martes, 26 de septiembre de 2006 0 comentarios

Escaner de puertos mediante el parser XML

Se anuncia hoy vía la web de SIFT una nueva técnica de escaneo de puertos basada en utilizar el parser XML para realizar dicha tarea.

La idea básica, por lo que he podido deducir de una lectura rápida del documento, es acceder al parser XML vía el puerto 443 de https, que normalmente todo firewall por muy restrictivo que sea autoriza e interrogar al parser por otros puertos de otras máquinas. Esta técnica es utilizable en cualquier aplicacion que utiliza como entrada documentos XML.

El detalle de esta nueva técnica podéis obtenerlo en el siguiente documento:XML port scanning
miércoles, 20 de septiembre de 2006 0 comentarios

Nuevas tecnologías, nuevas amenazas

Leo una noticia curiosa que como anécdota merece ser reseñada.

Cuando uno está en la fase de análisis de riesgos, cuenta hacer entender al cliente que ,en seguridad de la información, debe tenerse en cuenta lo sucedido y lo que potencialmente puede suceder.

Nunca llevado a los extremos de plantear amenazas como que un avión se estrelle contra el edificio, pero si cosas que por poco cotidianas pueden ser relativamente más frecuentes.

La noticia de hoy puede ser uno de esos ejemplos. La informática móvil facilita mucho el trabajo fuera del entorno laboral, pero está sometida a incidentes propios de la vida cotidiana. Para muestra, el ejemplo de la noticia que enlazo del blog "La Tejedora" titulada “Mi gato se ha meado en el portátil”
martes, 19 de septiembre de 2006 0 comentarios

La calumnia virtual, por Jose Manuel de Prada

Este fin de semana cayo en mis manos el semanal del diario "La Verdad" y normalmente soy fiel a leer las firmas de Perez Reverte y Jose Manuel de Prada. Mientras leía el texto iba encontrando más y más argumentos para justificar la presencia del enlace a su artículo en este blog.

Como con la nueva ley de propiedad intelectual uno tiene miedo a copiar y pegar entrecomillado el texto original, prefiero simplemente indicar cuál es el enlace a seguir para obtener el texto completo. La url donde encontrar el artículo es "Calumnia virtual", por Jose Manuel de Prada.

Ya de paso, también quiero referenciar otro texto que acabo de encontrar y que me parece interesante, respecto a las quejas sobre cómo la protección de la propiedad intelectual se exige de manera unívoca (medios de comunicacion tradicionales frente a Internet) en vez de biunívoca. Porque empieza a ser costumbre ya ver programas de televisión que beben de contenidos de la red pero para desgracia de los autores, solo aparece la url del site en donde se publican.
miércoles, 13 de septiembre de 2006 0 comentarios

Control 8.1.2 de ISO 17799:2005. Selección de personal

Hoy he encontrado un curioso video que me sirve para ilustrar el objetivo que persigue el control 8.1.2 de la norma ISO 17799:2005.

El bloque ocho hace referencia a la gestión del personal y en concreto, el control 8.1.2. habla de los criterios de selección de personal. Por poneros en contexto os recomiendo leer el post de Sergio Hernando a este bloque en el siguiente enlace.


En las recomendaciones de implementación de este control, se indican la importancia de verificar la información aportada por los candidatos en los procesos de selección de personal. Los curriculum son información suministrada por el solicitante, persona interesada en llevarse el trabajo y que muchas veces puede exagerar o magnificar su curriculum. Por tanto, no es descabellado verificar que la información suministrada es cierta. Por un lado, es el momento para informar al solicitante sobre las indicaciones en materia de protección de datos que sean pertinentes.

En cualquier caso, creo que este ejemplo ilustra esos curiosos efectos "pinocho" que aparecen cuando uno busca como sea entrar en un proceso de selección.



Este caso es pura anécdota, pero ¿que ocurriría si el engorde del curriculum lo realiza un empleado que exagera sus conocimientos en administración de sistemas y lo ponemos directamente a manejar los entornos de producción?
martes, 12 de septiembre de 2006 0 comentarios

Troyano bancario captura en vídeo la pantalla del usuario

Desde siempre en este blog he ido indicando que uno de los factores más importantes que orientan el diseño y reproducción del malware es siempre la motivación del atacante para generarlos y el beneficio que ello le produce.

Tal como a lo largo del tiempo he podido analizar, el "ánimo de lucro" está desde estos últimos años en la cima de la motivación del malware, y "por dinero" se es capaz de hacer cualquier cosa. Es lo que se temía, la unión del crimen organizado con los técnicos y expertos en tecnología que ven en esta tendencia una nueva manera de ganar dinero y vivir de lo que saben.

Como siempre, la gente de Hispasec documenta de forma sencilla, completa y didáctica cómo actua este tipo de malware. Como estas cosas siempre se creen cuando se ven, que mejor que enlazar al video demostración de su funcionamiento que podéis encontrar en este enlace.

La documentación técnica con el análisis del malware también está disponible y consultable en este enlace y la noticia completa del blog de Hispasec accesible en Troyano bancario captura en vídeo la pantalla del usuario .

Una vez mas, felicidades al equipo de Hispasec por tan extraordinarios documentos.

Por último, también quiero comentar que llevo ya recibidos dos comentarios anonimos sobre este blog cuyo contenido es spam. Ya tenía activo la moderación de comentarios para evitar en la medida de lo posible tan indeseable fenómeno y Blogger también ha tomado medidas requiriendo ahora en cada comentario la inclusión de un codigo alfanumérico generado por una imagen aleatoria. Parece que este mecanismo de seguridad ya está siendo superado para desgracia de todos...

El post de hoy es un ejemplo más de esta persecución entre quien pone barreras y quien la salta. Hay que pensar en mecanismos de seguridad que sean robustos en diseño y complejos para que no sean superados en poco tiempo. Los teclados virtuales de los portales en banca online ya pueden no ser seguros. Sin embargo, las tarjetas de claves entregadas al usuario (más sencillas, prácticas y jurídicamente más eficaces) todavía aguantan.






lunes, 11 de septiembre de 2006 0 comentarios

11 de septiembre

Cinco años despues de una de las mayores barbaridades del género humano podemos empezar a reflexionar con algo de distancia y frialdad sobre las causas, consecuencias y reacciones para considerar si el camino tomado mejora o empeora el riesgo de volver a sufrir otra catástrofe similar.
Como anécdota o reflexion, utilizando el servicio Google Trends, quiero hoy solamente añadir dos gráficos:

seguridad frente a libertad:
guerra frente a paz:

La doctrina política-militar ha fracasado.
Y, al fracasar, ha demostrado una vez más las limitaciones del poder militar para resolver determinados tipos de conflictos sociales. Esa lección se ha repetido innumerables veces en la historia, pero los neófitos del poder vuelven, una y otra vez, a la equivocada lectura militarista ("terror y pavor") de la doctrina del estratega Sun Tzu, de que "la mejor batalla es la que no tiene que hacerse".





jueves, 7 de septiembre de 2006 0 comentarios

Microsoft USB Flash Drive Manager (Standard)

En relación a otros post dedicados a los dispositivos USB y su seguridad (entendida en esos casos en relación a la confidencialidad del contenido), el software que hoy recomiendo también habla de seguridad pero en relación a la dimensión de la disponibilidad.

La cada vez más presencia de tarjetas de memoria y llaveros USB puede hacernos perder en un momento dado el control sobre qué tenemos y donde lo tenemos.

Para esa problemática, considero interesante la aplicación que voy a comentar: Microsoft USB Flash Drive Manager. Como otras herramientas recomendadas, es freeware (condición necesaria para que la publique en el blog como recomendada).

Permite la gestión de dispositivos usb, permitiendo básicamente hacer copias de seguridad completas de tarjetas y posteriormente poder hacer una restauración. Además lleva un gestor de biblioteca de copia, con lo que podremos disponer de todos los contenidos que hayan sido correctamente respaldados.

Útil tanto para cuando se tiene una única tarjeta y se quiere vaciar y no perder el contenido e interesante también si en algún momento se extravía el llavero USB (no evitará el incidente de seguridad en relación a la confidencialidad de lo guardado si no se ha usado software de cifrado, pero si reducirá el impacto respecto a la disponibilidad al no perder ningún dato).

El software está descargable en Download details: Microsoft USB Flash Drive Manager
miércoles, 6 de septiembre de 2006 0 comentarios

Revista (In) secure Magazine nº8

Ya se ha publicado el número 8 de la excelente revista (In)secure Magazine.

El contenido de este número de septiembre es (en ingles):


* Payment Card Industry demystified
* Skype: how safe is it?
* Computer forensics vs. electronic evidence
* Review: Acunetix Web Vulnerability Scanner 4.0
* SSH port forwarding - security from two perspectives, part two
* Log management in PCI compliance
* Airscanner vulnerability summary: Windows Mobile security software fails the test
* Proactive protection: a panacea for viruses?
* Introducing the MySQL Sandbox
* Continuous protection of enterprise data: a comprehensive approach
lunes, 4 de septiembre de 2006 2 comentarios

Como proteger al usuario interno de la ingeniería social

Que el factor humano tiene un peso importante en seguridad ya lo he podido explicar varias veces en relación a post con ejemplos de cómo se utiliza la ingeniería social para colarse dentro.

Hoy me he llevado una grata sorpresa al encontrar un documento de Microsoft con un informe detallado respecto al tema. En él, se explica cómo defenderse de la ingeniería social. Trata de contemplar todos los factores de riesgo y las opciones que desde un responsable de seguridad se tiene para atajar el problema.

El documento está descargable en el siguiente enlace How to Protect Insiders from Social Engineering Threats

El contenido del documento (en ingles) es el siguiente:
* Social engineering and the defense-in-depth layered model
* Social engineering threats and defense
* Online, telephone-based, and waste management threats
* Personal approaches
* Reverse social engineering
* Designing and implementing defenses against social engineering threats
* Developing a security management framework
* Risk management
* Social engineering in the organizational security policy
* Awareness
* Managing incidents
* Operational considerations
* Security policy for social engineering threat checklists
 
;