Leo en Dana Epp's ramblings at the Sanctuary y hace un par de días en algunos de los blogs de Microsoft las referencias a un artículo de la revista TechNet de este mes, dedicada a Seguridad las referencias a un conjunto de artículos que pretenden enseñar cuales son las estrategias y artimañas que utiliza un hacker para lograr una intrusión.
Es importante conocer cuales son nuestras debilidades para saber poner soluciones. El artículo Fight Back: How A Criminal Might Infiltrate Your Network -- TechNet Magazine, Winter 2005 que técnicamente está muy detallado, demuestra paso por paso como puede saltar un intruso, desde un PC externo hasta dentro de los servidores corporativos de nuestra red.
Interesante primero por conocer los pasos que se dan y segundo por ver las herramientas que se utilizan. Todas ellas son en modo texto dado que un hacker contará como mucho con una conexión telnet o ssh. Rara vez puede conectar a la primera por Terminal Services o por VNC. Las herramientas utilizadas son, entre otras netcat, fport y nmap.
viernes, 29 de octubre de 2004
0
comentarios
TechNet Magazine- Hacking Fight Back: How A Criminal Might Infiltrate Your Network
Noticias
0
comentarios
La página de George Bush no es accesible desde direcciones externas a Estados Unidos.
Leo en BBC News Technology y en Netcraf que la página Web de George Bush está rechazando las visitas de usuarios no americanos.
Por motivos de seguridad (en este caso, tambien preventiva) han preferido bannear a todos los ciudadanos del resto del mundo no vaya a ser que algún listillo le hackee la página días antes de las elecciones. Con el grave daño en imagen que ello supondría y dado que frente a cierto tipo de ataques como la denegación de servicio distribuida NO EXISTEN MEDIDAS DE SEGURIDAD, han preferido cerrar el chiringuito para aquellos que no son sus "potenciales clientes".
La noticia puede leerse en BBC NEWS Attack prompts Bush website block, en Netcraft News y las estadísticas de tráfico al sitio Web, desde diversos puntos del mundo, pueden verse aquí.
Se puede observar como el tráfico desde ciudades como Londres da error de conexión y desde New York funciona perfectamente.
Dado que las elecciones americanas parecen preocuparnos más al resto del mundo que a los propios americanos, han preferido dejarnos fuera en este caso, por si podemos influir en algo.
Por motivos de seguridad (en este caso, tambien preventiva) han preferido bannear a todos los ciudadanos del resto del mundo no vaya a ser que algún listillo le hackee la página días antes de las elecciones. Con el grave daño en imagen que ello supondría y dado que frente a cierto tipo de ataques como la denegación de servicio distribuida NO EXISTEN MEDIDAS DE SEGURIDAD, han preferido cerrar el chiringuito para aquellos que no son sus "potenciales clientes".
La noticia puede leerse en BBC NEWS Attack prompts Bush website block, en Netcraft News y las estadísticas de tráfico al sitio Web, desde diversos puntos del mundo, pueden verse aquí.
Se puede observar como el tráfico desde ciudades como Londres da error de conexión y desde New York funciona perfectamente.
Dado que las elecciones americanas parecen preocuparnos más al resto del mundo que a los propios americanos, han preferido dejarnos fuera en este caso, por si podemos influir en algo.
jueves, 28 de octubre de 2004
Noticias
0
comentarios
Intimidad: Un derecho en crisis. La erosion de la privacidad
Leo via Republica Internet un excelente artículo que plasma la situación actual del Derecho que regula la intimidad, en formato electrónico.
Recomendable tanto el blog como el texto integro del artículo.Intimidad: Un derecho en crisis. La erosion de la privacidad
Extraigo parte del documento que me parece de una claridad y exposición brillantisima.
"En mi opinión existen una serie de derechos, consagrados en la Declaración de Derechos Humanos, que no pueden ser objeto de comercio. Sin discusión alguna, coincidiremos todos en que sería nulo de pleno derecho un contrato en el que se pactase el asesinato de una persona. De igual modo la libertad: no puede aceptarse un contrato que pacte el esclavismo. Cualquier sindicalista sabe que muchos derechos laborales son irrenunciables. Sin embargo, cuando nos acercamos a derechos como la intimidad, surgen las primeras diatribas. ¿Es renunciable por contrato, a cambio de un precio?
La ideología neoliberal imperante ya ha dado respuesta a esa pregunta: todos los derechos son renunciables, todo se puede comprar y vender. Aún no tienen poder para comerciar sobre la libertad y la vida, pero todo se andará. Plantearse desde esa perspectiva el respeto a la intimidad es ilusorio.
Lo cierto es que programas como Gran Hermano evidencian que la intimidad es un derecho en crisis, algo que puede ser objeto de comercio y discusión pública: en el mercado, en la peluquería, en el casino. El comportamiento del sistema en relación al derecho a la intimidad recuerda a los mercados financieros: la mejor forma de apropiarse a bajo precio de valores bursátiles es convertirlos en bonos basura. Al devaluar la intimidad, es más fácil comprarla. Convertirla en basura es un paso previo a su destrucción total por vía legislativa.
¿Es tan importante la intimidad como la libertad o la vida? En un mundo digitalizado y globalizado, entiendo que deben ponerse al mismo nivel, y ello porque la intimidad es el último reducto del ser humano frente al sistema. Si se suprime la libertad de prensa, el derecho de reunión y asociación, sólo nos queda la intimidad para conspirar frente al poder. Sin intimidad no hay revolución posible. En el futuro Mundo Feliz que están construyendo los medios de comunicación al servicio de las corporaciones multinacionales, la última posibilidad de resistencia reside en el derecho a la intimidad: nuestra última barricada."
Recomendable tanto el blog como el texto integro del artículo.Intimidad: Un derecho en crisis. La erosion de la privacidad
Extraigo parte del documento que me parece de una claridad y exposición brillantisima.
"En mi opinión existen una serie de derechos, consagrados en la Declaración de Derechos Humanos, que no pueden ser objeto de comercio. Sin discusión alguna, coincidiremos todos en que sería nulo de pleno derecho un contrato en el que se pactase el asesinato de una persona. De igual modo la libertad: no puede aceptarse un contrato que pacte el esclavismo. Cualquier sindicalista sabe que muchos derechos laborales son irrenunciables. Sin embargo, cuando nos acercamos a derechos como la intimidad, surgen las primeras diatribas. ¿Es renunciable por contrato, a cambio de un precio?
La ideología neoliberal imperante ya ha dado respuesta a esa pregunta: todos los derechos son renunciables, todo se puede comprar y vender. Aún no tienen poder para comerciar sobre la libertad y la vida, pero todo se andará. Plantearse desde esa perspectiva el respeto a la intimidad es ilusorio.
Lo cierto es que programas como Gran Hermano evidencian que la intimidad es un derecho en crisis, algo que puede ser objeto de comercio y discusión pública: en el mercado, en la peluquería, en el casino. El comportamiento del sistema en relación al derecho a la intimidad recuerda a los mercados financieros: la mejor forma de apropiarse a bajo precio de valores bursátiles es convertirlos en bonos basura. Al devaluar la intimidad, es más fácil comprarla. Convertirla en basura es un paso previo a su destrucción total por vía legislativa.
¿Es tan importante la intimidad como la libertad o la vida? En un mundo digitalizado y globalizado, entiendo que deben ponerse al mismo nivel, y ello porque la intimidad es el último reducto del ser humano frente al sistema. Si se suprime la libertad de prensa, el derecho de reunión y asociación, sólo nos queda la intimidad para conspirar frente al poder. Sin intimidad no hay revolución posible. En el futuro Mundo Feliz que están construyendo los medios de comunicación al servicio de las corporaciones multinacionales, la última posibilidad de resistencia reside en el derecho a la intimidad: nuestra última barricada."
Noticias,
Revistas y Magazines
1 comentarios
Revista online CSO - information and insights for senior security executives and Chief Security Officers;
Escasean las revistas profesionales en torno a la Seguridad de la Información. En España contamos con la revista SIC como máximo exponente y la revista Redes&Seguridad.
A nivel internacional, existen directamente magazines on-line dirigidos a los CSO (Chief Security Officer), lo que en España es el cargo de Responsable de Seguridad de la Información.
Aunque dentro de los organigramas empresariales esta figura todavía no está extendida y como mucho se cuenta con un responsable de seguridad informática, el volumen de tareas y las necesidades de gestión en torno a este área de conocimiento va a requerir profesionales en la dirección de la empresa encargados de gestionar la Seguridad de la Información. Así lo establece la norma UNE ISO 17799:2000 donde determina la necesidad de establecer de forma clara y explicita las diferentes responsabilidades asociadas con la seguridad.
En materia de Protección de Datos, el R.D. 994/1999, Reglamento de Medidas de Seguridad determina en su artículo 16 la necesidad de una persona física responsable de coordinar y gestionar las medidas de seguridad establecidas en el documento de seguridad para aquellos ficheros de nivel medio o alto.
Para todos estos perfiles profesionales, es interesante leer artículos y publicaciones donde el gremio discute su problemática. La revista es mensual y consultable gratuitamente por Internet.
CSO Homepage - information and insights for senior security executives and Chief Security Officers; CSO Magazine is an IDG publication -
A nivel internacional, existen directamente magazines on-line dirigidos a los CSO (Chief Security Officer), lo que en España es el cargo de Responsable de Seguridad de la Información.
Aunque dentro de los organigramas empresariales esta figura todavía no está extendida y como mucho se cuenta con un responsable de seguridad informática, el volumen de tareas y las necesidades de gestión en torno a este área de conocimiento va a requerir profesionales en la dirección de la empresa encargados de gestionar la Seguridad de la Información. Así lo establece la norma UNE ISO 17799:2000 donde determina la necesidad de establecer de forma clara y explicita las diferentes responsabilidades asociadas con la seguridad.
En materia de Protección de Datos, el R.D. 994/1999, Reglamento de Medidas de Seguridad determina en su artículo 16 la necesidad de una persona física responsable de coordinar y gestionar las medidas de seguridad establecidas en el documento de seguridad para aquellos ficheros de nivel medio o alto.
Para todos estos perfiles profesionales, es interesante leer artículos y publicaciones donde el gremio discute su problemática. La revista es mensual y consultable gratuitamente por Internet.
CSO Homepage - information and insights for senior security executives and Chief Security Officers; CSO Magazine is an IDG publication -
miércoles, 27 de octubre de 2004
Documentación de interés
0
comentarios
Desmitificando los Test de Intrusión
Es conocido que una de las formas de evaluar la seguridad de una organización es realizando "Test de Intrusión". Consiste en contratar a una empresa de seguridad informática para que realice un "hacking controlado y ético". El auditor de seguridad debe simular ser un hacker y debe tratar de encontrar posibles vulnerabilidades de seguridad que un usuario malintencionado podría utilizar.
Existen diferentes metodologías para realizar estas auditorías. La mayoría de las empresas suelen ofrecer "Test automáticos" que consisten en lanzar herramientas de escaneo de vulnerabilidades como Nesssus, Retina, GFI Security Scanner, ISS, Shadow Security Scanner, etc. y entregar al cliente los resultados que éstas generan.Este tipo de servicios es interesante porque detecta vulnerabilidades no parcheadas y visibles desde Internet, pero creo que es mucho más interesante contratar test más profundos, con el uso de un experto en seguridad que simule un hacker de verdad y que trate de realizar una intrusión real para ver si es verdad o no que somos hackeables.
El Institute for Security and Open Metodologies (ISECOM) dispone de una metodología propia para realizar estos test de profundidad.
El siguiente enlace contiene un documento y presentación que describe y detalla en qué consiste un verdadero test de intrusión, que fases tiene y qué información se obtiene.
ASTALAVISTA SECURITY GROUP : Demystifying Penetration Testing
Existen diferentes metodologías para realizar estas auditorías. La mayoría de las empresas suelen ofrecer "Test automáticos" que consisten en lanzar herramientas de escaneo de vulnerabilidades como Nesssus, Retina, GFI Security Scanner, ISS, Shadow Security Scanner, etc. y entregar al cliente los resultados que éstas generan.Este tipo de servicios es interesante porque detecta vulnerabilidades no parcheadas y visibles desde Internet, pero creo que es mucho más interesante contratar test más profundos, con el uso de un experto en seguridad que simule un hacker de verdad y que trate de realizar una intrusión real para ver si es verdad o no que somos hackeables.
El Institute for Security and Open Metodologies (ISECOM) dispone de una metodología propia para realizar estos test de profundidad.
El siguiente enlace contiene un documento y presentación que describe y detalla en qué consiste un verdadero test de intrusión, que fases tiene y qué información se obtiene.
ASTALAVISTA SECURITY GROUP : Demystifying Penetration Testing
Ya he recomendado en otros post medidas de detección y eliminación del spyware. Hoy la recomendación es de carácter preventivo, mediante un programa residente que evita que el spyware llegue a ejecutarse.
Esta aplicación es un complemento ideal al SpyBoy Search y evita incluso que éste sea util ya que ataja el problema en la raiz, cuando el spyware intenta instalarse.
El programa es gratuito, como todos los que recomiendo. Puede descargarse en la dirección SpywareGuard
Esta aplicación es un complemento ideal al SpyBoy Search y evita incluso que éste sea util ya que ataja el problema en la raiz, cuando el spyware intenta instalarse.
El programa es gratuito, como todos los que recomiendo. Puede descargarse en la dirección SpywareGuard
martes, 26 de octubre de 2004
Documentación de interés
0
comentarios
Declaración de Prácticas de Certificación de CERES-FNMT
La Firma Digital es un mecanismo de seguridad que proporciona tres servicios básicos de seguridad: autenticación, integridad y confidencialidad. Esta tecnología puede servir para solucionar una gran parte de los problemas de seguridad informática.
Toda infraestructura técnica de implementación de la firma electrónica (más conocido por las siglas PKI) requiere de un conjunto técnologico de mecanismos de generación de firma sobre soportes seguros y unas reglas del juego que determinen quién, cómo, cuando y dónde se pueden generar certificados digitales. Este documento, que es un requisito legal se denomina Prácticas de Certificación.
Suele pasar que la facilidad para implementar un mecanismo de seguridad nos lleva a utilizarlo pero olvidando siempre la parte formal y procedimental que establezca los mecanismos de control para usar esa tecnología.
La firma electrónica ha sido recientemente regulada por la Ley 59/2003 que entre otras cosas, introduce el concepto del DNI Electrónico.En la ley de firma digital se establece una correspondencia directa entre la firma manuscrita y la firma digital. Esto va a permitir empezar a pensar en procesos administrativos en formato electrónico pero esta nueva medida de seguridad también introduce nuevos riesgos...que habrá que gestionar. La seguridad de los certificados digitales debe estar absolutamente garantizada para que su uso no suponga un riesgo para el ciudadano.
El documento que hoy enlazo, detalla cual es la Declaración de las Practicas de Certificación de CERES
Toda infraestructura técnica de implementación de la firma electrónica (más conocido por las siglas PKI) requiere de un conjunto técnologico de mecanismos de generación de firma sobre soportes seguros y unas reglas del juego que determinen quién, cómo, cuando y dónde se pueden generar certificados digitales. Este documento, que es un requisito legal se denomina Prácticas de Certificación.
Suele pasar que la facilidad para implementar un mecanismo de seguridad nos lleva a utilizarlo pero olvidando siempre la parte formal y procedimental que establezca los mecanismos de control para usar esa tecnología.
La firma electrónica ha sido recientemente regulada por la Ley 59/2003 que entre otras cosas, introduce el concepto del DNI Electrónico.En la ley de firma digital se establece una correspondencia directa entre la firma manuscrita y la firma digital. Esto va a permitir empezar a pensar en procesos administrativos en formato electrónico pero esta nueva medida de seguridad también introduce nuevos riesgos...que habrá que gestionar. La seguridad de los certificados digitales debe estar absolutamente garantizada para que su uso no suponga un riesgo para el ciudadano.
El documento que hoy enlazo, detalla cual es la Declaración de las Practicas de Certificación de CERES
lunes, 25 de octubre de 2004
Documentación de interés
0
comentarios
Comisión Europea: Seguridad de la Información
Este informe de la Unión Europea plantea las líneas generales de gobierno que los políticos de los diferentes Estados Miembros deben plantearse en materia de seguridad de la información. Por el contenido estratégico del mismo, las recomendaciones realizadas se encuentran actualmente en fase de implantación y algunas de las que figuran están todavía pendientes de desarrollar. He seleccionado algunos de los apartados más interesantes del documento.
"La seguridad es una prioridad clave dado que la comunicación y la información se han
convertido en un factor esencial del desarrollo social y económico. Las redes y los sistemas de información transmiten datos y ofrecen servicios en un número inconcebible tan solo hace unos años. Su funcionamiento es crítico para el de otras infraestructuras como el suministro eléctrico o de agua. Las empresas, los ciudadanos y las administraciones públicas desean sacar el máximo partido de las posibilidades que ofrecen las redes de comunicación, por lo que la seguridad de estos sistemas se está convirtiendo en un requisito previo para nuevos progresos."
...
"La seguridad se ha convertido en un desafío clave para los responsables políticos, pero dar con la respuesta política adecuada se hace cada vez más difícil. Los servicios de comunicación ya no los ofrecen operadores de telecomunicaciones de propiedad estatal, sino muchos operadores privados y proveedores de servicios de forma competitiva y, cada vez más, a escala europea y mundial. Las redes son cada vez más convergentes y son capaces de servir de soporte a los mismos servicios, cada vez están más interconectadas y comparten parte de la misma infraestructura.
Con el fin de garantizar un nivel mínimo de seguridad, se ha adoptado un importante conjunto de medidas legislativas como parte del marco de telecomunicaciones y de las leyes de protección de los datos tanto a nivel nacional como de la UE. Estas disposiciones legales deben aplicarse de forma efectiva en un entorno en constante cambio. También deberán evolucionar en el futuro como puede verse en el caso del nuevo marco de telecomunicaciones propuesto o las próximas propuestas en relación con el debate sobre la ciberdelincuencia. Los responsables políticos necesitan, por lo tanto, comprender los problemas de seguridad en juego y su función en la mejora de la seguridad."
"Medidas propuestas:
- Concienciación: Debería lanzarse una campaña de información y educación pública y habría que fomentar las mejores prácticas.
- Un sistema europeo de alerta e información: Los Estados miembros deberían fortalecer sus equipos de respuesta a emergencias informáticas (CERT) y mejorar la coordinación entre los mismos. La Comisión examinará con los Estados miembros la mejor forma de organizar la recogida de datos, análisis y planificación de medidas a largo plazo a las amenazas existentes y emergentes en materia de seguridad a nivel europeo.
- Apoyo tecnológico: El apoyo a la investigación y al desarrollo en materia de seguridad deberá ser un elemento clave del 6º Programa Marco y estar relacionado con una estrategia más amplia de mejora de la seguridad de las redes y de la información.
- Apoyo a la normalización y certificación orientadas al mercado: Se invita a las organizaciones de normalización europeas a que aceleren sus trabajos sobre interoperabilidad. La Comisión continuará apoyando la firma electrónica y el desarrollo de los protocolos IPv6 e IPSec. La Comisión evaluará la necesidad de llevar a cabo una iniciativa legal sobre el reconocimiento mutuo de certificados. Los Estados miembros deberían revisar todas las normas de seguridad pertinentes.
- Marco legal: La Comisión establecerá un inventario de las medidas nacionales de aplicación del Derecho comunitario correspondiente. Los Estados miembros deberán apoyar la libre circulación de los productos de encripción. La Comisión propondrá legislación en materia de ciberdelincuencia.
- Las seguridad y la administración pública: los Estados miembros deberán incorporar soluciones de seguridad efectivas e interoperables en sus actividades electrónicas de administración pública y contratación pública. La Comisión reforzará sus requisitos en materia de seguridad en su sistema de información y comunicación.
- Cooperación internacional: La Comisión reforzará el diálogo con las organizaciones internacionales y sus socios en lo relacionado con la seguridad de las redes y de la información.
El documento completo puede leerse en Seguridad de las redes y de la información:Propuesta para un enfoque político europeo
"La seguridad es una prioridad clave dado que la comunicación y la información se han
convertido en un factor esencial del desarrollo social y económico. Las redes y los sistemas de información transmiten datos y ofrecen servicios en un número inconcebible tan solo hace unos años. Su funcionamiento es crítico para el de otras infraestructuras como el suministro eléctrico o de agua. Las empresas, los ciudadanos y las administraciones públicas desean sacar el máximo partido de las posibilidades que ofrecen las redes de comunicación, por lo que la seguridad de estos sistemas se está convirtiendo en un requisito previo para nuevos progresos."
...
"La seguridad se ha convertido en un desafío clave para los responsables políticos, pero dar con la respuesta política adecuada se hace cada vez más difícil. Los servicios de comunicación ya no los ofrecen operadores de telecomunicaciones de propiedad estatal, sino muchos operadores privados y proveedores de servicios de forma competitiva y, cada vez más, a escala europea y mundial. Las redes son cada vez más convergentes y son capaces de servir de soporte a los mismos servicios, cada vez están más interconectadas y comparten parte de la misma infraestructura.
Con el fin de garantizar un nivel mínimo de seguridad, se ha adoptado un importante conjunto de medidas legislativas como parte del marco de telecomunicaciones y de las leyes de protección de los datos tanto a nivel nacional como de la UE. Estas disposiciones legales deben aplicarse de forma efectiva en un entorno en constante cambio. También deberán evolucionar en el futuro como puede verse en el caso del nuevo marco de telecomunicaciones propuesto o las próximas propuestas en relación con el debate sobre la ciberdelincuencia. Los responsables políticos necesitan, por lo tanto, comprender los problemas de seguridad en juego y su función en la mejora de la seguridad."
"Medidas propuestas:
- Concienciación: Debería lanzarse una campaña de información y educación pública y habría que fomentar las mejores prácticas.
- Un sistema europeo de alerta e información: Los Estados miembros deberían fortalecer sus equipos de respuesta a emergencias informáticas (CERT) y mejorar la coordinación entre los mismos. La Comisión examinará con los Estados miembros la mejor forma de organizar la recogida de datos, análisis y planificación de medidas a largo plazo a las amenazas existentes y emergentes en materia de seguridad a nivel europeo.
- Apoyo tecnológico: El apoyo a la investigación y al desarrollo en materia de seguridad deberá ser un elemento clave del 6º Programa Marco y estar relacionado con una estrategia más amplia de mejora de la seguridad de las redes y de la información.
- Apoyo a la normalización y certificación orientadas al mercado: Se invita a las organizaciones de normalización europeas a que aceleren sus trabajos sobre interoperabilidad. La Comisión continuará apoyando la firma electrónica y el desarrollo de los protocolos IPv6 e IPSec. La Comisión evaluará la necesidad de llevar a cabo una iniciativa legal sobre el reconocimiento mutuo de certificados. Los Estados miembros deberían revisar todas las normas de seguridad pertinentes.
- Marco legal: La Comisión establecerá un inventario de las medidas nacionales de aplicación del Derecho comunitario correspondiente. Los Estados miembros deberán apoyar la libre circulación de los productos de encripción. La Comisión propondrá legislación en materia de ciberdelincuencia.
- Las seguridad y la administración pública: los Estados miembros deberán incorporar soluciones de seguridad efectivas e interoperables en sus actividades electrónicas de administración pública y contratación pública. La Comisión reforzará sus requisitos en materia de seguridad en su sistema de información y comunicación.
- Cooperación internacional: La Comisión reforzará el diálogo con las organizaciones internacionales y sus socios en lo relacionado con la seguridad de las redes y de la información.
El documento completo puede leerse en Seguridad de las redes y de la información:Propuesta para un enfoque político europeo
viernes, 22 de octubre de 2004
Noticias
0
comentarios
Administración de máquinas mediante mensajería instantanea
Del post de ayer me surgen una serie de ideas que quizás podrían ser herramientas interesantes de implementar. Tal como referencié ayer, es posible la ejecución de un escaneo de puertos a través de un bot de AOL Messenger. Derivando en posteriores reflexiones se me ocurre lo interesante que podría ser crear un bot de mensajería que implementara una máquina de estados que fuera capaz de realizar una serie básica de comprobaciones de la situacíón de una máquina como podría ser el estado de los procesos, memoria, conectividad y cualquiera de los scripts que programaramos. Dado que los contactos de la mensajería instantanea son autorizados, podría crearse un bot por cada máquina y añadir a esas los diferentes administradores.
¿Qué sentido y ventajas tiene esta alternativa?
La visibilidad de la máquina a través de Internet sería exclusivamente de un solo puerto, el de la propia mensajería que utilizaríamos para tunelizar el resultado de la ejecución de comandos locales para visualizar la información. En fin, no es descabellado ver dentro de poco algún programa que implemente esta idea.
Using python and AOL IM to create nmap bot
¿Qué sentido y ventajas tiene esta alternativa?
La visibilidad de la máquina a través de Internet sería exclusivamente de un solo puerto, el de la propia mensajería que utilizaríamos para tunelizar el resultado de la ejecución de comandos locales para visualizar la información. En fin, no es descabellado ver dentro de poco algún programa que implemente esta idea.
Using python and AOL IM to create nmap bot
ISO 27001/27002
0
comentarios
Metodología para el análisis y la gestión de riesgos en seguridad de los sistemas de información de Microsoft
El día 15 de octubre salió a la luz Overview of the Security Risk Management Guide. Vía Jerry's Security Weblog me entero de la publicación de la documentación completa de la metodología y la elaboración de los modelos de entrevista y hojas Excel para la generación de los cálculos.
Los conceptos básicos de todas las metodologías son comunes y las fases también. Siempre consisten en:
- Identificar activos (Assets)
- Identificar amenazas (Threats)
- Estimar la vulnerabilidad de cada amenaza sobre cada activo (Vulnerability)
- Estimar el impacto de esa amenaza sobre el activo (Impact)
- Calcular el riesgo (Risk)
Los análisis de riesgos pueden ser cualitativos, cuando el riesgo se mide en niveles discretos (Alto, medio, bajo) o cuantitativos (Cuando el resultado final es una cantidad monetaria).
MAGERIT realiza análisis de riesgos de forma cuantitativa, midiendose el riesgo en cantidad monetaria que podría ser el coste de la inseguridad.
Lo importante al final del análisis de riesgos es encontrar las medidas de seguridad que mejor proteger nuestros activos. La granularidad del estudio (Nivel de detalle en la identificación de activos) mejorará el nivel de precisión de la medición del riesgo.
Los conceptos básicos de todas las metodologías son comunes y las fases también. Siempre consisten en:
- Identificar activos (Assets)
- Identificar amenazas (Threats)
- Estimar la vulnerabilidad de cada amenaza sobre cada activo (Vulnerability)
- Estimar el impacto de esa amenaza sobre el activo (Impact)
- Calcular el riesgo (Risk)
Los análisis de riesgos pueden ser cualitativos, cuando el riesgo se mide en niveles discretos (Alto, medio, bajo) o cuantitativos (Cuando el resultado final es una cantidad monetaria).
MAGERIT realiza análisis de riesgos de forma cuantitativa, midiendose el riesgo en cantidad monetaria que podría ser el coste de la inseguridad.
Lo importante al final del análisis de riesgos es encontrar las medidas de seguridad que mejor proteger nuestros activos. La granularidad del estudio (Nivel de detalle en la identificación de activos) mejorará el nivel de precisión de la medición del riesgo.
jueves, 21 de octubre de 2004
Noticias
0
comentarios
Bruce Schneier habla de Sistemas de Gestión de la Seguridad de la Información
Que un Gurú de la seguridad informática hable y difunda esta nueva forma de plantear el problema es un hito importante. Además de empujar la inercia del mercado y apoyar el movimiento internacional que está peleando por establecer estándares y criterios objetivos para medir y sobre todo, para gestionar y dirigir la inseguridad de una empresa hacia los niveles de riesgo deseados, las consecuencias de sus comentarios son una evidencia cada vez más clara.
LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO.
El contenido integro del texto puede leerse en Schneier on Security: Security Information Management Systems (SIMS).
Lo que viene a decir en resumen es que las medidas tecnologicas están muy bien porque evitan amenazas pero necesitan gestión y la componente humana que las dota de inteligencia.
Los log's son una mina de información que hay que explotar para saber que está pasando y si las medidas técnicas que tenemos son eficaces y eficientes o necesitamos más controles.
LA SEGURIDAD NO ES UN PRODUCTO, ES UN PROCESO.
El contenido integro del texto puede leerse en Schneier on Security: Security Information Management Systems (SIMS).
Lo que viene a decir en resumen es que las medidas tecnologicas están muy bien porque evitan amenazas pero necesitan gestión y la componente humana que las dota de inteligencia.
Los log's son una mina de información que hay que explotar para saber que está pasando y si las medidas técnicas que tenemos son eficaces y eficientes o necesitamos más controles.
Los que nos movemos en entornos Windows siempre hemos echado de menos herramientas de monitorización que nos expliquen que está pasando en cada momento con la memoria y CPU del ordenador.
Con ese proposito se han desarrollado una serie de utilidades freeware para entornos Windows NT/2000/XP/2K3 and Windows 9x, Windows Me por parte de Sysinternals( Mark Russinovich and Bryce Cogswell ).
En concreto, hoy quiero hablar de Process Explorer, una herramienta que aporta toda la información necesaria en entornos Windows sobre procesos en ejecución. Con una interfaz gráfica muy atractiva, es capaz de informar por cada proceso de todas las variables de sistema que el proceso está utilizando (DLL's en uso, Threads, Memoria, Claves de registro donde se encuentra la configuración, Rendimiento del proceso, Consumo de CPU y Memoria, etc.)
El detalle técnico completo de la herramienta puede encontrarse en Sysinternals Freeware - Process Explorer
Con ese proposito se han desarrollado una serie de utilidades freeware para entornos Windows NT/2000/XP/2K3 and Windows 9x, Windows Me por parte de Sysinternals( Mark Russinovich and Bryce Cogswell ).
En concreto, hoy quiero hablar de Process Explorer, una herramienta que aporta toda la información necesaria en entornos Windows sobre procesos en ejecución. Con una interfaz gráfica muy atractiva, es capaz de informar por cada proceso de todas las variables de sistema que el proceso está utilizando (DLL's en uso, Threads, Memoria, Claves de registro donde se encuentra la configuración, Rendimiento del proceso, Consumo de CPU y Memoria, etc.)
El detalle técnico completo de la herramienta puede encontrarse en Sysinternals Freeware - Process Explorer
miércoles, 20 de octubre de 2004
Noticias
0
comentarios
Post Número 100 y nueva funcionalidad en el blog
Por fin he conseguido añadir una de las funcionalidades que me había propuesto sobre el blog y una de las mayores necesidades para la utilidad del blog: el BUSCADOR LOCAL.
Se supone que la barra de Blogger aporta esta utilidad pero en mi caso no funciona. Hasta la fecha Google no me indexa y por tanto, creo que la barra de Blogger tampoco lo hace.
Con esta nueva opción, es facil localizar cualquier post o referencia a documento que haya comentado, con lo que se tiene acceso al total de la información que hasta ahora he publicado en estos dos años ya de trabajo.
Ahora que parece que el gremio de la Seguridad de la Información parece haber encontrado su sitio con las normas UNE 17799 y UNE 71502, espero que la construcción de los Sistemas de Gestión de la Seguridad de la Información (SGSI) sean elaborados por profesionales de demostrada competencia en el tema y no sea solo un tema de llevar un sello que de imagen.
Calidad en la gestión de información es un requisito imprescindible en las empresas del siglo XXI donde la información es la principal materia prima.
Se supone que la barra de Blogger aporta esta utilidad pero en mi caso no funciona. Hasta la fecha Google no me indexa y por tanto, creo que la barra de Blogger tampoco lo hace.
Con esta nueva opción, es facil localizar cualquier post o referencia a documento que haya comentado, con lo que se tiene acceso al total de la información que hasta ahora he publicado en estos dos años ya de trabajo.
Ahora que parece que el gremio de la Seguridad de la Información parece haber encontrado su sitio con las normas UNE 17799 y UNE 71502, espero que la construcción de los Sistemas de Gestión de la Seguridad de la Información (SGSI) sean elaborados por profesionales de demostrada competencia en el tema y no sea solo un tema de llevar un sello que de imagen.
Calidad en la gestión de información es un requisito imprescindible en las empresas del siglo XXI donde la información es la principal materia prima.
martes, 19 de octubre de 2004
Continuidad de negocio,
ISO 27001/27002
0
comentarios
UNE-ISO/IEC 17799, "Código de buenas prácticas para la gestión de la seguridad de la infomación"
El UNE-ISO/IEC 17799 es un estándar relativo a la gestión y dirección de la seguridad que fue aceptado utilizando el estándar publicado por el British Standard Institute conocido como BS 7799. El UNE-ISO/IEC 17799, “Código de buenas prácticas para la gestión de la seguridad de la información” comienza con una breve introducción a los conceptos relativos a la seguridad de la información, el por qué es necesario, como garantizar ciertos requisitos de seguridad y como gestionar el riesgo sobre los activos y determinar los controles. Existe, aunque todavía ISO no lo ha adoptado como estándar, la norma UNE 71502, que permite certificar que sistemas de información respecto al “Código de Buenas Prácticas” establecido por el UNE-ISO/IEC 17799. Se espera en breve que ISO adopte un estándar compatible con esta norma y las diferentes normas de certificación establecidas en cada uno de los países, como estándar internacional, y que los sistemas de información puedan certificar el cumplimiento de dicho estándar, para así, garantizar de una forma objetiva, la confianza y fiabilidad que ofrece un sistema respecto a la calidad de la seguridad de la información que maneja.
A continuación indicaremos brevemente los diferentes apartados de este estándar. Como puede observarse, el estándar establece un conjunto exhaustivo de apartados a contemplar y sobre los cuales, establece unos estrictos requisitos de protección para poder hablar de un sistema conforme a ISO 17799.
El cuerpo del estándar es el siguiente:
1. Alcance
2. Términos y definiciones
3. Políticas de Seguridad
4. Organización de la Seguridad
5. Clasificación y control de activos
6. Seguridad ligada al personal
7. Seguridad física y del entorno
8. Comunicaciones y gestión de explotación
9. Control de acceso al sistema
10. Desarrollo y mantenimiento
11. Plan de continuidad de negocio
12. Conformidad
A continuación indicaremos brevemente los diferentes apartados de este estándar. Como puede observarse, el estándar establece un conjunto exhaustivo de apartados a contemplar y sobre los cuales, establece unos estrictos requisitos de protección para poder hablar de un sistema conforme a ISO 17799.
El cuerpo del estándar es el siguiente:
1. Alcance
2. Términos y definiciones
3. Políticas de Seguridad
4. Organización de la Seguridad
5. Clasificación y control de activos
6. Seguridad ligada al personal
7. Seguridad física y del entorno
8. Comunicaciones y gestión de explotación
9. Control de acceso al sistema
10. Desarrollo y mantenimiento
11. Plan de continuidad de negocio
12. Conformidad
Las reuniones del FIRST (Forum for Incident Response and Security Teams) suelen generar recomendaciones, buenas prácticas y documentación interesante y práctica.
En este caso, se trata de referencias prácticas para el bastionado de la versión de Windows 2003 y de los servicios de Internet implantados con Internet Information Services (IIS) 6.0.
El enlace puede consultarse en:
Windows 2003 / IIS 6.0 DMZ Hardening Guide
En este caso, se trata de referencias prácticas para el bastionado de la versión de Windows 2003 y de los servicios de Internet implantados con Internet Information Services (IIS) 6.0.
El enlace puede consultarse en:
Windows 2003 / IIS 6.0 DMZ Hardening Guide
Cuando no hace ni una semana del anuncio oficial en versión beta de Google Desktop, el mundillo de la seguridad ya empieza a comentar los nuevos "riesgos" que una herramienta tan potente como ésta introduce sobre la "seguridad de la información".
Yo ya estoy disfrutando de las ventajas de un sistema de busqueda local tan rápido, pero a la vez, ando preocupado por las nuevas posibilidades que esta herramienta puede proporcionar a un usuario malintencionado.
Básicamente la nueva amenaza es el acceso y localización de información confidencial de forma trivial por un usuario no autorizado. De las pocas pruebas que he podido realizar, he identificado dos posibles vulnerabilidades:
1.- Acceso a buzones de correo sin autenticación. Yo utilizo un acceso a mi carpeta de correo personal autenticado, pero Google Desktop es capaz de acceder a los correos almacenados en mi buzon sin autenticación previa.
2.- Hemos hecho una pequeña prueba utilizando redirección de puertos, para ver si el acceso a la pagina de busqueda local de un PC podría hacerse desde el exterior. Hemos hecho una traslación de puertos del 4664 al 80 y hemos copiado el identificador de usuario de la página de inicio de Google Desktop y nos ha permitido acceder via Web al buscador local de un PC. De esta forma hemos podido también comprobar que en la página de inicio del buscador, aparece en la url un identificador que es único por usuario. Si esta información pudiera capturarse y pudieramos crear un pequeño programa que hiciera la redirección de puertos, la información local de un PC estaría alcanzable desde cualquier punto de Internet.
Esto es una ventaja (porque permite la consulta de información almacenada en local desde cualquier cliente) y una desventaja (si este acceso no está controlado y autenticado). En fin, estamos ante un nuevo destornillador(Google Desktop) que puede ser utilizado como cuchillo.
La noticia que comenta inquietudes parecidas puede consultarse en: MercuryNews.com | 10/16/2004 | Google's Desktop Search is valuable, yet creepy
Yo ya estoy disfrutando de las ventajas de un sistema de busqueda local tan rápido, pero a la vez, ando preocupado por las nuevas posibilidades que esta herramienta puede proporcionar a un usuario malintencionado.
Básicamente la nueva amenaza es el acceso y localización de información confidencial de forma trivial por un usuario no autorizado. De las pocas pruebas que he podido realizar, he identificado dos posibles vulnerabilidades:
1.- Acceso a buzones de correo sin autenticación. Yo utilizo un acceso a mi carpeta de correo personal autenticado, pero Google Desktop es capaz de acceder a los correos almacenados en mi buzon sin autenticación previa.
2.- Hemos hecho una pequeña prueba utilizando redirección de puertos, para ver si el acceso a la pagina de busqueda local de un PC podría hacerse desde el exterior. Hemos hecho una traslación de puertos del 4664 al 80 y hemos copiado el identificador de usuario de la página de inicio de Google Desktop y nos ha permitido acceder via Web al buscador local de un PC. De esta forma hemos podido también comprobar que en la página de inicio del buscador, aparece en la url un identificador que es único por usuario. Si esta información pudiera capturarse y pudieramos crear un pequeño programa que hiciera la redirección de puertos, la información local de un PC estaría alcanzable desde cualquier punto de Internet.
Esto es una ventaja (porque permite la consulta de información almacenada en local desde cualquier cliente) y una desventaja (si este acceso no está controlado y autenticado). En fin, estamos ante un nuevo destornillador(Google Desktop) que puede ser utilizado como cuchillo.
La noticia que comenta inquietudes parecidas puede consultarse en: MercuryNews.com | 10/16/2004 | Google's Desktop Search is valuable, yet creepy
He encontrado por casualidad la página personal de Rafael Ausejo y además de estar bien documentada y estructurada, es muy rica en enlaces sobre cada una de las secciones de la seguridad.
¡Felicidades por una Web tan completa!
Web de Rafael Ausejo Prieto.
¡Felicidades por una Web tan completa!
Web de Rafael Ausejo Prieto.
Fuente: Googlemanía: Google Desktop
"Bajo el nombre de Google Desktop Search se ha presentado la beta del antiguamente programa cono el sobrenombre de "puffin" con el que Google amenazaba con llevar su buscador a los ordenadores.
Google Desktop Search lleva el potencial de Google a la información personal de tu ordenador. Tan fácil como buscar en Google será buscar dentro del ordenador, tus ficheros, correo local, páginas que ya has visitado y más" es lo que ha comentado Larry Page. "Es gratis, se instalá fácilmente y se mantiene actualizado siempre".
Tiene las siguientes características:
- Permite buscar en ficheros y correo de Outlook, Outlook Express, Word, Excel, Powerpoint y texto, una web que hayas visitado con Internet Explorer o en los chats de AOL.
- Está diseñado con la misma tecnología de Google por lo que una búsqueda es instantánea Permite hacer búsquedas paralelamente en tu ordenador y en Internet.
- Se actualiza constántemente.
- Respeta la privacidad de los usuarios y se le puede limitar que haga las búsquedas simultáneas. Google Desktop Search funciona en Windows XP y en Windows 2000 SP3."
"Bajo el nombre de Google Desktop Search se ha presentado la beta del antiguamente programa cono el sobrenombre de "puffin" con el que Google amenazaba con llevar su buscador a los ordenadores.
Google Desktop Search lleva el potencial de Google a la información personal de tu ordenador. Tan fácil como buscar en Google será buscar dentro del ordenador, tus ficheros, correo local, páginas que ya has visitado y más" es lo que ha comentado Larry Page. "Es gratis, se instalá fácilmente y se mantiene actualizado siempre".
Tiene las siguientes características:
- Permite buscar en ficheros y correo de Outlook, Outlook Express, Word, Excel, Powerpoint y texto, una web que hayas visitado con Internet Explorer o en los chats de AOL.
- Está diseñado con la misma tecnología de Google por lo que una búsqueda es instantánea Permite hacer búsquedas paralelamente en tu ordenador y en Internet.
- Se actualiza constántemente.
- Respeta la privacidad de los usuarios y se le puede limitar que haga las búsquedas simultáneas. Google Desktop Search funciona en Windows XP y en Windows 2000 SP3."
Llevabamos unos años de relativa tranquilidad respecto a lo dañino de los especímenes víricos. Los más famosos como Slammer, Blaster, Nestky y Nimbda se habían hecho populares principalmente por su capacidad de difusión y reproducción. Quizás ello nos ha llevado a pensar que los virus sólo son algo molesto...pero parece que ahora hay una nueva tendencia que nos hace recordar los primeros especímenes de este tipo de código, la destrucción de archivos.
El virus Bacros borrará el día 25 de diciembre los archivos del disco duro que se encuentren infectados y utiliza varias técnicas para garantizar su distribución por los archivos del PC.
La información detallada puede consultarse en:
Detalle técnico del virus
Noticia: Bacros virus targets hard-drive destruction - ZDNet UK News
F-Secure Virus Description:Bacros.A
El virus Bacros borrará el día 25 de diciembre los archivos del disco duro que se encuentren infectados y utiliza varias técnicas para garantizar su distribución por los archivos del PC.
La información detallada puede consultarse en:
Detalle técnico del virus
Noticia: Bacros virus targets hard-drive destruction - ZDNet UK News
F-Secure Virus Description:Bacros.A
Desde la página de Djeaux puede accederse al listado de listas de correo de Insecure.org en formato RSS.
A continuación, enumero la descripción de las diferentes listas que pueden consultarse en Insecure.org.
-Bugtraq -- Arguably the most important Internet security list. Vulnerabilities are often announced here first, so check frequently!
-Full Disclosure -- An unmoderated high-traffic forum for disclosure of security information. Fresh vulnerabilities sometimes hit this list many hours before they pass through the Bugtraq moderation queue. The relaxed atmosphere of this quirky list provides some comic relief and certain industry gossip. Unfortunately 80% of the posts are worthless drivel, so finding the gems takes patience.
-Penetration Testing -- While this list is intended for "professionals", participants frequenly disclose techniques and strategies that would be useful to anyone with a practical interest in security and network auditing.
-Vulnerability Development -- A moderated list for discussing possible security issues and devising exploits for them.
-Security Basics -- A high-volume list which permits people to ask "stupid questions" without being derided as "n00bs". I would recommend this list to network security newbies, but be sure to read bugtraq and other lists as well.
-Firewall Wizards -- Tips and tricks for firewall administrators
-VulnWatch -- A non-discussion, non-patch, all-vulnerability annoucement list supported and run by a community of volunteer moderators distributed around the world.
-VulnDiscuss -- This sister-list of VulnWatch allows for discussions about new vulnerabilities.
-Incidents -- Lightly moderated list for dicussing actual security incidents (unexplained probes, breakins, etc). Topics include information about new rootkits, backdoors, trojans, virii, and worms.
-Info Security News -- Carries news items (generally from mainstream sources) that relate to security.
-Security Jobs -- A popular list for advertising or finding jobs in the security field. Employers post openings and job seekers post resumes (run by SecurityFocus)
-IDS Focus -- Technical discussion about Intrusion Detection Systems. You can also read the archives of a previous IDS list
-Web App Security -- Provides insights on the unique challenges which make web applications notoriously hard to secure.
-MS Sec Notification -- Beware that MS often uses these security bulletins as marketing propaganda to downplay serious vulnerabilities in their products -- note how most have a prominant and often-misleading "mitigating factors" section.
-Honeypots -- Discussions about tracking attackers by setting up decoy honeypots or entire honeynet networks.
A continuación, enumero la descripción de las diferentes listas que pueden consultarse en Insecure.org.
-Bugtraq -- Arguably the most important Internet security list. Vulnerabilities are often announced here first, so check frequently!
-Full Disclosure -- An unmoderated high-traffic forum for disclosure of security information. Fresh vulnerabilities sometimes hit this list many hours before they pass through the Bugtraq moderation queue. The relaxed atmosphere of this quirky list provides some comic relief and certain industry gossip. Unfortunately 80% of the posts are worthless drivel, so finding the gems takes patience.
-Penetration Testing -- While this list is intended for "professionals", participants frequenly disclose techniques and strategies that would be useful to anyone with a practical interest in security and network auditing.
-Vulnerability Development -- A moderated list for discussing possible security issues and devising exploits for them.
-Security Basics -- A high-volume list which permits people to ask "stupid questions" without being derided as "n00bs". I would recommend this list to network security newbies, but be sure to read bugtraq and other lists as well.
-Firewall Wizards -- Tips and tricks for firewall administrators
-VulnWatch -- A non-discussion, non-patch, all-vulnerability annoucement list supported and run by a community of volunteer moderators distributed around the world.
-VulnDiscuss -- This sister-list of VulnWatch allows for discussions about new vulnerabilities.
-Incidents -- Lightly moderated list for dicussing actual security incidents (unexplained probes, breakins, etc). Topics include information about new rootkits, backdoors, trojans, virii, and worms.
-Info Security News -- Carries news items (generally from mainstream sources) that relate to security.
-Security Jobs -- A popular list for advertising or finding jobs in the security field. Employers post openings and job seekers post resumes (run by SecurityFocus)
-IDS Focus -- Technical discussion about Intrusion Detection Systems. You can also read the archives of a previous IDS list
-Web App Security -- Provides insights on the unique challenges which make web applications notoriously hard to secure.
-MS Sec Notification -- Beware that MS often uses these security bulletins as marketing propaganda to downplay serious vulnerabilities in their products -- note how most have a prominant and often-misleading "mitigating factors" section.
-Honeypots -- Discussions about tracking attackers by setting up decoy honeypots or entire honeynet networks.
Acabo de experimentar lo que supone una sesión de e-learning en entornos Microsoft. Siguiendo el hilo a una noticia donde se anunciaba un curso de seguridad, he podido comprobar en que consiste la plataforma de cursos y la calidad que estos tienen.
Tras elegir uno de los cursos disponibles, he accedido al laboratorio on-line y para mi sorpresa, he tenido acceso via Web a una máquina por Terminal Services puesta a mi disposición durante 1 hora para poder realizar la práctica encomendada.
Además, Microsoft proporciona un detallado manual de cada una de las prácticas para que el alumno vaya usandolo como guía-burros y no se pierda en la realización del ejercicio práctico.
En dos palabras: im-presionante.
La dirección con los cursos disponibles se encuentra accesible en Microsoft TechNet Virtual Lab: Security.
Tras elegir uno de los cursos disponibles, he accedido al laboratorio on-line y para mi sorpresa, he tenido acceso via Web a una máquina por Terminal Services puesta a mi disposición durante 1 hora para poder realizar la práctica encomendada.
Además, Microsoft proporciona un detallado manual de cada una de las prácticas para que el alumno vaya usandolo como guía-burros y no se pierda en la realización del ejercicio práctico.
En dos palabras: im-presionante.
La dirección con los cursos disponibles se encuentra accesible en Microsoft TechNet Virtual Lab: Security.
Aunque no había caido en la cuenta, este lunes este blog y sus versiones anteriores cumplen ya dos años. Todavía recuerdo cuando mis compañeros de U-company me comentaban lo que eran esto de los blog's y me animaban a crear uno.
Aunque la frecuencia de publicación del primer año no fue muy regular ni muy continuada, ahora ya posteo algo todos los dias laborables. El acceso a información a través de contenidos sindicados (RSS) me permite leer y hojear bastante información que a menudo posteo para tener un sitio al que recurrir cuando quiero encontrar algo a la vez que me sirve para compartir conocimiento.
Aunque no recibo comentarios, espero que esta bitácora de seguridad de la información le sirva a alguien para algo, ... evocando al espiritu que me animó a crear en su momento mi primer blog.
"Primer post-Informationsecuritymanagementforusers.blogspot.com
Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos.
Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."
Un saludo
Aunque la frecuencia de publicación del primer año no fue muy regular ni muy continuada, ahora ya posteo algo todos los dias laborables. El acceso a información a través de contenidos sindicados (RSS) me permite leer y hojear bastante información que a menudo posteo para tener un sitio al que recurrir cuando quiero encontrar algo a la vez que me sirve para compartir conocimiento.
Aunque no recibo comentarios, espero que esta bitácora de seguridad de la información le sirva a alguien para algo, ... evocando al espiritu que me animó a crear en su momento mi primer blog.
"Primer post-Informationsecuritymanagementforusers.blogspot.com
Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos.
Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."
Un saludo
ISO 27001/27002
1 comentarios
Recomendación sobre Controles de Seguridad para los sistemas de información federales de USA
El National Institute of Standards and Technology (NIST) ha elaborado en modo borrador un documento donde detalla el conjunto mínimo de controles de seguridad que deben tener los sistemas de información federales del Gobierno de los EE.UU.
Este documento cuya filosofía comparte la esencia de la norma ISO 17799:2002 no se estructura de la misma manera que el estandar internacional aunque si que establece un mapeo respecto al conjunto de controles entre ambas normas.El documento puede consultarse en la dirección NIST SP 800-53.
El Gobierno americano, lejos de dejarse guiar por las normas internacionales, parece decidido a seguir defendiendo su filosofía respecto a la seguridad de la información basandose para ello en los documentos conocidos como "Rainbow Series" de los que el más famoso es su "Orange Book" que sentó precedente en materia de seguridad informática en los años 80. Los criterios de seguridad americanos conocidos como ITSEC siguen un camino de convergencia respecto de las normas europeas que se fusionaron en la norma ISO 17799:2002 respecto al conjunto de buenas prácticas deseables.
El tema de normalizar y certificar sistemas de gestión de la seguridad de la información sigue sin llegar a un consenso puesto que las normas de certificación se están definiendo bajo los esquemas nacionales para posteriormente acabar unidos entorno a una norma internacional de certificación de la "Seguridad de los Sistemas de Información".
En España esta norma se llama UNE 71502.
Este documento cuya filosofía comparte la esencia de la norma ISO 17799:2002 no se estructura de la misma manera que el estandar internacional aunque si que establece un mapeo respecto al conjunto de controles entre ambas normas.El documento puede consultarse en la dirección NIST SP 800-53.
El Gobierno americano, lejos de dejarse guiar por las normas internacionales, parece decidido a seguir defendiendo su filosofía respecto a la seguridad de la información basandose para ello en los documentos conocidos como "Rainbow Series" de los que el más famoso es su "Orange Book" que sentó precedente en materia de seguridad informática en los años 80. Los criterios de seguridad americanos conocidos como ITSEC siguen un camino de convergencia respecto de las normas europeas que se fusionaron en la norma ISO 17799:2002 respecto al conjunto de buenas prácticas deseables.
El tema de normalizar y certificar sistemas de gestión de la seguridad de la información sigue sin llegar a un consenso puesto que las normas de certificación se están definiendo bajo los esquemas nacionales para posteriormente acabar unidos entorno a una norma internacional de certificación de la "Seguridad de los Sistemas de Información".
En España esta norma se llama UNE 71502.
Esta es una publicación mensual del gremio de la Seguridad de la Información que recoge la actividad del mercado.
Es interesante compartir las experiencias entre los profesionales del sector, y más en uno como este en donde todos los que estamos del lado de la defensa debemos estar unidos frente a las amenazas que se nos pueden venir encima en los próximos años.
La revista permite solo consultar resumenes de los artículos, pero aun así es interesante.
Revista SIC
Es interesante compartir las experiencias entre los profesionales del sector, y más en uno como este en donde todos los que estamos del lado de la defensa debemos estar unidos frente a las amenazas que se nos pueden venir encima en los próximos años.
La revista permite solo consultar resumenes de los artículos, pero aun así es interesante.
Revista SIC
En esta Web podemos realizar una batería de test para comprobar la eficacia de las medidas de seguridad que tengamos y para descubrir lo vulnerables que podemos ser accediendo a Internet con un navegador.
La Web realiza 3 tipos de test:
- Test al firewall instalado, indicando los puertos abiertos que ha localizado.
- Test anti-spyware, verificando la información que puede extraer sobre nosotros utilizando el navegador.
- Test Pop-Up blocker, para comprobar si estamos o no protegidos contra este tipo de molestas ventanas que utilizan muchas Webs para poner publicidad.
Es interesante pasarse un examen de este tipo para comprobar si todo lo que tenemos instalado como defensa funciona de forma eficaz. La URL es PC audit.
La Web realiza 3 tipos de test:
- Test al firewall instalado, indicando los puertos abiertos que ha localizado.
- Test anti-spyware, verificando la información que puede extraer sobre nosotros utilizando el navegador.
- Test Pop-Up blocker, para comprobar si estamos o no protegidos contra este tipo de molestas ventanas que utilizan muchas Webs para poner publicidad.
Es interesante pasarse un examen de este tipo para comprobar si todo lo que tenemos instalado como defensa funciona de forma eficaz. La URL es PC audit.
A través del Web Kriptópolis he hallado la referencia al excelente artículo que firma José Cervera que apoyo desde este blog.
La fuente exacta puede consultarse en Cuando las leyes atacan a la gente y yo voy a copiar textualmente las partes más interesantes.
"Tiempos de lucha para conquistar el futuro."
Cuando las leyes atacan a la gente
"Un código penal que, entre otras cosas, retuerce la compraventa de contenidos digitales dándole todo el poder el vendedor, con el respaldo de la ley (y de la policía). Patentes de 'software' enloquecidas que amenazan con arruinar empresas. Toda una generación de líderes de opinión e intelectuales de rancio abolengo democrático están, en su profunda incomprensión de lo que sucede, permitiendo un ataque legislativo sin precedentes contra toda una tecnología, contra toda una cultura. Cuando las leyes atacan a la gente, la gente necesitará alternativas para protegerse. Los guardianes y creadores de la ley debieran ser cuidadosos con su uso: una vez degradada es muy difícil devolver el debido respeto a una legislación mancillada.
No es justo que, según una lectura ingenua del nuevo artículo 270 del Código Penal español, el vendedor de un CD de música tenga a partir del pasado uno de octubre el derecho de decir al comprador cómo y cuándo escuchar la música que compró. Lo dice en el Apartado 3, cuando estipula que si la fonográfica en cuestión incluye en el disco un programa que sólo permite escuchar una canción los jueves anteriores a la luna llena, el propietario del disco no tiene derecho a poseer una herramienta para escucharla otro día. Mejor dicho: si posee una herramienta así, es un delito penado con prisión de seis meses a dos años y multa de doce a veinticuatro meses.
No es justo que, según una lectura ingenua del nuevo artículo 286 del Código Penal español, yo no pueda compartir MI conexión ADSL (comprada y pagada religiosamente) con quien a mí me de la gana, no vaya a perjudicar a la operadora de telecomunicaciones. También está penado eliminar la 'esclavitud' de MI teléfono, incluso si el periodo pactado por contrato ha transcurrido ya y (como es habitual), la empresa remolonea a la hora de cumplir con su compromiso de liberar el aparato."
"Las leyes se han vuelto locas. Atacan a las personas, y a la lógica. Y lo hacen de un modo muy específico: le dan cada vez más poder a los vendedores y le quitan poder a los compradores. La ley se alía cada vez más con uno de los bandos en la compraventa digital, desequilibrando el intercambio a favor del grande. Estas nuevas leyes convierten en la práctica al estado en el guardaespaldas de la industria cultural y de contenidos.
Y luego se extrañan de que haya 'piratería'. Cuando los contratos son manifiestamente injustos y están apoyados por leyes absurdas que no se pueden hacer cumplir hay que preguntarse si lo que llaman 'piratería', no es sino desobediencia civil. Una pacífica forma de enfrentarse a leyes injustas.
Los datos indican que la idea de demandar a la clientela no funciona. Hasta tal punto que ya hay compañías que retiran, voluntariamente, sus sistemas de protección para evitar el repudio de sus clientes. En España, mientras tanto, protegernos esos mismos sistemas de control de copias con todo el peso del Código Penal.
Pero los datos no detendrán este enloquecimiento legal, este encarnizamiento de la propiedad intelectual e industrial con el que una generación de líderes poco versados en la Red parece estar dispuesta a encenagarnos a todos. Las leyes están entrando en vigor, y una vez en marcha habrá que utilizarlas. Habrá redadas, y procesamientos, y argumentaciones de abogados; habrá arrestos, y hasta condenas. Se perderá mucho tiempo y mucho dinero en intentar aterrorizar a la gente. Habrá quien acabe seriamente damnificado por injusticias cometidas con todo el peso de la ley. Las cosas tendrán que ir a mucho peor antes de que puedan ir a mejor. Y tal vez todos tengamos que hacer algo.
Programadores y programadoras tendrán que explorar los límites abiertos por ese 'específicamente' en el artículo 270 a la hora de diseñar programas para saltarse límites absurdos. Habrá campañas de autoinculpación masiva para bloquear los tribunales. Habrá que pasarse a redes privadas de intercambio P2P según el modelo Freenet o Waste. Habrá que utilizar los recursos del 'copyleft', como las licencias 'Creative Commons' en castellano y catalán. Habrá que inventar sistemas que reconozcan los derechos morales y económicos de autores e intérpretes sin limitar la difusión de la obra creada ni amenazar con la cárcel a quien la disfrute.
Será necesario convertir la amenaza para la cultura en que se están convirtiendo las leyes que supuestamente la protegen en un asunto político de primer orden. Habrá que luchar.
La alternativa es un páramo creativo; un mundo en el que la música, la literatura, la imagen y el cine sólo puedan ser creados, distribuidos y consumidos por quien, cómo, dónde y con el precio que la industria que los fabrica desee, con la garantía de la policía y los jueces y sin que nosotros tengamos derecho alguno. Sólo el de pagar. Y pagar.
Usted mismo/a.
La fuente exacta puede consultarse en Cuando las leyes atacan a la gente y yo voy a copiar textualmente las partes más interesantes.
"Tiempos de lucha para conquistar el futuro."
Cuando las leyes atacan a la gente
"Un código penal que, entre otras cosas, retuerce la compraventa de contenidos digitales dándole todo el poder el vendedor, con el respaldo de la ley (y de la policía). Patentes de 'software' enloquecidas que amenazan con arruinar empresas. Toda una generación de líderes de opinión e intelectuales de rancio abolengo democrático están, en su profunda incomprensión de lo que sucede, permitiendo un ataque legislativo sin precedentes contra toda una tecnología, contra toda una cultura. Cuando las leyes atacan a la gente, la gente necesitará alternativas para protegerse. Los guardianes y creadores de la ley debieran ser cuidadosos con su uso: una vez degradada es muy difícil devolver el debido respeto a una legislación mancillada.
No es justo que, según una lectura ingenua del nuevo artículo 270 del Código Penal español, el vendedor de un CD de música tenga a partir del pasado uno de octubre el derecho de decir al comprador cómo y cuándo escuchar la música que compró. Lo dice en el Apartado 3, cuando estipula que si la fonográfica en cuestión incluye en el disco un programa que sólo permite escuchar una canción los jueves anteriores a la luna llena, el propietario del disco no tiene derecho a poseer una herramienta para escucharla otro día. Mejor dicho: si posee una herramienta así, es un delito penado con prisión de seis meses a dos años y multa de doce a veinticuatro meses.
No es justo que, según una lectura ingenua del nuevo artículo 286 del Código Penal español, yo no pueda compartir MI conexión ADSL (comprada y pagada religiosamente) con quien a mí me de la gana, no vaya a perjudicar a la operadora de telecomunicaciones. También está penado eliminar la 'esclavitud' de MI teléfono, incluso si el periodo pactado por contrato ha transcurrido ya y (como es habitual), la empresa remolonea a la hora de cumplir con su compromiso de liberar el aparato."
"Las leyes se han vuelto locas. Atacan a las personas, y a la lógica. Y lo hacen de un modo muy específico: le dan cada vez más poder a los vendedores y le quitan poder a los compradores. La ley se alía cada vez más con uno de los bandos en la compraventa digital, desequilibrando el intercambio a favor del grande. Estas nuevas leyes convierten en la práctica al estado en el guardaespaldas de la industria cultural y de contenidos.
Y luego se extrañan de que haya 'piratería'. Cuando los contratos son manifiestamente injustos y están apoyados por leyes absurdas que no se pueden hacer cumplir hay que preguntarse si lo que llaman 'piratería', no es sino desobediencia civil. Una pacífica forma de enfrentarse a leyes injustas.
Los datos indican que la idea de demandar a la clientela no funciona. Hasta tal punto que ya hay compañías que retiran, voluntariamente, sus sistemas de protección para evitar el repudio de sus clientes. En España, mientras tanto, protegernos esos mismos sistemas de control de copias con todo el peso del Código Penal.
Pero los datos no detendrán este enloquecimiento legal, este encarnizamiento de la propiedad intelectual e industrial con el que una generación de líderes poco versados en la Red parece estar dispuesta a encenagarnos a todos. Las leyes están entrando en vigor, y una vez en marcha habrá que utilizarlas. Habrá redadas, y procesamientos, y argumentaciones de abogados; habrá arrestos, y hasta condenas. Se perderá mucho tiempo y mucho dinero en intentar aterrorizar a la gente. Habrá quien acabe seriamente damnificado por injusticias cometidas con todo el peso de la ley. Las cosas tendrán que ir a mucho peor antes de que puedan ir a mejor. Y tal vez todos tengamos que hacer algo.
Programadores y programadoras tendrán que explorar los límites abiertos por ese 'específicamente' en el artículo 270 a la hora de diseñar programas para saltarse límites absurdos. Habrá campañas de autoinculpación masiva para bloquear los tribunales. Habrá que pasarse a redes privadas de intercambio P2P según el modelo Freenet o Waste. Habrá que utilizar los recursos del 'copyleft', como las licencias 'Creative Commons' en castellano y catalán. Habrá que inventar sistemas que reconozcan los derechos morales y económicos de autores e intérpretes sin limitar la difusión de la obra creada ni amenazar con la cárcel a quien la disfrute.
Será necesario convertir la amenaza para la cultura en que se están convirtiendo las leyes que supuestamente la protegen en un asunto político de primer orden. Habrá que luchar.
La alternativa es un páramo creativo; un mundo en el que la música, la literatura, la imagen y el cine sólo puedan ser creados, distribuidos y consumidos por quien, cómo, dónde y con el precio que la industria que los fabrica desee, con la garantía de la policía y los jueces y sin que nosotros tengamos derecho alguno. Sólo el de pagar. Y pagar.
Usted mismo/a.
Revisión de la guía de seguridad de XP
El nuevo service pack 2 introduce muchas novedades respecto a la seguridad con funcionalidades relacionadas con la gestión de la seguridad. En el panel de control aparece ahora un centro de seguridad que integra la revisión de si el antivirus y las actualizaciones están al día y un firewall de usuario.
Esta nueva guía incluye una descripción de estas nuevas funcionalidades y de qué y cómo configurarlas.
Review: Windows XP Security Guide
El nuevo service pack 2 introduce muchas novedades respecto a la seguridad con funcionalidades relacionadas con la gestión de la seguridad. En el panel de control aparece ahora un centro de seguridad que integra la revisión de si el antivirus y las actualizaciones están al día y un firewall de usuario.
Esta nueva guía incluye una descripción de estas nuevas funcionalidades y de qué y cómo configurarlas.
Review: Windows XP Security Guide
Guia anti-virus de Microsoft
La guia Antivirus Defense-in-Depth proporciona información detallada sobre los diferentes tipos de código malicioso existente y los riesgos que estos producen en los sistemas de información. Además, detalla el tipo de estrategias corporativas que pueden utilizarse para paliar estos riesgos.
El contenido del documento es el siguiente:
- Introducción
- Tipos de código malicioso
- Antivirus, defensa en profundidad
- Situaciones fuera de control y recuperación
Un completo e interesante documento que puede ser descargado desde The Antivirus Defense-in-Depth Guide
La guia Antivirus Defense-in-Depth proporciona información detallada sobre los diferentes tipos de código malicioso existente y los riesgos que estos producen en los sistemas de información. Además, detalla el tipo de estrategias corporativas que pueden utilizarse para paliar estos riesgos.
El contenido del documento es el siguiente:
- Introducción
- Tipos de código malicioso
- Antivirus, defensa en profundidad
- Situaciones fuera de control y recuperación
Un completo e interesante documento que puede ser descargado desde The Antivirus Defense-in-Depth Guide
Guia anti-phising
En Astalavista he hallado un documento-guia para usuarios que trata de formar al usuario sobre el tema del Phishing. El documento es claro, gráfico y técnicamente detallado.
También documenta que hacer para evitar y defenderse frente a esta amenaza.
El documento puede bajarse del enlace que referencio en Phishing Guide
En Astalavista he hallado un documento-guia para usuarios que trata de formar al usuario sobre el tema del Phishing. El documento es claro, gráfico y técnicamente detallado.
También documenta que hacer para evitar y defenderse frente a esta amenaza.
El documento puede bajarse del enlace que referencio en Phishing Guide
Sistemas de gestión de la seguridad de la información
Ejemplo de la puesta en marcha de un Sistema de Gestión de Seguridad de la Información sobre un entorno de red.
Es un buen ejemplo de cómo la gestión de la seguridad puede logar resultados cuantificables sobre el riesgo de la organización.
SANS ISMS an Internet Gateway
Ejemplo de la puesta en marcha de un Sistema de Gestión de Seguridad de la Información sobre un entorno de red.
Es un buen ejemplo de cómo la gestión de la seguridad puede logar resultados cuantificables sobre el riesgo de la organización.
SANS ISMS an Internet Gateway
Suscribirse a:
Entradas (Atom)