jueves, 24 de febrero de 2005 0 comentarios

Informática personal segura

KRIPTÓPOLIS es el Web autorizado por Bruce Schneier para traducir Crypto-gram y su blog. Al respecto de los consejos del maestro Schneier sobre la seguridad informática de usuarios, ni una coma que añadir.

Fuente:Informática personal segura | KRIPTÓPOLIS


"Informática personal segura , por Bruce Schneier

A menudo me preguntan qué puede hacer el usuario medio de Internet para mejorar su seguridad. Mi primera respuesta suele ser: "Nada, lo tiene muy mal".
Pero eso no es cierto, y la realidad es más compleja. Lo tiene muy mal si no hace nada para protegerse, pero hay muchas cosas que pueden hacerse para mejorar su seguridad en Internet.

Hace dos años, publiqué una lista de consejos de seguridad para el PC. La idea era proporcionar a los usuarios domésticos consejos concretos que pudieran adoptar para estar más seguros. Este artículo es una actualización de aquella lista: una docena de cosas que usted puede hacer para mejorar su seguridad...

General:
Apague su ordenador cuando no lo esté utilizando, sobre todo si dispone de una conexión permanente a Internet.

Seguridad en portátiles:
Mantenga su portátil con usted siempre que lo saque de casa; trátelo como si fuera su cartera o su bolso. Elimine de su portátil con regularidad ficheros de datos innecesarios. Lo mismo es válido para PDAs. La gente tiende a guardar más datos personales -incluyendo PINs y contraseñas- en sus PDAs que en sus portátiles.

Copias de seguridad:
Hágalas con regularidad, ya sea a disco, cinta o CD-ROM. Hay mucho de lo que no puede defenderse; una copia de seguridad reciente al menos le permite recuperarse del ataque. Almacene al menos un juego de copias de seguridad lejos del equipo (una caja de seguridad es un buen sitio) y al menos un juego con el equipo. No olvide destruir las copias antiguas. La mejor forma de destruir CD-Rs es meterlos en un microondas a máxima potencia durante cinco segundos. También puede partirlos a la mitad o cortarlos en pedazos.

Sistemas operativos:
A ser posible, no utilice Microsoft Windows. Compre un Macintosh o utilice Linux. Si tiene que usar Windows, active las actualizaciones automáticas para poder recibir los parches de seguridad de forma automática. Y borre los ficheros "command.com" y "cmd.exe".

Aplicaciones:
Limite el número de aplicaciones en su ordenador. Si no lo necesita, no lo instale. Si no va a necesitarlo más, desinstálelo. Prueba alguna de las suites de oficina gratuitas alternativas a Microsoft Office. Compruebe regularmente la existencia de actualizaciones para las aplicaciones que utilice e instálelas. Mantener sus aplicaciones parcheadas es importante, pero no pierda sueño al respecto.

Navegación:
No utilice Microsoft Internet Explorer. Punto. Limite el uso de cookies y applets a aquellos pocos sitios que le proporcionen servicios que necesita. Configure su navegador para que borre regularmente las cookies. No asuma sin más que un sitio web es quien dice ser, a menos que haya tecleado la dirección usted mismo. Asegúrese de que la barra de direcciones muestra la dirección exacta, no algo más o menos parecido.

Sitio web:
El cifrado SSL no proporciona ninguna certeza de que el comercio sea fiable o de que su base de datos de clientes sea segura.

Piénseselo dos veces antes de hacer gestiones con un sitio web. Limite los datos personales y financieros que proporcione; no dé ninguna información a no ser que vea alguna utilidad en ello. Si no desea dar información personal, mienta. Nunca se apunte para recibir informaciones de marketing. Si el sitio web le permite la opción de no almacenar su información para usos posteriores, márquela. Utiliza una tarjeta de crédito para sus compras on-line, no una tarjeta de débito.

Contraseñas:
No es posible memorizar buenas contraseñas, así que ni se moleste. Para sitios web de alta seguridad, como bancos, cree largas contraseñas aleatorias y apúnteselas. Guárdelas tal y como guardaría su dinero, por ejemplo, métalas en su cartera, etc.

Nunca reutilice una contraseña para algo importante (está bien tener una contraseña sencilla para sitios de baja seguridad, como el acceso a los archivos de un periódico). Asuma que todos los PINs pueden ser rotos con facilidad y planifique en consecuencia.

Nunca teclee una contraseña importante, como la de una cuenta bancaria, en una página web no cifrada con SSL. Si su banco le permite hacer eso, quéjese. Y cuando le digan que no hay ningún problema en ello, no les crea: están equivocados.

Correo electrónico:
Desactive el correo HTML. No asuma automáticamente que cualquier e-mail proviene de lo que pone en su campo para el remitente.

Borre el correo basura sin leerlo. No abra mensajes con ficheros adjuntos, a menos que sepa lo que contienen; bórrelos de inmediato. No abra viñetas, vídeos o ficheros similares del tipo "bueno para echar unas risas" que le envíen amigos bienintencionados; de nuevo, bórrelos de inmediato.

Nunca haga clic en direcciones e-mail a menos que esté seguro; en su lugar, copie y pegue el enlace en su navegador. No utilice Outlook ni Outlook Express. Si tiene que utilizar Microsoft Office active la protección frente a virus de macro; en Office 2000 ponga el nivel de seguridad en "alto" y no confíe en ningún fichero que reciba, a menos que le obliguen. Si utiliza Windows, deshabilite la opción "no mostrar extensiones de ficheros para tipos de archivo conocidos"; permite enmascarar troyanos como otro tipo de ficheros. Desinstale Windows Scripting Host si puede pasar sin él. Si no puede, al menos cambie las asociaciones de ficheros, para que los ficheros de script no sean enviados automáticamente al Scripting Host si se hace doble clic en ellos.

Programas antivirus y antispyware:
Utilícelos, ya sea combinados o como dos programas independientes. Descargue e instale las actualizaciones, al menos una vez por semana y siempre que se entere de nuevos virus por las noticias. Algunos antivirus comprueban automáticamente si hay actualizaciones. Active esa característica y póngala a "diariamente".

Cortafuegos:
Gaste 50 euros en un dispositivo cortafuegos con NAT; es muy probable que funcione suficientemente bien en su configuración por defecto. En su portátil utilice software de cortafuegos personal. Si puede, oculte su dirección IP. No hay razón alguna para permitir conexiones entrantes a nadie.

Cifrado:
Instale un cifrador de correo y ficheros (como PGP). Cifrar todo su correo o todo su disco duro es muy poco realista, pero algunos mensajes son demasiado sensibles como para ser enviados en claro. Del mismo modo, algunos ficheros de su disco duro son demasiado sensibles como para dejarlos sin cifrar.

---o00oo ---- oo00oo---

Ninguna de las medidas que he descrito son a prueba de bombas. Si la policía secreta está interesada en sus datos o sus comunicaciones, ninguna medida de esta lista les detendrá. Pero todas estas precauciones son buenas medidas preventivas y harán que su ordenador sea un objetivo más complicado que el ordenador del vecino. E incluso si usted sólo adopta unas cuantas medidas básicas, es muy poco probable que tenga problemas.

No puedo evitar tener que utilizar Microsoft Windows y Office, pero utilizo Opera para navegar por la Web y Eudora para el e-mail. Utilizo Windows Update para obtener los parches automáticamente e instalo otros parches cuando me entero de que existen. Mi antivirus se actualiza con regularidad. Mantengo mi ordenador relativamente limpio y borro las aplicaciones que no necesito. Soy diligente en cuanto a realizar copias de seguridad de mis datos y a poner lejos de mi conexión los ficheros de datos que ya no necesito.

Soy desconfiado hasta rozar la paranoia en cuanto a los adjuntos del correo y a los sitios web. Borro las cookies y el spyware. Me fijo en las URL para asegurarme de que sé dónde estoy y no me fío de correos no solicitados. No me preocupo demasiado de las contraseñas poco seguras, pero trato de tener buenas contraseñas para las cuentas relacionadas con el dinero. No utilizo bancos online todavía. Mi cortafuegos está configurado para no permitir ninguna conexión entrante. Y apago el ordenador cuando no lo utilizo.

Esto es todo, básicamente. En realidad, no es tan difícil. La parte más costosa es la relativa a desarrollar cierta intuición sobre el e-mail y los sitios web. Pero sólo requiere experiencia.

Otros no están de acuerdo con estos consejos:

Get Luky, The Security Mentor"
0 comentarios

Detección de sniffers en entornos Windows

Esta herramienta permite vigilar la red en entornos Windows para detectar equipos cuya tarjeta de red trabaja en modo promiscuo. Es el primer indicador para descubrir que se están usando sniffers en la red.

La información detallada puede obtenerse en New Tool to Detect Network Sniffers Running on Windows Systems.
miércoles, 23 de febrero de 2005 0 comentarios

Modelando las amenazas...

Ya he comentado en este blog alguna vez la importancia de identificar correctamente las potenciales amenazas. Para ello, puede optarse por dos caminos posibles:
- Asumir el conjunto total de posibles amenazas que pueden afectar al activo en estudio, poniendonos en el caso peor respecto a la posibilidad de ocurrencia de este evento sobre este activo, o,
- Realizar un modelado de amenazas potenciales para ese activo.

Encuentro hoy, relacionado con este segundo camino, información muy interesante en un blog en el post High-Level Threat Modelling Process.

Microsoft Press también edito un libro de Frank Swiderski y Window Snyder sobre el tema. Además, existe una herramienta software para el apoyo en las fases de desarrollo a la realización de este proceso de análisis de amenazas. Ya postee en su momento su existencia, pero en esta url podéis descargarla
Fuente: Threat Modeling Tool
martes, 22 de febrero de 2005 0 comentarios

Seguridad de los soportes

La semana pasada aparecía en diversas fuentes una noticia relacionada con la in-seguridad de la gestión de soportes. Según un estudio hecho por la Universidad de Glamorgan sobre una muestra de discos duros comprados de segunda mano, más de la mitad contenían información sensible que podría ser utilizada por criminales.

Esto pone de manifiesto un hecho que a menudo no solemos considerar. El ciclo de vida de la información tiene 5 fases: se genera o crea, se modifica o utiliza, se copia o replica, se almacena o se destruye. Solemos tener controles para las fases de creación, modificación y almacenamiento pero a menudo olvidamos garantizar la adecuada destrucción de la información.

Como sabemos, los soportes de información que utilizan discos duros se basan en las propiedades magnéticas para guardar información. Por tanto, a menudo, un disco duro aunque se haya borrado a nivel de sistema operativo, todavía contiene información dado que la superficie del disco sigue manteniendo los valores grabados, aunque para el sistema operativo los ficheros no existan. Muchas empresas de recuperación de datos basan sus servicios en este hecho. Disponen de infraestructura adecuada para poder manipular los discos y leer la superficie y asi poder recuperar información.

Muchas herramientas de cifrado disponen de opciones de borrado seguro para garantizar que la supervicie de un disco no almancena valores no deseados. Esta operación de borrado seguro consiste en grabar a nivel logico y físico un 0 en toda la superficie del disco. Esta operación se realiza varias veces seguidas para asegurarnos que el disco duro y su superficie magnética tienen memorizados valores de 0 y por tanto, no contiene información.

La noticia origen de este comentario puede leerse en: BBC NEWS | Warning on hard drives' security
lunes, 21 de febrero de 2005 0 comentarios

Nuevo Grupo "Seguridad-de-la-informacion'" en Googlegroups.com

Google lanza un nuevo servicio asociado a los foros de news y he decidido crear un nuevo grupo asociado al tema de mi blog. Este tipo de servicio va a permitir una interactividad mayor entre los lectores, creando un foro de discusión donde resolver dudas, plantear cuestiones y debatir los temas que en materia de "Seguridad de la Información" se encuentran actualmente en discusión.

La dirección en donde podéis ver la presentación oficial del grupo es http://groups-beta.google.com/group/Seguridad-de-la-informacion.

Al final del blog encontraréis un formulario para poder suscribirse al foro.

La descripción del foro es:

"Foro de discusión entorno a la problematica relacionada con la seguridad de la información,las normas internacionales UNE ISO/IEC 17799,ISO 13335, UNE 71501 y UNE 71502 y los procesos relacionados con la gestión de la seguridad y los sistemas de gestión de la seguridad de la información (SGSI)"
0 comentarios

SHA-1 roto, comentarios de Bruce Schneier.

Aparece en el blog de Bruce Schneier una explicación detallada del asunto de la ruptura del algoritmo SHA-1. Es bastante interesante porque aporta la visión de un experto criptógrafo sobre la trascendencia del tema.
Fuente: Cryptanalysis of SHA-1
jueves, 17 de febrero de 2005 1 comentarios

SHA-1 roto

Buscando información entorno a la noticia de la ruptura del algoritmo SHA-1, he encontrado otro Web interesante, Red Segura que comentó ya en agosto del año pasado que en la 24º Conferencia Internacional Anual de Criptología realizada en Sta. Bárbara, (California) los investigadores Chinos Xiaoyun Wang , Dengguo Feng , Xuejia Lai y Hongbo Yu presentaron una ponencia en la que muestran colisiones en el algoritmo MD5. Días antes, un grupo de investigadores Franceses liderados por Antoine Joux descubrió colisiones en el algoritmo SHA-0.
Fuente: Red Segura - Hora de Buscarle Reemplazo a SHA-1

En dicho artículo ya se planteaba la necesidad de buscar un sustituto a nuestro tan utilizado algoritmo SHA-1 que se emplea como algoritmo de HASH en certificados digitales y el protocolo SSL.

En concreto para explicar que es SHA-1 y obtenido de la Wikipedia:
Fuente:Algoritmo SHA.

"La familia SHA (Secure Hash Algorithm, Algoritmo de Hash Seguro) es un sistema de funciones hash criptográficas relacionadas de la Agencia Nacional de Seguridad estadounidense y publicadas por el National Institute of Standards and Technology (NIST). El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA. Sin embargo, hoy día, no oficailmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. Existen cuatro variantes más que se han publicado desde entonces cuyas diferencias se basan en un diseño algo modificado y rangos de salida incrementados: SHA-224, SHA-256, SHA-384, y SHA-512 (todos ellos son referidos como SHA-2)."


También en este sentido comentan también preocupados por los resultados mostrados en la conferencia el Prof. Manel Medina y Abraham Pasamar que detallan la amenaza de ruptura del SHA-1.
Fuente: Futura ruptura del SHA-1.

"Un par de investigadores han conseguido reducir la complejidad de SHA-0 de 80 a 40 bits, esto equivale a decir que su eficacia teórica se ha reducido a menos que la de MD5. SHA-1 es una versión mejorada de SHA-0, por lo que podemos imaginar que SHA-1 seguirá los mismos pasos, y que en unos 5 años se podrá conseguir generar un mensaje o documento con un determinado hash SHA-1. De hecho, se ha conseguido generar mensajes con un código hash igual al de otro, generado con 80 bits, en vez de los 160 del SHA-1 usado normalmente.
De momento podemos estar relativamente tranquilos, pues aún no se ha conseguido falsificar una firma-e basada en SHA-1 de 160 bits. Según estos investigadores, para romper el SHA-0 completo se ha requerido un supercomputador de BULL de 256 procesadores durante unos 9 años de proceso, pero al supercomputador que está instalando IBM en la UPC (Barcelona) sólo le costaría del orden de 1 año. Un coste demasiado elevado para preocuparnos.
Lo verdaderamente preocupante es que las herramientas de firma-e que se están empleando en la actualidad en navegadores y aplicaciones de comercio electrónico, sólo admiten dos algoritmos de hash: MD5, que ya ha sido comprometido, y SHA-1, que lo podría ser en breve, si algún criptoanalista tiene un “golpe de suerte”.
Por tanto, hay dos recomendaciones que deberíamos tener en cuenta para preservar nuestros documentos electrónicos:
1- exigir a nuestros proveedores de herramientas de firma-e la compatibilidad con algoritmos más seguros, por ejemplo: SHA-2 (más de
200bits, en vez de 160 de SHA-1), recomendado por NIST (FIPS180-2) y RIPEMD-160, el 2º algoritmo recomendado por ETSI en sus normas
(junto a SHA-1).
2- Ir refrescando paulatinamente las firmas de nuestros documentos y certificados de identidad electrónica con los nuevos algoritmos de hash,
para evitar la eventualidad de que SHA-1 se comprometa antes de que caduquen.
La adopción de la primera recomendación puede requerir unos 6 meses, pero la segunda requiere unos 2 o 3 años, si queremos evitar una renovación masiva de certificados “in extremis”. "


Pues bien, hoy en el blog de Schneier, que aparte de gurú de la seguridad es un reconocido criptografo comenta que han conseguido romper el algoritmo SHA-1, encontrando colisiones dentro de esta función hash.

Para el que no sepa que significa esto voy a tratar de explicarlo de forma sencilla e informal. Las funciones hash son funciones matemáticas de un único sentido que para un elemento consiguen una resultado resumen (hash) único. [F(fichero)=hash x]

Esto se utiliza en seguridad para verificar la integridad de la información. Si esta función es única, nos proporciona un doble servicio. Por un lado, podemos calcular un resumen finito y pequeño de un fichero, y por otro, dado que si un fichero no se ve alterado, el origen y el destino pueden hacer una misma función hash y comprobar resultados. Si son iguales, el fichero origen y destino son identicos.

Este mecanismo se utiliza para verificar la integridad en la firma digital, en intercambios de credenciales, etc.

Ello basandonos en la unidireccionalidad de la función, lo que hasta la fecha significaba que no era facil de encontrar una colisión. Ello significa de dada una función, no era sencillo encontrar dos elementos distintos que produjeran un mismo hash. Aunque no es una amenaza grave, si indica que debemos empezar a pensar en incrementar la longitud en bits del resumen (Hash) para mejorar este algoritmo. Ello supone que los certificados digitales empiecen a utilizar estos nuevos algoritmos y migrar los existentes a estas nuevas funciones mejoradas.
miércoles, 16 de febrero de 2005 0 comentarios

Bill Gates en la RSA Conference 2005

Ayer el Señor Bill Gates dió una charla en la Conferencia de seguridad de la RSA. en la que anunció los avances de su estrategia empresarial en materia de seguridad para este año 2005.

Entre los hechos más interesantes el anuncio de la próxima versión de Internet Explorer 7.0 con capacidades integradas antispyware y que la solución Antispyware que se encuentra disponible en versión Beta será gratuita para aquellos usuarios registrados de Windows. En el próximo Service Pack 2 de Windows XP se entregarán estas novedades y su aparición se estima para pasado el verano.

Además también se confirma que la adquisición de Sybari va a proporcionar a Microsoft la posibilidad de presentar soluciones en esta materia.

Como hechos destacados comentar el anuncio de nuevas versiones del ISA Server (El firewall de Microsoft) y el Windows Rights Management Server (RMS) con nuevas mejoras y funcionalidades que incorporarán a sus sistemas.

Aunque RMS es una tecnología por despegar, anuncia importantes novedades en cuanto a las posibilidades de control sobre la información electrónica. Con un etiquetado electrónico de información y la posibilidad de definir perfiles de acceso y uso en los documentos, podrá protegerse tanto el contenido (la información) como el continente (los ficheros o soportes). El tipo de control que se permite está asociado a las operaciones que se pueden realizar con los ficheros (imprimir, guardar, modificar, cortar o copiar). Además, la comprobación de esos permisos se realiza de forma previa a la apertura, con lo que si no se dispone de credenciales, no se puede utilizar la información.

Esta tecnología puede evitar en el futuro las fugas de información electrónica. Dado que el servidor RMS puede ser un elemento local, si la información se envia fuera de la corporación y no pueden verificarse las credenciales, esos documentos serán papel mojado.

Como siempre pasa en sistemas retroalimentados, esta medida de seguridad introduce nuevos riesgos asociados a la disponibilidad del RMS. Si no estuviera disponible los documentos no pueden utilizarse. Igual que pasa con el cifrado, proporciona servicios interesantes pero que deben también ser adecuadamente pensados e implantados.

El contenido de la charla puede leerse en Bill Gates - RSA Conference 2005: "Security: Raising the Bar"
martes, 15 de febrero de 2005 0 comentarios

Planes de Continuidad de Negocio. El caso "Torre Windsor III"- Datos a salvo en caso de catástrofe

Aparece publicado hoy en "El Navegante" del diario "El Mundo" el artículo "Datos a salvo en caso de catástrofe"que detalla el servicio que a Deloitte le va a permitir garantizar la continuidad de negocio tras la catástrofe sufrida el pasado sábado.

Cuando se elabora un Plan de Continuidad de Negocio han de determinarse por cada proceso de negocio dos parámetros, el RTO y el RPO.

El RTO (Recovery Time Objetive) establece cómo de rápido las diferentes unidades de negocio necesitar volver a su funcionamiento. Por tanto, determina los requisitos de recuperación. Estos pueden establecerse en periodos de tiempo en función de la criticidad de los procesos y pueden ser cuestión de horas o en aquellos procesos prescindibles, semanas.

El RPO (Recovery Point Objetive) es el más reciente punto en el tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuanta es la cantidad de información que una organización puede permitirse perder sin que afecte muy negativamente a la organización. Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos aquellos procesos de negocio.

Cuanto más cortos son el RTO y el RPO, más complejos y caros son los planes de continuidad de negocio.

Estos dos parámetros deciden tambien las diferentes estrategias de recuperación. Para procesos críticos que deben recuperarse en cuestión de horas (RTO pequeño)y que no pueden perder más de 2 horas de información (RPO pequeño) la solución puede ser disponer de un HOT SITE o un CPD paralelo que redunde el Centro de Procesos de Datos principal.

Para procesos poco críticos que pueden recuperarse en cuestión de semanas (RTO grande) y que pueden perder más cantidad de información puesto que las actividades se realizan periodicamente tras ciertos intervalos largos de tiempo puede ser suficiente con la realización de copias de seguridad en unidades de cinta o DVD y una vez al mes sacar de la ubicación principal dichos soportes de backup. Por tanto, cada negocio deberá determinar cuales son sus necesidades a la hora de abordar su estrategia de recuperación en caso de una contingencia grave. Ello se determina tras realizar un Business Impact Analysis (BIA) que determina los procesos críticos de negocio y sus parámetros RTO y RPO asociados.

Evidentemente, un incidente de esta envergadura va a producir problemas graves en los sistemas de información. La cuestión es limitar o al menos gestionar adecuadamente la trascendencia de esos problemas. Las empresas que hayan hecho correctamente las cosas habrán perdido sus tangibles materiales pero no deberían haber comprometido la continuidad de su negocio. Los que no las hayan hecho bien lo habrán perdido todo.
0 comentarios

Planes de Continuidad de Negocio, el Caso "Torre Windsor II"

He decidido dividir mi post de ayer en dos para tratar los dos temas comentados de forma separada.

La otra cuestión es lo de siempre. No hacer caso al refranero popular "Mas vale prevenir que curar".
Si el precio estimado solamente del edificio es de 84,2 millones de euros a finales de 2003, este activo a proteger ¿no se justifica al menos el dotar al edificio de mejores medidas de seguridad?.

Estos hechos ponen de manifiesto la importancia de disponer de un Plan de Continuidad de Negocio, y Planes de Contingencias, que proporcionen las instrucciones y acciones a tomar en esos momentos de crísis en donde el estres y la presión pueden jugar un factor muy negativo en la toma de decisiones. La coordinación desde los primeros momentos de las acciones a tomar y de las medidas a adoptar para tratar de solventar la crisis lo antes posible justifican que sea necesario disponer de dichos planes. Estas medidas de seguridad solo son rentables cuando el suceso o la catástrofe sucede, pero... ¿puede una organización permitirse no disponer de ellas? ¿es algo opcional u obligatorio? ¿debe medirse su rentabilidad asociada al coste o asociada a la minimización del daño si el plan se pone en marcha?

Dejo abiertas estas preguntas para que los comentarios oportunos permitan crear un debate sobre el tema.

Para los que quieran repasar o conocer la problemática de los planes de continuidad de negocio, que visiten la Web del Bussiness Continuity Institute.
Para los informáticos de las empresas situadas en la torre Windosor ya es demasiado tarde.
lunes, 14 de febrero de 2005 2 comentarios

Planes de Continuidad de Negocio , el caso "Torre Windsor I"

No puedo eludir el hacer hoy una reflexión respecto a la seguridad y la continuidad de negocio tras los sucesos acontenidos este fin de semana en la torre Windsor.




La seguridad debe y tiene siempre como principal estrategia la prevención de incidentes y la disuasión de los atacantes. En cualquier caso, despues de lo sucedido han comenzado a revisarse las medidas de seguridad físicas de los edificios altos de Madrid. También parece que se cumple otro de los tópicos de la seguridad. Los grandes desastres se producen por una casual ocurrencia de pequeños incidentes que se transforman en un gran desastre. En este caso evidentemente algo fallo porque si no se dispone de medidas técnicas por parte del cuerpo de bomberos para paliar el fuego superada la altura de 50 metros es porque se dispone de medidas suficientes para que esta circunstancia no sea necesaria. A ello se suma que al no ser un dia laboral no existia personal en la planta afectada inicialmente que posiblemente hubiera podido reducir el alcance del primer foco del incendio.

Hoy la prensa hace hace eco de diferentes aspectos de la noticia:
Fuente: Incendio Windsor: La demolición es "inevitable", según Gallardón

"Las compañías que componen la mayor corporación reaseguradora de España, el Pool de Grandes Riesgos, valoraron el edificio Windsor en 84,2 millones de euros a finales de 2003.
Además, los ingresos que dejaría de percibir su propietario en caso de siniestro en concepto de alquileres se habían cuantificado en 12 millones de euros."

Respecto al valor de la información que contenía el edificio, todavía no se puede calcular el daño económico sobre las diferentes empresas. Puede que algunas no puedan superar un incidente de semejante gravedad. Una de las más afectadas, Deloitte, disponía de 20 plantas en ese edificio. Lo que si me plantea ciertas dudas es lo leído en Invertia respecto de las medidas de seguridad que tenía adoptadas para garantizar la seguridad de su información.

Fuente: Deloitte traslada su operativa temporalmente a Torre Picasso

"Fuentes de Deloitte explicaron a EFE que sus operarios están trabajando a toda velocidad para tener las oficinas a punto en Torre Picasso esta misma tarde. Además, los técnicos informáticos -muchos de ellos siguen sin dormir desde el sábado- intentan restablecer sus sistemas informáticos y recuperar toda la información posible. Las últimas copias de seguridad, asegura la firma, se hicieron el jueves, por lo que serían muy escasos los datos perdidos.
En todo caso, las pérdidas de información no se podrán cuantificar hasta bien avanzada la semana, al menos hasta que puedan acceder al edificio Windsor, ya que los ordenadores centrales estaban ubicados, bajo fuertes medidas de seguridad, en la planta tercera y no se descarta que algunos puedan seguir operativos. Fuentes de Deloitte insistieron hoy en que los clientes no resultarán afectados en absoluto, pues la firma mantiene su operativa habitual, pese a que el siniestro se ha producido en la época de mayor auge de la auditoría."

Las medidas de seguridad se apoyan unas en otra como una castillo de naipes construyéndose desde los niveles de protección física a los niveles de protección lógica y siempre contemplando la importancia del factor humano como usuario y operador de todas las medidas en todos los niveles. Cuando las cosas más elementales fallan como ha sido el caso de las medidas de prevención y detección de incendios, el resto de medidas puede que ya sean absolutamente ineficaces.

Como se puede leer, las copias de seguridad se realizaron el jueves e imagino que se encontrarán situadas en armarios ignífugos, pero ¿se encontraban fuera de las dependencias de los sistemas que procesaban los datos? ¿qué pasa si no es posible acceder al edificio? ¿qué pasará si es necesario demoler la edificación?.

Es cierto que el armario ignífugo es una adecuada medida de seguridad pero solo para los riesgos asociados a incidentes de poca envergadura. En el caso de la Torre Windsor, si toda la seguridad que se ha proporcionado ha sido esa, se habrá cometido un grave error puesto que el incidente ha superado al peor de los escenarios estimado.
¿Para qué queremos los datos en copias de seguridad si no podemos acceder a ellos?.

En este caso si las únicas medidas que se habían proporcionado frente a la amenaza de incendio han sido las copias de seguridad y éstas copias no se encuentran fuera del edificio, la medida de seguridad no se ajusta a los parámetros de disponibilidad necesarios porque aunque las copias no se hayan visto afectadas, el hecho de que no se encuentren disponibles hasta que se pueda acceder al edificio no garantiza los requisitos de seguridad exigidos.

Si el edificio tuviera que demolerse y no pudiera accederse a la planta en donde se encuentren los datos...¿cuanto tiempo pasará hasta que se localicen los armarios ignífugos entre los escombros resultantes del derribo?
Lo que quiero hacer ver con estas preguntas es que siempre la seguridad tiene un objetivo, un por qué hacer algo y un para qué hacerlo. El implantar por implantar no tiene sentido y el no coordinar entre si las medidas para que se complementen puede causar que la protección final no sea la adecuada o requerida.

Posiblemente Deloitte si haya previsto en su plan de contingencias todas estas cosas y la organización como tal posee madurez suficiente como para que un evento tan grande no suponga un impacto considerable en sus procesos de negocio, a pesar de las cuantiosas perdidas materiales. Lo que no tengo tan claro es que habrá pasado con el resto de empresas, pequeñas y medianas que por desconocimientos tecnológicos no hayan identificado adecuadamente sus niveles de riesgo ni hayan inventariado sus "Activos de información", todos aquellos elementos importantes de sus sistemas de información imprescindibles para soportar sus procesos de negocio.
0 comentarios

Detección de rootkit's

Un tema que empieza a ponerse interesante en el campo de la seguridad es el análisis forense. Dado que las medidas preventivas no siempre van a evitar un incidente de seguridad, es cada vez más importante demostrar y DENUNCIAR los incidentes de seguridad para que los "presuntos delincuentes informáticos" sean perseguidos por los delitos que se comentan y no se difunda esta sensación actual de impunidad del delito electrónico.

Hoy posteo dos enlaces a Webs dedicados al tema de los rootkits y su detección. Estos programas sirven para tener un control total de un equipo y esconder las aplicaciones instaladas por el intruso para que no se detecte la intrusión.
Cuando se detecta un comportamiento extraño en el PC, lo más prudente es siempre ponerse en el caso peor, la máquina está comprometida y paso a paso, ir obteniendo evidencias y pruebas de esa posible intrusión. Siempre hemos de pensar que el atacante es muy inteligente y que habrá instalado todo tipo de software para no ser detectado con las pruebas más básicas como son ver los procesos en ejecución o listar las conexiones establecidas.

Fuentes:
Invisiblethings.org
RootKit.com
viernes, 11 de febrero de 2005 1 comentarios

Limitar los derechos de administración con una contraseña en blanco

Leo en Dana Epp's ramblings at the Sanctuary algo que realmente me ha sorprendido y que creo interesante postear.

El hecho es que en ciertos escenarios y con Windows XP "es mejor" dejar la contraseña de administrador en blanco que poner una contraseña débil.

Con la asignación de permisos por defecto de Windows XP lo más comun es tener como usuario habitual una cuenta con privilegios limitados y una cuenta de administrador para realizar la gestión e instalación de programas. En Windows XP por defecto una cuenta con contraseña vacia o en blanco solo puede ser utilizada para loggearse en consola. No se puede utilizar esa cuenta para una conexión remota ni se puede utilizar el modo "Run as".

Por tanto, para ciertos equipos estos hechos pueden ser bastante interesantes porque sólo permiten el acceso a la máquina del administrador si éste físicamente se encuentra delante de ella. Desde luego si estamos hablando de un equipo portátil dejar la contraseña de administrador en blanco sería una locura, pero si estamos hablando de servidores que se encuentran protegidos en un CPD con medidas de seguridad físicas que garanticen que solo el personal adecuado los manipula, estos hechos son bastante interesantes.

El post original se puede leer en Dana Epp's ramblings at the Sanctuary: Limited Admin Rights on Windows XP with Blank Password

miércoles, 9 de febrero de 2005 0 comentarios

Buenas prácticas de seguridad en la selección de nombres y urls de aplicaciones Web

Aunque puede parecer una tontería el seleccionar de una determinada manera el cómo y donde se coloca una aplicación Web dentro de la estructura del servidor, el documento que he encontrado hoy describe cuales son unas buenas prácticas aconsejables respecto a ese tema.

Muchas veces el atacante trata de encontrar puntos débiles y para ello se recurre en primer lugar a ver y examinar el objetivo. El cómo se encuentra definido la estructura de directorios del sitio Web puede proporcionar más información de la que pensamos. Para aquellos que duden al respecto, pues que también echen un vistazo al documento.

NISR-BestPracticesInHostURLNaming
martes, 8 de febrero de 2005 0 comentarios

Peer to mail, ratón que te pilla el gato.

Cuando estamos empezando a ver los primeros spots mediaticos relacionados con la piratería y el daño que implica a los derechos de autor y se efectuan las primeras pesquisas entorno a servidores peer to peer que reparten software protegido, aparece en el ciberespacio un nuevo método de compartición de ficheros, el peer to mail.

El invento es simple y de ahí viene su potencial, tan trivial como mandar un email. Dado que han aparecido en el mercado proveedores de cuentas de correo de gran volumen de almacenamiento (desde los 250 mb de MSN, el Giga de gmail y algún otro que da 2 Gigas) se trata de utilizar estos puntos de almacenamiento masivo como estafetas de las partes de los ficheros compartidos.

El usuario peertomail añade en a su programa un listado de cuentas de correo (usuario/contraseña) en donde conectarse, solicita el material que busca y deposita o descarga las partes del fichero que quiere bajarse. Además esas partes van cifradas con la contraseña del usuario con lo que el proveedor de almacenamiento puede incluso no saber si el contenido es lícito o ilícito.

Como dice la propia Web del software:
"P2M splits the file you want to share/store zips and encrypts it. P2M then sends the file segments one by one to your account. Once P2M uploaded all file segments, you can download them and use P2M to merge the segments back to the original file.
Peer2Mail is 100% FREE. Its as easy as sending an email."


Aparece ahora por tanto una nueva amenaza relacionada con la gestión del ancho de banda del correo electrónico. Ahora tendremos que identificar el tráfico de correo electrónico que tiene estos fines y separarlo del tráfico de correo corporativo.

Además, desde el punto de vista legal el tema se complica dado que no es lo mismo abrir un correo electrónico que acceder a un servidor en donde se comparten ficheros. El correo electrónico viene protegido por el Código Penal en su Artículo 197.


Artículo 197.
"1. El que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prision de uno a cuatro años y multa de doce a veinticuatro meses."



lunes, 7 de febrero de 2005 0 comentarios

La seguridad sin control no sirve de nada

Leo en el blog de Schneier un comentario ironico sobre la eficacia de las medidas de seguridad implantadas. Como bien dice el señor Schneier, no importa que tipo de medida de seguridad implementes si es fácil evadirla. En este caso, la foto que adjunto ilustra muy bien este ejemplo.




Mi reflexión quiere ir un poco más lejos. Estamos acostumbrados a utilizar cada día un montón de medidas de seguridad tales como contraseñas, antivirus, log's de auditoría, etc.
Muchas veces es muy tentador preguntarse ¿para qué? , si al final las contraseñas se comparten o se permiten dejar en blanco, si los log's no los mira nadie y se borran cada semana o mes, etc... ¿para que poner tantos obstáculos por motivos de seguridad si no se persigue un objetivo?

La norma UNE ISO/IEC 17799 establece el "Código de buenas prácticas para la gestión de la seguridad de la información". Este estandar determina una serie de 35 objetivos de control que pueden implementarse mediante el uso de 127 controles recomendados. En este caso, cada control tiene un sentido y busca la consecución de un objetivo.

Por tanto, para aquellos que decidan implantar medidas de seguridad, háganse primero las siguientes preguntas:
- ¿Qué objetivos de control quiero conseguir?
- ¿Qué amenazas estoy tratando de gestionar?
- ¿Qué estrategia de defensa (disuasión, prevención, recuperación) quiero implantar?
- ¿Cómo voy a medir la eficacia de esta medida?
- ¿Quién será el responsable de su gestión y supervisión?

Sin todas estas respuestas bien contestadas posiblemente no merezca la pena implantar la medida dado que el usuario solamente verá un obstáculo en la realización de su trabajo y los jefes una merma en el rendimiento de sus empleados.

Seguridad SI pero con sentido. Como dice un conocido spot de neumáticos pero adaptado a la temática del blog "La seguridad sin control no sirve de nada"
sábado, 5 de febrero de 2005 0 comentarios

SAP se preocupa por la seguridad de la información

SAP ha anuncido el servicio denominado SAP® Security Optimization (Optimización de la Seguridad SAP) que comprende una evaluación integral de las configuraciones críticas de seguridad a todo nivel dentro de los sistemas SAP de los clientes, con el propósito de identificar y eliminar potenciales vulnerabilidades y de minimizar el riesgo de intrusiones.

Fuente: InformationWeek:SAP® Security Optimization

Cito textualmente lo comentado tambien por ComputerWorld sobre esta noticia:


Anticipándose a las Cambiantes Exigencias de Seguridad

Considerando que los sistemas de TI se ven sometidos a constantes vaivenes en los cuales los procesos de negocios y las autorizaciones de acceso cambian con frecuencia, SAP recomienda que las verificaciones de seguridad se lleven a cabo regularmente. Las organizaciones pueden, por lo tanto, correr las verificaciones más recientes, comprobar la efectividad de las medidas de seguridad implementadas que hayan derivado de anteriores prestaciones del servicio, y asegurarse que los recientes cambios de configuración no hayan implicado nuevos vacíos de seguridad.

“Dado el dinámico desarrollo de los sistemas TI empresariales y su creciente apertura hacia los clientes y partners de negocios, las compañías deben afrontar continuamente nuevos desafíos, en términos de seguridad”, señala Sachar Paulus, Director del área de Seguridad de SAP AG. “Sabiendo que nuestros clientes corren información crítica de negocios en sus sistemas SAP, siempre hemos dado al tema de la seguridad TI toda la trascendencia que merece. El producto SAP Security Optimization ayudará a nuestros clientes a fortalecer sus panoramas de sistemas y salvaguardar los datos y procesos sensibles que son esenciales para su respectivo éxito de negocios”.

El servicio SAP Security Optimization es parte del portafolio de servicio al cliente denominado SAP Active Global Support, que ayuda a mantener las soluciones SAP operando óptimamente, elevando el rendimiento de las inversiones y reduciendo los costos operativos.

Los clientes interesados pueden obtener mayor información sobre el producto SAP Security Optimization en el Mercado Virtual de Servicios SAP (SAP Service Marketplace) ubicado en el sitio www.service.sap.com. En este lugar, el servicio puede solicitarse a través del Catálogo de Servicios (SAP Service Catalog), siguiendo la secuencia SAP Support Portal / Maintenance & Services / Service Catalog (seleccione “SAP Solution Management Optimization”).

miércoles, 2 de febrero de 2005 0 comentarios

El "phishing" se trasnforma en el "pharming"

Leo hoy via The Register-Security una noticia bastante más preocupante que las de costumbre. Habla de un cambio de tendencia respecto a la amenaza del phishing, que se ha denominado pharming. Comento a continuación los conceptos que ambos anglicismos intentar recoger:
- Phishing: el atacante pone un cebo, en forma de correo electrónico solicitando a un usuario cierta colaboración para que este suministre información confidencial. El atacante previamente ha falsificado el aspecto del sitio Web legitimo con el que pretende engañar al usuario y mediante alguna vulnerabilidad del navegador, consigue hacer ver al usuario ingenuo una dirección aparentemente válida pero redirigida al sitio falso. En este caso, se pone un cebo y se espera a que el usuario pique.

El pharming es todavía más peligroso.

- Pharming: el atacante intenta de alguna forma falsificar cierta información, en este caso relacionada con direcciones y DNS del usuario a atacar o de un servidor DNS para que se envenene (dns poisoning) y contemple bajo el nombre de sitios válidos direcciones IP asociadas no validas. De esa forma, el usuario al intentar dirigirse a un sitio por el nombre correcto, es reconducido a un sitio falso. En ese caso, se siembran ciertas semillas y solo es cuestión de esperar para verlas crecer. Si no se detectan se propagan y ya no se necesita engañar al usuario.

Este nuevo concepto es mezcla de dos ataques conocidos y utilizados a nivel 2 de red, el spoofing y el hijacking.

Esto ya ocurrió la semana pasada donde el ISP PANIX fue atacado y sus usuarios redirigidos a diferentes sitios Webs fraudulentos.
Fuente: Panix recovers from domain hijack

En fin, el lado oscuro va cada vez más rapido en encontrar talones de Aquiles a Internet y cada vez los ataques son más complejos de resolver, porque afectan a errores de diseño de los protocolos. Cobra cada vez más fuerza considerar la autenticación como una de las propiedades de la seguridad. La confidencialidad, integridad y disponibilidad ya por ellas solas no son suficientes.

Fuente: The Register:Phishing morphs into pharming

Registrar en un blog los eventos y noticias relacionadas con la seguridad tiene sus ventajas porque siempre se puede escribir eso de "ya lo dije". Algo comenté sobre la vulnerabilidad del servicio DNS en su momento, agosto de 2004 aunque pensando en otras amenazas relacionadas con Internet. Puede leerse en Una red con cimientos de barro



martes, 1 de febrero de 2005 0 comentarios

PriceWaterHouseCoopers - Estado de la Seguridad de la Información 2004

Semejante al post anterior, PriceWaterHouseCoopers proporciona en su Web el estudio que han realizado respecto al mismo tema. He decidido publicar ambos estudios el mismo día para poder comparar resultados.

Como conclusión de este estudio, habla de los buenos resultados que presentan aquellas compañías que han decidido apostar por la gestión de acuerdo a las "Buenas prácticas de la gestión de la seguridad".
Como hecho significativo, estas empresas son las que han sufrido un mayor número de ataques ( o bien han detectado un mayor volumen aunque han sufrido los mismos que las compañias que no los han detectado) y las que menor impacto resultante han contabilizado. O sea, que la gestión ha sido adecuada porque a mayor volumen de agresión menor impacto producido. Los datos demuestran que esto de los sistemas de gestión de la seguridad de la información proporciona buenos resultados.

Descargable en:
0 comentarios

Ernst & Young - Encuesta de Seguridad Informática 2004

Empiezan a llegar los primeros estudios de las grandes consultoras respecto al análisis del año pasado en materia de seguridad. Los resultados son interesantes y muy significativos respecto a la actual situación. Aunque todavía no he tenido tiempo de hacer un análisis detallado de los resultados, lo que a simple vista me ha chocado son varios resultados:
- Se desplaza la preocupación de los directores respecto de su principal amenaza, los virus hacia la "mala conducta por parte de empleados internos".
- La Alta Dirección todavía no percibe la seguridad informática como una prioridad.
- Destaca la escasa inversión en materia de concienciación de usuarios aunque esa nula formación aparece como uno de los principales obstaculos para implantar una política de seguridad efectiva.


Otra cosa que me ha impactado es que el informe utiliza frases del libro "El arte de la guerra" de Sun Tzu como modelo para explicar la problematica de la situación actual y las estrategias a utilizar.

Descargable en: Encuesta de Seguridad Informática 2004- Ernst & Young
0 comentarios

Mantra para la detección de intrusos.

Leo en Dana Epp's Weblog una frase a modo de mantra que me ha parecido un buen resumen como filosofía preventiva general. El mantra es el siguiente:
Todo aquello que no pueda ser detectado debería ser prevenido. Todo aquello que no pueda ser prevenido debería ser detectado.
 
;