escandalos causados por ECHELON, Europa descubrió que algunos paises están usando contrainteligencia para realizar espionaje industrial, como ha ocurrido con nuestros querídos amigos americanos, que menos jugar limpio suelen hacer de todo. Como solución y agente responsable de garantizar los intereses de la Unión Europea en esta materia, surge ENISA. A continuación, extraigo el resumen que publica en su página principal este organismo.


"Overview

ENISA aims at ensuring particularly high levels of network and information security within the Community. The Agency will contribute to the development of a culture of network and information security for the benefit of the citizens, consumers, enterprises and public sector organisations of the European Union, and consequently will contribute to the smooth functioning of the internal market.

The Agency assists the Commission, the Member States and, consequently, the business community in meeting the requirements of network and information security, including present and future Community legislation.

ENISA will ultimately serve as a centre of expertise for both Member States and EU Institutions to seek advice on matters related to network and information security."


Link: ENISA: European Network Information Security Agency
0 comentarios

Documento estratégico de Seguridad de la Información de Microsoft.

En un alarde de transparencia, Microsoft publica en dos documentos cual es su actual política de gestión de la seguridad de la información. Básicamente su enfoque se basa en la gestión del riesgo y la protección de los activos digitales que son parte de su modelo de negocio.
Aunque no llega a sintonizar con la filosofía europea que basa la gestión del riesgo en los sistemas de gestión de la seguridad (ISMS en ingles o SGSI en castellano), en esencia los conceptos manejados son siempre los mismos:
-activos
-amenazas
-vulnerabilidad o probabilidad
-impacto
-riesgo

También es interesante ver el enfoque organizativo que proporciona el documento al problema de la seguridad y los diferentes aspectos que desean gestionar y controlar. El resumen del documento, sacado de la propia web de Microsoft comenta lo siguiente:
"Overview
Overview discussion on what the Microsoft Corporate Security group does to prevent malicious or unauthorized use of digital assets at Microsoft. This asset protection takes place through a formal risk management framework, risk management processes, and clear organizational roles and responsibilities. The basis of the approach is recognition that risk is an inherent part of any environment and that risk should be proactively managed. The principles and techniques described can be employed to manage risk at any organization. Other areas of corporate security, such as security in software design and physical security, are not covered."


Download details: IT Security at Microsoft Overview
lunes, 15 de noviembre de 2004 0 comentarios

Grisoft AVG 7.0 para usuarios en casa

Como ya comenté el 26 de abril de este año, la empresa Grisoft proporciona a usuarios una versión gratuita de su antivirus comercial.
Hace poco anunciaron que la versión 6 iba a abandonarse en cuanto a los servicios de actualización de patrones y ahora nos ofrecen la actualización gratuita a la versión 7.0 que proporciona más funcionalidad y también actualización de patrones de forma gratuita.

Merece la pena utilizarlo y merece la pena disfrutar de esta nueva versión, siempre considerando que no puede hacerse un uso comercial de la misma.

Puede descargarse a través del enlace Grisoft Freeweb: Get AVG for your home PC virus protection
jueves, 11 de noviembre de 2004 2 comentarios

Information Security Policies Made Easy, Version 9 -¡Versión en Castellano!

Uno, que lleva ya en esto de la seguridad de la información en torno a los 5 años, va viendo como el mercado evoluciona y como empresas que empezaron siendo pequeñas han explotado por el éxito y se han multiplicado en volumen una barbaridad. Algunos casos que he podido presenciar son por ejemplo Stonesoft,dedicda a la alta disponibilidad y ahora por entero a la seguridad perimetral y Pentasafe, dedicada al diseño de políticas.

Este último caso es el que nos ocupa hoy. Charles Cresson Wood lleva diseñando este tipo de documentos de seguridad más de 20 años y tiene una acreditada experiencia en el tema. Básicamente su producto es una recopilación de requisitos de seguridad que ha ido metiendo en una base de datos y que al final, permite generar políticas de seguridad de forma automática.

Lógicamente cada empresa es un mundo y necesita regulaciones diferentes, pero contar con una base de documentos para particularizar ya supone un ahorro de tiempo significativo. El producto original Pentasafe, fue adquirido por NetIQ e incorporado al conjunto de productos de gestión de la seguridad de la información de esta empresa.

Ahora me encuentro que el libro que yo compré hace 10 años por 60€ está traducido al castellano y metido en una base de datos y su precio ronda los 800€.

En cualquier caso trata de atacar a un mercado virgen, debido a la escasa formalización que hay actualmente en materia de seguridad. Esperemos que de la mano de los departamentos de calidad, por fin las organizaciones documenten y definan sus "políticas de seguridad de la información" y establezcan medidas de gestión sobre el tema. La continuidad de la empresa dependerá de ello en un mundo "cibernético" cada vez más agresivo con el analfabeto tecnológico.

Information Security Policies Made Easy, Version 9
martes, 9 de noviembre de 2004 0 comentarios

Herramienta Analizador de Reporter de Puerto (PR-Parser)

La herramienta Reporter de Puerto es un programa que se puede ejecutar como un servicio en un equipo que ejecuta Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000. El servicio Reporter de Puerto registra actividad de puerto TCP y UDP. En Windows Server 2003-based y equipos con Windows XP, el servicio Reporter de Puerto puede registrar la información siguiente:
• Los puertos utilizados
• Los procesos que utilizan el puerto
• Es un proceso no un servicio
• Los módulos .dll, .drv y etc. cargados por un proceso
• Las cuentas de usuario que inician un proceso
El dato capturado por el servicio Reporter de Puerto le puede ayudar a usted a averiguar si un equipo es vulnerable. También el mismo dato es útil para solucionar, comprender el uso de puerto de un equipo y la auditoría del comportamiento de un equipo.

Descripción de la herramienta Analizador de Reporter de Puerto (PR-Parser)
lunes, 8 de noviembre de 2004 0 comentarios

Hacking Faxes

Es curioso ver cómo esto de la seguridad de la información se está descontrolando. Se hablaba hace unos cuantos años de la tendencia exponencial del número de incidentes y como siempre, las espectativas parece que se están cumpliendo.

Hoy he podido ver en Antena 3 a la hora del telediario del mediodía hablar de "Seguridad de la información" y del incremento de incidentes relacionados con las fugas de información, el contraespionaje industrial o simplemente la competencia desleal entre empresas contratando a empleados de la competencia.
En su momento parecía que el discurso de las empresas de seguridad parecía paranoico y ahora nos damos cuenta de que aquellos vaticinios eran solo una parte de la realidad que se nos viene encima. Estamos mal acostumbrados a confiar sin pruebas ni evidencias. A aquellos que en su momento gritaban "que viene el lobo" se les ignoraba y ninguneaba de forma a veces humillante. Hoy esas predicciones irracionales son una realidad.

Hoy Bruce Schneier publica en su blog una historia curiosa en torno a la liberación de un prisionero debido a un fax falseado.

"Faxes are fascinating. They're treated like original documents, but lack any of the authentication mechanisms that we've developed for original documents: letterheads, watermarks, signatures. Most of the time there's no problem, but sometimes you can exploit people's innate trust in faxes to good effect. "

Lo de los fax es fascinante, han sido tratados como documentos originales aun cuando no llevan implantado ningún mecanismo de autenticación. La mayoría de las feces no ocurre ningún problema pero cuando la gente decide explotar la confianza puesta en este tipo de documentos sin ninguna razón para ello, lo hace con éxito.

Leanlo en Schneier on Security: Hacking Faxes

Los discursos tradicionales hablan de tres propiedades de la seguridad: confidencialidad, integridad y disponibilidad.

Deben revisarse estos conceptos puesto que la autenticación es también un requisito imprescindible para evitar amenazas como el repudio o la suplantación de identidad.

Hemos basado el uso de la tecnología en unas premisas de confianza que no tienen porque producirse y cuando alguien se da cuenta de estos hechos y los trata de utilizar en su beneficio o con ánimo de lucro, entonces vienen las madres mías.
viernes, 5 de noviembre de 2004 0 comentarios

Escribir la Política de Seguridad de la Red

Leo vía Fred Avolio Weblog cómo su jefe en WatchGuard Technologies le encargó la elaboración de la política de seguridad de la red.
Algo que resulta complicado de conseguir es simplemente tener claro qué usos queremos darle a nuestro activo que es la red.

Cuando se puso a trabajar lo hizo pensando el lograr un documento práctico que realmente sea sencillo de entender y que plasme los usos deseados por parte de la empresa sobre la conexión corporativa a Internet.

Mi experiencia personal me dice, que cuando debes generar un documento que sirva como normativa interna pero a la vez como manual práctico para que el empleado sepa lo que puede o no hacer, uno se enrolla demasiado y lo burocratiza demasiado. Con esta guía es mucho más dificil perderse respecto del objetivo final.

Este documentoNetwork Security Policies está planteado como un how-to, se autopregunta las cosas que deben dejarse establecidas en la política para que sea sencillo redactarlo.
jueves, 4 de noviembre de 2004 0 comentarios

Revista The Security Journal

Hoy posteo una referencia a una revista on-line de seguridad bastante interesante. Contiene artículos técnicos muy detallados y la editorial que la publica tambien tiene libros muy técnicos sobre diferentes temas de seguridad informática.

Como la revista es descargable en pdf, podemos disponer de todos los numeros para uso y disfrute del personal.

The Security Journal
viernes, 29 de octubre de 2004 0 comentarios

TechNet Magazine- Hacking Fight Back: How A Criminal Might Infiltrate Your Network

Leo en Dana Epp's ramblings at the Sanctuary y hace un par de días en algunos de los blogs de Microsoft las referencias a un artículo de la revista TechNet de este mes, dedicada a Seguridad las referencias a un conjunto de artículos que pretenden enseñar cuales son las estrategias y artimañas que utiliza un hacker para lograr una intrusión.

Es importante conocer cuales son nuestras debilidades para saber poner soluciones. El artículo Fight Back: How A Criminal Might Infiltrate Your Network -- TechNet Magazine, Winter 2005 que técnicamente está muy detallado, demuestra paso por paso como puede saltar un intruso, desde un PC externo hasta dentro de los servidores corporativos de nuestra red.

Interesante primero por conocer los pasos que se dan y segundo por ver las herramientas que se utilizan. Todas ellas son en modo texto dado que un hacker contará como mucho con una conexión telnet o ssh. Rara vez puede conectar a la primera por Terminal Services o por VNC. Las herramientas utilizadas son, entre otras netcat, fport y nmap.
0 comentarios

La página de George Bush no es accesible desde direcciones externas a Estados Unidos.

Leo en BBC News Technology y en Netcraf que la página Web de George Bush está rechazando las visitas de usuarios no americanos.

Por motivos de seguridad (en este caso, tambien preventiva) han preferido bannear a todos los ciudadanos del resto del mundo no vaya a ser que algún listillo le hackee la página días antes de las elecciones. Con el grave daño en imagen que ello supondría y dado que frente a cierto tipo de ataques como la denegación de servicio distribuida NO EXISTEN MEDIDAS DE SEGURIDAD, han preferido cerrar el chiringuito para aquellos que no son sus "potenciales clientes".

La noticia puede leerse en BBC NEWS Attack prompts Bush website block, en Netcraft News y las estadísticas de tráfico al sitio Web, desde diversos puntos del mundo, pueden verse aquí.

Se puede observar como el tráfico desde ciudades como Londres da error de conexión y desde New York funciona perfectamente.

Dado que las elecciones americanas parecen preocuparnos más al resto del mundo que a los propios americanos, han preferido dejarnos fuera en este caso, por si podemos influir en algo.
jueves, 28 de octubre de 2004 0 comentarios

Intimidad: Un derecho en crisis. La erosion de la privacidad

Leo via Republica Internet un excelente artículo que plasma la situación actual del Derecho que regula la intimidad, en formato electrónico.

Recomendable tanto el blog como el texto integro del artículo.Intimidad: Un derecho en crisis. La erosion de la privacidad

Extraigo parte del documento que me parece de una claridad y exposición brillantisima.

"En mi opinión existen una serie de derechos, consagrados en la Declaración de Derechos Humanos, que no pueden ser objeto de comercio. Sin discusión alguna, coincidiremos todos en que sería nulo de pleno derecho un contrato en el que se pactase el asesinato de una persona. De igual modo la libertad: no puede aceptarse un contrato que pacte el esclavismo. Cualquier sindicalista sabe que muchos derechos laborales son irrenunciables. Sin embargo, cuando nos acercamos a derechos como la intimidad, surgen las primeras diatribas. ¿Es renunciable por contrato, a cambio de un precio?

La ideología neoliberal imperante ya ha dado respuesta a esa pregunta: todos los derechos son renunciables, todo se puede comprar y vender. Aún no tienen poder para comerciar sobre la libertad y la vida, pero todo se andará. Plantearse desde esa perspectiva el respeto a la intimidad es ilusorio.

Lo cierto es que programas como Gran Hermano evidencian que la intimidad es un derecho en crisis, algo que puede ser objeto de comercio y discusión pública: en el mercado, en la peluquería, en el casino. El comportamiento del sistema en relación al derecho a la intimidad recuerda a los mercados financieros: la mejor forma de apropiarse a bajo precio de valores bursátiles es convertirlos en bonos basura. Al devaluar la intimidad, es más fácil comprarla. Convertirla en basura es un paso previo a su destrucción total por vía legislativa.

¿Es tan importante la intimidad como la libertad o la vida? En un mundo digitalizado y globalizado, entiendo que deben ponerse al mismo nivel, y ello porque la intimidad es el último reducto del ser humano frente al sistema. Si se suprime la libertad de prensa, el derecho de reunión y asociación, sólo nos queda la intimidad para conspirar frente al poder. Sin intimidad no hay revolución posible. En el futuro Mundo Feliz que están construyendo los medios de comunicación al servicio de las corporaciones multinacionales, la última posibilidad de resistencia reside en el derecho a la intimidad: nuestra última barricada."

1 comentarios

Revista online CSO - information and insights for senior security executives and Chief Security Officers;

Escasean las revistas profesionales en torno a la Seguridad de la Información. En España contamos con la revista SIC como máximo exponente y la revista Redes&Seguridad.

A nivel internacional, existen directamente magazines on-line dirigidos a los CSO (Chief Security Officer), lo que en España es el cargo de Responsable de Seguridad de la Información.

Aunque dentro de los organigramas empresariales esta figura todavía no está extendida y como mucho se cuenta con un responsable de seguridad informática, el volumen de tareas y las necesidades de gestión en torno a este área de conocimiento va a requerir profesionales en la dirección de la empresa encargados de gestionar la Seguridad de la Información. Así lo establece la norma UNE ISO 17799:2000 donde determina la necesidad de establecer de forma clara y explicita las diferentes responsabilidades asociadas con la seguridad.

En materia de Protección de Datos, el R.D. 994/1999, Reglamento de Medidas de Seguridad determina en su artículo 16 la necesidad de una persona física responsable de coordinar y gestionar las medidas de seguridad establecidas en el documento de seguridad para aquellos ficheros de nivel medio o alto.

Para todos estos perfiles profesionales, es interesante leer artículos y publicaciones donde el gremio discute su problemática. La revista es mensual y consultable gratuitamente por Internet.

CSO Homepage - information and insights for senior security executives and Chief Security Officers; CSO Magazine is an IDG publication -
miércoles, 27 de octubre de 2004 0 comentarios

Desmitificando los Test de Intrusión

Es conocido que una de las formas de evaluar la seguridad de una organización es realizando "Test de Intrusión". Consiste en contratar a una empresa de seguridad informática para que realice un "hacking controlado y ético". El auditor de seguridad debe simular ser un hacker y debe tratar de encontrar posibles vulnerabilidades de seguridad que un usuario malintencionado podría utilizar.

Existen diferentes metodologías para realizar estas auditorías. La mayoría de las empresas suelen ofrecer "Test automáticos" que consisten en lanzar herramientas de escaneo de vulnerabilidades como Nesssus, Retina, GFI Security Scanner, ISS, Shadow Security Scanner, etc. y entregar al cliente los resultados que éstas generan.Este tipo de servicios es interesante porque detecta vulnerabilidades no parcheadas y visibles desde Internet, pero creo que es mucho más interesante contratar test más profundos, con el uso de un experto en seguridad que simule un hacker de verdad y que trate de realizar una intrusión real para ver si es verdad o no que somos hackeables.

El Institute for Security and Open Metodologies (ISECOM) dispone de una metodología propia para realizar estos test de profundidad.

El siguiente enlace contiene un documento y presentación que describe y detalla en qué consiste un verdadero test de intrusión, que fases tiene y qué información se obtiene.
ASTALAVISTA SECURITY GROUP : Demystifying Penetration Testing
0 comentarios

Prevención Anti-Spyware

Ya he recomendado en otros post medidas de detección y eliminación del spyware. Hoy la recomendación es de carácter preventivo, mediante un programa residente que evita que el spyware llegue a ejecutarse.
Esta aplicación es un complemento ideal al SpyBoy Search y evita incluso que éste sea util ya que ataja el problema en la raiz, cuando el spyware intenta instalarse.

El programa es gratuito, como todos los que recomiendo. Puede descargarse en la dirección SpywareGuard
martes, 26 de octubre de 2004 0 comentarios

Declaración de Prácticas de Certificación de CERES-FNMT

La Firma Digital es un mecanismo de seguridad que proporciona tres servicios básicos de seguridad: autenticación, integridad y confidencialidad. Esta tecnología puede servir para solucionar una gran parte de los problemas de seguridad informática.

Toda infraestructura técnica de implementación de la firma electrónica (más conocido por las siglas PKI) requiere de un conjunto técnologico de mecanismos de generación de firma sobre soportes seguros y unas reglas del juego que determinen quién, cómo, cuando y dónde se pueden generar certificados digitales. Este documento, que es un requisito legal se denomina Prácticas de Certificación.

Suele pasar que la facilidad para implementar un mecanismo de seguridad nos lleva a utilizarlo pero olvidando siempre la parte formal y procedimental que establezca los mecanismos de control para usar esa tecnología.


La firma electrónica ha sido recientemente regulada por la Ley 59/2003 que entre otras cosas, introduce el concepto del DNI Electrónico.En la ley de firma digital se establece una correspondencia directa entre la firma manuscrita y la firma digital. Esto va a permitir empezar a pensar en procesos administrativos en formato electrónico pero esta nueva medida de seguridad también introduce nuevos riesgos...que habrá que gestionar. La seguridad de los certificados digitales debe estar absolutamente garantizada para que su uso no suponga un riesgo para el ciudadano.

El documento que hoy enlazo, detalla cual es la Declaración de las Practicas de Certificación de CERES
lunes, 25 de octubre de 2004 0 comentarios

Comisión Europea: Seguridad de la Información

Este informe de la Unión Europea plantea las líneas generales de gobierno que los políticos de los diferentes Estados Miembros deben plantearse en materia de seguridad de la información. Por el contenido estratégico del mismo, las recomendaciones realizadas se encuentran actualmente en fase de implantación y algunas de las que figuran están todavía pendientes de desarrollar. He seleccionado algunos de los apartados más interesantes del documento.

"La seguridad es una prioridad clave dado que la comunicación y la información se han
convertido en un factor esencial del desarrollo social y económico. Las redes y los sistemas de información transmiten datos y ofrecen servicios en un número inconcebible tan solo hace unos años. Su funcionamiento es crítico para el de otras infraestructuras como el suministro eléctrico o de agua. Las empresas, los ciudadanos y las administraciones públicas desean sacar el máximo partido de las posibilidades que ofrecen las redes de comunicación, por lo que la seguridad de estos sistemas se está convirtiendo en un requisito previo para nuevos progresos."
...
"La seguridad se ha convertido en un desafío clave para los responsables políticos, pero dar con la respuesta política adecuada se hace cada vez más difícil. Los servicios de comunicación ya no los ofrecen operadores de telecomunicaciones de propiedad estatal, sino muchos operadores privados y proveedores de servicios de forma competitiva y, cada vez más, a escala europea y mundial. Las redes son cada vez más convergentes y son capaces de servir de soporte a los mismos servicios, cada vez están más interconectadas y comparten parte de la misma infraestructura.
Con el fin de garantizar un nivel mínimo de seguridad, se ha adoptado un importante conjunto de medidas legislativas como parte del marco de telecomunicaciones y de las leyes de protección de los datos tanto a nivel nacional como de la UE. Estas disposiciones legales deben aplicarse de forma efectiva en un entorno en constante cambio. También deberán evolucionar en el futuro como puede verse en el caso del nuevo marco de telecomunicaciones propuesto o las próximas propuestas en relación con el debate sobre la ciberdelincuencia. Los responsables políticos necesitan, por lo tanto, comprender los problemas de seguridad en juego y su función en la mejora de la seguridad."


"Medidas propuestas:
- Concienciación: Debería lanzarse una campaña de información y educación pública y habría que fomentar las mejores prácticas.

- Un sistema europeo de alerta e información: Los Estados miembros deberían fortalecer sus equipos de respuesta a emergencias informáticas (CERT) y mejorar la coordinación entre los mismos. La Comisión examinará con los Estados miembros la mejor forma de organizar la recogida de datos, análisis y planificación de medidas a largo plazo a las amenazas existentes y emergentes en materia de seguridad a nivel europeo.

- Apoyo tecnológico: El apoyo a la investigación y al desarrollo en materia de seguridad deberá ser un elemento clave del 6º Programa Marco y estar relacionado con una estrategia más amplia de mejora de la seguridad de las redes y de la información.

- Apoyo a la normalización y certificación orientadas al mercado: Se invita a las organizaciones de normalización europeas a que aceleren sus trabajos sobre interoperabilidad. La Comisión continuará apoyando la firma electrónica y el desarrollo de los protocolos IPv6 e IPSec. La Comisión evaluará la necesidad de llevar a cabo una iniciativa legal sobre el reconocimiento mutuo de certificados. Los Estados miembros deberían revisar todas las normas de seguridad pertinentes.

- Marco legal: La Comisión establecerá un inventario de las medidas nacionales de aplicación del Derecho comunitario correspondiente. Los Estados miembros deberán apoyar la libre circulación de los productos de encripción. La Comisión propondrá legislación en materia de ciberdelincuencia.
- Las seguridad y la administración pública: los Estados miembros deberán incorporar soluciones de seguridad efectivas e interoperables en sus actividades electrónicas de administración pública y contratación pública. La Comisión reforzará sus requisitos en materia de seguridad en su sistema de información y comunicación.
- Cooperación internacional: La Comisión reforzará el diálogo con las organizaciones internacionales y sus socios en lo relacionado con la seguridad de las redes y de la información.

El documento completo puede leerse en Seguridad de las redes y de la información:Propuesta para un enfoque político europeo
viernes, 22 de octubre de 2004 0 comentarios

Administración de máquinas mediante mensajería instantanea

Del post de ayer me surgen una serie de ideas que quizás podrían ser herramientas interesantes de implementar. Tal como referencié ayer, es posible la ejecución de un escaneo de puertos a través de un bot de AOL Messenger. Derivando en posteriores reflexiones se me ocurre lo interesante que podría ser crear un bot de mensajería que implementara una máquina de estados que fuera capaz de realizar una serie básica de comprobaciones de la situacíón de una máquina como podría ser el estado de los procesos, memoria, conectividad y cualquiera de los scripts que programaramos. Dado que los contactos de la mensajería instantanea son autorizados, podría crearse un bot por cada máquina y añadir a esas los diferentes administradores.

¿Qué sentido y ventajas tiene esta alternativa?
La visibilidad de la máquina a través de Internet sería exclusivamente de un solo puerto, el de la propia mensajería que utilizaríamos para tunelizar el resultado de la ejecución de comandos locales para visualizar la información. En fin, no es descabellado ver dentro de poco algún programa que implemente esta idea.

Using python and AOL IM to create nmap bot
0 comentarios

Metodología para el análisis y la gestión de riesgos en seguridad de los sistemas de información de Microsoft

El día 15 de octubre salió a la luz Overview of the Security Risk Management Guide. Vía Jerry's Security Weblog me entero de la publicación de la documentación completa de la metodología y la elaboración de los modelos de entrevista y hojas Excel para la generación de los cálculos.
Los conceptos básicos de todas las metodologías son comunes y las fases también. Siempre consisten en:
- Identificar activos (Assets)
- Identificar amenazas (Threats)
- Estimar la vulnerabilidad de cada amenaza sobre cada activo (Vulnerability)
- Estimar el impacto de esa amenaza sobre el activo (Impact)
- Calcular el riesgo (Risk)

Los análisis de riesgos pueden ser cualitativos, cuando el riesgo se mide en niveles discretos (Alto, medio, bajo) o cuantitativos (Cuando el resultado final es una cantidad monetaria).

MAGERIT realiza análisis de riesgos de forma cuantitativa, midiendose el riesgo en cantidad monetaria que podría ser el coste de la inseguridad.

Lo importante al final del análisis de riesgos es encontrar las medidas de seguridad que mejor proteger nuestros activos. La granularidad del estudio (Nivel de detalle en la identificación de activos) mejorará el nivel de precisión de la medición del riesgo.
jueves, 21 de octubre de 2004 0 comentarios

Bruce Schneier habla de Sistemas de Gestión de la Seguridad de la Información

Que un Gurú de la seguridad informática hable y difunda esta nueva forma de plantear el problema es un hito importante. Además de empujar la inercia del mercado y apoyar el movimiento internacional que está peleando por establecer estándares y criterios objetivos para medir y sobre todo, para gestionar y dirigir la inseguridad de una empresa hacia los niveles de riesgo deseados, las consecuencias de sus comentarios son una evidencia cada vez más clara.

LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO.

El contenido integro del texto puede leerse en Schneier on Security: Security Information Management Systems (SIMS).

Lo que viene a decir en resumen es que las medidas tecnologicas están muy bien porque evitan amenazas pero necesitan gestión y la componente humana que las dota de inteligencia.
Los log's son una mina de información que hay que explotar para saber que está pasando y si las medidas técnicas que tenemos son eficaces y eficientes o necesitamos más controles.

0 comentarios

Using python and AOL IM to create nmap bot

Using python and AOL IM to create nmap bot
0 comentarios

Sysinternals Freeware - Process Explorer

Los que nos movemos en entornos Windows siempre hemos echado de menos herramientas de monitorización que nos expliquen que está pasando en cada momento con la memoria y CPU del ordenador.

Con ese proposito se han desarrollado una serie de utilidades freeware para entornos Windows NT/2000/XP/2K3 and Windows 9x, Windows Me por parte de Sysinternals( Mark Russinovich and Bryce Cogswell ).

En concreto, hoy quiero hablar de Process Explorer, una herramienta que aporta toda la información necesaria en entornos Windows sobre procesos en ejecución. Con una interfaz gráfica muy atractiva, es capaz de informar por cada proceso de todas las variables de sistema que el proceso está utilizando (DLL's en uso, Threads, Memoria, Claves de registro donde se encuentra la configuración, Rendimiento del proceso, Consumo de CPU y Memoria, etc.)

El detalle técnico completo de la herramienta puede encontrarse en Sysinternals Freeware - Process Explorer
miércoles, 20 de octubre de 2004 0 comentarios

Post Número 100 y nueva funcionalidad en el blog

Por fin he conseguido añadir una de las funcionalidades que me había propuesto sobre el blog y una de las mayores necesidades para la utilidad del blog: el BUSCADOR LOCAL.

Se supone que la barra de Blogger aporta esta utilidad pero en mi caso no funciona. Hasta la fecha Google no me indexa y por tanto, creo que la barra de Blogger tampoco lo hace.

Con esta nueva opción, es facil localizar cualquier post o referencia a documento que haya comentado, con lo que se tiene acceso al total de la información que hasta ahora he publicado en estos dos años ya de trabajo.

Ahora que parece que el gremio de la Seguridad de la Información parece haber encontrado su sitio con las normas UNE 17799 y UNE 71502, espero que la construcción de los Sistemas de Gestión de la Seguridad de la Información (SGSI) sean elaborados por profesionales de demostrada competencia en el tema y no sea solo un tema de llevar un sello que de imagen.

Calidad en la gestión de información es un requisito imprescindible en las empresas del siglo XXI donde la información es la principal materia prima.
martes, 19 de octubre de 2004 0 comentarios

UNE-ISO/IEC 17799, "Código de buenas prácticas para la gestión de la seguridad de la infomación"

El UNE-ISO/IEC 17799 es un estándar relativo a la gestión y dirección de la seguridad que fue aceptado utilizando el estándar publicado por el British Standard Institute conocido como BS 7799. El UNE-ISO/IEC 17799, “Código de buenas prácticas para la gestión de la seguridad de la información” comienza con una breve introducción a los conceptos relativos a la seguridad de la información, el por qué es necesario, como garantizar ciertos requisitos de seguridad y como gestionar el riesgo sobre los activos y determinar los controles. Existe, aunque todavía ISO no lo ha adoptado como estándar, la norma UNE 71502, que permite certificar que sistemas de información respecto al “Código de Buenas Prácticas” establecido por el UNE-ISO/IEC 17799. Se espera en breve que ISO adopte un estándar compatible con esta norma y las diferentes normas de certificación establecidas en cada uno de los países, como estándar internacional, y que los sistemas de información puedan certificar el cumplimiento de dicho estándar, para así, garantizar de una forma objetiva, la confianza y fiabilidad que ofrece un sistema respecto a la calidad de la seguridad de la información que maneja.
A continuación indicaremos brevemente los diferentes apartados de este estándar. Como puede observarse, el estándar establece un conjunto exhaustivo de apartados a contemplar y sobre los cuales, establece unos estrictos requisitos de protección para poder hablar de un sistema conforme a ISO 17799.
El cuerpo del estándar es el siguiente:

1. Alcance
2. Términos y definiciones
3. Políticas de Seguridad
4. Organización de la Seguridad
5. Clasificación y control de activos
6. Seguridad ligada al personal
7. Seguridad física y del entorno
8. Comunicaciones y gestión de explotación
9. Control de acceso al sistema
10. Desarrollo y mantenimiento
11. Plan de continuidad de negocio
12. Conformidad


0 comentarios

Bastionado de Sistemas Windows 2003 e IIS 6.0

Las reuniones del FIRST (Forum for Incident Response and Security Teams) suelen generar recomendaciones, buenas prácticas y documentación interesante y práctica.

En este caso, se trata de referencias prácticas para el bastionado de la versión de Windows 2003 y de los servicios de Internet implantados con Internet Information Services (IIS) 6.0.

El enlace puede consultarse en:
Windows 2003 / IIS 6.0 DMZ Hardening Guide
lunes, 18 de octubre de 2004 0 comentarios

Google Desktop, un cuchillo de doble filo.

Cuando no hace ni una semana del anuncio oficial en versión beta de Google Desktop, el mundillo de la seguridad ya empieza a comentar los nuevos "riesgos" que una herramienta tan potente como ésta introduce sobre la "seguridad de la información".

Yo ya estoy disfrutando de las ventajas de un sistema de busqueda local tan rápido, pero a la vez, ando preocupado por las nuevas posibilidades que esta herramienta puede proporcionar a un usuario malintencionado.

Básicamente la nueva amenaza es el acceso y localización de información confidencial de forma trivial por un usuario no autorizado. De las pocas pruebas que he podido realizar, he identificado dos posibles vulnerabilidades:

1.- Acceso a buzones de correo sin autenticación. Yo utilizo un acceso a mi carpeta de correo personal autenticado, pero Google Desktop es capaz de acceder a los correos almacenados en mi buzon sin autenticación previa.

2.- Hemos hecho una pequeña prueba utilizando redirección de puertos, para ver si el acceso a la pagina de busqueda local de un PC podría hacerse desde el exterior. Hemos hecho una traslación de puertos del 4664 al 80 y hemos copiado el identificador de usuario de la página de inicio de Google Desktop y nos ha permitido acceder via Web al buscador local de un PC. De esta forma hemos podido también comprobar que en la página de inicio del buscador, aparece en la url un identificador que es único por usuario. Si esta información pudiera capturarse y pudieramos crear un pequeño programa que hiciera la redirección de puertos, la información local de un PC estaría alcanzable desde cualquier punto de Internet.

Esto es una ventaja (porque permite la consulta de información almacenada en local desde cualquier cliente) y una desventaja (si este acceso no está controlado y autenticado). En fin, estamos ante un nuevo destornillador(Google Desktop) que puede ser utilizado como cuchillo.

La noticia que comenta inquietudes parecidas puede consultarse en: MercuryNews.com | 10/16/2004 | Google's Desktop Search is valuable, yet creepy
viernes, 15 de octubre de 2004 0 comentarios

Ausejo.net sobre Seguridad de la Información

He encontrado por casualidad la página personal de Rafael Ausejo y además de estar bien documentada y estructurada, es muy rica en enlaces sobre cada una de las secciones de la seguridad.

¡Felicidades por una Web tan completa!
Web de Rafael Ausejo Prieto.
0 comentarios

Google en local para PC (Google Desktop)

Fuente: Googlemanía: Google Desktop

"Bajo el nombre de Google Desktop Search se ha presentado la beta del antiguamente programa cono el sobrenombre de "puffin" con el que Google amenazaba con llevar su buscador a los ordenadores.

Google Desktop Search lleva el potencial de Google a la información personal de tu ordenador. Tan fácil como buscar en Google será buscar dentro del ordenador, tus ficheros, correo local, páginas que ya has visitado y más" es lo que ha comentado Larry Page. "Es gratis, se instalá fácilmente y se mantiene actualizado siempre".

Tiene las siguientes características:

- Permite buscar en ficheros y correo de Outlook, Outlook Express, Word, Excel, Powerpoint y texto, una web que hayas visitado con Internet Explorer o en los chats de AOL.
- Está diseñado con la misma tecnología de Google por lo que una búsqueda es instantánea Permite hacer búsquedas paralelamente en tu ordenador y en Internet.
- Se actualiza constántemente.
- Respeta la privacidad de los usuarios y se le puede limitar que haga las búsquedas simultáneas. Google Desktop Search funciona en Windows XP y en Windows 2000 SP3."

0 comentarios

¡Aviso! Virus destructivo

Llevabamos unos años de relativa tranquilidad respecto a lo dañino de los especímenes víricos. Los más famosos como Slammer, Blaster, Nestky y Nimbda se habían hecho populares principalmente por su capacidad de difusión y reproducción. Quizás ello nos ha llevado a pensar que los virus sólo son algo molesto...pero parece que ahora hay una nueva tendencia que nos hace recordar los primeros especímenes de este tipo de código, la destrucción de archivos.

El virus Bacros borrará el día 25 de diciembre los archivos del disco duro que se encuentren infectados y utiliza varias técnicas para garantizar su distribución por los archivos del PC.

La información detallada puede consultarse en:
Detalle técnico del virus
Noticia: Bacros virus targets hard-drive destruction - ZDNet UK News
F-Secure Virus Description:Bacros.A
jueves, 14 de octubre de 2004 0 comentarios

Insecure.org :: RSS newsfeeds

Desde la página de Djeaux puede accederse al listado de listas de correo de Insecure.org en formato RSS.

A continuación, enumero la descripción de las diferentes listas que pueden consultarse en Insecure.org.

-Bugtraq -- Arguably the most important Internet security list. Vulnerabilities are often announced here first, so check frequently!

-Full Disclosure -- An unmoderated high-traffic forum for disclosure of security information. Fresh vulnerabilities sometimes hit this list many hours before they pass through the Bugtraq moderation queue. The relaxed atmosphere of this quirky list provides some comic relief and certain industry gossip. Unfortunately 80% of the posts are worthless drivel, so finding the gems takes patience.

-Penetration Testing -- While this list is intended for "professionals", participants frequenly disclose techniques and strategies that would be useful to anyone with a practical interest in security and network auditing.

-Vulnerability Development -- A moderated list for discussing possible security issues and devising exploits for them.

-Security Basics -- A high-volume list which permits people to ask "stupid questions" without being derided as "n00bs". I would recommend this list to network security newbies, but be sure to read bugtraq and other lists as well.

-Firewall Wizards -- Tips and tricks for firewall administrators

-VulnWatch -- A non-discussion, non-patch, all-vulnerability annoucement list supported and run by a community of volunteer moderators distributed around the world.

-VulnDiscuss -- This sister-list of VulnWatch allows for discussions about new vulnerabilities.

-Incidents -- Lightly moderated list for dicussing actual security incidents (unexplained probes, breakins, etc). Topics include information about new rootkits, backdoors, trojans, virii, and worms.

-Info Security News -- Carries news items (generally from mainstream sources) that relate to security.

-Security Jobs -- A popular list for advertising or finding jobs in the security field. Employers post openings and job seekers post resumes (run by SecurityFocus)

-IDS Focus -- Technical discussion about Intrusion Detection Systems. You can also read the archives of a previous IDS list

-Web App Security -- Provides insights on the unique challenges which make web applications notoriously hard to secure.

-MS Sec Notification -- Beware that MS often uses these security bulletins as marketing propaganda to downplay serious vulnerabilities in their products -- note how most have a prominant and often-misleading "mitigating factors" section.

-Honeypots -- Discussions about tracking attackers by setting up decoy honeypots or entire honeynet networks.

0 comentarios

Microsoft e-Learning TechNet Virtual Lab: Security

Acabo de experimentar lo que supone una sesión de e-learning en entornos Microsoft. Siguiendo el hilo a una noticia donde se anunciaba un curso de seguridad, he podido comprobar en que consiste la plataforma de cursos y la calidad que estos tienen.

Tras elegir uno de los cursos disponibles, he accedido al laboratorio on-line y para mi sorpresa, he tenido acceso via Web a una máquina por Terminal Services puesta a mi disposición durante 1 hora para poder realizar la práctica encomendada.

Además, Microsoft proporciona un detallado manual de cada una de las prácticas para que el alumno vaya usandolo como guía-burros y no se pierda en la realización del ejercicio práctico.

En dos palabras: im-presionante.

La dirección con los cursos disponibles se encuentra accesible en Microsoft TechNet Virtual Lab: Security.
miércoles, 13 de octubre de 2004 1 comentarios

Segundo cumpleaños...

Aunque no había caido en la cuenta, este lunes este blog y sus versiones anteriores cumplen ya dos años. Todavía recuerdo cuando mis compañeros de U-company me comentaban lo que eran esto de los blog's y me animaban a crear uno.
Aunque la frecuencia de publicación del primer año no fue muy regular ni muy continuada, ahora ya posteo algo todos los dias laborables. El acceso a información a través de contenidos sindicados (RSS) me permite leer y hojear bastante información que a menudo posteo para tener un sitio al que recurrir cuando quiero encontrar algo a la vez que me sirve para compartir conocimiento.
Aunque no recibo comentarios, espero que esta bitácora de seguridad de la información le sirva a alguien para algo, ... evocando al espiritu que me animó a crear en su momento mi primer blog.

"Primer post-Informationsecuritymanagementforusers.blogspot.com

Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos.
Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."


Un saludo

1 comentarios

Recomendación sobre Controles de Seguridad para los sistemas de información federales de USA

El National Institute of Standards and Technology (NIST) ha elaborado en modo borrador un documento donde detalla el conjunto mínimo de controles de seguridad que deben tener los sistemas de información federales del Gobierno de los EE.UU.

Este documento cuya filosofía comparte la esencia de la norma ISO 17799:2002 no se estructura de la misma manera que el estandar internacional aunque si que establece un mapeo respecto al conjunto de controles entre ambas normas.El documento puede consultarse en la dirección NIST SP 800-53.

El Gobierno americano, lejos de dejarse guiar por las normas internacionales, parece decidido a seguir defendiendo su filosofía respecto a la seguridad de la información basandose para ello en los documentos conocidos como "Rainbow Series" de los que el más famoso es su "Orange Book" que sentó precedente en materia de seguridad informática en los años 80. Los criterios de seguridad americanos conocidos como ITSEC siguen un camino de convergencia respecto de las normas europeas que se fusionaron en la norma ISO 17799:2002 respecto al conjunto de buenas prácticas deseables.

El tema de normalizar y certificar sistemas de gestión de la seguridad de la información sigue sin llegar a un consenso puesto que las normas de certificación se están definiendo bajo los esquemas nacionales para posteriormente acabar unidos entorno a una norma internacional de certificación de la "Seguridad de los Sistemas de Información".

En España esta norma se llama UNE 71502.

viernes, 8 de octubre de 2004 0 comentarios

Revista SIC

Esta es una publicación mensual del gremio de la Seguridad de la Información que recoge la actividad del mercado.
Es interesante compartir las experiencias entre los profesionales del sector, y más en uno como este en donde todos los que estamos del lado de la defensa debemos estar unidos frente a las amenazas que se nos pueden venir encima en los próximos años.

La revista permite solo consultar resumenes de los artículos, pero aun así es interesante.
Revista SIC
0 comentarios

Audit my PC

En esta Web podemos realizar una batería de test para comprobar la eficacia de las medidas de seguridad que tengamos y para descubrir lo vulnerables que podemos ser accediendo a Internet con un navegador.

La Web realiza 3 tipos de test:
- Test al firewall instalado, indicando los puertos abiertos que ha localizado.
- Test anti-spyware, verificando la información que puede extraer sobre nosotros utilizando el navegador.
- Test Pop-Up blocker, para comprobar si estamos o no protegidos contra este tipo de molestas ventanas que utilizan muchas Webs para poner publicidad.

Es interesante pasarse un examen de este tipo para comprobar si todo lo que tenemos instalado como defensa funciona de forma eficaz. La URL es PC audit.
0 comentarios

Nuevo aspecto

Tras un problema ayer con la plantilla en Blogger, hoy me he decidido a cambiar de aspecto el blog para conseguir un estilo visual más agradable. Me quedan unos pequeños cambios para modificar las imagenes de fondo, pero en breve este nuevo diseño estará operativo.
jueves, 7 de octubre de 2004 0 comentarios

Propiedad intelectual, legislación e Internet

A través del Web Kriptópolis he hallado la referencia al excelente artículo que firma José Cervera que apoyo desde este blog.

La fuente exacta puede consultarse en Cuando las leyes atacan a la gente y yo voy a copiar textualmente las partes más interesantes.



"Tiempos de lucha para conquistar el futuro."
Cuando las leyes atacan a la gente

"Un código penal que, entre otras cosas, retuerce la compraventa de contenidos digitales dándole todo el poder el vendedor, con el respaldo de la ley (y de la policía). Patentes de 'software' enloquecidas que amenazan con arruinar empresas. Toda una generación de líderes de opinión e intelectuales de rancio abolengo democrático están, en su profunda incomprensión de lo que sucede, permitiendo un ataque legislativo sin precedentes contra toda una tecnología, contra toda una cultura. Cuando las leyes atacan a la gente, la gente necesitará alternativas para protegerse. Los guardianes y creadores de la ley debieran ser cuidadosos con su uso: una vez degradada es muy difícil devolver el debido respeto a una legislación mancillada.

No es justo que, según una lectura ingenua del nuevo artículo 270 del Código Penal español, el vendedor de un CD de música tenga a partir del pasado uno de octubre el derecho de decir al comprador cómo y cuándo escuchar la música que compró. Lo dice en el Apartado 3, cuando estipula que si la fonográfica en cuestión incluye en el disco un programa que sólo permite escuchar una canción los jueves anteriores a la luna llena, el propietario del disco no tiene derecho a poseer una herramienta para escucharla otro día. Mejor dicho: si posee una herramienta así, es un delito penado con prisión de seis meses a dos años y multa de doce a veinticuatro meses.

No es justo que, según una lectura ingenua del nuevo artículo 286 del Código Penal español, yo no pueda compartir MI conexión ADSL (comprada y pagada religiosamente) con quien a mí me de la gana, no vaya a perjudicar a la operadora de telecomunicaciones. También está penado eliminar la 'esclavitud' de MI teléfono, incluso si el periodo pactado por contrato ha transcurrido ya y (como es habitual), la empresa remolonea a la hora de cumplir con su compromiso de liberar el aparato."


"Las leyes se han vuelto locas. Atacan a las personas, y a la lógica. Y lo hacen de un modo muy específico: le dan cada vez más poder a los vendedores y le quitan poder a los compradores. La ley se alía cada vez más con uno de los bandos en la compraventa digital, desequilibrando el intercambio a favor del grande. Estas nuevas leyes convierten en la práctica al estado en el guardaespaldas de la industria cultural y de contenidos.

Y luego se extrañan de que haya 'piratería'. Cuando los contratos son manifiestamente injustos y están apoyados por leyes absurdas que no se pueden hacer cumplir hay que preguntarse si lo que llaman 'piratería', no es sino desobediencia civil. Una pacífica forma de enfrentarse a leyes injustas.

Los datos indican que la idea de demandar a la clientela no funciona. Hasta tal punto que ya hay compañías que retiran, voluntariamente, sus sistemas de protección para evitar el repudio de sus clientes. En España, mientras tanto, protegernos esos mismos sistemas de control de copias con todo el peso del Código Penal.

Pero los datos no detendrán este enloquecimiento legal, este encarnizamiento de la propiedad intelectual e industrial con el que una generación de líderes poco versados en la Red parece estar dispuesta a encenagarnos a todos. Las leyes están entrando en vigor, y una vez en marcha habrá que utilizarlas. Habrá redadas, y procesamientos, y argumentaciones de abogados; habrá arrestos, y hasta condenas. Se perderá mucho tiempo y mucho dinero en intentar aterrorizar a la gente. Habrá quien acabe seriamente damnificado por injusticias cometidas con todo el peso de la ley. Las cosas tendrán que ir a mucho peor antes de que puedan ir a mejor. Y tal vez todos tengamos que hacer algo.

Programadores y programadoras tendrán que explorar los límites abiertos por ese 'específicamente' en el artículo 270 a la hora de diseñar programas para saltarse límites absurdos. Habrá campañas de autoinculpación masiva para bloquear los tribunales. Habrá que pasarse a redes privadas de intercambio P2P según el modelo Freenet o Waste. Habrá que utilizar los recursos del 'copyleft', como las licencias 'Creative Commons' en castellano y catalán. Habrá que inventar sistemas que reconozcan los derechos morales y económicos de autores e intérpretes sin limitar la difusión de la obra creada ni amenazar con la cárcel a quien la disfrute.

Será necesario convertir la amenaza para la cultura en que se están convirtiendo las leyes que supuestamente la protegen en un asunto político de primer orden. Habrá que luchar.

La alternativa es un páramo creativo; un mundo en el que la música, la literatura, la imagen y el cine sólo puedan ser creados, distribuidos y consumidos por quien, cómo, dónde y con el precio que la industria que los fabrica desee, con la garantía de la policía y los jueces y sin que nosotros tengamos derecho alguno. Sólo el de pagar. Y pagar.

Usted mismo/a.
 
;