miércoles, 27 de diciembre de 2006 1 comentarios

Zona videovigilada, información de los derechos LOPD

La Agencia de Protección de Datos ha colgado en su Web la nueva instrucción respecto a la regulación del uso de videocamaras que no son de las fuerzas y cuerpos de seguridad del estado.

Las camaras en todos sitios se han puesto de moda, pero tal como indica la Ley Organica de Protección de Datos, la imagen es un dato de carácter personal y por tanto, es objeto de protección. La finalidad de esta recolección de datos debe estar clara y la utilización de las imagenes limitada. Al ser una medida muy intrusiva contra la intimidad de las personas, sólo se considerará admisible la instalación de
cámaras o videocámaras cuando la finalidad de vigilancia no pueda obtenerse mediante otros medios que, sin exigir esfuerzos desproporcionados, resulten menos intrusivos
para la intimidad de las personas y para su derecho a la protección de datos de carácter personal.
Además, las cámaras y videocámaras instaladas en espacios privados no podrán obtener imágenes de espacios públicos salvo que resulte imprescindible para la finalidad
de vigilancia que se pretende, o resulte imposible evitarlo por razón de la ubicación de aquéllas. En todo caso deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.

La Agencia de Protección de Datos ha querido aclarar este hecho mediante la Instrucción 1/2006, de 12 de diciembre, de la Agencia Española de Protección de Datos sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras.

Además, como anexo indica que todas las instalaciones de videovigilancia deberán informar al ciudadano de este hecho y estarán señalizadas con un rótulo similar al que a continuación podéis ver:



Esperemos que sirva esto para frenar o al menos limitar esa sensación de indefensión que todos tenemos cuando entramos en un sitio que sabemos está plagado de cámaras. Ahora al menos ya está en nuestra mano el ejercicio de nuestros derechos, que tenerlos se tienen. Destacar que esta instrucción deja claro el máximo periodo de retención de estas imagenes, UN MES y que sólo serán tratadas cuando sean adecuadas, pertinentes y no excesivas en relación con el ámbito y las finalidades determinadas, legítimas y explícitas, que hayan justificado la instalación de las cámaras o videocámaras. No en todos los casos estará justificado la instalación de camaras si es posible otra medida de control menos intrusiva.
viernes, 22 de diciembre de 2006 1 comentarios

Kit de herramientas para revisiones de seguridad

Hacía tiempo que no encontraba una buena recopilación de herramientas de seguridad clasificadas. Vía la gente de Infosecwriters, hoy referencio un documento con un listado de herramientas y sus direcciones clasificadas según la fase del test de intrusión en donde se utilizan.

El documento puede obtenerse en SNair_Tools.pdf
martes, 19 de diciembre de 2006 2 comentarios

Ajax DNS

Vía Genbeta.com he encontrado una herramienta sencilla y Web para obtener la información habitual mediante DNS. Las consultas disponibles mediante AJAX son :
- información DNS de un dominio
- whois tanto al propio dominio como su ip
- obtener la información de cabecera http
- verificar si está en la lista negra como spammer
- realizar pings
- verificar su DNS transversal.

Lo más práctico es que al ser AJAX se ejecuta directamente sobre la página web mostrando la información de manera muy rápida. Una buena herramienta de emergencia a tiro de click en Ajax DNS.
jueves, 14 de diciembre de 2006 0 comentarios

RFID, un arma de doble filo.

Quiero hoy comentar varios post publicados en diferentes blogs entorno a la problemática que plantea el RFID y las potenciales agresiones a la privacidad.

En primer lugar, destacar el comentario en el blog de Jose Manuel Fernández en relación a la noticia publicada por la Asociación de Internautas.

“La CLI, ante la falta de normativa y ante las implicaciones que podría tener la implantación generalizada de RFID (identificadores por radiofrecuencia) en materia de protección de datos de carácter personal, ya informó hace un año a la Comisión Europea de los graves riesgos que conllevaría un uso ilícito de RFID pero también alerta de que sin una mayor sensibilización ciudadana hacia estos asuntos no será posible controlarlos adecuadamente.

El uso de RFID nos está suscitando numerosas preocupaciones en materia de protección de la vida privada de las personas por los nuevos riesgos para la intimidad y el ejercicio de los derechos y libertades que presenta esta nueva tecnología. Cabe destacar que en algunos estados de los EEUU como, por ejemplo, California, ya disponen de una normativa sobre el uso de RFID. Aquí, la Comisión Europea, a través del Grupo de Trabajo del artículo 29 de la Directiva 95/46/CE, está analizando las implicaciones que conlleva el uso de esta tecnología y, en este sentido, solicitó hace meses la opinión de partes interesadas en una consulta pública, entre ellas a la CLI."

En segundo lugar y en relación con estos hechos, ayer mismo el blog de Bruce Schneier se hacía eco de un estudio de la Universidad de Washington en donde han demostrado como utilizando el kit de Nike+Ipod se puede hacer el seguimiento y localización de la persona que lo lleva puesto mediante Google Maps. Este kit está siendo vendido para corredores que quieren saber el tiempo de carrera, la distancia que recorren, las calorías que consumen.

Como dice Schneier, los chips no tienen información que identifiquen a una persona, pero si todos tienen un identificador único, entonces ser posible entonces localizar a una persona si se sabe el ID del producto que compró.

Aunque anecdótico o de ciencia ficción, es un ejemplo más de como no se piensa en proteger la privacidad cuando se diseñan estos aparatos y de lo sencillo que resulta modificar su uso original para obtener otros usos menos lícitos. Adjunto el estudio que Schneier comenta de la Universidad de Washington.
miércoles, 6 de diciembre de 2006 0 comentarios

Las polémicas sobre la seguridad de Windows Vista.

Son ya varios los blogs y noticias referentes a la valoración de las mejoras en materia de seguridad que Windows Vista está anunciando. Entiendo que toda publicidad debe valorarse siempre de manera excéptica pues trata de potenciar las mejoras sin objetividad, pero también de la misma manera hay que coger con pinzas las críticas cuando no se basan en pruebas técnicas sobre sistemas reales.

Leo vía Genbeta un artículo relacionado con la seguridad de Windows Vista donde resumen los comentarios aparecidos en la Web de Symantec respecto a unas pruebas de malware sobre Vindows Vista. El artículo original puede leerse en Symantec Security Response Weblog: Hit or Miss? Vista and Current Threat Survivability. Es conocido que desde que Microsoft anunció una solución antivirus en su propio sistema operativo, las relaciones con Symantec no son nada buenas.

En este blog Paul Thurrott's SuperSite for Windows: Windows Vista Review, Part 5: Windows Vista Features: Security Features podéis valorar vosotros mismos algunas de las mejoras que en materia de seguridad incorpora el nuevo sistema operativo. Sin entrar en polémicas, creo que el esfuerzo por mejorar el sistema y corregir importantes errores de diseño que no consideraron la seguridad como requisito han empezado a subsanarse.

Ahora, visto todo esto, lo que ningún sistema operativo en materia de seguridad podrá es librarse de comentarios como este:
"¿Significa esto que Vista es mucho más seguro? Bueno, es un poco más seguro, pero la mayoría del malware falló porque daba por sentadas una serie de características del sistema que no se producen en Vista, como que el usuario dispone de permisos de administrador. Seguro que cuando los autores de malware se decidan a atacar esta plataforma encontrarán maneras de esquivar estas protecciones de seguridad que Microsoft ha añadido."

Estamos de acuerdo con el razonamiento, pero es que ¡aplica a todos los productos software!.

¿Serían los sistemas Unix/Linux tan seguros si los autores de malware pudieran evadir la gestión de privilegios? Evidentemente no.
¿Serían las aplicaciones opensource tan seguras si los autores de malware pudieran contaminar el código antes de distribuirlo e introducir rootkits? Evidentemente no.

Cuando se ponen barreras y alarmas contra los malos se minimizan algunos riesgos pero también implica que el próximo ataque no se hará con los métodos para los que las nuevas medidas de seguridad son eficaces. Por tanto, habrá que ver por donde aparecen los nuevos problemas y si esta vez los autores de malware lo tienen tan facil como hasta ahora.

Por tanto, ¿son el resto de sistemas operativos ahora más vulnerables?.
Pues podria pasar que si, puesto que si el coste de atacar sistemas Windows se va a incrementar por la dificultad que pueda suponer evadir las medidas actuales y el resto de sistemas operativos empiezan a contar con suficiente popularidad como para asegurar un buen mercado de victimas potenciales, quizás ahora el atacante empiece a cambiar el punto de mira y lo que antes no merecía la pena atacar ahora puede ser un objetivo interesante.
martes, 5 de diciembre de 2006 0 comentarios

Aumento de la demanda sobre ISO 27001

Leo en ISO27000.es una excelente noticia para el gremio de la seguridad.

Según un artículo publicado en ComputerWeekly, uno de los principales motores que están llevando al incremento de certificaciones ISO 27001 está siendo la aparición en contratos de sugerencias al proveedor respecto a estar certificado en esta norma.

Algo de sentido común, puesto que cada vez más los servicios están orientados hacia la gestión de activos cuya seguridad debe estar preservada. Toca primero al licitador previamente haber identificado sus activos y haber construido su propio SGSI, pero una vez hecho esto, sus proveedores deben garantizar la "cadena de seguridad".

Tal como indica en la web ISO27000.es, "El estándar, que ha substituido eficazmente al viejo BS 7799, ha convencido a muchas organizaciones que la certificación puede tener sentido para ellas. Según el grupo BSI, casi las dos terceras partes de las certificaciones eran nuevas organizaciones en vez de simples actualizaciones de BS 7799.

Según BSI, uno de los motivos para el fuerte aumento de en la actividad de certificaciones en ISO 27001 se debe a que cada vez más contratos, al principio sólo gubernamentales pero también cada vez más en el sector privado, estipulan ya que el proveedor apropiado debería tener la certificación en ISO 27001 de Seguridad de la Información.

URM, especialista en certificación ISO 27001 y en la gestión de riesgos, cree que el aumento del interés es porque el estándar se ha convertido en una obligación más que una opción accesoria para cualquier organización que opere en el sector público o en el sector de los grandes mercados privados.

Con el aumento en los niveles de gobierno, URM cree que la certificación ISO 27001 también está siendo vista como un ejercicio de 'impermeabilización de cara al futuro ' para muchas empresas. Si ellos no lo hacen ahora, saben que probablemente tendrán que hacerlo en el futuro. De hecho, algunas empresas que ya tienen la certificación ISO 27001 harán de lobby a favor de incluirlo como requisito en las ofertas de los clientes, obstaculizando a cualquier rival que no la tenga."

Por tanto y como nueva motivación, la certificación de la seguridad puede ser una oportunidad de negocio más que un coste.

El artículo original, puede leerse en Tender conditions drive ISO 27001 update - 07/Sep/2006 - ComputerWeekly.com
martes, 28 de noviembre de 2006 0 comentarios

Insecure magazine, número 9

La revista (In)secure magazine acaba de publicar su novena edición.
El indice de este número es:
-Effectiveness of security by admonition: a case study of security warnings in a web browser setting
- Web 2.0 defense with AJAX fingerprinting and filtering
- Hack In The Box Security Conference 2006
- Where iSCSI fits in enterprise storage networking
- Recovering user passwords from cached domain records
- Do portable storage solutions compromise business security?
- Enterprise data security - a case study
- Creating business through virtual trust: how to gain and sustain a competitive advantage using information security
lunes, 27 de noviembre de 2006 0 comentarios

La banca electrónica y demás chapuzas...

Fue publicado hace ya un par de meses que existen circulando troyanos que han incorporado capturadores de pantalla para atacar a las plataformas de banca electrónica que utilizan teclados virtuales para la introducción de códigos de acceso.

La noticia bien documentada como siempre por el Laboratorio Hispasec, puede ser consultada en el post Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas publicado el 26 de septiembre de este año.

Lo que hoy leo en SecuriTeam Blogs es todavía mucho más curioso. Resulta que la entidad financiera de mi provincia utiliza para el envio de la información asociada al pin de acceso un sistema realmente patético y así lo han documentado en SecuriTeam Blogs » Defeating Image-Based Virtual Keyboards and Phishing Banks que han conseguido adivinar el algoritmo y son capaces de calcular el pin enviado aunque vaya cifrado.
viernes, 24 de noviembre de 2006 0 comentarios

El eslabón más débil de la seguridad bancaria

Curioso el post que aparece en el blog Iteisa sobre la seguridad bancaria.

Uno espera encontrar novedades sobre nuevas técnicas en relación al robo de identidad o algun tipo de incidente que la tecnología no ha conseguido resolver correctamente y se encuentra con un problema que aunque no sea complejo, no deja de poner los pelos de punta.

Y las reflexiones son, como bien apunta el blog, que la cadena sigue siendo tan fuerte como el más debil de los eslabones, pero también hay que decirle a los eslabones lo importante que es su diligencia para ser una buena cadena.



¿Por qué el personal de oficina no tiene conocimientos BÁSICOS de seguridad de la información?

Acaso no tienen tiempo para informarles de buenas prácticas comerciales, de técnicas de captación de clientes, etc... ¿no es rentable garantizar el buen servicio y que un cliente no se marche por un incidente como este?

No se trata quizás de hacer conocer al usuario como se realiza un borrado seguro de un fichero, pero al menos, que los sistemas de información dispongan de controles al respecto y que siempre que se vayan a volcar datos de un cliente sobre un disco, que haga un borrado seguro del contenido anterior (por si acaso).

En fin, cosas que pasan y que uno no se explica. Si precisamente un banco es capaz de tener todo tipo de controles para evitar la perdida de un solo céntimo, ¿no es eso posible con la información? ¿Es que no tiene, de cara a sus servicios de negocio, la misma importancia el dinero que la información que custodian?

Bueno, recomiendo el post que no tiene desperdicio y felicidades al autor por ilustrar tan limpiamente este curioso incidente en el post Iteisa:Rompiendo el eslabón más débil de la seguridad bancaria
miércoles, 22 de noviembre de 2006 0 comentarios

Valor procesal de la prueba informática

Tenía pendiente de publicar un excelente artículo de José-Ernesto Fernández Pinós,
Fiscal Coordinador del Servei Especial de Noves Tecnologies de la Fiscalia del
Tribunal Superior de Justícia de Catalunya que aparece publicado en la página de la Agencia Catalana de Protección de Datos

Los tecnólogos desconocemos muy a menudo las reglas jurídicas que arbitran nuestras actividades, así como las garantías que nuestro sistema judicial exige de cara a recolectar pruebas.

Este artículo explica con todo tipo de detalles el valor de la prueba informática. El documento puede leerse en Valor procesal de la prueba informática
miércoles, 15 de noviembre de 2006 1 comentarios

Blink Personal, la protección perimetral definitiva

Vía Net-security y Genbeta quiero hoy dar a conocer una excelente aplicación de la gente de eEye para la protección personal del PC.

eEye ya destaca por varias suites de seguridad informática, siendo las mas conocidas Iris y Retina. Ahora se introduce en el mundo freeware para usos no comerciales proporcionando una herramienta completa de protección perimetral. Destaca frente a otras, que contempla muchos más aspectos que otros firewalls gratuitos.Entre ellas, podemos encontrar:

- Firewall de sistema: control del trafico por protocolos y puertos.

- Firewall de aplicación: control del tráfico por programa.

- Detector de intrusos: reconoce los patrones de tráfico entrante e identifica y bloquea el tráfico malicioso.

- Protección frente al robo de identiddad: identifica los intentos de acceso y recolección de información personal del PC.

- Protección del sistema: dispone de varios métodos para proporcionar una protección proactiva contra buffer overflow y ataques "zero-days".

- Escaneo local de vulnerabilidades: identifica las vulnerabilidades presentes en el sistema, indicando su código CVE y los enlaces donde pueden encontrarse los parches y soluciones.


Es gratuito para usos no comerciales. Puede descargarse, previo registro en eEye-Blink Personal.
viernes, 10 de noviembre de 2006 1 comentarios

Vuelta de vacaciones

Por recuperar las entradas con su temática habitual, de China me traigo algunas fotos espectaculares.
Como más significativa e impresionante, su famosa muralla de protección perimetral que a lo largo de una larga extensión les sirvió para protegerse de las constantes invasiones de los pueblos limitrofes.

sábado, 21 de octubre de 2006 3 comentarios

Vacaciones temporales por luna de miel

Como puede verse, el ritmo de publicación de estas ultimas semanas ha bajado bastante. El post de hoy justifica este hecho y es que este fin de semana contraigo matrimonio.



Creo que estaré desconectado al menos tres semanas así que espero tras la luna de miel volver de China con las energías recargadas para de nuevo lograr al menos varios post por semana.
miércoles, 18 de octubre de 2006 0 comentarios

Los datos en móviles desechados generan nuevos fraudes

Leo vía la sección de tecnología del País un nuevo tipo de técnica para hacer "trashing".

En realidad, más que un método, la principal causa es el desconocimiento técnico o el descuido del usuario respecto al borrado de datos.

Para evitar estos hechos, existen herramientas software que garantizan el borrado fisico y lógico de datos (Que no es más que insistir sobre el disco físico en fijar el valor cero a nivel magnético sobre el soporte para que otras técnicas no sean capaces de deducir que información había antes de los ceros grabados.

Recomiendo siempre tener en el disco duro instalado software de recuperación para evitar problemas si por accidente se procede al borrado de archivos pero también para disponer de la opción de realizar un borrado seguro de datos.

El tema de los telefonos móviles ya es más peliagudo porque requiere herramientas más concretas y la opción de conectar el teléfono al PC.

El artículo completo puede leerse en:Los datos en móviles desechados generan nuevos fraudes - ELPAIS.es - Tecnología
martes, 10 de octubre de 2006 0 comentarios

Estado de situación de una dirección IP

La url que hoy referencio es útil para detectar problemas asociados a una IP que ha sido etiquetada como maliciosa.

En concreto, proporciona informaicón sobre:
- Dirección IP, nombre del host y dominio.
- DNSBL, para conocer si aparece la ip en diferentes listas negras de correo.
- Whois, Traceroute, Servidor de correo
-Busquedas de la dirección IP en diferentes buscadores.

De esta manera, es facil verificar si nuestra IP (fija o asignada por nuestro proveedor) nos da problemas, por ejemplo, cuando se reciben ciertos mensajes de servidores de correo que deniegan el envío si una dirección IP pertenece a una lista negra.

Url: OpenRBL.org
lunes, 9 de octubre de 2006 0 comentarios

BlackDog, herramienta portatil para consultores/auditores

Las ventajas de los dispositivos móviles empiezan a proporcionarnos interesantes productos orientados a mercados muy específicos.

Lo que hoy quiero comentar es un PC portatil ideal para llevar todas las herramientas necesarias para hacer análisis forense, test de intrusión o auditoría de sistemas de información, sin que la portabilidad de la herramienta suponga un riesgo a la información altamente sensible que almacena.

Black Dog es un dispositivo con linux que funciona al conectarlo en el puerto USB de un PC. Puede cargar un servidor X en memoria sobre una máquina Windows y permite acceder al entorno X desde el cliente Windows.

Además, este dispositivo incorpora un lector biométrico que permite la autenticación fuerte del usuario. La demo del producto puede consultarse en BlackDog
miércoles, 4 de octubre de 2006 0 comentarios

Informe sobre las sanciones de la Agencia Española de Protección de Datos.

En Firma, Proyectos y Formación S.L.hemos elaborado un informe estadístico en base al análisis de las 170 sentencias publicadas por la Agencia de Protección de Datos en el primer semestre de este año.

En un afán por conocer cual es la problemática que las empresas tienen a la hora de aplicar la LOPD, los resultados obtenidos despiertan el interés porque detectan cuales son los aspectos de la ley no resueltos por las organizaciones. Estamos ya finalizando una metodología para conseguir gestionar de la mejor manera posible el cumplimiento del marco normativo en materia de protección de datos.

Las principales conclusiones que se pueden extraer del análisis, en relación con el número de sanciones impuestas por la AEPD, reflejan que las infracciones de los principios de Calidad de los datos y Consentimiento de los afectados para el tratamiento de sus datos son las que han dado lugar al mayor número de sanciones.

Sin embargo, se puede observar que, por la cuantía de las sanciones impuestas, también está en primer lugar el incumplimiento del principio de calidad (Art. 4); ocupan el segundo lugar las sanciones por cesiones ilegales de datos (Art. 11), lo que se explica por la mayor gravedad de estas infracciones; en tercer lugar se sitúan las sanciones por la infracción del principio de consentimiento (Art. 6); quedan en último lugar las sanciones por infracciones cometidas en la creación, notificación y el registro de los ficheros (Art. 25 y 26).

Es curioso comprobar el poco cuidado que se tiene sobre la "calidad de la información". Hemos de suponer que en los procesos productivos donde la información es la materia prima, una información incorrecta o inadecuada genera costes o trabajo no productivo y por tanto, las empresas deberían cuidar o invertir para que estos errores no se produzcan. Sin embargo, es común la existencia de bases de datos desactualizadas, o con datos incorrectos o desfasados. Ya no por el cumplimiento legal sino por la optimización de procesos, la calidad de la información es un parámetro a considerar en las empresas de la sociedad de la información.

El documento está disponible bajo licencia Creative Commons y descargable en Informe sanciones
martes, 26 de septiembre de 2006 0 comentarios

Escaner de puertos mediante el parser XML

Se anuncia hoy vía la web de SIFT una nueva técnica de escaneo de puertos basada en utilizar el parser XML para realizar dicha tarea.

La idea básica, por lo que he podido deducir de una lectura rápida del documento, es acceder al parser XML vía el puerto 443 de https, que normalmente todo firewall por muy restrictivo que sea autoriza e interrogar al parser por otros puertos de otras máquinas. Esta técnica es utilizable en cualquier aplicacion que utiliza como entrada documentos XML.

El detalle de esta nueva técnica podéis obtenerlo en el siguiente documento:XML port scanning
miércoles, 20 de septiembre de 2006 0 comentarios

Nuevas tecnologías, nuevas amenazas

Leo una noticia curiosa que como anécdota merece ser reseñada.

Cuando uno está en la fase de análisis de riesgos, cuenta hacer entender al cliente que ,en seguridad de la información, debe tenerse en cuenta lo sucedido y lo que potencialmente puede suceder.

Nunca llevado a los extremos de plantear amenazas como que un avión se estrelle contra el edificio, pero si cosas que por poco cotidianas pueden ser relativamente más frecuentes.

La noticia de hoy puede ser uno de esos ejemplos. La informática móvil facilita mucho el trabajo fuera del entorno laboral, pero está sometida a incidentes propios de la vida cotidiana. Para muestra, el ejemplo de la noticia que enlazo del blog "La Tejedora" titulada “Mi gato se ha meado en el portátil”
martes, 19 de septiembre de 2006 0 comentarios

La calumnia virtual, por Jose Manuel de Prada

Este fin de semana cayo en mis manos el semanal del diario "La Verdad" y normalmente soy fiel a leer las firmas de Perez Reverte y Jose Manuel de Prada. Mientras leía el texto iba encontrando más y más argumentos para justificar la presencia del enlace a su artículo en este blog.

Como con la nueva ley de propiedad intelectual uno tiene miedo a copiar y pegar entrecomillado el texto original, prefiero simplemente indicar cuál es el enlace a seguir para obtener el texto completo. La url donde encontrar el artículo es "Calumnia virtual", por Jose Manuel de Prada.

Ya de paso, también quiero referenciar otro texto que acabo de encontrar y que me parece interesante, respecto a las quejas sobre cómo la protección de la propiedad intelectual se exige de manera unívoca (medios de comunicacion tradicionales frente a Internet) en vez de biunívoca. Porque empieza a ser costumbre ya ver programas de televisión que beben de contenidos de la red pero para desgracia de los autores, solo aparece la url del site en donde se publican.
miércoles, 13 de septiembre de 2006 0 comentarios

Control 8.1.2 de ISO 17799:2005. Selección de personal

Hoy he encontrado un curioso video que me sirve para ilustrar el objetivo que persigue el control 8.1.2 de la norma ISO 17799:2005.

El bloque ocho hace referencia a la gestión del personal y en concreto, el control 8.1.2. habla de los criterios de selección de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.


En las recomendaciones de implementación de este control, se indican la importancia de verificar la información aportada por los candidatos en los procesos de selección de personal. Los curriculum son información suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la información suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de protección de datos que sean pertinentes.

En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de selección.



Este caso es pura anécdota, pero ¿que ocurriría si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administración de sistemas y lo ponemos directamente a manejar los entornos de producción?
martes, 12 de septiembre de 2006 0 comentarios

Troyano bancario captura en vídeo la pantalla del usuario

Desde siempre en este blog he ido indicando que uno de los factores más importantes que orientan el diseño y reproducción del malware es siempre la motivación del atacante para generarlos y el beneficio que ello le produce.

Tal como a lo largo del tiempo he podido analizar, el "ánimo de lucro" está desde estos últimos años en la cima de la motivación del malware, y "por dinero" se es capaz de hacer cualquier cosa. Es lo que se temía, la unión del crimen organizado con los técnicos y expertos en tecnología que ven en esta tendencia una nueva manera de ganar dinero y vivir de lo que saben.

Como siempre, la gente de Hispasec documenta de forma sencilla, completa y didáctica cómo actua este tipo de malware. Como estas cosas siempre se creen cuando se ven, que mejor que enlazar al video demostración de su funcionamiento que podéis encontrar en este enlace.

La documentación técnica con el análisis del malware también está disponible y consultable en este enlace y la noticia completa del blog de Hispasec accesible en Troyano bancario captura en vídeo la pantalla del usuario .

Una vez mas, felicidades al equipo de Hispasec por tan extraordinarios documentos.

Por último, también quiero comentar que llevo ya recibidos dos comentarios anonimos sobre este blog cuyo contenido es spam. Ya tenía activo la moderación de comentarios para evitar en la medida de lo posible tan indeseable fenómeno y Blogger también ha tomado medidas requiriendo ahora en cada comentario la inclusión de un codigo alfanumérico generado por una imagen aleatoria. Parece que este mecanismo de seguridad ya está siendo superado para desgracia de todos...

El post de hoy es un ejemplo más de esta persecución entre quien pone barreras y quien la salta. Hay que pensar en mecanismos de seguridad que sean robustos en diseño y complejos para que no sean superados en poco tiempo. Los teclados virtuales de los portales en banca online ya pueden no ser seguros. Sin embargo, las tarjetas de claves entregadas al usuario (más sencillas, prácticas y jurídicamente más eficaces) todavía aguantan.






lunes, 11 de septiembre de 2006 0 comentarios

11 de septiembre

Cinco años despues de una de las mayores barbaridades del género humano podemos empezar a reflexionar con algo de distancia y frialdad sobre las causas, consecuencias y reacciones para considerar si el camino tomado mejora o empeora el riesgo de volver a sufrir otra catástrofe similar.
Como anécdota o reflexion, utilizando el servicio Google Trends, quiero hoy solamente añadir dos gráficos:

seguridad frente a libertad:
guerra frente a paz:

La doctrina política-militar ha fracasado.
Y, al fracasar, ha demostrado una vez más las limitaciones del poder militar para resolver determinados tipos de conflictos sociales. Esa lección se ha repetido innumerables veces en la historia, pero los neófitos del poder vuelven, una y otra vez, a la equivocada lectura militarista ("terror y pavor") de la doctrina del estratega Sun Tzu, de que "la mejor batalla es la que no tiene que hacerse".





jueves, 7 de septiembre de 2006 0 comentarios

Microsoft USB Flash Drive Manager (Standard)

En relación a otros post dedicados a los dispositivos USB y su seguridad (entendida en esos casos en relación a la confidencialidad del contenido), el software que hoy recomiendo también habla de seguridad pero en relación a la dimensión de la disponibilidad.

La cada vez más presencia de tarjetas de memoria y llaveros USB puede hacernos perder en un momento dado el control sobre qué tenemos y donde lo tenemos.

Para esa problemática, considero interesante la aplicación que voy a comentar: Microsoft USB Flash Drive Manager. Como otras herramientas recomendadas, es freeware (condición necesaria para que la publique en el blog como recomendada).

Permite la gestión de dispositivos usb, permitiendo básicamente hacer copias de seguridad completas de tarjetas y posteriormente poder hacer una restauración. Además lleva un gestor de biblioteca de copia, con lo que podremos disponer de todos los contenidos que hayan sido correctamente respaldados.

Útil tanto para cuando se tiene una única tarjeta y se quiere vaciar y no perder el contenido e interesante también si en algún momento se extravía el llavero USB (no evitará el incidente de seguridad en relación a la confidencialidad de lo guardado si no se ha usado software de cifrado, pero si reducirá el impacto respecto a la disponibilidad al no perder ningún dato).

El software está descargable en Download details: Microsoft USB Flash Drive Manager
miércoles, 6 de septiembre de 2006 0 comentarios

Revista (In) secure Magazine nº8

Ya se ha publicado el número 8 de la excelente revista (In)secure Magazine.

El contenido de este número de septiembre es (en ingles):


* Payment Card Industry demystified
* Skype: how safe is it?
* Computer forensics vs. electronic evidence
* Review: Acunetix Web Vulnerability Scanner 4.0
* SSH port forwarding - security from two perspectives, part two
* Log management in PCI compliance
* Airscanner vulnerability summary: Windows Mobile security software fails the test
* Proactive protection: a panacea for viruses?
* Introducing the MySQL Sandbox
* Continuous protection of enterprise data: a comprehensive approach
lunes, 4 de septiembre de 2006 2 comentarios

Como proteger al usuario interno de la ingeniería social

Que el factor humano tiene un peso importante en seguridad ya lo he podido explicar varias veces en relación a post con ejemplos de cómo se utiliza la ingeniería social para colarse dentro.

Hoy me he llevado una grata sorpresa al encontrar un documento de Microsoft con un informe detallado respecto al tema. En él, se explica cómo defenderse de la ingeniería social. Trata de contemplar todos los factores de riesgo y las opciones que desde un responsable de seguridad se tiene para atajar el problema.

El documento está descargable en el siguiente enlace How to Protect Insiders from Social Engineering Threats

El contenido del documento (en ingles) es el siguiente:
* Social engineering and the defense-in-depth layered model
* Social engineering threats and defense
* Online, telephone-based, and waste management threats
* Personal approaches
* Reverse social engineering
* Designing and implementing defenses against social engineering threats
* Developing a security management framework
* Risk management
* Social engineering in the organizational security policy
* Awareness
* Managing incidents
* Operational considerations
* Security policy for social engineering threat checklists
martes, 29 de agosto de 2006 1 comentarios

La contaminación de contenidos como nueva amenaza.

Leo hoy vía la sección de Tecnología de "El País" una noticia titulada "El phishing llega a las bolsas".
Este nuevo fenómeno que han denominado "Pump and Dump" pudiera ser considerado ya como una amenaza que representa la "contaminación de contenidos". Como se indica en el artículo del País, "consiste en identificar una empresa de poca entidad, que tenga poco volumen de negociación, y “atacar” sus valores después de llenar la cartera de ellos, para hacer que su precio suba artificialmente. Terminada la faena se vende de golpe y se recogen beneficios."
En este caso concreto, el fraude previamente requiere de las técnicas del phishing para hacerse con cuentas de brokers online con las que poder comprar valores para que suba su cotización.

Derivaciones de esta amenaza pudieran ser suplantar la identidad de personas con prestigio que informen de tendencias de mercado incorrectas y que generen reacciones de vendedores y compradores "pre-diseñadas" para que el atacante obtenga beneficio.

Este tipo de amenazas ya se veían venir. Lo bueno de publicar un post es que además dejas evidencia de ello, como puede leerse tanto en los pronósticos de in-seguridad que hice para el año 2005 como en el post dedicado a este posible(en aquel tiempo solo era posible) tipo de amenaza

Y es que cuando pensamos en seguridad de la información la mente se nos va o bien hacia la disponibilidad o bien hacia la confidencialidad. Evidentemente ambas propiedades son importantes pero también debemos ser conscientes del "coste" que tiene la información "incorrecta".

Actualmente disponemos de sistemas de información capaces de procesar ingentes cantidades de datos pero, ¿tenemos sistemas de información que garanticen la "calidad de los tratamientos" que realizan.

En Auditoría de Sistemas de Información, y sobre todo en los cursos de preparación del CISA se nos insistía continuamente en la necesidad de establecer procesos de control tanto a la entrada de datos como durante su procesamiento y en la generación de salidas. Este tipo de controles solemos encontrarlos robustos y fuertes sobre los sistemas transaccionales que sufren auditoría o gestionan procesos de la organización que se auditan.

En cualquier empresa normal podemos encontrarnos datos incorrectos, obsoletos o no actualizados. ¿Alguien calcula el coste "oculto" de estos errores"? ¿Alguien establece controles para detectar estas anomalías?

Creo que empieza cada vez más a tener sentido utilizar los esquemas de gestión que ya se aplican a la calidad para garantizar el correcto funcionamiento de las actividades de procesamiento de información. Al final, al cliente se le presta un servicio que depende principalmente de la "calidad" de la información que disponemos sobre el y la gestión de sus necesidades debe traducirse en la correcta manipulación de sus datos. Podemos pensar por ejemplo en servicios de atención telefónica o de banca online como ejemplos de ellos, donde se entiende por calidad "el correcto tratamiento de nuestra información".
lunes, 28 de agosto de 2006 0 comentarios

Cómo funcionan los reventadores de contraseñas...

Debido principalmente al periodo vacacional, el ritmo de publicación se relaja y los contenidos de este último mes están siendo ludico-tecnologicos.

Hoy gracias a la cantidad de material que se está subiendo a Youtube, he podido localizar un video sobre cómo funcionan los reventadores de contraseña, con ejemplos de ejecución.
La charla dura nueve minutos y demuestra como se ataca un fichero de contraseñas con l0phtcrack 5.


Interesante para el periodo vacacional.
sábado, 19 de agosto de 2006 0 comentarios

Sniffing en entornos switcheados

He encontrado vía el SANS Institute un documento técnico bastante interesante relacionado con técnicas de sniffing en entornos cuya arquitectura de red dispone de switch.
En el texto se desarrollan con ejemplos y capturas de pantallas las técnicas a utilizar para realizar el ataque por envenenamiento ARP y utilizar programas para hacer hijacking de la sesión o bien poder averiguar las contraseñas de conexión. El carácter práctico del documento lo hace interesante para hacer las prácticas oportunas y poder comprobar así lo vulnerable que siguen siendo las conexiones de red sin cifrado. El documento puede descargarse en el siguiente enlace.
martes, 15 de agosto de 2006 0 comentarios

Humor gráfico

Como en vacaciones siempre da algo más de pereza escribir y dado que estoy bastante desconectado en la playa (mi pocket no conecta con redes wifi free) voy a poder postear bien poco. Hoy quiero recoger dos imagenes bastante significativas respecto al titulo del blog que se comentan por si mismas.
La primera me la envía Gaona del blog Gaona Sec y la segunda gracias al blog de Jose Manuel Fernandez


sábado, 5 de agosto de 2006 0 comentarios

Guía sobre cómo incrementar la concienciación en seguridad del ENISA

El European Network and Information Security Agency, ENISA, (la agencia europea equivalente a la NSA americana) recientemente ha publicado una excelente guía para abordar el tema de la formación y concienciación de los usuarios. Con unos 64 folios de denso contenido, se ilustran todas las fases para montar un plan de formación e incrementar así la concienciación en materia de seguridad de la organización.

Dado que siempre comentamos la importancia del factor humano, este tipo de guías son muy necesarias para atajar los riesgos generados por el desconocimiento o la falta de precaución del personal.

Analizando el documento muy pormenorizado, cabe destacar lo minuciosamente preparado que debe estar un plan de concienciación. El documento está disponible en el enlace enisa_a_users_guide_how_to_raise_IS_awareness.pdf
martes, 25 de julio de 2006 1 comentarios

Arranca la primera campaña contra el robo de identidad y el fraude on line ¿de verdad?

Quiero hoy destacar la presencia de un nuevo Web de información para la prevención del fraude. La noticia a la que he accedido vía la Asociación de Internautas presenta esta nueva iniciativa tal como puede leerse en el enlace Arranca la primera campaña contra el robo de identidad y el fraude on line.

Me llama poderosamente la atención ver que a pesar de como informa la noticia "El Instituto Nacional de Tecnologías de la Comunicación (INTECO), la Asociación de Internautas (AI) y Panda Software han presentado la primera campaña contra el robo de identidad y el fraude on line. La iniciativa, que se creó a raíz de las conclusiones del I Encuentro Nacional de Internautas celebrado en León los días 13 y 14 de julio, ofrece información y formación para que el usuario conozca las amenazas y sepa cómo protegerse" luego al entrar en el portal WWW.Nomasfraude.es aparecen en todas las cosas interesantes un formulario para recabar datos de carácter personal cuya cláusula de información de la LOPD advierte de la recogida para un único Responsable de fichero que Panda Software Internacional.

Hasta en la sección de "Denuncia" que uno podía esperar pudiera servir para notificar a las Fuerzas de Seguridad del Estado la presencia de Webs fraudulentas, se recogen datos de carácter personal para Panda Software Internacional.
Estos hechos podéis contrastarlos en los enlaces:Denuncia y
Política de Privacidad en la sección Denuncia.

Ahora como internauta ya solo me cabe una duda, ¿Estamos realmente ante una campaña de contra el robo de identidad y el fraude on-line o frente a una acción publicitaria con cierto aire filantrópico que pretende concienciar pero a cambio de recoger datos de carácter personal para intereses no tan filantrópicos?

¿Por qué entonces el INTECO, el Ministerio de Industria, Turismo y Comercio prestan su imagen si realmente se favorece a una iniciativa privada y comercial? ¿Por la foto de poder decir que hacen algo con el tema aunque solo hayan colgados cuatro animaciones flash que no puedes bajarte si no regalas tus datos? ¿No podrían haber articulado una manera de notificar al Grupo de Delitos Telemáticos o a la Policía Nacional la existencia de Webs suplantadas?

En fin, más de lo mismo. Se abusa de la ingenuidad del usuario y se venden "avances" que realmente no lo son tanto porque detras de este portal solo se esconde la finalidad lucrativa de obtener datos de carácter personal de potenciales clientes aprovechando la cobertura mediatica que se le da a una iniciativa de este calado (que por escasas son bien acogidas).

Además, podían haber aprovechado la oportunidad para crear un único punto español de notificación de Webs de fraude correspondientes a empresas españolas suplantadas.

No nos cuenten milongas que esto del fraude por Internet es un riesgo que este tipo de iniciativas no consigue minimizar. Toda información es buena pero para eso ya teníamos la sección del Centro de Alerta Temprana con la sección Fraudes por Internet o el portal Seguridad en pymes por cierto del mismo patrocinador.

No gasten el dinero público en más información que sobra y se repite y empiecen a pensar ya en proporcionar mecanismos jurídicos para depurar y exigir responsabilidades por los delitos cometidos, y por tanto, incrementar la seguridad jurídica del usuario Internet.

Hoy en los medios de comunicación parecía que algo nuevo se hacía desde la Administración para frenar el fraude y los resultados son solamente un folleto con publicidad de una empresa para recoger datos de carácter personal.
martes, 18 de julio de 2006 0 comentarios

Secure Vantage - MOMv3 Solutions

Leo vía Windows Security Logging and Other Esoterica un anuncio bastante interesante desde el punto de vista de la auditoría y control de la seguridad para entornos Microsoft. La recién anunciada Microsoft System Center Operations Manager 2007 Beta 2 parece que va a incluir características más potentes respecto al registro y monitorización de eventos y su correspondiente auditoría.

Aunque en la Web del anuncio no he conseguido información respecto a esta funcionalidad, el blog origen de la noticia me lleva a la Web de la empresa que parece estar colaborando y que detalla más las cosas.

El anuncio publicado en Secure Vantage - MOMv3 Solutions tiene algunas cosas que merece la pena destacar.

Secure Vantage esta trabajando en una serie de soluciones para aumentar las capacidades de monitorización de Operations Manager 2007 y el gestor de eventos de seguridad Microsoft ACS (Audit Collection Service). Algunas de las caracteristicas que esperan poder ofrecer son:
* Detección de intrusos
* Análisis forente
* Reportes sencillos del modulo ACS
* Gestión del riesgo
* Monitorización del estado de la seguridad

Para ello, los modulos ya diseñados constan de las siguientes características:
* ACS Reporting
o Base Windows Security Event Reporting
o Active Directory Extensions
o Heterogeneous Hooks
o Regulation Wrappers
* WSA, Windows Security Auditor (SCMP Alerting features and more)
* GPA, Group Policy Auditor (New version of Policy Controls MP)
jueves, 13 de julio de 2006 1 comentarios

Dilemas éticos en la sociedad de la información

Hoy no voy a comentar ningun tema relacionado directamente con la seguridad de la información, pero si lo está de manera implicita tal como voy a argumentar.

Esta tarde he asistido al Diascaldum que la Universidad de Murcia ha organizado entorno al software libre. Aunque mi principal motivación para asistir era el taller de hacking relacionado con el analisis de binarios relacionados con el malware, por casualidad he caido en la sala donde el profesor Javier Bustamante Donas, de la Universidad Complutense de Madrid nos ha ilustrado por qué los esfuerzos de una poderosa empresa de desarrollo no puede acabar con el movimiento del software libre.

Aunque no localizo las transparencias que ha utilizado, la charla ha tratado aspectos curiosos de la ética y los diferentes modelos y análisis de comportamiento que justifican que las decisiones egoistas son peores a medio y largo plazo que las decisiones de colaboración.

Dado lo interesante pero denso de la charla, he procedido a localizar textos con estas teorías filosoficas que llevan a decir cosas como "Todo lo que no se da, se pierde" o que "la Nueva Economía ya no se basa en la escasez sino en la omnipresencia".

En la charla ha hecho referencia a la "Ética hacker" como un jaque contra el concepto tradicional de propiedad. Aunque sobre esta ética existen diferentes versiones, prefiero escribir los puntos que ha destacado Javier Bustamante:
- El mundo está lleno de problemas fascinantes esperando ser resueltos.
- Nadie debería tener que resolver un problema ya resuelto.
- El aburrimiento es malo e insoportable.
- La libertad es buena.
- La actitud no sustituye a la competencia.

Imagino que en parte y de manera incosciente, alguien que publica un blog donde plasma sus experiencias y conocimientos en el fondo lleva la bandera de ""Todo lo que no se da, se pierde".
En fin, que hoy he descubierto parte de los principios y teorías matemáticas que pudieran justificar o explicar mi motivación para publicar este blog.

Os dejo con un par de enlaces a documentos más extensos con todas estas discusiones: - Dilemas éticos en la sociedad de la información: apuntes para una discusión..

- Hacia la cuarta generación de Derechos Humanos: repensando la condición humana en la sociedad tecnológica.

Y por cerrar el tema y explicar donde está la relación entre el blog y el post de hoy, al final, garantizar la seguridad de la información es preservar todas sus propiedades, o sea, garantizar que la ética y los beneficios de la sociedad de la información no se ven afectadas por los poderes que si bien no pueden derrocar esta nueva tendencia que lleva a compartir la información y el conocimiento, si pueden tratar de contaminar sus origenes o bien alterandolos o bien aprovechando el poder de las redes distribuidas y la facilidad de acceso para distribuir contenidos incorrectos o difamatorios que hagan desconfiar de cualquier fuente.
martes, 11 de julio de 2006 1 comentarios

La DGT pierde los puntos en materia LOPD

Leo vía Gaonasec una noticia que cuanto menos indigna. La DGT alardea de portal Web para la consulta de puntos y se pasan por debajo del código de la circulación en materia de protección de datos los derechos de los ciudadanos.

Tal como detalla en el post "el Carnet por puntos" Gaona y tambien el blog Férfer blog, han utilizado un método de acceso que no garantiza la autenticación de la persona. Como bien argumenta, identificar es una cosa y autenticar otra. Además para eso el R.D. 994/1999 utiliza ambos términos. Sólo hace falta consultar el diccionario de la RAE.

Identificar.
(De idéntico, con supresión de la última sílaba, y -ficar).
2. tr. Reconocer si una persona o cosa es la misma que se supone o se busca.
4. prnl. Dar los datos personales necesarios para ser reconocido.

Por tanto, la identificación supone una petición de credenciales para tener información sobre quien se es (o se dice ser).

Autenticar.
(De auténtico).
1. tr. Autorizar o legalizar algo.
2. tr. acreditar (ǁ dar fe de la verdad de un hecho o documento con autoridad legal).

La autenticación va más alla. No solo requiere de las credenciales sino que además deben ser verificadas, debe poder conocerse su veracidad con el objeto de poder dar fe de la identidad.

Por tanto, un numero de DNI nos identifica y SOLO algo que la persona a autenticar CONOCE, TIENE o ES lo autentica.

Los datos que solicita el Web de la DGT pudieran identificar pero en cualquier caso NO AUTENTICAR dado que no es una información que acredite de forma biunívoca a la persona y el dato de autenticación.

Señores de la DGT, ¿es que ustedes se creen que alguien tiene el carnet y la documentación del coche porque les dice que lo tiene o verifican el DNI del conductor con la persona que tienen delante y con la que aparece como titular de la documentación?

Entonces, ¿Por qué no hacen lo mismo con los servicios telemáticos? ¿Es que no es suficiente ejemplo los constantes incidentes de phishing en el sector financiero como para tomarse un poquito más en serio el tema?

Una cosa es que por desgracia el ciudadano de apié no esté concienciado sobre cuales son sus derechos, y otra muy distinta es que sean constantemente pisoteados por la ausencia de protesta. Son ya constantes las referencias a como se vulnera la protección de la intimidad tanto en el sector público como en el privado. Lo más preocupante además es la tendencia que se está generando. Ya no es sólo que recaben datos sin consentimiento, sino que además empiezan a ser explotados con fines perversos. Como ejemplo, solo destacar la noticia publicada en El Navegante "El 75% de las empresas ni conoce ni cumple las leyes de protección de datos de sus trabajadores."

Tal como dice el Antoni Farriols, presidente de la independiente Comisión de Libertades e Informática, "sólo el 25% de las empresas conocen y cumplen la normativa sobre protección de datos" y este desconocimiento está siendo aprovechado para cometer abusos.

Parece evidente que solo cuando hay sanción hay una conducta ética porque la autoregulación por parte de las propias empresas no existe, y si encima este derecho es dificil de custodiar o controlar, somos pasto para el abuso y la lesión de nuestros derechos.

Con los ficheros privados existe al menos riesgo de sanción económica, pero encima con la Administración Pública, al ser una sanción de carácter administrativo parece imperar la impunidad y el abuso.

¿Con que autoridad se puede exigir el cumplimiento de una ley que es la propia Administración la primera en vulnerarla?
miércoles, 5 de julio de 2006 0 comentarios

El factor humano

Como suele decirse, una imagen vale más que mil palabras y hoy la gente de Hispasec publica una viñeta cómica que ilustra el tan comentado "Factor Humano".

lunes, 3 de julio de 2006 0 comentarios

Guía para la implantación de un SGSI

A través de la iniciativa FOROSEC quiero hoy comentar el enlace a la Guía de implantación de sistemas de gestión de la seguridad de la información.

FOROSEC es un proyecto subvencionado por el Ministerio de Industria, Turismo y Comercio que tiene como objetivo establecer una red experta en seguridad informática enfocada a mejorar la competitividad de las PYMES en los servicios de negocio electrónico.
Los organizadores del proyecto son cuatro centros especializados en TICs y seguridad informática:
* AIMME (Instituto Tecnológico Metalmecánico),
* ESI (European Software Institute),
* IAT (Instituto Andaluz de Tecnología) y
* ROBOTIKER.

Esta guía está redactada en un lenguaje sencillo y puede ser un material muy interesante para realizar una primera aproximación al mundo de los sistemas de gestión de la seguridad de la información (SGSI). En el documento vienen desmenuzadas las diferentes fases del proceso, los documentos mínimos a generar y cuales deben ser los principios y objetivos de abordar un proyecto de semejante transcendencia e importancia para la organización. El desarrollo de la metodología para la implementación acercará a las personas con interés en el tema a cada una de las actividades a desarrollar dentro del diseño y construcción del SGSI.
Por último destacar también el anexo 2 en donde se establecen unas pautas y consejos para la elaboración de procedimientos de seguridad.

El documento puede ser descargado en el enlace Guía de implantación de sistemas de gestión de la seguridad de la información
lunes, 26 de junio de 2006 0 comentarios

The Regulatory Compliance Planning Guide Home Page

Los chicos de Microsoft y más los de la parte del Technet a menudo nos sorprenden con documentos de una calidad impresionante sobre temas de carácter general en donde Microsoft como empresa de servicios aporta su visión del problema y las soluciones con sus productos.

El documento al que hoy voy a dedicarle este post versa sobre como garantizar el cumplimiento de las regulaciones y requisitos legales en los sistemas de información.

Aunque trata de regulaciones que afectan mayoritariamente al mercado americano por ser legislación específica de su país, otras regulaciones como la norma ISO 17799 son aplicables al resto del mundo. En concreto se tratan las siguientes regulaciones:
- Sarbanes-Oxley (SOX)
- Gramm-Leach-Bliley (GLBA)
- Health Insurance Portability and Accountability Act (HIPAA)
- European Union Data Protection Directive (EUDPD)
- ISO-17799 international security standard

Merece la pena sobre todo la visión y la solución para garantizar el cumplimiento planteada como una guía para satisfacer estos objetivos.Para quien quiera curiosear más que descarge el documento de esta referencia: The Regulatory Compliance Planning Guide Home Page
domingo, 25 de junio de 2006 7 comentarios

Preguntas absurdas de Internet Explorer

Desde hace unas semanas y no se bien a partir de que actualización del Internet Explorer vengo observando la aparición de unas nuevas ventanas de seguridad que realmente no se que sentido tienen.

Si algo me puede es la seguridad absurda, o sea, argumentar por motivos de seguridad la imposición de unas medidas que ni evitan ni reducen ningún riesgo y que solo pueden tener como objetivo dar una "falsa sensación" de seguridad, de que se está haciendo algo aunque sea absolutamente improcedente.
En la siguiente captura pongo un ejemplo de a lo que me estoy refiriendo:

Atención a la pregunta que el lumbreras del programador ha situado en esta mal llamada advertencia de seguridad.
"La pagina Web actual está tratando de abrir un sitio de la lista de sitios de Confianza ¿Desea permitir esto?"

Como usuario normal este tipo de texto no hace nada más que confundirme. ¿Cual es el problema?
a) Si es una ventana emergente, ya la bloqueará IExplorer si lo tengo activo (A elección del usuario) pero entonces que no me muestre una advertencia de seguridad.
b) Si la página actual está intentando abrir otra web pero esta es de mis sitios de confianza, para que me avisa, si ya sabe que la url está etiquetada como "de confianza".
c) Y lo más irritante, ¿por qué repite la misma pregunta varias veces?

Lo más gracioso de todo es que tanto si consiento como si no autorizo, el comportamiento final que percibe el usuario es el mismo. En fin, no soy capaz de identificar por qué ahora cada vez que navego tengo que sufrir semejante interrogatorio pero la molestia es tal que ha conseguido vencer mi resistencia al cambio asi que la propia Microsoft ha sido la que ha conseguido que al final , ¡me paso a Firefox!.

Si alguien puede hacerme recomendaciones sobre extensiones, add-ins o otros complementos que proporcionen información de seguridad estaré muy agradecido. Yo voy ahora mismo a por mi netcraft toolbar.

Añado la captura de pantalla de la ayuda para que veáis que versión de Internet Explorer estoy utilizando por si aclara algo.

sábado, 24 de junio de 2006 0 comentarios

Scandoo, navegación etiquetada

Leo hoy vía Genbeta la aparición de un nuevo servicio de navegación que etiqueta los resultados obtenidos por los navegadores más comunes (Google, Msn Search, Ask, Yahoo! en base a unos criterios de seguridad que el usuario previamente define.

Es bastante útil para purgar de los resultados esas páginas Webs que intentan aprovecharse de la notoriedad de una url o un portal y se camuflan o mimetizan como si fueran el Web original pero albergando contenidos totalmente opuestos.



Aunque quizás no sea algo a utilizar siempre que se salga al ciberespacio, es bastante útil en muchos casos. Podéis experimentar por vosotros mismos a traves de Scandoo.
viernes, 23 de junio de 2006 0 comentarios

Telefónica Empresas, predicando con el ejemplo, ya tiene su SGSI-ISO 27001

Aunque la noticia no es de hoy, la tenía pendiente para comentar. En la Revista SIC de este mes aparece un folleto interno en donde se indica que Telefónica Empresas ha adaptado y certificado el "Sistema de gestión de seguridad de la información de aplicación en sus centros de datos gestionados (CDG) y servicios) contra la norma ISO 27001.

Aunque de estos sistemas lo más importante es ver en concreto el alcance de la certificación, me parece digno de destacar que efectivamente Telefónica predica con el ejemplo, dado que ha decidido certificar el centro de datos que da servicios a empresas. Como proveedor ha querido acreditar con este sello que dispone de un sistema de gestión orientado a proporcionar la máxima seguridad de la información a sus clientes.

Ello, no debemos confundirnos, no significa que nunca vaya a pasarles nada. Simplemente han apostado por un marco de gestión para abordar la seguridad y por tanto, el primer paso ha sido identificar los mayores riesgos potenciales para ahora y poco a poco ir reduciendolos, evitarlos o transferirlos a terceros.

Aunque no he encontrado una nota de prensa en el portal español, si aparece en el siguiente enlace.

¿Qué gana con esto Telefónica Empresas?
Yo creo que mucho por dos motivos:
- En primer lugar, se autoimpone una filosofía de gestión para la parte de servicios quizás más delicada, que es la de servicios de proceso de datos a terceros cuyo objetivo es ganarse la confianza de los clientes en base a pruebas y registros de las actividades de seguridad que desarrollan a diario.

- Por otro, puede permitir que cualquier empresa que albergue sus sistemas de información dentro de sus centros, se beneficien de este sistema de gestión, dado que si el outsourcer te garantiza seguridad, el esfuerzo para la empresa propietaria de los datos para implantar el SGSI se reduce a cubrir todos los procesos que no están subcontratados.

El pensar que algo es más seguro porque tenga el sello ISO 27001 es ya otro debate en el que por ahora prefiero no entrar. Para alguien como yo que lleva creyendo en que la "GESTIÓN" de la seguridad iba a llegar a donde está llegando, es muy importante ver como las empresas de mayor prestigio creen en que la seguridad se gestiona, al igual que la satisfacción del cliente.

Como la seguridad al 100% no existe, al menos empezar a andar por un camino que busca llegar a conseguirlo es mejor que pensar que como nada se puede hacer, mejor esperar a tener suerte y que nunca pase nada.

Los primeros, en caso de incidente, podrán saber que ha podido fallar, que elementos no se contemplaron y aprenderán de ello. Los segundos no podrán aprender nada del incidente porque nada hicieron para evitarlo. Como mucho pondrán solución a la amenaza ya materializada sin saber si es lo único que pudiera pasarles y se quedarán simplemente esperando a no tener tan mala suerte.
jueves, 22 de junio de 2006 2 comentarios

Avast!, Antivirus freeware para usuarios

Ya había recomendado en su momento el AVG como antivirus freeware que cubría todo tipo de espectativas respecto a lo mínimo necesario para una adecuada protección frente a código malicioso, pero hace poco que instalado el Avast y creo que tiene aspectos mejores que el AVG por los que puede merecer la pena el cambio.

Aunque actualmente tengo los dos corriendo simultaneamente dado que no cargan mucho la máquina ni en consumo de CPU ni en memoria (mi equipo tiene 1GB de RAM y 2GHz), Avast! incorpora algunas mejoras a considerar:
- Dispone de módulos para vigilar programas de mensajería instantanea, P2P.
- Vigila los ficheros y código descargado por el navegador.
- Incorpora lo que denominan VRDB ("Virus Recovery Database") que es una base de datos de integridad. Cuando detecta un virus sobre un fichero, recupera el archivo infectado dejandolo en el estado anterior al infectado.Guarda para ello tres versiones de cada documento para producir una vuelta atrás correcta. La base de datos se actualiza cada tres semanas y debido a que necesita recursos para realizar esta tarea, puede activarse que este proceso se realize cuando el usuario lo indique o bien cuando se esté ejecutando el protector de pantalla.

Para quien quiera un análisis algo más exhaustivo y una comparativa de diferentes antivirus, he encontrado un documento mas completo con una comparativa entre diferentes antivirus, comerciales y freeware y como puede leerse Avast está o en la misma posición o por encima del AVG. El documento puede leerse en Comparativas AV-Agosto2005.

La descarga del Avast que es freeware para usuarios, solo requiere del registro del usuario para recibir un código de activación que habrá que ir renovando periodicamente.
El producto puede descargarse en: Avast! 4 Home Edition - Free antivirus software - free virus protection for home PC
martes, 20 de junio de 2006 0 comentarios

El primer SOC de España

Aparece en el Ciberpais una noticia relacionada con la construcción y puesta en servicio del primer SOC (Security Operation Center) español. Fruto de la inversión de S21Sec y Telvent, este centro se destinará a la gestión y control de las amenazas en Internet provenientes de cualquier parte del mundo, la investigación y desarrollo de soluciones más eficientes en la lucha contra al fraude online, y la actuación durante las 24 horas del día ante ataques informáticos contra entidades bancarias, instituciones y organizaciones empresariales de Europa y Latinoamérica además de españolas, y que se integrará en la red mundial de SOCs de la multinacional VeriSign, especializada en infraestructuras inteligentes y seguridad.

Es una iniciativa parecida a la que desde el año 1999 desarrolla Bruce Schneier mediante la compañía Counterpane de la que es Director. En la gestión de la seguridad contempla la monitorización y la reacción inmediata como uno de los más exisitosos caminos para conseguir la reducción del riesgo.

Los detalles del centro que no dejan de ser impresionantes por parecerse a uno de esos edificios con altas medidas de seguridad de esos que vemos en las películas pueden leerse en el artículo de El País en Un bunker para combatir a los piratas o en una nota de la Web de Asimelec en El primer SOC español.


Como nota curiosa, y si prestáis atención al videowall de la foto, podréis reconocer
la Computer Network Defence Operational Picture como ya en su momento posteara en relación a la NSA. Será que las fuentes de información tanto para empresas privadas como para el más común de los internautas son las mismas.

Es de suponer que la diferencia está en que en un centro así, estas pantallas contienen información significativa que se tiene en cuenta para hacer cosas y no simplemente para decorar pantallas.

Quien tenga algo más de tiempo, que recorra las presentaciones de la Web de Counterpane para ver los documentos de Bruce Schneier entorno a la importancia de la monitorización en la reducción del riesgo.
domingo, 18 de junio de 2006 0 comentarios

Copia de seguridad de Drivers

Hoy quiero recomendar un pequeño programa que puede servir en momentos de reinstalación para salvarnos de más de un apuro y no tener que empezar a buscar los CD originales de los drivers de los diferentes fabricantes.

Aunque el programa es pequeño y gratuito, permite identificar todos los drivers instalados en nuestro sistema y hacer una copia de seguridad de cada uno de ellos. Por sencillo no deja de ser extremadamente útil, más teniendo en cuenta que muchas veces nos cuesta un rato identificar el driver adecuado o el ultimo driver que el fabricante ha colgado en la Web. Pues una vez que ese esfuerzo está hecho, con este programa podemos protegerlo.

Como siempre, el software es FREEWARE y puede descargarse en BooZet's Double Driver
miércoles, 14 de junio de 2006 0 comentarios

Explicación de las cabeceras de correo electrónico

Leo vía Kriptopolis una referencia a un documento didáctico que explica como funciona el protocolo SMTP y que significan las cabeceras de los mensajes de correo. De esta manera podemos entender mejor cuando recibamos un correo sospechoso, cuales son sus origenes e investigar el rastro dejando en el envío.
El documento puede consultarse en Reading Email Headers
lunes, 12 de junio de 2006 1 comentarios

Ingeniería social vía memorias USB

Leo por dos vías diferentes la misma noticia relacionada con el uso de la ingeniería social y los dispositivos USB. Ya Bruce Schneier el año pasado advertía de los riesgos en materia de seguridad derivados de la pérdida de este tipo de dispositivos utilizados como medio de transporte de grandes volumenes de información a menudo sensible en el artículo Risk of losing.

Esta semana se hace eco también de una noticia también publicada en Microsiervos en relación a unas pruebas realizadas por una consultora Dark Reading en una auditoría de seguridad informática en donde han utilizado como técnica la ingeniería social y los dispositivos móviles.
La prueba ha sido sencilla. Tal como cuenta Microsiervos, "cogieron veinte memorias USB de propaganda, las llenaron con archivos de varios tipos, incluyendo un troyano que una vez ejecutado en un ordenador empezaría a enviar información a los ordenadores de Dark Reading, y los fueron dejando «olvidados» en el aparcamiento, zonas de fumadores y otros sitios de la empresa bajo auditoría. De las veinte memorias, quince fueron encontradas por empleados de la empresa en cuestión, y las quince terminaron por ser enchufadas en ordenadores conectados a la red de la empresa, ordenadores que en seguida empezaron a enviar datos a Dark Reading que les permitieron entrar en sus sistemas sin ningún problema.

Durante una auditoría de seguridad informática en una empresa que se dedica a conceder créditos en la que los responsables de ésta se mostraron especialmente preocupados por el factor humano y lo fácilmente que en el pasado sus empleados habían revelado claves o compartido información, así como el riesgo de seguridad que suponen las memorias USB, la gente de Dark Reading, la empresa que llevó a cabo la auditoría, consiguió entrar en los sistemas y averiguar todo tipo de información utilizando un truco la mar de sencillo.

La historia completa está en Social Engineering, the USB Way."

No se ya las veces que el factor humano ha sido objeto de post en este blog, pero es que las historias se repiten una y otra vez. Por un lado, desde los responsables de sistemas el atajo al problema pasa por empezar a inventariar y controlar los dispositivos que son autorizados a ser conectados en los sistemas de información de la empresa, pero por otro, todo usuario debe ser a estas alturas conscientes de que si no se permite la ejecución de archivos extraños que llegan por correo electrónico, mucho menos de archivos encontrados sobre dispositivos externos y ajenos.



Como siempre conviene aprender de los errores ajenos, a continuación y gracias al blog Gurú de Informática os adjunto tres brico-consejos de seguridad para evitar los riesgos anteriormente comentados:

PRIMERO: Evitar que suceda. Cómo bloquear dispositivos USB en Windows.
Los dispositivos USB de almacenamiento, son muy prácticos, pero pueden resultar un problema de seguridad, porque nos pueden infectar de virus o porque pueden ser un medio para llevar información critica del sistema, si queremos bloquear el uso de USB en algunas maquinas, como servidores o maquinas que posean información relevante o simplemente un terminal que usan muchos usuarios, aquí les dejo un articulo de la KB sobre como bloquear estés dispositivos en las plataformas Windows XP/2000/2003.


SEGUNDO: Evitar la contaminación de malware. Portable ClamWin
Una versión para llevar del antivirus ClamWin que ocupa 12,4 Mg, es totalmente gratuito y tiene la posibilidad de actualizarse por Internet, yo diría que es un imprescindible para llevar en la memoria o disco portátil USB. Este antivirus es compatible con las plataformas Windows 98/Me/2000/XP/2003. Es capaz de detectar virus y spyware, ademas es bastante rápido y muy eficaz para ser un antivirus portable.

TERCERO: Garantizar la confidencialidad de lo transportado.
A continuación indico varios programas de cifrado que caben en un disco USB y que permiten la creación de unidades virtuales cifradas o el cifrado directo de archivos. Los enlaces sobre los nombres:
-Picocrypt.
-Truecrypt.
-SKS.
sábado, 10 de junio de 2006 0 comentarios

(In)secure Magazine 7

El contenido de este número es:

- SSH port forwarding: security from two perspectives, part one An inside job
- CEO spotlight: Q&A with Patricia Sueltz, SurfControl
- Server monitoring with munin and monit
- Compliance vs. awareness in 2006
- Infosecurity 2006
- 2005 *nix malware evolution
- InfoSec World 2006
- Overview of quality security podcasts
martes, 6 de junio de 2006 0 comentarios

Gestión de log's

Hoy quiero referenciar un documento que aunque no he podido leer en profundidad, por la fuente y la calidad de la documentación que siempre genera seguro que hace las delicias de algunos de los lectores de este blog.

El documento establece recomendaciones y conceptos para hacer una adecuada gestión de log's. No damos suficiente importancia al tema pero los log's son las únicas evidencias en el mundo digital de lo sucedido. Es la ventaja que tiene lo informatizado, que siempre deja rastro. Pero el inconveniente es que estas evidencias deben conservarse con la calidad y seguridad necesarias como para que pudieran ser usada como pruebas en caso de problemas. Por tanto, los log's son una medida de seguridad con doble función: disuasoria para aquel que al saber que dejará rastro no se atreverá a cometer sus fechorías y probatoria en caso de problemas y que los incidentes se hayan producido.
El documento puede descargarse del NIST en el enlace Guide to Computer Security Log Management.
viernes, 2 de junio de 2006 1 comentarios

Guía de seguridad de la información para pymes.

A través del portal Ventana Digital de la Región de Murcia, os podéis descargar la Guía de Seguridad de la información para pymes.
Intenta aportar un enfoque práctico a la problemática de la seguridad en la pyme, tratando de mostrar desde la perpectiva de la gestión del riesgo que existen controles y medidas que pueden ser aplicadas para reducir la exposición a problemas.

El enfoque y orientación técnica aportado por Firma, Proyectos y Formación, S.L. pretende justificar el carácter global del alcance de la seguridad de la información y la importancia que empieza a adquirir en organizaciones donde la dependencia de las tecnologías de la información es alta. Los grupos de controles los hemos segmentado en:
- Controles relacionados con los procesos de negocio
- Controles relacionados con el personal
- Controles relacionados con los sistemas de información
- Controles relacionados con la revisión y auditoría

Tal como se indica y ya he destacado en este blog más de una vez, la seguridad es un proceso y no un producto. Debe implantarse y gestionarse para controlar la incertidumbre y los riesgos.

Se ha tratado de elaborar en un lenguaje claro y desde una perspectiva práctica. Se explican los principales objetivos de cara a la protección de la empresa y los controles recomendados por la norma ISO 17799:2005 "Código de buenas prácticas para la gestión de la seguridad de la información".

Cada uno de los objetivos de control dispone de una serie de controles a implantar, y se ilustra con un ejemplo el por qué de su existencia y que problemas ocasiona no disponer de ellas.

Esperando que sea un documento didáctico y ameno, aquí os dejo el enlace.
martes, 30 de mayo de 2006 0 comentarios

Las obligaciones de los prestadores de servicios de certificación

No quiero ser muy pesado con el tema de los prestadores de servicios pero creo que la gravedad del asunto merece dedicarle la atención debida. El presente post tan sólo pretende aclarar por qué es ta importante cumplir con los requisitos establecidos por la Ley de Firma Digital cuando se están generando certificados, ya sean de usuario o de autenticación de servidor.

La Ley 59/2003, de Firma Digital se supone que establece el marco jurídico para que el uso de certificados digitales y la firma electrónica dentro de los nuevos procesos telemáticos se encuentre garantizado y se realize de forma segura para no tener problemas con la autenticación, integridad, confidencialidad y no repudio de datos y actores.

Tras comprobar cómo existen muchas PKI "de bolsillo" (o por decirlo jurídicamente en terminos adecuados, que se pasan los artículos 18, 19 y 30 por el forro) voy a tratar de mostrar qué es eso tan complejo a lo que estas PKI's tienen miedo.

"Artículo 18. Obligaciones de los prestadores de servicios de certificación que expidan certificados electrónicos.
Los prestadores de servicios de certificación que expidan certificados electrónicos deberán cumplir las siguientes obligaciones:
-No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
- Proporcionar al solicitante antes de la expedición del certificado la siguiente información mínima, que deberá transmitirse de forma gratuita, por escrito o por vía electrónica:
> Las obligaciones del firmante, la forma en que han de custodiarse los datos de creación de firma, el procedimiento que haya de seguirse para comunicar la pérdida o posible utilización indebida de dichos datos y determinados dispositivos de creación y de verificación de firma electrónica que sean compatibles con los datos de firma y con el certificado expedido.
> Los mecanismos para garantizar la fiabilidad de la firma electrónica de un documento a lo largo del tiempo.
> El método utilizado por el prestador para comprobar la identidad del firmante u otros datos que figuren en el certificado.
> Las condiciones precisas de utilización del certificado, sus posibles límites de uso y la forma en que el prestador garantiza su responsabilidad patrimonial.
> Las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
> Las demás informaciones contenidas en la declaración de prácticas de certificación.

La información citada anteriormente que sea relevante para terceros afectados por los certificados deberá estar disponible a instancia de éstos.

Mantener un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida. La integridad del directorio se protegerá mediante la utilización de los mecanismos de seguridad adecuados.

Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro."


A eso le llamo yo montar una PKI digna de confianza.

Para las de bolsillo, (esas que nos estamos acostumbrando a ver y que se presentan con una advertencia de seguridad del navegador dudando de la validez del candado) si hemos de suponer que no pueden demostrar lo anteriormente dicho, pudieramos pensar también que:

- Podrían almacenar o copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios.
-Podrían no tener un método para comprobar la identidad del firmante u otros datos que figuren en el certificado.
- Pudieran no tener registro de las certificaciones que haya obtenido, en su caso, el prestador de servicios de certificación y los procedimientos aplicables para la resolución extrajudicial de los conflictos que pudieran surgir por el ejercicio de su actividad.
- Pudieran disponer de un directorio actualizado de certificados en el que se indicarán los certificados expedidos y si están vigentes o si su vigencia ha sido suspendida o extinguida así como alterar la integridad del directorio cuando les plazca para cambiar los datos de los certificados que les interesen.
- O no garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro, con lo que un certificado digital y una fotocopia de DNI tendrían la misma validez respecto a la comprobación y verificación de la identidad.



¿Asustados? No se vayan todavía aun hay mas.


Artículo 19. Declaración de prácticas de certificación.
1. Todos los prestadores de servicios de certificación formularán una declaración de prácticas de certificación en la que detallarán, en el marco de esta Ley y de sus disposiciones de desarrollo, las obligaciones que se comprometen a cumplir en relación con la gestión de los datos de creación y verificación de firma y de los certificados electrónicos, las condiciones aplicables a la solicitud, expedición, uso, suspensión y extinción de la vigencia de los certificados las medidas de seguridad técnicas y organizativas, los perfiles y los mecanismos de información sobre la vigencia de los certificados y, en su caso la existencia de procedimientos de coordinación con los Registros públicos correspondientes que permitan el intercambio de información de manera inmediata sobre la vigencia de los poderes indicados en los certificados y que deban figurar preceptivamente inscritos en dichos registros.

2. La declaración de prácticas de certificación de cada prestador estará disponible al público de manera fácilmente accesible, al menos por vía electrónica y de forma gratuita.

3. La declaración de prácticas de certificación tendrá la consideración de documento de seguridad a los efectos previstos en la legislación en materia de protección de datos de carácter personal y deberá contener todos los requisitos exigidos para dicho documento en la mencionada legislación."


O sea, ¡EXISTEN UNOS REQUISITOS MÍNIMOS DE SEGURIDAD para poder generar certificados digitales!

(Pensamientos de un informático que dispone de su PKI de bolsillo)

- Pues me han jodío el kiosko. Con lo apañado que estoy yo con mi servidor que hace certificados como churros a todos mis usuarios y los beneficios que eso me reporta. Ahora resulta que este mecanismo tan fiable necesita de seguridad y encima tengo que decirle a la gente qué y cómo protego su certificado. Además ¡tengo que cumplir la dichosa LOPD que está por todas partes!
Pero si lo tengo yo todo bajo control, ¿por qué tengo que darle cuentas a nadie?
¿Es que el juez dudará de mi cuando de presente las pruebas electrónicas de lo que hacen mis usuarios? Pero si soy de fiar, coño. Fijese cuánto que tengo las contraseñas de todos los usuarios porque yo las genero y las guardo. Además soy incorruptible. Jamás se me pasará por la cabeza apuntarle a un enemigo un correo difamatorio o falsificar un documento y firmarlo para que me ingresen en cuenta algunos eurillos, que va... soy lo más honrado que existe.

¡Burrocracia, como complican la vida estos jueces!

(Fin de los pensamientos)

Y lo último por comentar. El Titulo en donde el Estado, como buen padre que vela por el cumplimiento de las leyes se reserva la potestad de revisar y controlar el buen uso de este revolucionario mecanismo de seguridad.


TÍTULO V.SUPERVISIÓN Y CONTROL.

Artículo 30. Deber de información y colaboración.


1. Los prestadores de servicios de certificación, la entidad independiente de acreditación y los organismos de certificación tienen la obligación de facilitar al Ministerio de Ciencia y Tecnología toda la información y colaboración precisas para el ejercicio de sus funciones.

En particular, deberán permitir a sus agentes o al personal inspector el acceso a sus instalaciones y la consulta de cualquier documentación relevante para la inspección de que se trate, siendo de aplicación, en su caso, lo dispuesto en el artículo 8.5 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa. En sus inspecciones podrán ir acompañados de expertos o peritos en las materias sobre las que versen aquéllas.

2. Los prestadores de servicios de certificación deberán comunicar al Ministerio de Ciencia y Tecnología el inicio de su actividad, sus datos de identificación, incluyendo la identificación fiscal y registral, en su caso, los datos que permitan establecer comunicación con el prestador, incluidos el nombre de dominio de internet, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores y será objeto de publicación en la dirección de internet del citado ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

3. Cuando, como consecuencia de una actuación inspectora, se tuviera conocimiento de hechos que pudieran ser constitutivos de infracciones tipificadas en otras leyes, se dará cuenta de los mismos a los órganos u organismos competentes para su supervisión y sanción.



En fin, documentado el tema y explicados los motivos que llevan a garantizar juridicamente el uso y generación de certificados y firmas digitales solo queda llorar ante la triste realidad.

Nos encontramos todos los días con:

- La indisponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro. Tengo configurado el navegador para que SIEMPRE consulte la lista de certificados revocados (CRL) y estoy cansado del mensaje diciendome que no es posible acceder.

- Certificados RAIZ del árbol de confianza en donde no te indican cuales son las prácticas de certificación

- Certificados donde uno no tiene claro quién es la organización asociada al certificado y datos fiables para creer que ese certificado es realmente suyo.

- Certificados de servidor para autenticar una URL y que luego no coincide la que aparece en la página con la que se autentica en el certificado.

Visto todo esto, ¿qué confianza en la Firma Digital esperamos generar? ¿Es confianza poder pintar el dichoso candado en el navegador? ¿Vamos a tener que esperar a las primeras sentencias donde se invalide un trámite administrativo por no cumplir con lo citado en este post para empezar a tomarnos en serio el uso de los certificados digitales?

Parece que este tema lleva el mismo y triste camino que la protección de datos de carácter personal y su reglamento de medidas de seguridad. En cualquier caso, como ya puse en otro post, "El desconocimiento de una ley no exime de su cumplimiento".
domingo, 28 de mayo de 2006 8 comentarios

Esto de la e-Administración es todavía para cogerlo con pinzas...

Acabo de sufrir mi primera experiencia telemática de trato con la e-Administración. Como buen ciudadano acabo hace unos minutos de enviar mi declaración de la renta a través del programa PADRE. Estoy impresionado y aqui agarrado a la silla. Simplemente acojonado.

Acabo de firmar digitalmente la declaración de la renta y para mi sorpresa en ningún momento me ha solicitado eso que "yo solo se y que da acceso a mi clave privada" para firmar. ¿Quién es entonces el enanito escondido en mi PC que ha sido capaz de acceder a mi clave privada sin mi permiso?

Por que lo que si se es que jurídicamente soy responsable de todo aquello que esté firmado con el dichoso certificado. En fin, creo que voy a eliminar el certificado en fichero y hasta que no tenga la dichosa tarjeta y el lector, no voy a arriesgarme a dejar mi certificado en mano de las aplicaciones.

Mal empezamos y mal nos estamos acostumbrando. Esto de firmar digitalmente, si tiene identica repercusión con la firma manuscrita debe ser algo más transparente para el usuario final no entendido en la materia. Debe dar la sensación de control absoluto sobre la potestad de firmar porque en papel cuando uno coge el boli sabe lo que está haciendo (aunque no sea consciente del contenido de lo firmado). Aqui cuando uno instala un certificado no tiene claro qué hacen con "el boli" las aplicaciones y cuando se estampa una firma digital y cuando no. Al menos, cuando el certificado esté en un dispositivo físico si tendremos esa sensación de "boli en la mano".
sábado, 27 de mayo de 2006 0 comentarios

La e-Administración dando mal ejemplo

Esta semana he tenido la suerte de asistir a unas jornadas entorno a la e-Administración celebradas dentro del marco del SICARM que es la feria de las tecnologías de la información de la Comunidad Autónoma de Murcia. Las charlas están grabadas y todas pueden ser consultadas en
esta dirección. Recomiendo sobre todo las del jueves por la tarde.

Quizás por mi deformación profesional que está orientada sobre todo al análisis y la gestión del riesgo, cuando pienso en seguridad no busco que fronteras establecer sino cual es el agujero más probable por el que se puede entrar.

Desde que me dedico a esto, se habla del cambio de paradigma en la forma de hacer las cosas, pasando de lo tangible a lo intangible y de lo físico a lo digital, con la liberación de restricciones que eso supone respecto a espacio y tiempo.

Este cambio sobre todo cultural, debe forzar a trabajar con rigor y seriedad y en este nuevo mundo que estamos construyendo, dos gremios que no han convivido mucho están llamados a trabajar de la mano para establecer las reglas juridico-tecnológicas de este cambio de paradigma.

Hace años se habla de un mecanismo de seguridad que puede (tecnicamente tiene el potencial suficiente) proporcionar garantías sobre la autenticidad, integridad y confidencialidad llamado FIRMA DIGITAL. Pero este Aquiles de la seguridad tiene
también su talón y en el caso de la Firma digital y su uso en forma de certificados la debilidad es no cumplir escrupulosamente con las reglas que hacen que el mecanismo sea digno de confianza.
Además, precisamente para garantizar que esto no ocurra lo primero que se hizo fue definir un marco jurídico robusto que estableciera unas reglas MINIMAS sobre su uso, creación y utilización en la Ley 59/2003 de Firma Digital.


Pues creo que el ser una ley de ámbito tecnológico lleva a que el superman de turno en la organización (el informático) tenga que meterse en donde no nos llaman sin saber la trascendencia de sus actos. Un principio básico de la ley es que su desconocimiento no exime de su cumplimiento. Eso creo que lo sabemos todos.

Sin ánimo de convertir este blog en un foro de denuncia, hay cosas que me preocupan porque precisamente en estos momentos de transición es cuando no podemos hacer mal las cosas y que acostumbremos al usuario a ver como normal la ausencia de medidas de seguridad tales como la no validez de certificados en sitios importantes y mucho más si son de la Administración que es quien regula. Por tanto, he decidido que voy a REGISTRAR los eventos relacionados con la E-Admin en donde NO SE PREDICA CON EL EJEMPLO.

Lo que voy a postear a continuación trae cola...
Primer caso: Ministerio de Ciencia y Tecnología

En esta Web, sección asociada a la Prestación de Servicios de Certificación ocurre la situación (a día 27-05-2006) que a continuación he podido capturar.


Compruebelo usted mismo aquí.

La Web en donde todo usuario debe consultar para saber si una entidad prestadora de servicios de certificación es LEGAL tiene un certificado de servidor que no autentica la url del navegador. O sea, dibuja un candado pero el navegador comienza avisándote que no puede verificar la validez del certificado. Si desconfiamos y no seguimos navegando NO podemos consultar quienes son los prestadores legales en vigor. La primera en la frente. El motivo técnico es simplemente porque han modificado la ubicación del web y se han pasado por alto que la url no se corresponde con la asignada en el certificado. En la captura puede verse como el certificado fue expedido a www10.micyt.es y la url se encuentra situada en www11.micyt.es/prestadores/. Un desliz técnico menor pero de trascendencia grave para el significado del certificado que lo hace carente de valor.

Segundo caso: Real Observatorio de la Armada

El Real Observatorio de la Armada tiene como misión principal el mantenimiento de la unidad básica de Tiempo, declarado a efectos legales como Patrón Nacional de dicha unidad, así como el mantenimiento y difusión oficial de la escala "Tiempo Universal Coordinado" (UTC(ROA)), considerada a todos los efectos como la base de la hora legal en todo el territorio nacional (R. D. 23 octubre 1992, núm. 1308/1992).



Compruebelo usted mismo aquí.

En esta Web (a día 27-05-2006) , en la sección Acceso ROA se proporciona un acceso https con un certificado de servidor "casero", sin registrar. Tal como dice la web anterior del Ministerio de Industria, Turismo y Comercio, la Ley 59/2003, de 19 de diciembre, de firma electrónica establece en su artículo 30, y disposición transitoria segunda, que los prestadores de servicios de certificación deberán comunicar al Ministerio de Industria, Turismo y Comercio, sus datos de identificación, los datos que permitan establecer comunicación con el prestador, los datos de atención al público, las características de los servicios que vayan a prestar, las certificaciones obtenidas para sus servicios y las certificaciones de los dispositivos que utilicen. Esta información deberá ser convenientemente actualizada por los prestadores de servicios de certificación y será objeto de publicación en la dirección de Internet del citado Ministerio con la finalidad de otorgarle la máxima difusión y conocimiento.

Tercer caso: Dirección General de la Policía
El acceso a la web segura de la Policía, en la url https://www.policia.es también presenta en el navegador un aviso respecto a que el certificado raíz es de una entidad emisora de confianza. Como conocedor de estas tecnologías, uno se va entonces al Registro de prestadores y tras aceptar que este certificado tampoco es válido por lo comentado anteriormente, consulta la lista de prestadores de servicios de certificación autorizada por el Ministerio.

Pues bien, la Dirección General de la Policía se encuentra en trámite pero no sale en la consulta de los prestadores ya autorizados (a día 27-05-2006).


Compruebelo usted mismo aquí.


La misión y objetivo de este blog es simplemente mostrar y concienciar respecto a la seguridad de la información. El post de hoy evidencia el acceso a tres sitios de la e-Administración en donde antes de poder acceder, el navegador me indica que la validez del certificado con la que se inicia la sesión https no puede ser comprobada o no reúne los requisitos.

¿Vamos a acostumbrar ya al usuario a usar "siguiente-siguiente-siguiente" sobre los avisos respecto a la validez del certificado cuando por otro lado desde el CATA se indica que toda la seguridad de la navegación está en la comprobación de dicho certificado?

Más rigurosidad y responsabilidad cuando manejemos la seguridad porque la confianza es un activo muy fragil. No la destruyan tan pronto.

Fuente:Web del Ministerio de Industria, Comercio y Turismo

"El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos en términos de competitividad que de ella se derivan exige la generalización de la confianza de los ciudadanos, empresas y Administraciones en las comunicaciones telemáticas.

La firma electrónica es una herramienta fundamental para la mejora de la seguridad de la información y la generación de confianza, dado que permite efectuar una comprobación de la identidad del origen y de la integridad de los mensajes intercambiados en Internet."



Pues que así sea.
 
;