martes, 30 de enero de 2007 0 comentarios

Ni la Agencia Tributaria se libra del Phising

Circula hoy una noticia relacionada con el envío masivo de spam y su consecuente phising sobre el portal de la Agencia Tributaria.

Obviamente el ingenio va agudizandose cada vez más y el estafador pretende engañar mediante ingeniería social, reclamando los datos confidenciales desde fuentes de confianza contrastada. Para esos objetivos quien mejor que nuestra Agencia Tributaria, famosa en el mundo entero por sus logros en eso que llaman la "E-Administración".

La noticia solamente es curiosa por el hecho de que quien ha sido suplantado ha sido la propia Administración Pública. Ahora, coincido con el blog donde he encontrado la noticia respecto a que "pruebas" aporta la "Administración Pública" para ser digna de nuestra "ciber-confianza".

Tal como apunta la Bitácora de los Hermanos Carrero, el Estado debería empezar a pensar en una "politica" común sobre la publicación de servicios telemáticos, de manera que el ciudadano pueda sospechar a la primera de cambio cuando crea estar frente a una web falsa o suplantada. Para ello, deberían consensuarse una serie de aspectos:
- Unificar criterios respecto a los dominios y utilizar siempre nuestro .es
- Presentar el certificado de servidor para poder verificar mediante el certificado que estamos entrando en una Web no suplantada y correspondiente con el dominio correcto.

Parece no mucho pedir, pero viendo el poder de reacción y corrección de "otras Webs públicas" y en concreto, la Web con la información de quienes son los prestadores de servicios de certificación homologados por el Ministerio, pues no podemos esperar nada bueno de esto de la e-Administración.

Parecen no hacerse las cosas con la rigurosidad con las que quedan establecidas a nivel jurídico por la ley de Firma Digital, tal como ya denuncié en "La E-Administración dando mal ejemplo" que nueve meses despues sigue igual, con la novedad de que ahora Internet Explorer 7 presenta semejante cartel al acceder a una Web de la Administración Pública.



¡ Administradores del Ministerio de Cincia y Tecnología, hagan honor al Ministerio que dirigen! y sobre todo, no nos dejen sin poder verificar qué instituciones son prestadoras de certificados de confianza porque se están cargando ¡la RAIZ de la confianza a nivel de entidades de certificación!

Si no puedo verificar si un certificado RAIZ es o no legal, no podré confiar en NINGUNO (siempre desde el punto de vista jurídico).

¿Tendremos que acostumbranos a estar en Webs públicas con semejante aspecto?.



Esto no es un tema de navegadores, da igual que sea Firefox, IExplorer 7, el problema está en la no correspondencia entre el dominio y el certificado de servidor que tiene instalado el servidor Web.

El enlace a la noticia detallada del phishing de la Agencia Tributaria puede leerse en Ni la Agencia Tributaria se libra del Phising
1 comentarios

Reutilización y borrado seguro de dispositivos de almacenamiento de datos

Vía Sergio Hernando, llega a mis manos el documento del INTECO sobre el borrado seguro de dispositivos. Ha sido elaborado por el Observatorio de la seguridad de la información y es de agradecer por el público Internet en general que empiecen a elaborarse documentos tan claros y sencillos como este en donde se indican las pautas y el software a utilizar para conseguir el objetivo de seguridad propuesto por el documento. En este caso y en relación al borrado seguro de datos, se pueden buscar diferentes garantías respecto a la calidad del borrado, disponiendo de tres posibles niveles.

1. En un primer nivel se encuentran las técnicas que ofrecen una mayor velocidad pero que proporcionan un menor índice de seguridad. Dentro de éstas se sitúa el método “Super Fast Zero Write”.

2. En un segundo nivel aparecen técnicas que efectúan un borrado más lento, con un nivel medio de seguridad, entre las cuáles estaría el método “Random and Zero Write”.

3. En el tercer nivel se sitúan los métodos avanzados de borrado de datos con un alto nivel de seguridad. Estos métodos se caracterizan porque sobrescriben hasta en 35 ocasiones el soporte, insertando números aleatorios o pseudoaleatorios generados por cada pasada de grabación sobre el elemento. En este caso se aplican modelos matemáticos avanzados para la generación e inserción de información de valor nulo para el usuario, como el “método Gutmann” o el “DoD 5220.22-M”.

Respecto a las herramientas gratuitas que pueden utilizarse a tal efecto, están las siguientes:


El documento completo puede descargarse en Reutilización segura de dispositivos de almacenamiento.
lunes, 29 de enero de 2007 0 comentarios

Consejos sobre el tráfico ilegal de datos

Tal como ayer se hicieron eco algunos medios de comunicación, se celebró el Día europeo de la protección de datos.



Vía el blog CON C DE ARTE y como recordatorio de que ayer fue el Día Europeo de la Protección de Datos, adjunto este comic con algunos consejos prácticos para proteger nuestra información personal del tráfico ilegal de datos.

jueves, 25 de enero de 2007 0 comentarios

Reforma del código penal y los ciberdelitos

Tenía pendiente comentar una noticia que ha estado dando vueltas por la Web y que he podido leer a través de Microsiervos. El llamativo titular hace referencia a Los «hackers» entran en el Código Penal. El borrador del nuevo texto puede descargarse a través del siguiente enlace. Esta reforma pretende dar respuesta a la Decisión Marco 2005/222/JAI del Consejo de la Unión Europea de 24 de febrero de 2005 por la que el legislador español tenía que incorporar a su legislación penal diversos delitos de acceso ilegal a los sistemas de información, intromisión ilegal en los sistemas de información e intromisión ilegal en los datos, "al menos en los casos que no sean de menor gravedad".

He podido leer a través de dos webs diferentes que referencio al final del artículo opiniones respecto al nuevo borrador de código penal que pretende contemplar las estafas producidas mediante medios informáticos como el phishing o el pharming, la denegación de servicio sobre sistemas de información y donde aparece el término hacker en la exposición de motivos.

En concreto, el artículo 248 dice literalmente "También se consideran reos de estafa: a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo."

Respecto a los delitos por daños informáticos, el nuevo artículo 264 queda redactado en su apartado 2 como "El que sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema de información ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, será castigado, atendiendo a la gravedad del hecho,
con la pena de prisión de seis meses a tres años."

Otra de las novedades radica en la nueva redacción del artículo relacionado con el acceso no autorizado, quedando el artículo 197 con el siguiente texto "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años".

Esto descarta por ejemplo el escaneo de puertos como delito, pero SI que incorpora el acceso a la información cuando se vulneran las medidas de seguridad.

Aunque esta reforma supone un avance respecto a las garantías jurídicas proporcionadas en materia de ciberdelitos, aparece ahora un nuevo problema. Como bien se sabe, no hay delito si no hay pruebas y es ahí donde aparece ahora el problema técnico.

¿Son recabadas las evidencias digitales con suficientes garantías como para constituir una prueba en un juicio?

Esta problemática se refleja dado que El 77,8% de los juristas europeos consultados, entre los que se encuentran los españoles, reclaman que se establezca un marco normativo europeo específico que regule la prueba electrónica para combatir el ciberdelito en empresas e instituciones.


Empresas especializadas como Cybex ya estan ofreciendo servicios de análisis forense y recogida de evidencias digitales con garantías suficientes para poder ser aportadas en juicios.

Las referencias al blog y Web respectivamente de dos bufetes de abogados especializados en tecnologías de la información.
martes, 23 de enero de 2007 0 comentarios

Como esconder archivos RAR en imagenes JPEG/JPG

Por casualidad, ojeando un poco lo ultimo publicado en Meneame relacionado con la seguridad, he dado con un metodo curioso y sencillo de ocultar ficheros comprimidos en una imagen. Ojo, no se trata de usar software de esteganografía sino algo más cutre como es copiar los dos archivos sobre la imagen.

Me falta por probar qué dicen los antivirus de esto pero por sencillo, me parece muy interesante. El detalle del truco podéis verlo en El Geek: como esconder archivos RAR en imagenes JPEG/JPG
0 comentarios

Hackeador hackeado ...

Leo vía Un informático en el lado del mal y Port 666 de Mercé Molist que la Web Zone-h ha caido estas navidades.

Tal como bien relata Mercé Molist "Zone-h, la principal base de datos pública de páginas web "hackeadas", ha vivido en propia carne el ser víctima de los "hackers". El incidente se produjo durante las fiestas navideñas. Los expertos han alabado el modus operandi de los intrusos, por su pericia y demostrar la importancia del elemento humano en seguridad informática.

Zone-h es un repositorio que contiene más de dos millones de copias de "web defacements" de todo el mundo. Así se llama a la acción de entrar ilegalmente en un sitio web y cambiar su portada, poniendo textos reivindicativos o, simplemente, un "Juanito estuvo aquí". En esta ocasión, los autores fueron "Cyber-Terrorist" y "z3r0 To z3r0", supuestamente desde Arabia Saudí.

Zone-h se lo tomó con espíritu olímpico y publicó en su web no sólo la copia de la página que sustituyó su portada por unas horas, sino también el relato de cómo se hizo el ataque: el gestor de contenidos de Zone-h tiene una utilidad que manda una nueva contraseña, en caso de haberla olvidado. Los intrusos conocían la dirección de correo de uno de sus colaboradores y pidieron al gestor que le mandase una.

El siguiente paso fue entrar en la cuenta de correo del colaborador, aprovechando un despiste suyo que les permitió explotar un fallo de Hotmail, y coger la contraseña. Con esta, entraron en el gestor de Zone-h y consiguieron el control del sitio. Zone-h no había sufrido un "defacement" desde el año 2002, cuando se inauguró el servicio, aunque periódicamente sufre bombardeos cibernéticos. Tumbar este legendario sitio es un reto para cualquier "cracker" con ansias de gloria."

A esto se suma que el propio Kevin Mitnick también ha "caido". Un grupo de crackers paquistaníes destrozó el 23 de enero las webs de 4 empresas de Kevin Mitnick, en lo que aparenta ser un ataque personal. Los sitios defensivethinking.com, mitsec.com, kevinmitnick.com y mitnicksecurity.com se han defaceado con mensajes ofensivos contra su persona. La noticia puede leerse en Zone-H España - Kevin Mitnick hackeado por un paquistaní

Esta claro que para esta gente, el afán de popularidad, la notoriedad y el reto que supone tumbar "Webs" emblemáticas siguen siendo las principales motivaciones.
lunes, 22 de enero de 2007 0 comentarios

Principales claves para implementar ISO 27001

En la revista ITAudit aparece un breve artículo respecto a los principales puntos a contemplar a la hora de abordar una certificación ISO 27001. A continuación resumo los puntos más destacados:

- Identificar los objetivos de negocio: el propósito de la certificación es garantizar la gestión de la seguridad sin olvidar que esto debe contribuir al desarrollo de los servicios o procesos de negocio. La seguridad debe alinearse estratégicamente con la actividad de la organización para darle un mejor soporte y robustez.

- Seleccionar un alcance adecuado: El esfuerzo en la implementación será proporcional al tamaño del sistema a construir. En muchos casos, no es necesario extender el SGSI a toda la organización sino centrarnos como primer paso en el corazón de la gestión donde se concentra la mayor parte de las actividades relacionadas con la gestión de información, que suele coincidir con las áreas de sistemas de información o con algún departamento donde la seguridad de la información que se gestiona es crítico para el desarrollo de las actividades de negocio.

- Determinar el nivel de madurez ISO 27001: Debemos identificar en que estado de madurez se encuentra la organización para identificar el esfuerzo que habrá que hacer en la implantación. No va a ser igual en organizaciones que ya han pasado previamente bajo los procesos de certificación de calidad que aquellas que empiecen desde cero y no se encuentren acostumbradas a la gestión de la mejora continua.

- Analizar el retorno de inversión: Es muy importante demostrar que el esfuerzo realizado no será un gasto sino una inversión y que tras implantar los procesos de gestión, se conseguirán efectos colaterales que supondrán un retorno de inversión a considerar. Es dificil justificar el ahorro por los incidentes no producidos, pero al menos, si es viable demostrar con indicadores que los indices de incidentes se han reducido.


Artículo complento en IT Audit - The Institute of Internal Auditors
viernes, 19 de enero de 2007 0 comentarios

PC repair, un kit de emergencia en solo 32 megas

Este kit ha reunido un conjunto básico de herramientas gratuitas que te permiten la reparación del PC en caso de emergencia o al menos, la recuperación del máximo de información de una reinstalación del sistema operativo y de sus programas.

PC Repair System es una colección de programas gratuitos o de código libre que caben en una memoria USB. Tan solo tenemos que descomprimirlo en una unidad de este tipo, y poder usarlos en cualquier ordenador, sin necesidad de tener que instalar nada.Su contenido es:

Descarga: PC Repair System
jueves, 18 de enero de 2007 0 comentarios

Servicio de recuperación de contraseñas, por Dilbert

La tira de Dilbert es bastante significativa y hace un chiste sobre un tópico en relación a lo triviales que suelen ser las contraseñas de usuario.




También añado esta foto que pude hacer en la entrada de un edificio donde se molestan en poner un dispositivo biométrico pero añaden una etiqueta DYMO para los olvidadizos... un ejemplo de que el tópico de la contraseña en el post-it al lado del PC sigue siendo algo muy cotidiano y real.


miércoles, 17 de enero de 2007 0 comentarios

Enisa Quarterly, numero de Enero



Ya se ha publicado el número de enero del ENISA Quarterly, el boletín de seguridad elaborado por la Agencia Europea de Seguridad. Los artículos de este número son:


  • Information Security and Externalities, de Bruce Schneier



  • Enabling User Confidence, de Andrew Cormack



  • Computer Viruses, de Jaak Akker



  • Security and Dependability, de Stephan Lechner y James Clarke



  • What can we achieve with Information Security Certification? de Carsten Casper



  • ENISA’s Roadmap for Contemporary and Emerging Risks, de Jani Arnell



  • ENISA Authentication Language Workshop and Interest Group, de Giles Hogben



  • Strategy to Improve Internet Security in Sweden, de Anders Rafting



  • e-discussion on e-security in Poland,de Krysztof Silicki y Mirsolaw Maj






    martes, 16 de enero de 2007 0 comentarios

    Control 12.6.1. Gestión de las vulnerabilidades técnicas

    Dentro del capitulo de controles relacionados con la seguridad informática, el bloque 12 en su apartado 6 habla de gestionar y controlar las vulnerabilidades técnicas que pudieran suponer un riesgo.

    Para lograrlo es necesario básicamente dos cosas:
    1.- Contar con un buen inventario de activos de información, identificando para cada uno de ellos si son elementos tecnologicos, su sistema operativo y aplicaciones instaladas.
    2.- Disponer de fuentes de información técnica que informen sobre las vulnerabilidades descubiertas.

    Para este segundo aspecto, es interesante contar con buenas fuentes de información que actualicen al responsable de seguridad de las vulnerabilidades publicadas para que valore si tienen un potencial impacto y tome medidas. En mi opinión, lo más cómodo y práctico es disponer de una lista o cuenta de correo interno, independiente de la personal, donde se reciban boletines y servicios de alarma de aquellos sistemas que tenemos que vigilar.

    A continuación voy a proporcionar algunos recursos interesantes a utilizar como fuentes consultables vía RSS o mediante suscripción por email.
    Estos son algunas urls interesantes de organismos independientes que informan sobre vulnerabilidades:


    Iré ampliando esta información con las urls nuevas que encuentre o bien me lleguen a través de comentarios las iré incorporando al post.
    sábado, 13 de enero de 2007 0 comentarios

    Entrevista a Artemi Rallo, futuro director de la AEPD

    Aparece en el Diario Levante una entrevista al futuro director de la Agencia de Protección de Datos, tras aprobar el Consejo de Ministros su propuesta de nombramiento.

    Como todos sus antecesores y a juzgar por sus declaraciones, este nuevo director va a ser tan riguroso en la aplicación de la LOPD como los anteriores. Tal como apunta en la entrevista relación a la protección de datos y citando textualmente "Ocurre porque los ciudadanos en general aceptan agresiones a sus derechos, aceptan una cierta restricción a cambio de tener, por ejemplo, una mayor seguridad en espacios públicos. Es decir que falta concienciación ante determinados abusos. Falta mucho en ese campo de la concienciación. Repito que se aceptan sin más agresiones a derechos. Estamos en la sociedad de la información y la comunicación y hay que tener mucho cuidado. En 2005 se impusieron 21 millones de euros en sanciones por vulneración de derechos sobre privacidad."

    La entrevista integra puede leerse en el siguiente enlace: Entrevista a Artemi Rallo
     
    ;