jueves, 29 de diciembre de 2005 1 comentarios

Sistema anti-phishing de Gmail

Hoy me he sorprendido al ver en mi bandeja de entrada de Gmail un correo de Cajamadrid. Dado que no soy cliente suyo he sospechado directamente que se trataba de un ataque de phishing y he ido a ver el correo por curiosear sobre cómo esta vez intentan engañar al usuario.

Al abrir el correo me he llevado una sorpresa muy grata al ver lo que a continuación muestro mediante la captura de la pantalla:


Gmail me avisaba directamente de que el correo que he recibido era sospechoso y venía una cabecera en rojo con el siguiente texto:

"Advertencia: Es posible que este mensaje no haya sido enviado por la persona que aparece como remitente. Le aconsejamos que no haga clic en ningún vínculo ni facilite información personal a dicho remitente."

Parece que tal como dicen en el Centro de Asistencia,Gmail esta probando un sistema anti-phishing basado en la notificación por parte de los usuarios de información sobre este tipo de incidentes. Dado el carácter didáctico del texto del Centro de Asistencia, lo cito textualmente.

"El spam toma varias formas, por ejemplo, se puede presentar en forma de mensajes fraudulentos. Este tipo de envío masivo se denomina "spoofing" (suplantación de identidad) o "password phishing" (suplantación de identidad para obtener contraseñas).
Se trata de prácticas fraudulentas que se llevan a cabo mediante mensajes que parecen proceder de fuentes legítimas o bien mediante la creación de páginas web aparentemente oficiales que solicitan su nombre de usuario y contraseña u otra información personal. Estos mensajes o páginas web pueden solicitar que proporcione su Número de la Seguridad Social, su número de cuenta bancaria, su número de identificación personal (PIN), números de tarjetas de crédito, el nombre de soltera de su madre o la fecha de nacimiento.

Los emisores de spam suelen solicitar este tipo de información con la intención de robarle su cuenta de Gmail, su dinero, su crédito o su identidad.

Actualmente, estamos probando un servicio diseñado para alertar a los usuarios de Gmail de los mensajes que forman parte de un ataque por "phishing". Cuando el equipo de Gmail detecte ataques de este tipo, los datos de estos mensajes se utilizarán para identificar automáticamente posibles ataques por "phishing" en el futuro.

Resultado: cuando un usuario abra un mensaje que Gmail considere un ataque por phishing, se mostrará una advertencia.

Las alertas por ataques de phishing funcionan de manera automática, de forma parecida al sistema de filtraje que se emplea para el spam. Este mecanismo desvía de forma automática los mensajes que se consideran spam a la carpeta 'Spam'. De modo similar, las alertas por phishing que utiliza Gmail muestran advertencias automáticamente e indican al usuario que el mensaje que ha recibido podría ser fraudulento para que actúe con precaución a la hora de proporcionar información personal.

Debe desconfiar siempre de los mensajes o páginas web que solicitan información personal. Si recibe un mensaje de este tipo, sobre todo si dice provenir de Google o Gmail, por favor, no proporcione la información que en él se indica.

A continuación le indicamos qué puede hacer para proteger sus datos personales y detener las prácticas fraudulentas:

- Asegúrese de que la URL de dominio de la página que se indica es correcta y haga clic en alguna de las imágenes o vínculos para comprobar que el sitio le redirecciona a las páginas pertinentes. Por ejemplo, la URL de Gmail es http://mail.google.com/ o, para mayor seguridad, https://mail.google.com/. Aunque algunos vínculos contengan 'gmail.com', es posible que se le redireccione a otro sitio al introducir en su navegador la dirección que se proporciona.

- Siempre que se disponga a introducir información confidencial, como su contraseña, asegúrese de que en la barra de estado de la parte inferior de la ventana de su navegador aparece el icono de candado cerrado.

- Revise las cabeceras de los mensajes. En estos casos de prácticas fraudulentas, el campo 'De:' suele manipularse para mostrar un nombre de remitente falso. Información sobre cómo visualizar cabeceras.

- Si todavía tiene dudas sobre la veracidad del mensaje, póngase en contacto con la organización que lo envía, pero nunca utilice la dirección de respuesta del mensaje, ya que podría ser falsa. Le recomendamos que visite la página web oficial de la organización y busque una dirección de contacto distinta.

- Si por medio de un mensaje de "spoofing" o "phishing" ha proporcionado su información personal o de cuenta, tome las medidas pertinentes lo antes posible. En caso de haber indicado los números de su tarjeta de crédito o cuenta bancaria, póngase en contacto con su banco. Si cree que ha sido víctima de una suplantación de identidad, póngase en contacto con la policía local.

Gmail no envía mensajes masivos no solicitados en los que se solicitan contraseñas o información personal. Si sospecha que su cuenta de Gmail ha sido interceptada, envíenos un mensaje a la dirección gmail-abuse@google.com. Por favor, incluya la cabecera del mensaje sospechoso y el texto completo.
*Si nuestro sistema identifica un mensaje como "phishing", pero usted ha validado la fuente desde la que se ha originado, haga clic en 'No denunciar como phishing' para hacernos saber que el mensaje es legítimo. Y si recibe un mensaje de este tipo que nuestro sistema de detección de "phishing" no lo ha identificado, haga clic en 'Denunciar phishing' para enviar una copia del mensaje al equipo de Gmail."


Centro de asistencia Gmail.
miércoles, 28 de diciembre de 2005 0 comentarios

Cuadros de mando de la seguridad

Los Directores y Responsables de la seguridad están cada vez más tratando de implantar herramientas de ayuda a la toma de decisiones basadas en mediciones del estado de la seguridad. Estos "cuadros de mando de la seguridad" deben servir para orientar a los procesos de negocio entorno a los requisitos que en materia de seguridad deben garantizar. Para ello es importante contar con información y datos de los sistemas que aporten evidencias objetivas en las que basar las decisiones en base o bien a deficiencias detectadas o bien a necesidades de mejora.
Dada la reciente aparición de la gestión de la seguridad como un pilar estructural dentro de las organizaciones, ocurre que en instituciones donde la seguridad no es todavía un área o proceso interno con suficiente madurez, introducir estos conceptos de medición y control suele ser complicado. Para ello, el responsable de la gestión de la seguridad debe diseñar y definir claramente una serie de métricas que le lleven a poder defender con rotundidad sus argumentos de cara a producir cambios o solucionar deficiencias de la organización. El documento que hoy referencio tiene por objetivo plantear una serie de cuestiones de cara a construir un "cuadro de mandos de la seguridad de la información" dentro de una organización.

El documento puede descargarse vía Infosecwriters en el enlace Security Metrics: Business Unit Scorecard
martes, 27 de diciembre de 2005 0 comentarios

Instalar aplicaciones con privilegios de administrador

En un reciente curso que he impartido de Seguridad en entornos Windows 2000/2003 me hicieron una pregunta en relación a la implementación del principio de mínimos privilegios.

Queda muy bonito a nivel teórico decir que el "usuario" siempre debe correr con los mínimos privilegios en el sistema pero luego la practica siempre plantea problemas para poder aplicar este principio básico de seguridad.

Leo vía Michael Millers Blog un truco para permitir la instalación de paquetes msi con diferentes privilegios a los del usuario que esté corriendo gracias al comando "Run As". Para ello, hay que modificar el registro para permitir que la opción run as aparezca con el comando msiexec.

1.- Ejecutar regedit.exe bajo una cuenta con privilegios de administrador

2.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas
3.- Poner el valor por defecto a "Install &as..."

4.- Crear la clave de registro HKEY_CLASSES_ROOT\Msi.Package\shell\runas\command
5.- Poner el valor por defecto a msiexec /i de "%1"

Y listo, ya podremos instalar archivos .msi con privilegios de administrador. Para más información podéis consultar este truco en Michael Millers.
lunes, 26 de diciembre de 2005 0 comentarios

Registro de paginas atacadas mediante Phishing

Existen varias fuentes que va registrando todos los ataques de tipo phishing detectados y reportados. Puede ser interesante el consultar este tipo de webs para confirmar las sospechas que podamos tener sobre un correo extraño o una Web sospechosa.

Entre las fuentes que presentan un registro de la pagina phishing y la página original esta:
- Websensesecuritylabs.com
jueves, 1 de diciembre de 2005 0 comentarios

Hay ataques y ataques....

Leo vía Infosecwriters que dentro de los conocidos como ataques de hacking ético hay diferentes tipologías y diferentes objetivos de medición. En la norma ISO 17799:2005 aparece en el control 6.1.8 "Revisiones independientes de la seguridad de la información". Es muy habitual que los administradores de sistemas y responsables de seguridad contraten a empresas de "hacking ético" para la realización de Test de Intrusión. Ya hace unos años, todas las empresas de seguridad informática trataron de establecer qué debía entenderse por un test de este tipo, dada la confusión de los clientes al no saber exactamente que debían esperar de un servicio así. En ese momento apareció el Instituto ISECOM con su metodología Open Source Security Testing Methodology (OSSTMM). En aquel momento se trató de aclarar que pasos debían realizarse en un supuesto test de intrusión. Dada la cantidad de empresas que daban este servicio, era importante identificar las actividades y fases a desplegar para realizar un ataque de este tipo y los resultados que debían entregarse al cliente.

El documento que hoy referencio va también en esa misma linea. Y es que hay ataques y ataques y por tanto, hay formas y formas de implantar el control 6.1.8 de la ISO 17799:2005.

Como siempre que se decide hacer algo, lo primero que se debe tener claro es cuál es su objetivo y que decisiones se van a tomar con los resultados obtenidos.

Este documento establece los tipos de ataques que existen y qué objetivos de medición tienen. No es lo mismo hacer un test de intrusión externo, donde queremos identificar las vulnerabilidades visibles de nuestros sistemas de información, que un test de vulnerabilidad de nuestros sistemas donde queremos detectar y corregir aquellos problemas de configuración y administración de sistemas que no hayamos detectado.
Aunque ambos tipos de servicios comparten fases, los resultados que se obtienen son diferentes.
Para más información leer el documento Infosecwriters: Types of Security Testing
miércoles, 30 de noviembre de 2005 0 comentarios

Safety live, el servicio de seguridad de Microsoft.

Windows Live Safety Center es un nuevo servicio diseñado para garantizar una mínima seguridad del PC.
Es capaz de hacer las siguientes cosas:
- Chequear y limpiar de virus el equipo.
- Estar informados sobre nuevas amenazas.
- Mejorar el rendimiento del equipo, mediante la desfragmentación del disco.
- Escanear los puertos abiertos que están configurados.

Como ya comenté este verano, Microsoft planeaba un nuevo servicio Oncare parece que este nuevo Live Safety Center es un adelanto. Aunque no es la mejor solución para proteger un equipo, al menos es una dirección Web de la que tirar cuando estés en un apuro y quieras medianamente limpiar un equipo. Cuando te pregunten por seguridad ya solo tendrás que decir http://safety.live.com/
jueves, 24 de noviembre de 2005 0 comentarios

Comparativa ISO 17799:2000 e ISO 17799:2005.

Como ya referencié este verano en el post dedicado a la nueva versión de la ISO 17799 se han incrementado el numero de bloques de control y el numero de controles.

Para aquellos que ya estaban muy familiarizados con la norma y que deseen comparar o saber cuales son las novedades, hoy posteo un documento Excel que he encontrado con esta información.
Podéis descargarlo en Comparativa ISO 17799:2000 vs 17799:2005.

Espero que os sea útil.
miércoles, 23 de noviembre de 2005 2 comentarios

Recomendaciones del CERT respecto a atacantes internos

Aunque simpre que se habla de ataques, hackers y seguridad informática solemos recordar las peliculas de Hollywood en donde un tipo algo freaki se encuentra en su casa accediendo a nuestros sistemas, la realidad y los datos demuestran que es sólo un tópico y que los atacantes suelen estar dentro.

Somos demasiado paranóicos con las amenazas externas y muy confiados con el personal interno. Ni tanto ni tan poco. Es de destacar que el usuario interno, por el hecho de pertenecer a nuestra organización ya conoce mucho respecto a cómo está la seguridad en la empresa. Además, sabe a priori que puede ser de interés y qué no, y dependiendo de su cargo, incluso puede saber dónde encontrar lo que busca.

El CERT ha elaborado un conjunto de recomendaciones para evitar los ataques internos. El documento puede descargarse de CERT:InsiderThreat.

A modo de resumen, estas buenas prácticas pueden resumirse en:

- Cree planes de concienciación y formación sobre la importancia de la seguridad
- Establezca segregación de funciones para que ciertos trabajos no acumulen demasiado poder y responsabilidad.
- Asigne permisos en base al principio de mínimos privilegios.
- Implemente una gestión estricta respecto a la fortaleza de las contraseñas y la gestión de usuarios.
- Monitorice y audite las acciones más relevantes de sus usuarios.
- Use controles compensatorios contra los usuarios con más privilegios, los administradores.
- Defiendase contra el código malicioso.
- Monitorice los comportamientos anómalos o sospechosos.
- Desactive el acceso de ex-empleados.
- Almacene evidencias para investigaciones posteriores.
- Implemente una politica de backup coherente y robusta.
- Detalle claramente cuales son los controles internos establecidos para que los usuarios sean conscientes de las medidas de control existentes.

Todas estas recomendaciones son controles concretos de la norma ISO 17799:2005.
0 comentarios

Entrevista al Director de la Agencia de Protección de Datos, en la revista SIC.

En el número 67 de la revista SIC viene una entrevista realizada a Jose Luis Piñar Mañas, Director de la Agencia de Protección de Datos bastante interesante.

En su contenido se adelantan lo que serán las lineas del nuevo reglamento de protección de datos, que se encuentra actualmente en borrador.

Fuente: Revista 67. Entrevista a Jose Luis Piñar Mañas.
miércoles, 16 de noviembre de 2005 0 comentarios

El ROSI, retorno de inversión en seguridad de la información

Aunque normalmente los que nos dedicamos a esto de la seguridad solemos justificar la necesidad de garantizar la misma como la mejor manera a medio y largo plazo de garantizar la continuidad de negocio, hay veces que los mejores argumentos siempre son los económicos. Y es que al final, la pela es la pela.

¿Cómo cuantificar o medir la rentabilidad de la seguridad?

Complicada pregunta dado que nuestros estudios se basan en estimaciones sobre los potenciales sucesos y porque además, nunca podremos saber que habría pasado si las medidas de seguridad no se hubieran tomado. Algo parecido al "Efecto 2000". ¿No paso nada porque se adoptaron las medidas adecuadas y al final se paliaron los efectos, o es que realmente no era para tanto? Quedará como uno de los grandes misterios del siglo XX.

De cualquier manera, está claro que los incidentes de seguridad tiene un coste:
- directos por los daños que se causan
- indirectos por el tiempo de recuperación, las horas que se invierten en volver a restaurarlo todo para dejarlo como antes del incidente.

Por desgracia estos costes no se miden y por tanto, es dificil hablar de rentabilidad si no cuantificamos la "inseguridad". En cualquier caso, dentro del gremio hay establecido que existe un ROSI, "Return of Security Investment".

Como seguro que alguno de mis lectores es un apasionado de las cifras y estará interesado en hacerse oir en materia de seguridad en base a parametros como la rentabilidad o el análisis coste/beneficio, a continuación referencio un muy buen documento que trata el tema más profundamente, poniendo conceptos y cifras a todo.

El documento podeis bajarlo de Infosecwriters y se titula "Return of Security Investment".
domingo, 13 de noviembre de 2005 0 comentarios

Ataques Phlooding

Leo vía The Register que la empresa Airmagnet ha acuñado un nuevo término para identificar un ataque de denegación de servicio sobre el sistema de autenticación en redes wifi.

Dadas las limitaciones físicas que supone un tipo de ataque así, realmente esta amenaza tiene un alcance local y afectaría solo a empresas en donde la red sea exclusivamente wifi.

Posteriormente pensando sobre el objetivo del ataque, la denegación de servicio sobre un sistema crítico que da acceso he caido en otro tipo de ataque mucho más grave sobre el talón de Akiles de las infraestructuras PKI.

Un certificado digital es válido mientras no se encuentra revocado. Como todo elemento de identificación, antes de poder validar al objeto que acredita, lo primero que ha de hacerse es comprobar si está o no revocado.
Para ello, las PKI disponen de listas de certificados revocados que actualmente se implementan mediante consultas a servidores on-line mediante el protocolo OSCP.

Una decisión crítica en toda infraestructura PKI es saber que se hace con un proceso o transacción si no puede comprobarse si el certificado es valido o no. El certificado sin esta validación es papel mojado dado que cualquiera puede montarse una PKI y configurarla como le apetezca.
Aunque por desgracia estamos ya mal acostumbrados a no poder consultar las listas de certificados revocados porque en general las PKI implantadas no nos dan acceso a ellas, la legislación vigente en nuestro país (LEY 59/2003, de 19 de diciembre, de firma electrónica, articulos 8, 9 y 10) así lo exige.

Un ataque sobre este servicio de consulta de validez de certificados seguramente paralizaría el funcionamiento de la PKI, o al menos, haría que las transacciones realizadas durante el tiempo en donde no se sabe realmente si los certificados son validos o no se tuvieran que volver a ser supervisadas.

También me ha resultado curioso es ver como, a colación de este nuevo término y dado que ha sido acuñado por una empresa con objetivos claramente de marketing, se ha abierto un foro "Call for PH" para definir posibles términos que describan ataques de seguridad y que empiecen por la letra PH. Es curioso la ironía e imaginación de algunos.
La lista completa puede verse en SANS Institute: Ph-atacks. Yo a continuación traduzco los más interesantes.

- Ph-ortune: lo que hacen los phishers cuando vacian las cuentas de un banco online.
- Ph-iller: las palabras extras que se incluyen en un correo de spam para conseguir que un filtro antispam lo de por válido aunque no colaría si el filtro fuera humano.
- Ph-ilter: una medida de seguridad ineficaz que no cumple con su objetivo.
- Ph-ud: lo que ha hecho AirMagnet difundiendo este nuevo término como una gran amenaza.

Para contribuir a esta lista y en relación al ataque comentado sobre PKI que creo que no ha sido bautizado, propongo llamarlo "Ph-stopking".
miércoles, 9 de noviembre de 2005 0 comentarios

Infotráfico de datos de carácter personal relacionados con el DNI

Hoy he leido por varias fuentes una noticia lamentable entorno al "info-tráfico de datos de carácter personal".

La primera referencia de la noticia me ha llegado vía Kriptopolis y he buscado en otros medios más información para tener más detalles de los hechos. La Agencia de Protección de Datos ha iniciado diligencias tal como informa su nota de prensa pero como ya se sabe, la LOPD no establece multas para las Administraciones Públicas sino sanciones administrativas, lo que hace que estos temas los gestionen de forma mucho más relajada. Al final del post referenciaré todas las fuentes donde se ha dado cobertura al hecho.

La noticia es muy preocupante tanto desde el punto de vista de la protección de datos de carácter personal como desde la seguridad de la información y más cuando se trata de una de las instituciones públicas que más tiene que velar por la confidencialidad de la información para salvaguardar nuestra intimidad. Si en la propia Policía se producen fugas de información deberemos empezar a plantearnos seriamente establecer controles para vigilar al guardian del Estado.

En estos últimos años están incrementandose los incidentes relacionados con el robo de información porque ya es un hecho que la información es poder y dinero. El phishing, el spam o ultimamente el pharming intentan hacerse con información que da acceso al dinero y las grandes corporaciones tratan de obtener cada vez más información que les permita ganar mucho más dinero.No podemos valorar cuanto vale la información de 25.000 DNI pero seguro que bastante si grandes empresas la desean. Además, incidentes relacionados con la confidencialidad son irreparables puesto que la información que ha sido comprometida no puede volver a su estado original. Ayer indicaba que el factor humano siempre es el eslabón más debil y hoy tengo que apuntar que también es el más corruptible. Por desgracia, cuando los hechos delictivos los comenten personas en quienes confiamos la salvaguarda de nuestros derechos y el control y persecución de los delitos el impacto es mayor, tanto por el control que deja de realizarse como por el daño moral que produce dado que estas cosas son extremadamente contagiosas. Muy triste que el guardian sea el ladrón porque entonces, ¿en quien podemos confiar?

Sorprende ver también la escasa cobertura mediatica del hecho. Independientemente del actor que ha vulnerado la protección, la gran pregunta es ¿Quién ha tentado al guardian y en cuanto ha valorado la información que ha conseguido robar?


Principales referencias a la noticia:
Noticias.com
Asociación de Internautas
20 minutos
lunes, 7 de noviembre de 2005 0 comentarios

Posters de concienciación en la materia

Desde este blog ya he comentado muchas veces que la pieza más importante en esto de la gestión de la seguridad son las personas.
En las recientes conferencias de RSA, Bruce Schneier comentaba que "Tenemos más tecnología de la que podemos usar".

Esta frase hay que entenderla en su contexto original. Se estaba hablando de la cantidad ingente de tecnología asociada a la seguridad que genera mucha información que al final no puede ser procesada. Esta frase viene a decir que la tecnología soluciona problemas pero sigue haciendo falta la inteligencia humana para diagnosticar y discernir si los problemas se han mitigado o sigue siendo necesario hacer más cosas.

Schneier tiene otra frase mucho más lapidaria cuya traducción viene a decir algo como
“Si piensas que la tecnología puede solucionar tus problemas,no entiendes ni la tecnología ni tus problemas"

El enlace que hoy quiero postear está relacionado con posters de concienciación a empleados en materia de seguridad de la información. Son interesantes e ilustran en una sola imagen el mensaje que se quiere transmitir. Es una forma de informar, concienciar y entrenar al personal bastante eficaz. Para muestra, subo los que más me han llamado la atención.







domingo, 6 de noviembre de 2005 0 comentarios

Numero 4 de (In)secure Magazine.

- Número 4.Octubre.
sábado, 5 de noviembre de 2005 0 comentarios

MAGERIT 2.0: Primeras impresiones

Ya comente en septiembre cuando hablaba del proceso normalizador entorno a la seguridad y las novedades del Web del Ministerio de Administraciones Públicas que por fín había aparecido la versión 2.0 de MAGERIT, la Metodología para en análisis y la gestión del riesgo de los sistemas de información.

MAGERIT fue mi bautismo en esta materia de la seguridad, al ser el primer trabajo/proyecto profesional que tuve que realizar. En aquel momento, allá por el año 1999, tuve el gusto de probar aquella nueva metodología en un entorno real y complejo como parte de un proyecto piloto del departamento de Ingeniería del Software de la Universidad de Murcia.

Para no enrollarme mucho, voy a destacar las principales novedades de MAGERIT 2.0 dado que ya estamos utilizándola en los servicios de consultoría estratégica de seguridad de Firma, Proyectos y Formación.

Principales novedades y mejoras:
- La metodología mejorada: deja de ser algo teóricamente interesante para bajar a la arena y ser algo práctico, rápido y útil. Un análisis y gestión de riesgos (en adelante ARG) debe ser relativamente rápido de hacer principalmente porque si no puede "nacer muerto". No podemos realizar un estudio de esta envergadura en donde se identifiquen activos que al finalizar el proyecto han dejado de existir. El sentido del AGR es hacer una foto del estado y requisitos de seguridad de la organización. Los activos sustanciales es raro que cambien debido a que están muy ligados a los procesos de negocio. Sin embargo, los activos relacionados con las Tecnologías de la Información si pueden cambiar más frecuentemente. La nueva metodología solo tiene tres fases: planificación, análisis y gestión.

-Los conceptos de seguridad están más claros: Se han identificado y catalogado todos los activos posibles. El concepto de "propiedades del estado de la seguridad" se ha cambiado por el de "dimensiones de la seguridad". A estas dimensiones, que tradicionalmente siempre se han considerado como confidencialidad, integridad y disponibilidad (C-I-D), se añaden la autenticación de usuarios, autenticación de datos,la trazabilidad de usuarios y la trazabilidad de datos. Estas dos últimas propiedades van a ser muy necesarias en la futura Administración Electrónica dado que garantizan el saber quien, cuando, como y qué se ha hecho en un proceso telemático. Además, se introduce sobre la disponibilidad otra novedad interesante. Las dimensiones pueden ser escalonadas. Esta claro que cuando hablamos de un incidente relacionado con la confidencialidad o la integridad, son propiedades de "Todo o nada". Si una información se compromete, ya su confidencialidad se ve afectada. Sin embargo, con la disponibilidad podemos tener umbrales o intervalos en donde los incidentes pueden no ser significativos. No es lo mismo pensar en un servicio no disponible durante una hora, que durante un día o una semana. Por tanto, este matiz es muy importante porque permite saber cuanto tiempo se puede aguantar sin que el incidente sea significativo.



-Mejorado el modelo de elementos: otro de los problemas de MAGERIT 1.0 viene en el momento de la estimación de valores. La valoración de las amenazas y las vulnerabilidades puede llevar a confusión si no se aclaran al entrevistado bien estos conceptos. Ahora en este nuevo modelo, tenemos que valorar la probabilidad de ocurrencia de una amenaza y el daño o degradación que causa. Es más sencillo de ver y estimar.

-Nueva herramienta software de apoyo: dispone de una Herramienta software que proporciona mejores resultados. Para las Administraciones Públicas es gratuita y para los consultores y empresas es de pago. Para solicitarla, si se es Admin. Pública ir al Web del Centro Criptológico Nacional. Para empresas, hay que ir al Web AR-Tools.com

-Mejores documentos finales: Tras acabar cada una de las fases se obtienen documentos con la información necesaria para tomar decisiones en materia de seguridad. Se obtienen como resultados los siguientes documentos: Inventario de activos, modelo de valor (activos y valor respecto al proceso de negocio estudiado), modelo de riesgo (riesgos detectados) y plan de seguridad.

Ahora es necesario que a esta fase de la gestión de la seguridad se le asigne la importancia que tiene y que la seguridad empiece a enfocarse desde el punto de vista de la gestión y la mejora continua. Ahora tenemos formalmente este marco definido gracias a la norma ISO 27001.

Quiero también destacar la gran labor que ha realizado el profesor J.A. Mañas en el desarrollo de esta metodología y su excelente visión en materia de seguridad que va abriendo y luchando por establecer esta nueva disciplina que es la gestión de la seguridad de la información. Destacar por parte del Ministerio de Administraciones Publicas a Miguel Angel Amutio, que también está intentando que la seguridad sea bien implantada en las Administraciones Públicas.


Enlaces de interes:
- Ficha de MAGERIT 2.0 en el MAP
- Web AR-Tools
- Ficha de MAGERIT en el Centro Criptológico Nacional.
viernes, 4 de noviembre de 2005 0 comentarios

Software Antipharming

El Centro de Alerta Temprana Antivirus, el Grupo de Delitos Telemáticos de la Guardia Civil y la compañía de seguridad NGSec están difundiendo la herramienta gratuita para usuarios finales de NGSec para la detección del Pharming.

Esta amenaza, parecida al phishing consiste en envenenar nuestro dns para que apunte a direcciones falsas y desde estos falsos web intentar robarnos nuestros credenciales.
En el phishing el atacante pone un anzuelo para engañar al usuario final. Este anzuelo puede ser un correo electrónico solicitando un cambio de contraseñas, una dirección similar a la original, etc. El nombre está asociado a la pesca, poner un anzuelo y esperar a que piquen.

El pharming tiene un objetivo idéntico pero cambia la manera de engañar al usuario. En este caso, el nombre está relacionado con la siembra. Se trata de envenenar nuestro DNS (Servicio responsable de la traducción de direcciones de internet en direcciones IP x.x.x.x). El atacante envía información incorrecta sobre la dirección IP asociada a dominios conocidos como google, nuestro banco, etc. Este es el proceso de siembra. Luego, cuando el usuario pone el nombre correcto del sitio al que quiere ir, el PC envenenado proporciona una dirección IP que no es la correcta y el usuario acaba en un Web que no es el verdadero.

Esta herramienta anti-pharming vigila el contenido de nuestro fichero DNS para evitar que un atacante lo cambie o modifique.

Descarga herramienta Antipharming
miércoles, 2 de noviembre de 2005 2 comentarios

Bruce Schneier: "Las compañías de software deberían responsabilizarse de sus errores"

He leído vía Diario TI que en las recientes conferencias de la RSA, Bruce Schneier ha realizado unas declaraciones responsabilizando al mercado del desarrollo software de los errores cometidos. Aunque tampoco es que haya que rasgarse las vestiduras, todas las afirmaciones creo que son bastante razonables. Schneier ha dejado caer perlas como estas:

- ”Cuando los usuarios comiencen a presentar exigencias claras a los proveedores, responsabilizandolos jurídicamente y demandándolos, comenzarán a distribuir productos seguros”.

- ”Linux ha tenido un gran efecto en Microsoft, debido a que habría sido demasiado costoso para Microsoft evitar reaccionar. Por tal razón, Linux ha contribuido, aunque indirectamente, a mejorar la seguridad de los programas de Microsoft”

- "Las soluciones técnicas ya están disponibles en gran medida, pero faltan leyes que hagan posible exigir indemnización a las compañías de software, si el usuario pierde dinero debido a las errores de sus productos".

Y en el fondo tiene más razon que un santo, porque la cadena de errores y las pocas exigencias en cuanto a calidad realizadas sobre el software hace que en general, la seguridad no haya sido una prioridad. También creo que hay que aclarar que estas afirmaciones se justifican dentro de la mentalidad anglosajona de "hacer las cosas bien" para evitar demandas y no "hacer las cosas bien" porque son más rentables. Nosotros tenemos el refran de "visteme despacio que tengo prisa".

Para no ser negativo, estoy seguro que la evolución de las tecnologías TI, la aplicación de la Ingeniería del software y los nuevos lenguajes de programación darán pronto sus frutos y creo que ya estamos empezando a aprender de los errores cometidos. El tema está en que este tipo de cambios solo los ven claros al principio los más grandes...y para las empresas pequeñas de desarrollo donde prima la rentabilidad a la fiabilidad o la seguridad, costará convencerlos.
martes, 25 de octubre de 2005 0 comentarios

Día de Internet

Hoy 25 de octubre es el día de Internet.

Y es que este tipo de celebraciones sirven para sacar pecho aunque en nuestro caso, parece que las estadísiticas no son muy favorables. Respecto al número de ciudadanos conectados a Internet no somos de los paises que destacan. Ahora que yo tambien me pregunto si ese dato es realmente el significativo.¿Es directo tener Internet con realmente sacarle partido a su uso?

Porque por un lado tenemos campañas que criminalizan Internet como el medio en donde habitan las redes P2P, la pedofília, las comunicaciones entre terroristas y por otro a las operadoras vendiendo que gracias a Internet se accede a música, películas, etc... pero ocultado que los contenidos comerciales son de pago.

Además, nuestros precios de conexión y anchos de banda obtenidos tampoco son de los mejores. Leo via Blog de Héctor García Puigcerver , un alicantino viviendo en Japon, que las tarifas con NTT (El equivalente a Telefónica pero en Japón):
-> Conexión a 8 Mbps (Lo mínimo) : el equivalente a 35 Euros al mes
-> Conexión a 50 Mbps: 45 Euros/mes
-> Conexión a 120 Mbps: 60 Euros/mes

Somos uno de los países con cuota de conexión más alta y los contenidos didácticos como la música y el cine obtenidos lícitamente son de pago.
Realmente es ¿Internet para todos?.

Además, y lo que más me preocupa. ¿Se está enseñando y formando al ciudadano de turno sobre el uso (correcto y seguro) de estas nuevas tecnologías? Porque la aparición de fenómenos como el spam o el phishing necesitan de inocentes víctimas y por desgracia existen y no son pocas. Creo que en vez de gastar dinero en campañas de publicidad para celebrar Internet más nos valdría poner PC-escuelas en las ciudades para enseñar a manejar bien este nuevo avance que es Internet.
0 comentarios

DLL files

A menudo por instalar y desinstalar programas se fastidia siemrpe alguna DLL o se machaca una version nueva con otra anterior, teniendo como efectos colaterales e indeseados que el programa o el sistema deja de funcionar.

Pues hoy tratando de solucionar un problema de estos, he encontrado una Web, Dll-files.com en donde se pueden encontrar y descargar las últimas versiones de las dll de Windows.

Ha sido localizar la que me estaba dando error, bajarla e instalarla en la ruta adecuada y listo. Dado su interés general, aquí la he posteado.
lunes, 24 de octubre de 2005 0 comentarios

PRTG Traffic Grapher

El bri-consejo de la seguridad de hoy está orientado a la monitorización de nuestro PC. El software PRTG Traffic Grapher sirve para monitorizar el tráfico por protocolos.

Esto nos permite un diagnóstico por anomalía. Si más o menos somos conscientes del uso que hacemos del PC, con un simple vistazo de las gráficas podremos saber si pasa algo raro o todo es correcto.

Aunque la versión FREEWARE solo permite instalar un sensor, configurando adecuadamente los protocolos a vigilar creo que se tiene más que suficiente. El aspecto del panel de control de la herramienta tiene el siguiente aspecto:



Descargas en: PRTG Free downloads
sábado, 22 de octubre de 2005 0 comentarios

Nuevo canal de comunicacion

He creado la cuenta de correo seguridaddelainformacion'at'gmail'dot'com para proporcionar un canal para realizar consultas, preguntas o lo que sea.

Seguro que el spam es lo primero que entra.

viernes, 21 de octubre de 2005 2 comentarios

III Aniversario del Blog

Parece que fuera ayer y ya cumple tres años este blog. Aunque es relativamente poco tiempo, el ir anotando periódicamente los eventos más importantes tiene su utilidad. Este registro o log permite analizar pasado el tiempo la evolución o tendencia tanto del autor como de la temática tratada.

Desde Seguridad para usuarios creado con un ánimo didáctico para tratar de proteger o aconsejar al usuario de a pie sobre las principales amenazas que se ciernen sobre su equipo cuando se contecta a Internet hasta la actualidad, el ánimo del autor siempre ha sido el mismo, tratar de poner luz en la oscuridad. Y es por eso que este nuevo aspecto utiliza un "Faro" como símbolo, porque la seguridad no es oscurantismo, no es información oculta y para privilegiados, debe ser algo compartido porque cuanto más se sepa más protegidos estaremos.

El desconocimiento o la oscuridad siempre disminuyen la percepción final del riesgo y eso nos hace más vulnerables. Siempre con la máxima de aplicar el sentido común, uno debe pensar ya en tener al menos unas medidas de seguridad básicas que le permitan aguantar frente a las constantes llegadas de nuevas amenazas. Y aunque estas también van evolucionando, la formación y la concienciación siguen siendo una de las mejores armas.

Para contribuir a eso existe este blog. Confío en que este objetivo se esté alcanzando.

Un saludo y gracias a quien me lea.
jueves, 20 de octubre de 2005 0 comentarios

ISO 27001:2005

El viernes 14 de este mes ha sido publicada la norma BS 7799-2 como la nueva norma ISO 27001:2005 denominada "Requisitos para la especificación de sistemas de gestión de la seguridad de la información (SGSI)".

Esta noticia abre un nuevo periodo en la Seguridad de la Información, consolidádola como área de conocimiento necesaria para garantizar en el siglo XXI el nuevo elemento de valor de las organizaciones: LA INFORMACIÓN.

Garantizar seguridad es un trabajo costoso y muy poco agradecido. Si todo va bien, nadie valora el esfuerzo realizado y si todo va mal, todo el mundo te señalará como culpable.

Pese a ello, esta disciplina ha madurado a ritmos muy acelerados. En los 6 años ya que llevo dedicado a esto he visto como actividades como las que me iniciaron a mi, el análisis de riesgos, se han incorporado tanto a actividades relacionadas con el desarrollo software como a actividades relacionadas con la gestión de sistemas de información.

Y si todo va tan rapido sólo tiene que se por un motivo, es necesario.

En los años 90 se desplegaron los esfuerzos por informatizar los sistemas de información, preocupandose únicamente por garantizar la disponibilidad de los sistemas. Y es verdad que la disponibilidad es una de las patas de la seguridad, pero el resto puede que no sean menos importantes. La ausencia del resto de propiedades y la no consideración de estas como requisitos de diseño nos ha llevado a ir arrastrando lacras relacionadas con constantes incidentes de seguridad. Y es que cuando la información es dinero siempre habrá gente que busque talones de Aquiles con los que satisfacer su ánimo de lucro.


Esta nueva norma INTERNACIONAL y CERTIFICABLE puede servir para definir cuales son los procesos necesarios para garantizar una correcta gestión de información e implantar en las empresas del siglo XXI una nueva necesidad, la calidad en el tratamiento de información, la gestión de la calidad en el uso de información que es nada más y nada menos, la GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Es más, es tal el nuevo panorama que se avecina en relación a los sistemas de información, que las tradicionales tres patas de la seguridad ahora se ven ampliadas a siete.
- Disponibilidad: Asegurar que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados.
- Integridad de los datos: Garantía de la exactitud y completitud de la información y los métodos de su procesamiento.
- Confidencialidad de los datos: Asegur que la información es accesible sólo para aquellos autorizados a tener acceso.
- Autenticidad de los usuarios del servicio: Asegurar la identidad del usuario autorizado.
- Autenticidad del origen de los datos: Asegurar la identidad u origen de la información.
- Trazabilidad del servicio: Asegurar que en todo momento se podrá determinar quién hizo qué y en qué momento.
- Trazabilidad de los datos: Asegurar que en todo momento se podrá determinar quién qué y en qué momento se trataron los datos.

Cada vez está más claro que esto de la seguridad es una disciplina que por su complejidad y contenido, requiere de profesionales que se dediquen plenamente a ella y que sepan de ahora en adelante, construir sistemas de seguridad de la información, como si fuera una ingeniería robusta donde los criterios de construcción estan claros pese a la desigualdad existente entre el rol del que defiende y el rol del que ataca.

"Quien ataca sólo tiene que encontrar un punto débil y aprovecharlo. Quien defiende deberá buscar todos los potenciales puntos débiles y defenderlos".

En este III Aniversario de este blog, que creo cada vez tiene más sentido, quiero dejar constancia de esta nueva era que se avecina para los que nos dedicamos a esto, y que por fin ahora surje como algo medible, controlable y sobre todo, gestionable. Y por ello, quiero también anunciar la aparición de un segundo blog centrado ya en la problemática de la gestión de la seguridad que aunque está todavía en pañales, pronto dotaré de contenidos relacionados solo con los SGSI.


Puede verificarse la publicación de la norma en la Web de la ISO, en concreto la información relacioanda con esta norma se encuentra en ISO 27001:2005.
miércoles, 19 de octubre de 2005 2 comentarios

Gestión de contraseñas

Dado que esta semana mi blog va a cumplir su tercer aniversario, voy a intentar publicar con algo más de asiduidad en los días que restan para tal conmemoración. También estoy intentando refrescar su imagen con algunos pequeños cambios como el tipo de letra o algun banner que acabarán el viernes 21 que es el día del tercer aniversario. Ese día publicaré una noticia de muy alta relevancia para la seguridad de la información de la que es objeto temático este blog.

Recuerdo bien que uno de mis primeros post estuvo relacionado con definir criterios y consejos para establecer buenas contraseñas. Posteriormente he publicado algún consejo más sobre como elegir contraseñas robustas y fácilmente recordables pero hasta la fecha no había recomendado ningún programa que diera soporte al tema.

Hoy he descubierto y probado vía Genbeta el programa Kee-pass.

Un software GPL para Windows y PPC que permite conociendo una unica contraseña, acceder a nuestro repositorio de contraseñas. Todos pensaréis que tener una única contraseña que guarda el resto puede ser también un peligro, pero también es cierto que como solo podemos recordar bien una o dos contraseñas, utilizamos siempre la misma para todas las cuentas y creo sinceramente que esto es mucho peor. El programa además, dado que custodia nuestra información más confidencial, utiliza algoritmos de cifrado conocidos y robustos (hasta la fecha) como son AES y Twofish.

Como se dispone de version Windows y Pocket nos permite tener siempre a mano, tanto en el PC de casa como en la pocket, las contraseñas. Además incorpora un generador de contraseñas robustas que siempre son mucho más dificiles de recordar pero que con este software resulta algo trivial.

Puede descargarse tanto el software como el codigo fuente en: Keepass-sourcefourge.
martes, 18 de octubre de 2005 0 comentarios

Phishing via SMS

Aunque hace tan solo 10 días posteaba información relacionada con la extensión de ciertas plagas de malware (spam, scam, virus, etc.) a los teléfonos móviles, leo vía Bruce Schneier Blog que ya empiezan a materializarse algunas de estas amenazas. La noticia informa de un usuario de móvil recibió un sms que le notificaba el haber realizado operaciones con su tarjeta bancaria por un valor muy alto. El mismo mensaje indicaba el teléfono en donde informarse sobre el detalle de la operación. Inmediatamente se apresuró a llamar en donde le solicitaron su identificador de acceso y contraseña para posteriormente pasar la llamada a otro sitio en donde ya nadie respondió.
Mientras, accedieron a su cuenta y traspasaron la mayor cantidad posible.

La noticia completa puede leerse en: Phishing via SMS
0 comentarios

Recursos Technet de Seguridad

Los boletines Technet de Microsoft son una fuente interesante para mantenerse actualizado y para conocer las novedades tanto en materia de avisos de seguridad como de herramientas específicas que solucionan problemáticas concretas.

Microsoft en cambio de estrategia para abordar la seguridad de los sistemas de información ha encontrado el correcto camino al orientar esta problemática hacia lo que es la "gestión de la seguridad en los sistemas de información".

Con este enfoque ha construido su propia metodología de gestión de riesgos y aplica esta filosofía en cualquier propuesta de resolver problemas.

Los enlaces que hoy referencio, corresponden a partes del Technet de Seguridad donde se detallan acciones tácticas y operativas para la gestión del riesgo en diferentes problemáticas concretas frente a amenazas puntuales como el robo de equipos, el hacking, etc... o acciones relacionadas con las actividades de la operación de la seguridad que aparece en su Microsoft Operation Framework (MOF).
Los enlaces son:

- Microsoft Security Managemenet orientado a acciones puntuales para la gestión de diferentes riesgos.
- Security Tip of the Month donde se resumen trucos, opciones de configuración o aplicaciones que contribuyen a implantar una mejor seguridad de la información.
jueves, 13 de octubre de 2005 0 comentarios

Planos directivos en materia de seguridad de la información

Cualquier operación y construcción de un sistema de defensa distingue en diferentes niveles sus operaciones, en virtud del alcance y plazo de ejecución de las actividades. Estos son: actividades estratégicas, tácticas y operativas.

A continuación se ilustran las definiciones del diccionario de cada una de ellas.
- estrategia.(Del lat. strategĭa, y este del gr. στρατηγα).1. f. Arte de dirigir las operaciones militares.2. f. Arte, traza para dirigir un asunto.3. f. Mat. En un proceso regulable, conjunto de las reglas que aseguran una decisión óptima en cada momento.

- táctica.(Del gr. τακτικς, der. de τσσειν, poner en orden).1. f. Arte que enseña a poner en orden las cosas.4. f. Método o sistema para ejecutar o conseguir algo.

- operativa.1. adj. Dicho de una cosa: Que obra y hace su efecto.2. adj. Preparado o listo para ser utilizado o entrar en acción.

De esta misma manera, la Gestión de Seguridad de la Información debe estratificarse en los siguientes bloques:

• Seguridad Estratégica: orientada a la gestión del riesgo.

• Seguridad Táctica: preocupada de la planificación y la gestión del cambio. Debe actualizar constantemente las medidas de seguridad a las necesidades detectadas y a los nuevos riesgos aparecidos y de dotar a la organización de una "cultura hacia la seguridad".

• Seguridad Operativa: responsable de implantar medidas, monitorizar el buen funcionamiento, resolver incidentes y controlar la buena salud de los procesos. Este tipo de seguridad está directamente relacionado con la seguriadad informática.

Esta gestión se basa en un enfoque global dividido en áreas específicas de trabajo, siempre teniendo en cuenta la orientación hacia la actividad de la empresa y sus métodos de trabajo.

La seguridad no es un producto: es un proceso continuo que debe ser controlado, gestionado y monitorizado. Como tal la seguridad tiene un objetivo que es garantizar el buen funcionamiento de los procesos de negocio. En base a este objetivo debe ser gestionada y debe ser revisada.
Como dice un buen slogan publicitario "La potencia sin control no sirve de nada" que traducido al objeto de este blog "La seguridad sin objetivos de protección no sirve de nada".



Y como una imagen vale más que mil palabras... ahí queda esto.
jueves, 6 de octubre de 2005 1 comentarios

Animación didáctica sobre qué es el phishing

Fuente: El País- Tecnología

He encontrado en la sección tecnológica del País una excelente animación entorno a qué es el phishing. Dado que es de lo más didáctica, creo interesante recomendar su visualización.

Puede verse en Animación sobre el phishing.


miércoles, 5 de octubre de 2005 0 comentarios

Y la plaga se extendió de la tierra a los mares

He encontrado hoy referencias al análisis realizado sobre las redes SMS y el cada vez mayor riesgo existente de sufrir ataques de denegación de servicio y otras plagas ya cotidianas de Internet.

El análisis detallado de estas nuevas amenazas sobre la infraestructura que da soporte al servicio SMS podría tener consecuencias como el spam, el phishing o los virus sobre los terminales móviles. Nuevas tecnologías, nuevos servicios y también nuevas amenazas. Esto de la seguridad es un ciclo que no acaba nunca, es una persecución constante de buenos contra malos.

Fuente: SMS Analysis
martes, 4 de octubre de 2005 0 comentarios

La mejor enseñanza, el ejemplo

Microsoft tiene claro que esto de la seguridad de la información no es solo una herramienta de marketing sino que además, condiciona la viabilidad de su modelo de negocio presente y futuro.

Desde hace unos años se están poniendo las pilas en el tema, comprando empresas y contratando a los mejores profesionales. Los resultados son evidentes. Han reconducido su estrategia y predican con el ejemplo.Y como suele ocurrir cuando uno hace bien las cosas, suele no tener problemas para contarlo.

En IT Security at Microsoft Overview hay dos documentos que son una lección magistral de la Dirección Estratégica de la Seguridad de la Información.

En este caso, el análisis lo realiza Microsoft para si misma pero me sirve para ilustrar la importancia de la gestión de la seguridad basada en el análisis del riesgo. Esta nueva disciplina es la fase nuclear en la que deben basarse todas las decisiones relacionadas con la seguridad.

"Primero lo importante y de valor, que despues ya habrá tiempo para lo demas". Como suele ocurrir que la regla de Pareto suele estar presente en casi todos los problemas, es posible que solucionando el 20% de los problemas de seguridad paliemos el 80% de los riesgos más graves.
martes, 20 de septiembre de 2005 0 comentarios

Google Secure Access

Leo via Ojobuscador otra nueva iniciativa de los chicos de Google, en concreto de un ingeniero que destinó su tiempo libre a solucionar un problema con la seguridad en sus conexiones en remoto.

Esta vez con unas implicaciones directas sobre la seguridad que es el objeto de este blog. La pericia de estos chicos ha consistido en crear un cliente VPN que conecta contra sus servidores de forma totalmente transparente para el usuario.

Esta aplicación sirve para tunelizar una conexión wifi y a la par proporcionar navegación anónima (Al menos en el tramo Tu-pc ->Concentrador-VPN-Google).
El qué harán estos chicos una vez sale la conexión del tunel VPN ya es todo un misterio. Confiemos en que todo cosas buenas.

Descarga:
Google Secure Access
viernes, 16 de septiembre de 2005 1 comentarios

Revista (In)secure Magazine

Llevo meses sin referenciar fuentes interesantes respecto a la seguridad y de las que conviene estar al tanto. Hoy voy a comentar la revista (In)secure magazine, que es una revista de seguridad informatica en formato electrónico y que puede ser descargada desde http://www.insecuremagazine.com/.

Lo más recomendable es estar informado via RSS pero dado que es una publicación que acaba de empezar y con una periodicidad de 2 meses, solo hay que acordarse cuando toca.
Los tres numeros publicados hasta la fecha son:

- Número 3.Agosto.


- Número 2.Junio.


- Número 1.Abril.
lunes, 12 de septiembre de 2005 0 comentarios

La seguridad como propiedad para proporcionar garantias y exigir responsabilidades

Alguna vez ya he comentado en este blog el cambio cultural que suponen la introducción de las tecnologías de la información en nuestro mundo. También he comentado las grandes diferencias que existen entre lo físico y lo digital en relación con la seguridad de la información.

Hoy quiero comentar una noticia que fue objeto de discusión entre un grupo de colegas entorno a dos posiciones:
-Por un lado, algunos defendemos que los nuevos procesos que se implanten con tecnologías de la información deben permitir por un lado exigir las mismas responsabilidades que si estas tecnologías no se utilizaran y deben establecer claramente los responsables en el caso de cualquier tipo de problema.

-Por otro lado, la otra posición defiende que la informática se encuentra construida sobre pilares no deterministas y así no es posible "probar" o "demostrar" cuando se producen errores y por tanto, no pueden determinarse responsabilidades.

La discusión vino generada por la noticia entorno a la anulación de una multa a un australiano por considerar que la foto digital aportada como prueba no cumplia con las minimas garantías para ser considerada como tal. La noticia concreta que se leía via Noticias Hispasec en el enlace: Utilizar MD5 para recurrir las multas de tráfico pone de manifiesto la ligereza con la que se están implantando algunas nuevas formas de hacer las cosas.

La justicia se basa en el principio básico de la presunción de inocencia. Quién acusa a alguien debe probar con indicios o evidencias la autoria del hecho delictivo para que el acusado pueda ser declarado culpable.

¿Qué implica esto en el mundo digital?
Las evidencias del mundo físico son hechos inmutables, es decir, una vez ocurre un suceso las pruebas pueden ser destruidas pero no modificadas. En el mundo digital las pruebas son también datos en si mismos y por tanto, deben garantizarse las propiedades de la integridad y autenticación de los mismos. Ya empiezan a considerarse como propiedades de la información la trazabilidad del uso del servicio y la trazabilidad del acceso a datos.

Sin estas propiedades correctamente garantizadas, una prueba en formato electrónico no podrá garantizar el principio de "inmutablidad de la prueba" y por tanto, será desestimada por los jueces. Ante la duda de poder haber fabricado una prueba digital, será el perito de turno quien deberá deducir si hay garantías suficientes para poder dar por validos los hechos que los log's traten de probar.

Si no estamos considerando estos nuevos requisitos de seguridad en el diseño de los sistemas de información que soporten la Administración electrónica, la validez jurídica de muchos de estos procesos será nula y por tanto, el trabajo del informático que rediseña un proceso administrativo trasformándolo en un proceso informático será inutil al no dotarlo de suficientes garantías para poder luego depurar responsabilidades.

Es un camino duro pero si queremos "construir" algo, no solo basta con levantar el edificio, hay que proporcionar garantías tanto sobre su uso como sobre los requisitos mínimos que se satisfacen y además probar que en el momento de la implantación se cumplen. He ahí el sentido de la certificación del software y el visado de proyectos.

La Informatica por su juventud todavía no es tratada como una verdadera ingeniería. Es un gremio no regularizado en donde no están establecidas competencias de cara al ejercicio profesional.

En la revista del Colegio de Ingenieros de la Region de Murcia se publica un interesante artículo entorno a la naturaleza de la Informática. Puede leerse en el enlace La informática y la Ingeniería.

Debemos pensar que al final la ambigüedad en el funcionamiento y la impunidad a la hora de exigir responsabilidades siempre tiene una misma victima, el usuario final o el analfabeto tecnológico que se ve obligado a utilizar estas nuevas formas de hacer las cosas sin comprender que ocurre por debajo.

¿Qué sería de otros gremios como la arquitectura, la ingeniería civil o la medicina si hubieran sido construidos como lo está siendo la Informática?
martes, 6 de septiembre de 2005 0 comentarios

Normalización en seguridad de las tecnologías de la información

He venido comentando a lo largo de este verano las constantes noticias en materia de seguridad y normalización que se han venido produciendo.

El Ministerio de Administraciones Publicas a través del Consejo Superior de Informática también ha trabajado duro estos ultimos meses y a lo largo del verano han ido publicando alguno de sus resultados.

Dado el carácter estratégico que tiene la seguridad de la información para el Estado, es tranquilizador saber que los técnicos de la Administración Pública están atentos a la evolución del mercado y van adaptando las diferentes normas a recomendaciones y metodologías a implantar en la Administración Pública.

En la sección del SSITAD (Comité Técnico del Consejo Superior de Informática de Seguridad de los Sistemas de Información y Protección de Datos Personalizados Automatizados) del MAP, aparece el documento Normalización en seguridad de las tecnologías de la información donde describe qué papel está desempeñando la Administración Pública en la definición del nuevo marco normativo en materia de seguridad.

Este documento ilustra cuales son los grupos de trabajo dentro de ISO en los que el MAP se encuentra involucrado, la evolución de las diferentes normas, el estado actual de algunas de ellas y el nuevo dibujo que se perfila. La siguiente figura ilustra la evolución histórica del conjunto de normas.



Es un documento interesante para comprender el contexto de las futuras normas de seguridad de la información y su justificación.

También ha aparecido la versión 2.0 de MAGERIT, la metodología de análisis y gestión del riesgo de los sistemas de información. Aunque postearé algo al respecto en breve, mis primeras impresiones al mirar por encima los tres documentos de la metodología es que no hay cambios importantes en cuanto a conceptos pero si un cambio profundo en cuanto a su aplicación.

Han convertido MAGERIT 1.0 que era teóricamente un modelo muy bueno pero en la práctica poco viable de utilizar en un MAGERIT 2.0 con mejoras muy importantes. Se han resuelto muchas de las incognitas que surgen a la hora de aplicar esta metodología como son:
- estados de la seguridad, que ahora se renombran como dimensiones de la seguridad
- criterios de valoración de activos y sus diferentes tipos
- representación de las dependencia entre activos
- tipos de amenaza y sus daños

En próximos post realizaré una evaluación más completa de mis primeras impresiones.

- identificación de amenazas
lunes, 5 de septiembre de 2005 0 comentarios

Guías para combatir el phishing y el pharming

Ya se ha comentado en este blog la problematica asociada al phishing y al pharming.

Hoy referencio dos documentos técnicos que realizan un examen minucioso del problema y de las estrategias para solucionarlo.

Muy recomendable para tomar conciencia sobre estos dos tipos de ataques y sus consecuencias.

Documentos:
-The Phishing Guide

-The Pharming Guide.
lunes, 29 de agosto de 2005 0 comentarios

Censurador de documentos Word

Hace tiempo que se venía necesitando una herramienta que permitiera censurar documentos en formato electrónico.

Todos nos hemos visto en la necesidad de imprimir y tachar partes del documento antes de hacerlos llegar a su destinatario. El tipico tachón negro con rotulador para evitar que pudieran leerse partes del documento por terceros que no deben conocer esa información por tratarse de partes confidenciales o sensibles no ha sido posible realizarlo en documentos en formato electrónico hasta ahora.

Microsoft ha desarrollado un plug-in para Word 2003 que permite en un documento original marcar las partes sensibles de manera que cuando el documento se envíe o se imprima, estas partes aparezcan en negro y no permitan revelar su contenido. El autor puede guardar un original con las partes marcadas y visibles y enviar el documento generado por este plug-in de Word a los terceros sin tener que comprometer los contenidos confidenciales del documento.

Este sería un ejemplo de documento marcado con el plug-in para censurar alguna de sus partes.


Este sería el resultado de generar la versión del documento censurado.



Estos son los pequeños trucos y herramientas que colaboran ha garantizar una mayor seguridad de la información en el entorno de la documentación electrónica.
Este plug-in es igual de interesante que el "Remove hidden data" ya comentado en este blog.

Descarga:
Secure Word Redaction
Ayuda sobre su uso:
Word 2003 Redaction Add-in Microsoft Office Online
domingo, 28 de agosto de 2005 0 comentarios

IPSec ilustrado

Tras el correspondiente parón veraniego, retomo la publicación de post y enlaces de interés relacionados con el mundo de la seguridad de la información.

Este primer post tras las vacaciones va a hablar sobre un enlace que detalla el protocolo IPSec.

Como ya he comentado en algún post anterior, muchos de los problemas actuales de la seguridad de Internet se deben a no haber incluido "seguridad" en el diseño de los protocolos. En los momentos en los que fueron pensandos sólo se contemplaron características fundamentales relacionadas con el rendimiento y la fiabilidad dejando la seguridad en un segundo plano. Posteriormente la evolución y uso de los mismos ha revelado que esta característica es igual de importante y justifica la necesidad de que los protocolos de comunicacion incluyan garantías y controles para asegurar la confidencialidad, integridad y autenticación de las comunicaciones entre extremos.

IPSec es un conjunto de protocolos para las comunicaciones seguras a traves de las redes de interconexión. El enlace que a continuación referencio proporciona información detallada sobre el protocolo y sus características técnicas.

Fuente: IPSec ilustrado
miércoles, 3 de agosto de 2005 0 comentarios

El CATA informa sobre herramientas anti-phishing

Hace casi un año en este mismo blog comenté el fenómeno relacionado con el phishing que en aquel momento ya parecía preocupante en el artículo dedicado al Phising, Scam y herramientas.

En mi busqueda por buscar soluciones de usuario final para evitar inocentes víctimas estuve evaluando diferentes opciones asociadas al uso de herramientas que proporcionaran información sobre el sitio Web visitado y datos sobre la url, ubicación y servicio de hospedaje.
En su momento evalué Earthlink y Netcraft toolbar como dos buenas opciones.


Veo publicado ahora que el Centro de Alerta Temprana Antivirus (CATA) ha dedicado una sección a este tipo de aplicaciones en un intento por evitar el impacto causado por las continuas oleadas de phishing sobre la banca española. Aunque un poco tarde, al menos se informa al ciudadano de que existen soluciones razonables de cara a saber cuando se está en una url falsificada y cuando no.

Fuente: Herramientas antiphishing
lunes, 25 de julio de 2005 0 comentarios

Mas sobre Windows OnCare

Ya empieza a circular más información sobre el nuevo Windows OnCare. Este programa pretende ser un paso más dentro de la filosofía de protección preventiva de Microsoft. Con un aspecto parecido al Centro de Seguridad introducido en el SP2 de Windows XP, este nuevo programa revisará y monitorizará más aspectos en relación al estado de la seguridad del equipo del usuario.
El estado se diagnostica entorno al concepto de riesgo, pudiendo estar en una de las tres siguientes situaciones:

Icono Verde: El estado es bueno. Sistemas de protección como el firewall o el antivirus están al día, no hay eventos de copia de seguridad pendientes de realizar y acciones que requieran la atención del usuario.

Icono amarillo: El estado es mínimo. Significa que existen tareas pendientes de la atención del usuario como alguna copia de seguridad pendiente o alguna actualización no crítica por instalar. No existe una amenaza potencial que implique riesgo pero hay acciones pendientes que pueden provocar la aparición de una vulnerabilidad. Tan pronto como se realicen estas acciones se volverá al estado verde.

Icono rojo: Estado es riesgo. Esto ocurre si por ejemplo, el antivirus no se encuentra actualizado, si existen actualizaciones críticas pendientes de instalar o si el firewall de Windows está desactivado.

El aspecto general de la interfaz del programa es el siguiente:



Este tipo de iniciativas están colaborando en dos aspectos esenciales para la seguridad de la información.
Por un lado la prevención frente a las potenciales amenazas. Un sistema que reaccione rápido frente a la aparición de virus y que se actualice frecuentemente será menos vulnerable a virus, spyware y otro software malicioso.
Por otro lado, la concienciación necesaria por parte del usuario de la parte de responsabilidad que le compete respecto a esta protección "activa" del sistema. El usuario final debe ser actor participe y para ello debe conocer su estado de seguridad.

En cualquier caso, dado que esto de la guerra buenos contra malos es una carrera raton-gato, seguro que ahora Windows OnCare será objetivo del código malicioso para tratar de desactivarlo. Esperemos que el desarrollo de este producto de seguridad sea lo suficientemente robusto como para resistir embestidas del mundo oscuro.
martes, 19 de julio de 2005 0 comentarios

Guía al ciudadano del derecho a la protección de datos de carácter personal

La Agencia Española de Protección de Datos de Carácter Personal en su afán por dar a conocer los derechos de los ciudadanos en esta materia ha publicado una guía didáctica sobre el tema.

Se echaban de menos iniciativas como estas por parte de la Agencia. Es cierto que desempeña un papel activo en los aspectos sancionadores pero por desgracia, la Ley de Protección de Datos es todavía desconocida por parte del ciudadano de la calle. Son muchísimos los abusos que se realizan por parte de empresas y colectivos en el tratamiento de nuestros datos. Principalmente las mayores deficiencias se refieren a la obligación de informar correctamente que se hace con nuestros datos y quién es el responsable del tratamiento. En los intercambios de información también debe notificarse al afectado esos cambios de propiedad respecto al tratamiento (en los supuestos de cesión de datos). Esperemos que esta guía fomente las debidas reclamaciones por parte del ciudadano de sus derechos y eso haga ponerse las pilas también a las empresas con el tema. Sobre todo, porque todo tratamiento de datos debe tener unas medidas de seguridad adecuadas para evitar revelaciones de información ya que a menudo se olvida que la Ley de Protección de Datos tiene su raiz en el Articulo 18.4 de la Constitución Española, en relación a la protección de la intimidad y el honor de las personas.



Este documento puede obtenerse en: Guía del derecho fundamental a la protección de datos de carácter personal
jueves, 14 de julio de 2005 0 comentarios

Nueva versión ISO 17799:2005

Leo vía Finalcial Tech Magazine un texto resumen de las novedades de la norma ISO 17799 en su nueva versión.

Aunque hace ya un mes de la publicación de la nueva versión de la norma, este texto resume muy bien el nuevo enfoque de la norma y las principales novedades.

A continuación reseño las mejores partes del texto.

"Se ha incluido en la norma un capítulo destinado al análisis de riesgos. Este hecho pone de manifiesto la importancia del análisis de riesgos, como herramienta que debe servir a la Dirección para mejorar la gestión de la seguridad de sus sistemas de información.

El siguiente aspecto que nos gustaría destacar es la inclusión de dos conceptos puntuales que han sido elementos claves:

- Que la política de seguridad de la información tiene que estar alineada con los requerimientos del negocio (dentro de la corriente denominada IT Governance) y con las leyes y regulaciones relevantes (seguro que a más de uno ya se nos ha ocurrido alguna ley que nos trae de cabeza en esta materia).

- Que a los usuarios hay que darles formación, y concienciarles continuamente en esta materia, lo que les permitirá realizar las acciones necesarias para conseguir una óptima protección.

Solo una revisión de los grandes números:
- Hemos pasado de 127 controles en la edición de 2000 a 133 controles en 2005. Los 10 dominios de 2000 han crecido hasta 11 en la reciente edición.

Al margen de la adición, modificación y eliminación de objetivos de control puntuales, se han producido dos grandes reestructuraciones dentro de la norma:

- Los objetivos de control de “Monitorización” han pasado de “Control de Accesos” a “Gestión de comunicaciones y operaciones”.

- Los objetivos de control relativos a “Gestión de incidentes de seguridad de la información” se han independizado de la “Seguridad de los Recursos Humanos”, y se han constituido como capítulo con entidad propia dentro de la norma. Este hecho unido a la circunstancia de que el apartado de “Seguridad de los Recursos Humanos” mantiene su peso relativo dentro de la norma, significa que han aumentado los objetivos de control en este apartado significativamente."
lunes, 11 de julio de 2005 0 comentarios

Nuevo marco internacional de gestión de la seguridad: ISO 27001

El mundo de la gestión de la seguridad de la información anda unos años muy revuelto entorno a la publicación de diferentes normas internacionales y su continua revisión. Las más conocidas hasta la fecha son la norma ISO/IEC 17799 y la norma BS 7799-2:2002.En España contamos con las normas respectivas bajo la nomenclatura UNE ISO/IEC 17799 y UNE 71502.

Parece que este ultimo semestre de año y el trimestre del próximo nos van a proporcionar cambios en esta materia. Bajo la serie ISO 27000 van a agruparse todas las normas relacionadas con la gestión de la seguridad de la información. El primer paso lo ha dado la norma BS 7799-2 que ha entrado en ISO como Final Draft bajo el nombre ISO 27001.



El resumen de normas que están siendo elaboradas bajo esta serie son:
- ISO 27000, vocabulario y definiciones (terminología para el resto de estandares de la serie)

- ISO 27001, Especificación del sistema de gestión de la seguridad de la información (SGSI). Esta norma será certificable bajo los esquemas nacionales de cada país.

- ISO 27002, actualmente la ISO 17799, que describe el Código de buenas prácticas para la gestión de la seguridad de la información. En junio de este año ha sido publicada una nueva revisión.

- ISO 27003, que contendrá una guía de implementación.

- ISO 27004, estandar relacionado con las métricas y medidas en materia de seguridad para evaluar la efectividad del sistema de gestión de la seguridad de la información.

- ISO 27005, que proporcionará el estandar base para la gestión del riesgo de la seguridad en sistemas de información.

Esperemos que estas normas sean tan populares y requeridas por el mercado como las normas ISO 9000 e ISO 14000. Si estamos en la era de la sociedad de la información, la correcta gestión y su adecuada conservación y seguridad deberían ser cosas a tener en cuenta.
viernes, 8 de julio de 2005 0 comentarios

Microsoft Shared Computer Toolkit para Windows XP

Descubro hoy via BufferOverrun una utilidad bastante necesaria y práctica para el uso del PC doméstico.

Todos tenemos el ordenador en casa o en la oficina un PC al que accede todo el mundo por tratarse de un equipo compartido. El hecho de que haya muchos usuarios suele ser excusa para que ese equipo ande siempre hecho un desastre porque normalmente no se configura y limita el uso y privilegios sobre el sistema operativo. Microsoft acaba de lanzar un Shared Computer Toolkit para hacer más gestionable este tipo de equipos. Se entiende por equipo compartido:
- un PC utilizado por varias personas que no tienen por que confiar unos en otros
- Equipos PC utilizados en sitios poco vigilados donde la seguridad y la privacidad son propiedades a proteger


Este Toolkit es ideal para equipos en escuelas, bibliotecas, aulas de acceso a internet, cibercafes. Permite al usuario acceder al uso de forma fácil pero también permite al administrasdor:
- Limitar el acceso de estos usuarios de no confianza a la configuracion y datos del sistema.
- Proteger el equipo frente a cambios no autorizados en sus discos duros.
- Reducir el tiempo de adminstración de este tipo de equipos


url: Microsoft Shared Computer Toolkit
jueves, 7 de julio de 2005 0 comentarios

7-7-L

jueves, 30 de junio de 2005 1 comentarios

Google History, la potencial amenaza que se vaticinaba ya llego...

Aparece en la sección de Labs de Google una nueva funcionalidad que en primera instancia me pone los pelos de punta en relación a la protección de mi intimidad. Si es verdad que nuestros datos de carácter personal ya no los podemos tener bajo control, hace unos años no imaginabamos que la monitorización de nuestros gustos en el mundo virtual llegara hasta los extremos hasta los que está llegando.

Es cierto que Google en lo que respecta a la privacidad suele tener un comportamiento exquisito, aclarando e informando debidamente al usuario de los parámetros de sus servicios, pero no es menos cierto que Google cotiza en bolsa y acumular información y conocimiento en algún momento podría volverse muy peligroso.

El poder y el potencial está ahí, y aunque este nuevo servicio se orienta hacia la mejora de los resultados, buscando los más significativos para el usuario, también podemos decir que "Dime lo que buscas y te diré como eres". En fin, ya no se puede salir a la calle sin dejar rastro...

miércoles, 29 de junio de 2005 0 comentarios

Seguridad de la información y subcontratación


Aunque siempre las cosas salen a la luz cuando ocurre un incidente, se viene detectando una importante preocupación por parte de los responsables de seguridad con la subcontratación.

Estas ultimas semanas además han sucedido incidentes relacionados con este tipo de hechos que ponen de manifiesto lo mal que se puede entender la seguridad de la información y el outsourcing de servicios cuando no hay un marco de operaciones claro.

La semana pasada un importante banco sufrió un incidente con sus cintas de backup, al perder la empresa de mensajería el paquete que las contenía. Bruce Schneier comenta en su blog como un call center indio estaba vendiendo datos de los clientes del cliente que los contrató (Indian Call Center Sells Personal Information) y en un blog español aparecen comentarios de un teleoperador sobre la facilidad y accesibilidad de la que ha disfrutado durante el desarrollo de su trabajo para hurgar en la intimidad de medio mundo del famoseo (Blog El teleoperador).

La subcontratación es necesaria pero deben establecerse marcos de actividad y sobre todo, acuerdos de nivel de servicio que tengan en cuenta la seguridad y los riesgos que se transfieren del cliente principal al servicio subcontratado.

Cuando los objetivos de negocio son tan distintos (Banco y empresa de transporte, Compañia de seguros y servicios de teleoperadores) es importante que se defina cuanto riesgo en materia de seguridad se transfiere y sobre todo, qué pasa si la empresa subcontratada viola alguno de los acuerdos de confidencialidad firmados o es la causa de un incidente de seguridad para el cliente que le contrata.

Mientras las penalizaciones por estos hechos no sean altas, las empresas que prestan servicios no se preocuparán lo más minimo por garantizar la seguridad de sus clientes.

Para todas ellas también existe una buena salida amparandose en la excelencia. La certificación de sus servicios entorno a la norma UNE 71502 o BS 7799-2 que garantice la adecuada gestión de la información que sus clientes le confían.
martes, 21 de junio de 2005 0 comentarios

Ejemplo de una PKI bien diseñada.

El enlace de hoy es un buen ejemplo de qué es una PKI y cómo debe implantarse. La url corresponde a Banesto que parece que pretende utilizar autenticación de servidor y cliente en su acceso a banca electrónica. Con esta medida de seguridad, sus clientes dejarán de ser vulnerables al phishing. En la web de la CA pueden también verse todos los documentos relacionados con la gestión de la misma y las prácticas de certificación. Todo ello, para garantizar el cumplimiento de la Ley 59/2003 de Firma Digital.
Url: Autoridad de Certificación de Banesto
martes, 14 de junio de 2005 0 comentarios

Comentarios a "Policia, banca y otros sectores en la lucha contra el phishing" de Noticias Hispasec

Leo en la noticia Hispasec del viernes comentarios entorno a la reunión de la semana pasada organizada por la Brigada de Delitos Tecnologicos entorno al phishing.
La noticia puede leerse en Policía, banca y otros sectores en la lucha contra el phishing .

Lo que me llama poderosamente la atención son afirmaciones tales como "La banca electrónica es, salvo expceciones extraordinarias,segura y confiable. En éste punto hubo total consenso entre los ponentes, e Hispasec se une a éste mensaje." y si uno sigue leyendo el texto y las recomendaciones que Hispasec da al usuario para prevenir incidentes tiene:

"Hispasec, en su continua lucha en la prevención y el tratamiento
posterior del phishing, vuelve a insistir en lo que los conferenciantes
destacaron. La cadena se suele romper por el eslabón más débil y éste
por desgracia suele ser el cliente final. Algunas medidas para prevenir
ser víctimas del fraude pueden ser las siguientes:

- Ante todo, consulte a su entidad. Todas las entidades ofrecen
información sobre seguridad informática y seguridad en el uso de
aplicaciones bancarias. Consulte a los servicios de atención al cliente
y solicite las recomendaciones de su entidad. Nadie mejor que ellas para
darles la información básica para realizar operaciones bancarias seguras
en sus ordenadores personales.

- Bajo ninguna circunstancia deben seguirse enlaces que conduzcan a su
portal bancario ni a su sistema de banca electrónica. Utilice siempre
las direcciones introducidas a mano en su navegador. Su entidad jamás le
va a solicitar claves de ningún tipo a través del correo, ni le va a
enviar mensajes de correo con temáticas relativa a la necesidad de
confirmar datos ante supuestas cancelaciones. Desconfíe siempre de éstos
mensajes.

- Otros consejos útiles son la comprobación previa al uso de los datos de
registro de su portal. Averigüe cuándo se usó la cuenta por última vez,
si su banco le facilita esta información, y constate que usted realizó
ese uso y no un posible estafador que se hubiera hecho con sus claves.

- Vigile la seguridad de su terminal, y evite en lo posible el uso de
terminales públicos para operaciones bancarias. Actualice su sistema,
disponga de un buen antivirus, y certifique periódicamente que su equipo
está libre de spyware, troyanos y malware en general. Para los usos
públicos, procure en la medida de que sus conocimientos lo permitan,
disponer de distribuciones "live" seguras (se ejecutan directamente en
la unidad CD) para acceder a los servicios. Para tal efecto, son muy
útiles las distribuciones "live" Linux, con gestor de escritorio y
dotadas de navegadores seguros, con la ventaja de ser absolutamente
gratuitas. Los clientes de correo seguro y los filtros de spam son muy
útiles para evitar problemas.

- Conserve sus claves y sus tarjetas de coordenadas bancarias a buen
recaudo. Procure cambiarlas periódicamente, y asegúrese de que cierra
las sesiones y se borran los archivos temporales después de un uso de su
sistema. Salvo usos domésticos muy controlados, no debe almacenar nunca
contraseñas en el navegador.

- Denuncie cualquier irregularidad. Es la única manera de que el proceso
de erradicación de la lacra del phishing sea efectivo. Ponga en
conocimiento de su entidad los intentos de fraude que reciba por email.
Comuníquese con las autoridades y notifique las problemáticas.

- Vigile su correo electrónico. Casi la totalidad de mensajes de phishing
llegan a nosotros vía email, luego disponga de una dirección segura para
cuestiones relevantes, como asuntos bancarios. No debe publicar o dar a
conocer esta dirección en foros, chats ni medios públicos. Comuníquela
únicamente a las personas de su confianza. La gran mayoría de listas de
correo indeseado proceden de rastreos a través de correos cadena, foros,
chats y tablones de anuncios en la red, con lo que evitar participar con
nuestros emails en esos lugares es una garantía de no recepción de
publicidad y/o Phishing.

- Y como último consejo, no haga nada de lo que no esté absolutamente
seguro. Si su sentido común le hace sospechar, deténgase y plantéese el
problema. La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Pero no hemos quedado en que es seguro? ¿Qué debemos entender por seguro en este caso?

Creo que aqui han de separarse conceptos diferentes, que por deformación profesional se utilizan de forma mezclada.
Una cosa es que la plataforma tecnologica de la banca on-line disponga de las medidas técnicas adecuadas y que la transacción a ejecutar se realice en un entorno seguro y otra muy distinta es que este proceso sea seguro y no permita el fraude. En el caso de la banca electrónica, nos encontramos en el primer caso. Tecnologicamente se han proporcionado bastantes medios para garantizar la seguridad, pero ello no significa que la utilización de la banca on-line sea segura.

Si comparamos las recomendaciones realizadas sobre la banca electronica a la banca real, podríamos estar sugiriendo cosas como:

- Para hacer una transacción en su banco, primero compruebe:
1) Que el bajo comercial donde va a entrar es propiedad de la entidad en donde usted tiene sus ahorros.
2) Que las nòminas de las personas que van a atenderle también pertenecen a la entidad en donde tiene sus ahorros.
3) Que nadie le sigue y le vigila en el momento en el que entra en la sucursal.
4) Que el dinero lo guarda en un sitio seguro y que no hay delincuentes esperandole.

¿Consideraríamos seguro trabajar con los bancos en estas circunstancias?

Está muy bien que los bancos lleven las oficinas a nuestra casa pero está claro que esto plantea nuevos riesgos que hay que también saber gestionar.Creo que lo único que debe hacerse es plantear los potenciales riesgos a los que un usuario "común" sin conocimientos avanzados está expuesto en el uso de estos servicios y hacer entender que el Banco, por mucho que quiera, no puede proteger mucho más que nosotros mismos nuestro PC. Pero estos riesgos ¡han de estar claros! y deben ser aceptados por el cliente. Nunca ocultados ni minimizados con afirmaciones como que "la banca electrónica es segura".

Además, para mayor sorpresa y despues de vendernos previamente unas lineas tranquilizadoras respecto a los riesgos a controlar en el acceso a la banca electrónica el artículo termina "La distancia entre quedarnos tranquilos y perder nuestros ahorros está, por desgracia, a un sólo click de distancia."

¿Qué confianza espera que le de como cliente al uso de la Banca electrónica?
lunes, 13 de junio de 2005 0 comentarios

Cuando la seguridad se vuelve insegura

Un blog siempre tiene carácter de log al ir dejando en el tiempo huella de los hechos más significativos que van acaeciendo. En el caso del mio, relacionado con la seguridad, siempre creo que es de interés hacer reflexiones entorno a los incidentes que van sucediendo. La noticia que hoy salta a las primeras planas es paradógica, dado que parece ser que el incidente en la Hacienda Foral de San Sebastián presuntamente puede haber sido provocado por el guardia de seguridad.

Hemos visto siempre en las peliculas que la mejor forma de campar a sus anchas sobre una institución o empresa sobre la que se quiere hacer algo malo es infiltrarse como miembro de la misma. Aunque estas cosas parecen de película, no es menos verdad que la subcontratación y el ahorro de costes llevan a unas prácticas de subcontratación que dejan mucho que desear en cuanto a la calidad del servicio y sobre todo, respecto a la confianza que estos servicios pueden dar. El caso de la noticia de hoy podría ser un ejemplo de este hecho. La empresa de seguridad tendrá que responder por los daños sufridos por la empresa que encarga la custodia, pero ¿qué pasa con la responsabilidad de la empresa custodiada?

El caso de la Torre Windsor es un ejemplo similar. Frente a los daños materiales el dinero puede ser un buen mecanismo de recuperación, dado que si te pagan lo perdido en teoría no pasa nada. Pero si los elementos protegidos son información ¿es el dinero suficiente recompensa?

No sabemos en concreto que se ha quemado en este edificio, y aunque siempre las primeras manifestaciones de los responsables son tranquilizadoras alegando que "tienen copias de seguridad de todo" sabemos que esto no es ni cierto ni real. Los sistemas informáticos implantados todavía no implementan una gestión documental completa de forma que si se quema el papel, señores, SE QUEMA EL PAPEL. Y para eso no hay copia de seguridad que valga. Por tanto, no hagan afirmaciones poco creíbles que luego, como en el caso del Windsor, hay que salir diciendo que como los expedientes en papel se han perdido, se sufrirán ciertas consecuencias.

Asi que afirmaciones como la que aparece hoy en "En todo caso, la pérdida de información es "irrelevante", ya que la institución tiene copias de seguridad y la "privacidad y la seguridad" de los datos "está plenamente garantizada" solo nos hacen esbozar una ligera sonrisa. Hasta que no pasen unos días creo que no se tendrán datos suficientes para poder realizar un diagnóstico coherente. En cuanto a las evidencias, todos hemos visto lo que SI se ha quemado.


Noticia en El Mundo

Noticia El Pais
viernes, 10 de junio de 2005 0 comentarios

Portal de Eventos Microsoft Technet

A través de Technet podemos estar informados de los constantes eventos que Microsoft viene organizando entorno a la seguridad y la correcta configuración de sus sistemas. Todo este material que se ha ido generando, con presentaciones y videos didácticos ahora se ha organizado y puesto a disposición de los usuarios a través del portal "IT's showtime".

Entre sus servicios, nos permite buscar eventos por ponentes y por temas. Entre los temas está por supuesto, un apartado dedicado a Seguridad que es recomendable visitar. El enlace del portal es IT's showtime.
 
;