lunes, 29 de noviembre de 2004 0 comentarios

Aplicación anti-phishing

El phishing está popularizandose y los intentos por lograr mediante medios automáticos su detección comienzan a dar sus pequeños frutos. Con una filosofía idéntica a la de los antivirus, esta herramienta software que hoy referencio se instala en el PC y detecta los posibles correos con "Phishing" que circulan.

El funcionamiento de la aplicación es sencillo. El primer usuario que detecta un correo de phishing lo reporta hacia el equipo de monitorización de Phishing Guard. Ellos evaluan el correo y deciden si incorporarlo a la base de datos ScamBase™. Estas actualizaciones se comunican a los clientes software que inmediatamente incorporan este nuevo correo de phishing. Es idéntico a la detección de virus mediante patrones.

PhishGuard.com Anti-Phishing System
viernes, 26 de noviembre de 2004 0 comentarios

¡Superadas las 1000 visitas!

Da gusto ver en el contador del Web que por fín se supera el hito de las 1000 visitas. Aunque uno hace esto por amor al arte, es gratificante ver que pueda servir para algo. Aunque el blog tiene 2 años de antigüedad, realmente llevo posteando de forma diaria sólo 6 meses que es desde cuando comenzó a cuantificar el contador. En fin, ya he incorporado el postear a mi rutina diaria y casi siempre encuentro el hueco para poner algo. Además, la actualidad siempre tiene alguna noticia o información respecto a la seguridad que merece comentario. Solo quiero agradecer a quien me siga regularmente que considere este blog interesante y trataré dotarlo cada vez más de contenidos interesantes y soluciones prácticas para la protección de información.

Apuntes de seguridad de la información
jueves, 25 de noviembre de 2004 0 comentarios

Autenticación de doble factor utilizando teléfonos móviles.

El entorno de la Banca on-line empieza a estar bastante preocupado por los nuevos riesgos que han empezado a surgir entorno al uso de estos servicios. El principal esfuerzo de las entidades bancarias ha sido, hasta la fecha, principalmente proteger sus sistemas de información y posteriormente, proteger la confidencialidad e integridad del canal de comunicaciones utilizado. Básicamente las medidas de seguridad adoptadas es el uso de Autenticación de Servidor utilizando certificados digitales, que consigue la conexión segura mediante el protocolo SSL.

Como siempre, el atacante dirige su esfuerzo hacia el eslabón más debil y en este caso, el objetivo de los ataques es el PC del cliente de banca, que está fuera de control de la Entidad bancaria y que suele estar mal protegido.

Amenazas como el phising, scam o los virus y troyanos con keyloggers tienen como victima a ese pobre e ingenuo usuario al que mediante ingeniería social se le consigue engañar facilmente.

El objeto de comentario del Blog de Bruce Schneier es el anuncio por parte de un Banco Australiano del uso de teléfonos móviles para proporcionar autenticación de doble factor.

Hasta la fecha, la autenticación se basa en contraseñas (algo que se sabe). La novedad es que este banco, para transferencias que superen cierta cantidad va a enviar un SMS al cliente con una segunda contraseña de operación. En este caso, la autenticación se basa en password (algo que se sabe) y el móvil (algo que se tiene).

La bondad del método es que es sencillo, no implica complejidad para el usuario, es fácil de implementar y eficiente respecto a la seguridad que proporciona.

Bueno, bonito y barato, y encima el usuario lo entiende bien y no supone un gran esfuerzo u obstaculo su uso, o sea, perfecto.




Schneier on Security: Two-Factor Authentication with Cell Phones
miércoles, 24 de noviembre de 2004 0 comentarios

CERT: Principios de la supervivencia y protección de la información

La Universidad del Cernegie Mellon, en concreto el área de Software Enginereering Institute alberga el Centro de Respuesta Frente a Incidentes(CERT) americano.

Dentro de este organismo podemos encontrar extensa información, de carácter científico y didáctico, sobre la seguridad de la información. Como centro de investigación, proporcionan herramientas y teorías sobre la protección de información. Están más centrados en la respuesta frente a incidentes, aunque también disponen de una metodología propia de análisis de riesgos que es OCTAVE y de cursos de formación y concienciación de usuarios.

En fin, se puede encontrar información muy útil al respecto en este Web. Hoy concretamente posteo los 10 principios básicos para garantizar la supervivencia y protección de la información.Los diez puntos son muy interesantes y la ilustración que refleja cada principio es muy significativa.

href="http://www.cert.org/info_assurance/principles.html">Principles of Survivability and Information Assurance
martes, 23 de noviembre de 2004 0 comentarios

Seguridad en dispositivos de almacenamiento masivo

La seguridad hasta ahora se ha basado en el axioma "Defensa en profundidad" imaginándonos la protección de nuestros sistemas de información como la construcción de diferentes barreras concéntricas desde el exterior hacia la red interna.

Imaginar esos bordes ciberespaciales es relativamente fácil puesto que la interconexión de sistemas sigue este patron de cercania/legania en base a la arquitectura de red de los sistemas. Nos encontramos con equipos perimetrales, DMZ, servidores internos y la LAN.

Ahora bien, en la protección de información, la frontera desaparece cuando un usuario en cada PC puede montar un dispositivo móvil capaz de sacar de la red hasta 1 GB. La amenaza ahora se situa en el interior de la red, donde no existen tantos controles.

De la mano de la empresa GFI aparece un software que pretende gestionar este riesgo, implantando mecanismos de seguridad que evitan la conexión descontrolada de dispositivos de almacenamiento masivo de información.

GFI-Control of portable storage devices
lunes, 22 de noviembre de 2004 0 comentarios

Linux Phishing Attack Circulates on Net

La autenticación está en crisis.
La noticia de la que hoy me hago eco es del phishing entorno a un aviso de seguridad de Linux Red Hat que circula por la red Linux Phishing Attack Circulates on Net.
En este caso, el atacante intenta engañar a los usuarios linux para que descarguen un parche de seguridad que lleva embebido un troyano. La noticia es solo una mas de las que se vienen sucediendo y que ponen de manifiesto un problema muy grave que sigue a dia de hoy obviandose.

La seguridad de la información hasta ahora ha seguido los conceptos tradicionales heredados de la filosofía americana basada en el Orange Book en donde se habla de los 3 pilares de la seguridad que segun este documento son la confidencialidad, la integridad y la disponibilidad.

Hasta la fecha, la autenticación definida como "la característica de dar y reconocer la autenticidad de los activos y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones" ha quedado relegada a un segundo plano, pero actualmente el objetivo de los ataques se está enfocando hacia propiedad descuidada por parte de las medidas de seguridad en Internet.

Las tecnologías para implementar medidas que verifiquen esta propiedad existen desde hace tiempo, basándose principalmente en la firma digital o en la autenticación fuerte que utiliza dispositivos que generan contraseñas de un solo uso.
Estas soluciones son caras y hasta ahora no han sido utilizadas dado que se pensaba que estas amenazas no deberían considerarse.

Dado que siempre parece actuarse de forma reactiva, las soluciones siempre se adoptan cuando el problema o el incidente se manifiesta, en vez de diseñar e implantar los servicios Web almenos con unas medidas de seguridaad robustas para en entorno operativo en donde se situan.

Como pasaba con la Ingeniería del Software, hasta que no se dieron cuenta que usarlas era más rentable que soportar los costos de mantenimiento y soporte de los productos no documentados, en la Seguridad estamos ahora mismo en el mismo punto. Hasta que no seamos conscientes de que la seguridad debe incluirse en el diseño, nos encontraremos con problemas cuya solución pasa por el rediseño, que tiene un costo siempre mayor que hacer las cosas bien desde el principio.

En fin, paciencia y esperemos que esta cultura de la inseguridad en el mundo electrónico cambie.

viernes, 19 de noviembre de 2004 0 comentarios

El rey en recibir Spam: Bill Gates

Tal como publica Yahoo News, el señor Bill Gates recibe al día, del orden de 4 MILLONES de emails. Tiene un departamento entero encargado de supervisar y revisar que ningun correo deseado no
se pierde entre la basura.

De todas formas, este hecho es reconducido positivamente para investigar y probar tecnologías antispam. En este caso, Microsoft transforma un problema en una oportunidad de negocio y un reto tecnológico a tratar.

Yahoo! News - Bill Gates Gets 4 Million E-Mails
miércoles, 17 de noviembre de 2004 0 comentarios

Configuración de Servicios prescindibles en Windows XP Home and Professional Service Pack 2

He encontrado una joya para el usuario final de Windows XP. Este Web nos indica qué servicios de Windows XP pueden desactivarse de forma segura sin implicaciones graves para el sistema operativo.

En esta tabla salen diferentes perfiles de ejecución en función de lo que el usuario quiera hacer. A continuación, detallo el contenido de cada uno de ellos.

- Display Name ~ How it displays in the Services Control Panel.
- Process Name ~ Name of the Process running in the background (displays in Task Manager by hitting Ctrl+Alt+Del).
- DEFAULT Home ~ What Bill G. thinks should be running on Windows XP Home.
- DEFAULT Pro ~ What Bill G. thinks should be running on Windows XP Professional.
- "SAFE" Configuration ~ This is the configuration that 95% of the people will be able to use with little or no side effects. It will also minimizes the amount of "errors" that is reported in the Event Viewer. This does not guarantee it will work for you, but if adjusting your services scares you, this configuration would be a good starting point.
- Power User Configuration ~ This is the power user setup. A great way to test this setup is here. This setup is a system that connects through a network (such as a gateway / router) to the internet, provides file and print sharing resources and gaming enjoyment. Some things may not function with this setup. No passwords save. Its use is not for a computer with analog modems or some direct DSL/cable connections. Try the "Safe" Configuration first.
- Bare Bones Configuration ~ This is the super geek setup. A great way to test this setup is here. This setup is a system that connects through a network (such as a gateway / router) to the internet with a static IP address. This system does not provide file and print sharing resources, nor have the ability to print. Its use is not for a computer with analog modems or many direct DSL/cable connections. You can use this configuration for extreme tweaking and testing purposes. Many things may not function with this setup. No passwords save. The Event Log will display "errors" of not being able to start certain services. Built in Windows CDR-RW functions may no longer work. Please do not ask, "How do I fix" questions while using this configuration. The answer will be "Use SAFE." This information's intention is for reference only.

Windows XP Home and Professional Service Pack 2 Service Configurations by Black Viper
martes, 16 de noviembre de 2004 0 comentarios

ENISA: European Network Information Security Agency

Por fin Europa ha puesto en marcha su Agencia Nacional de Seguridad. Bajo las siglas de ENISA, se encargará de la protección de la seguridad de la información y de las redes de telecomunicaciones pertenecientes a los diferentes gobiernos de la Union Europea. A raiz de los escandalos causados por ECHELON, Europa descubrió que algunos paises están usando contrainteligencia para realizar espionaje industrial, como ha ocurrido con nuestros querídos amigos americanos, que menos jugar limpio suelen hacer de todo. Como solución y agente responsable de garantizar los intereses de la Unión Europea en esta materia, surge ENISA. A continuación, extraigo el resumen que publica en su página principal este organismo.


"Overview

ENISA aims at ensuring particularly high levels of network and information security within the Community. The Agency will contribute to the development of a culture of network and information security for the benefit of the citizens, consumers, enterprises and public sector organisations of the European Union, and consequently will contribute to the smooth functioning of the internal market.

The Agency assists the Commission, the Member States and, consequently, the business community in meeting the requirements of network and information security, including present and future Community legislation.

ENISA will ultimately serve as a centre of expertise for both Member States and EU Institutions to seek advice on matters related to network and information security."


Link: ENISA: European Network Information Security Agency
0 comentarios

Documento estratégico de Seguridad de la Información de Microsoft.

En un alarde de transparencia, Microsoft publica en dos documentos cual es su actual política de gestión de la seguridad de la información. Básicamente su enfoque se basa en la gestión del riesgo y la protección de los activos digitales que son parte de su modelo de negocio.
Aunque no llega a sintonizar con la filosofía europea que basa la gestión del riesgo en los sistemas de gestión de la seguridad (ISMS en ingles o SGSI en castellano), en esencia los conceptos manejados son siempre los mismos:
-activos
-amenazas
-vulnerabilidad o probabilidad
-impacto
-riesgo

También es interesante ver el enfoque organizativo que proporciona el documento al problema de la seguridad y los diferentes aspectos que desean gestionar y controlar. El resumen del documento, sacado de la propia web de Microsoft comenta lo siguiente:
"Overview
Overview discussion on what the Microsoft Corporate Security group does to prevent malicious or unauthorized use of digital assets at Microsoft. This asset protection takes place through a formal risk management framework, risk management processes, and clear organizational roles and responsibilities. The basis of the approach is recognition that risk is an inherent part of any environment and that risk should be proactively managed. The principles and techniques described can be employed to manage risk at any organization. Other areas of corporate security, such as security in software design and physical security, are not covered."


Download details: IT Security at Microsoft Overview
lunes, 15 de noviembre de 2004 0 comentarios

Grisoft AVG 7.0 para usuarios en casa

Como ya comenté el 26 de abril de este año, la empresa Grisoft proporciona a usuarios una versión gratuita de su antivirus comercial.
Hace poco anunciaron que la versión 6 iba a abandonarse en cuanto a los servicios de actualización de patrones y ahora nos ofrecen la actualización gratuita a la versión 7.0 que proporciona más funcionalidad y también actualización de patrones de forma gratuita.

Merece la pena utilizarlo y merece la pena disfrutar de esta nueva versión, siempre considerando que no puede hacerse un uso comercial de la misma.

Puede descargarse a través del enlace Grisoft Freeweb: Get AVG for your home PC virus protection
jueves, 11 de noviembre de 2004 2 comentarios

Information Security Policies Made Easy, Version 9 -¡Versión en Castellano!

Uno, que lleva ya en esto de la seguridad de la información en torno a los 5 años, va viendo como el mercado evoluciona y como empresas que empezaron siendo pequeñas han explotado por el éxito y se han multiplicado en volumen una barbaridad. Algunos casos que he podido presenciar son por ejemplo Stonesoft,dedicda a la alta disponibilidad y ahora por entero a la seguridad perimetral y Pentasafe, dedicada al diseño de políticas.

Este último caso es el que nos ocupa hoy. Charles Cresson Wood lleva diseñando este tipo de documentos de seguridad más de 20 años y tiene una acreditada experiencia en el tema. Básicamente su producto es una recopilación de requisitos de seguridad que ha ido metiendo en una base de datos y que al final, permite generar políticas de seguridad de forma automática.

Lógicamente cada empresa es un mundo y necesita regulaciones diferentes, pero contar con una base de documentos para particularizar ya supone un ahorro de tiempo significativo. El producto original Pentasafe, fue adquirido por NetIQ e incorporado al conjunto de productos de gestión de la seguridad de la información de esta empresa.

Ahora me encuentro que el libro que yo compré hace 10 años por 60€ está traducido al castellano y metido en una base de datos y su precio ronda los 800€.

En cualquier caso trata de atacar a un mercado virgen, debido a la escasa formalización que hay actualmente en materia de seguridad. Esperemos que de la mano de los departamentos de calidad, por fin las organizaciones documenten y definan sus "políticas de seguridad de la información" y establezcan medidas de gestión sobre el tema. La continuidad de la empresa dependerá de ello en un mundo "cibernético" cada vez más agresivo con el analfabeto tecnológico.

Information Security Policies Made Easy, Version 9
martes, 9 de noviembre de 2004 0 comentarios

Herramienta Analizador de Reporter de Puerto (PR-Parser)

La herramienta Reporter de Puerto es un programa que se puede ejecutar como un servicio en un equipo que ejecuta Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000. El servicio Reporter de Puerto registra actividad de puerto TCP y UDP. En Windows Server 2003-based y equipos con Windows XP, el servicio Reporter de Puerto puede registrar la información siguiente:
• Los puertos utilizados
• Los procesos que utilizan el puerto
• Es un proceso no un servicio
• Los módulos .dll, .drv y etc. cargados por un proceso
• Las cuentas de usuario que inician un proceso
El dato capturado por el servicio Reporter de Puerto le puede ayudar a usted a averiguar si un equipo es vulnerable. También el mismo dato es útil para solucionar, comprender el uso de puerto de un equipo y la auditoría del comportamiento de un equipo.

Descripción de la herramienta Analizador de Reporter de Puerto (PR-Parser)
lunes, 8 de noviembre de 2004 0 comentarios

Hacking Faxes

Es curioso ver cómo esto de la seguridad de la información se está descontrolando. Se hablaba hace unos cuantos años de la tendencia exponencial del número de incidentes y como siempre, las espectativas parece que se están cumpliendo.

Hoy he podido ver en Antena 3 a la hora del telediario del mediodía hablar de "Seguridad de la información" y del incremento de incidentes relacionados con las fugas de información, el contraespionaje industrial o simplemente la competencia desleal entre empresas contratando a empleados de la competencia.
En su momento parecía que el discurso de las empresas de seguridad parecía paranoico y ahora nos damos cuenta de que aquellos vaticinios eran solo una parte de la realidad que se nos viene encima. Estamos mal acostumbrados a confiar sin pruebas ni evidencias. A aquellos que en su momento gritaban "que viene el lobo" se les ignoraba y ninguneaba de forma a veces humillante. Hoy esas predicciones irracionales son una realidad.

Hoy Bruce Schneier publica en su blog una historia curiosa en torno a la liberación de un prisionero debido a un fax falseado.

"Faxes are fascinating. They're treated like original documents, but lack any of the authentication mechanisms that we've developed for original documents: letterheads, watermarks, signatures. Most of the time there's no problem, but sometimes you can exploit people's innate trust in faxes to good effect. "

Lo de los fax es fascinante, han sido tratados como documentos originales aun cuando no llevan implantado ningún mecanismo de autenticación. La mayoría de las feces no ocurre ningún problema pero cuando la gente decide explotar la confianza puesta en este tipo de documentos sin ninguna razón para ello, lo hace con éxito.

Leanlo en Schneier on Security: Hacking Faxes

Los discursos tradicionales hablan de tres propiedades de la seguridad: confidencialidad, integridad y disponibilidad.

Deben revisarse estos conceptos puesto que la autenticación es también un requisito imprescindible para evitar amenazas como el repudio o la suplantación de identidad.

Hemos basado el uso de la tecnología en unas premisas de confianza que no tienen porque producirse y cuando alguien se da cuenta de estos hechos y los trata de utilizar en su beneficio o con ánimo de lucro, entonces vienen las madres mías.
viernes, 5 de noviembre de 2004 0 comentarios

Escribir la Política de Seguridad de la Red

Leo vía Fred Avolio Weblog cómo su jefe en WatchGuard Technologies le encargó la elaboración de la política de seguridad de la red.
Algo que resulta complicado de conseguir es simplemente tener claro qué usos queremos darle a nuestro activo que es la red.

Cuando se puso a trabajar lo hizo pensando el lograr un documento práctico que realmente sea sencillo de entender y que plasme los usos deseados por parte de la empresa sobre la conexión corporativa a Internet.

Mi experiencia personal me dice, que cuando debes generar un documento que sirva como normativa interna pero a la vez como manual práctico para que el empleado sepa lo que puede o no hacer, uno se enrolla demasiado y lo burocratiza demasiado. Con esta guía es mucho más dificil perderse respecto del objetivo final.

Este documentoNetwork Security Policies está planteado como un how-to, se autopregunta las cosas que deben dejarse establecidas en la política para que sea sencillo redactarlo.
jueves, 4 de noviembre de 2004 0 comentarios

Revista The Security Journal

Hoy posteo una referencia a una revista on-line de seguridad bastante interesante. Contiene artículos técnicos muy detallados y la editorial que la publica tambien tiene libros muy técnicos sobre diferentes temas de seguridad informática.

Como la revista es descargable en pdf, podemos disponer de todos los numeros para uso y disfrute del personal.

The Security Journal
 
;