jueves, 29 de marzo de 2007 0 comentarios

Gestión de eventos de seguridad

Hoy quiero referenciar un documento que aparece publicado en Infosecwriters, que como de costumbre, no suele tener desperdicio.
El tema desarrollado es la gestión de eventos de seguridad. En el desarrollo de mi labor profesional como consultor de seguridad de la información, y ultimamente en los proyectos de construcción de SGSI, vengo observando la poca concienciación que existe respecto a la potencia de la monitorización y sus efectos preventivos.

En general, en la fase de análisis de riesgos que es cuando toca hacer estimaciones de las amenazas y su frecuencia, no suelen existir registros históricos de incidencias o si los hay, solo se anotan las que afectan a la disponibilidad.

La monitorización y su correspondiente gestión de incidentes es un arma poderosa a corto y largo plazo por dos motivos:
- A corto plazo, la detección inmediata puede remediar o evitar daños mayores que con el tiempo pudieran ser dramáticos. Por ejemplo, vigilar que las copias de seguridad se realizan bien todos los días puede prevenir que cuando se tengan que utilizar por un problema gordo sea cuando comprobemos que llevabamos días o meses copiando información corrupta. La detección inmediata de tráfico saliente anómalo puede limitar la difusión de malware si esta es la causa que lo genera.

- A largo plazo, proporciona información real, tangible sobre cuales son las dolencias en materia de seguridad de nuestro sistema de información o nuestra organización. Saber cuantos usuarios piden renovar o resetear su contraseña, cuantos borran accidentalmente documentos o cuantos bloquean el acceso por superar el número de reintentos sin éxito puede ser un buen indicador de que nuestra política de control de acceso no funciona o nuestro personal no está bien entrenado. Por tanto, es información de campo que sirve de materia prima para que nuestro diagnóstico interno de las problemáticas más importantes a resolver sea algo menos intuitivo y más próximo al día a día.

El documento que habla de los criterios básicos para disponer de una gestión de eventos de seguridad (Security Event Monitor, SEM) y las diferentes estratégias a utilizar para disponer de la información justa pero necesaria, relevante y significativa. Tener log's por tenerlos no tiene sentido si no somos capaces de explotar la información que nos proporcionan.

Este documento proporciona pistas sobre cómo abordar una correcta vigilancia de la seguridad y podéis descargarlo en Methods and tactics for avoiding failure in large SEM implementations.
miércoles, 28 de marzo de 2007 1 comentarios

La psicología de la seguridad

Vía los comentarios de ISO27000.es, he podido llegar al blog de Joseba Enjuto del que no tenía conocimiento pero que tras visitar ayer añado a mis enlaces a chequear de forma habitual. Muy centrado en la gestión en la parte de la seguridad, tiene post muy interesantes y una visión práctica del tema que aporta conocimientos de los que aprender.

En concreto, he llegado a él a través de la traducción del artículo de Bruce Schneier que habla de la "Psicología de la seguridad". En él, intentan explicarse cómo influyen aspectos psicológicos a la hora de tomar decisiones y de valorar el estado de la seguridad de las cosas.
Como indica Joseba, "el texto versa sobre las diferencias que existen entre la seguridad real, calculable matemáticamente, y la percepción que las personas tienen sobre dicha seguridad, que está afectada por factores subjetivos. Esto refleja los problemas que pueden ocasionar las divergencias entre la seguridad real y la sensación de seguridad, ya que pueden llevar a valorar de forma errónea riesgos y contramedidas hasta el punto de sentirnos inseguros en una situación segura, y viceversa."

Posteriormente el artículo profundiza en las distintas causas que pueden provocar estas divergencias, y realiza un análisis de cada una de ellas aportando una gran variedad de ejemplos y estudios que las ilustran. Sin embargo, de todo el contenido del artículo me quiero quedar exclusivamente con el resumen que hace Joseba Enjuto del mismo:
  • El primero, que la seguridad real y la sensación de seguridad son dos cosas distintas, y que pueden existir importantes divergencias entre ambas provocadas por factores subjetivos.

  • El segundo, que para conseguir seguridad es necesario realizar concesiones, que podrán ser de distinto tipo (dinero, funcionalidad, libertad, conveniencia, ...).

  • El tercero, que las concesiones deberían ser proporcionales a la seguridad real que conseguimos con ellas, pero que este cálculo se complica al existir diferencias entre la concesión real y la concesión percibida, derivadas de sobrevalorar o infravalorar las contramedidas.

  • El cuarto, que distintas herramientas como la economía del comportamiento, la psicología de la toma de decisiones, la psicología del riesgo y la neurociencia pueden ayudar a explicar las divergencias entre la realidad y la percepción, identificando las tácticas que utiliza la mente humana para desarrollarlas.

  • Y el último, que estas tácticas pueden ser utilizadas "para el bien" o "para el mal", aprovechándolas para ajustar la percepción a la realidad, para conocerlas y superarlas o para forzar la percepción de determinados riesgos o contramedidas en función de intereses ilícitos.


  • El texto completo con la traducción de Bruce Schneier puede leerse en SeguridadDigital.info en el enlaceLa psicología de la seguridad, por Bruce Schneier.
lunes, 26 de marzo de 2007 0 comentarios

LogProtect, control parental

Uno de los tipos de aplicaciones de seguridad más interesantes en el entorno doméstico son las de control parental.

Internet permite el acceso a todo tipo de información, pero dado que la edad del navegante es cada vez menor, los padres deben preocuparse en el uso y los hábitos de navegación de sus hijos. Para ello, las aplicaciones de control parental limitan y restringen el acceso a ciertos contenidos. Aunque estas aplicaciones están todavía muy limitadas, al menos proporcionan un servicio básico de control.

Hoy quiero referenciar la aplicación Logprotect que referencia Daboweb y para la cual hay disponible un manual de configuración. La aplicación puede descargarse en LogProtect y el tutorial de la última versión estable y totalmente funcional del programa en este enlace. Hay también una demo online accesible pero en francés.
viernes, 23 de marzo de 2007 0 comentarios

VMware ataca ahora con los escritorios virtuales

La centralización en labores de administración de sistemas y de puestos de trabajo ha proporcionado mejoras en materia de seguridad, dado que permite el control de los PC de trabajo.

En esta filosofía del control centralizado, los sistemas operativos como Windows 2000 o 2003 y las políticas de escritorio habían hasta ahora ganado la batalla, dado que de manera sencilla permiten controlar un extenso parque de PC que se someten a las directrices de seguridad establecidas para el dominio.

Pues bien, frente a esta situación, aparece ahora VMware ACE2 que con identico potencial en cuanto a la gestión centralizada, nos ofrece nuevas ventajas nada desdeñables:
- Gestión y control de los equipos clientes PC al homogeneizar su configuración.
- Control sobre el equipo PC que siempre se encuentra en las condiciones base.
- Seguridad del contenido al disponer de estas máquinas como archivos cifrados.
- Disminución de los costes de recuperación.


Para quien no se situe y quiera examinar los diferentes escenarios donde este producto encaja, puede ver la información suministrada en VMware ACE o con esta completa e interesante animación Flash.



La información del producto puede obtenerse en VMware ACE 2 Preview.
martes, 20 de marzo de 2007 0 comentarios

Polémica entre revistas por una foto robada de Elsa Pataky en 'top less'

La actualidad viene proporcionandome ultimamente reflexiones entorno a la temática del blog bastante curiosas. Hoy quiero hacerme eco del escándalo entorno a las fotos de Elsa Pataky y su relación con la seguridad de la información.

La trifulca ha sido generada por la publicación de Interviú de unas fotos de Elsa Pataky como su madre la trajo al mundo. El problema generado por las dichosas fotos gira entorno a la anticipación por parte de Interviú de su publicación, la ruptura de las condiciones que Elsa Pataky pactó para dejarse fotografiar por Elle y el supuesto "robo" de dicho material.

Esta claro que este incidente es catalogable dentro de los atribuidos a la "seguridad de la información". Podemos reconocer dentro de este asunto diferentes amenazas:
- Fugas de información por parte de personal de Elle (si el hecho se ha producido) en relación a la realización de este reportaje y su ubicación.
- Robo de información por parte del personal de Interviu o personal que prestase servicios a la gente de Elle si no han realizado las fotos y han "mangado" el material de preproducción de Elle.

Según la nota de prensa publicada por Elle sobre el tema, confirma que las fotos "robadas" a Elsa Pataky y publicadas en Interviú, se realizaron para una portada de belleza sin su consentimiento ni el de la actriz.

Aunque el asunto parece de guasa o curioso al menos, el daño a la Revista Elle puede ser notable. Como aclara la nota de prensa, el objeto de la sesión de fotos de Elsa Pataky era elaborar el numero especial "Cuerpo y mente OK". Este numero especial para el que han posado diferentes modelos, como explica Elle, lo han hecho "Desde el prestigio y la confianza que da saber que ELLE ha sido pionera en apostar por el desnudo artístico como testimonio de belleza y salud. Sólo bajo estos criterios, y desconociendo la presencia de fotógrafos ajenos a nuestra producción, Elsa Pataky –premiada en la última edición de nuestros Premios Estilo como la actriz con más proyección internacional– posó en la playa privada del hotel Paraíso de la Bonita (en Cancún, México) hace once días y no el año pasado como se viene diciendo en los medios de comunicación tras la reciente publicación de la revista Interviú de unas fotografías robadas mientras realizábamos dicha producción de belleza, sin nuestro consentimiento, ni el de la actriz."

Por tanto, tanto la confianza de las modelos en Elle, como el prestigio de la revista y su imagen pública se han visto dañados por este singular incidente. Estos serían los impactos causados directamente a Elle, que podrían ser calculados en términos económicos y valorados como pérdidas.

Ahora vamos a la parte de ingresos por parte del autor del reportaje y de sus beneficiarios directos por los efectos colaterales causados. La revista Interviú ha elaborado una portada que con este escándalo ha tenido una repercusión mediatica notable y que por tratarse de uno de nuestros mayores "sex symbol" y un bellezón de mujer, seguro que va a generar unas ventas "historicas" de la revista al entrar en la galería de sus portadas míticas. Por tanto, el beneficiado indirecto de este incidente de seguridad, la revista Interviú, va a generar unos ingresos notables que seguro superan el coste del material comprado.

Por otro lado, el supuesto "ladrón" del material fotográfico, también habrá recibido una notable recompensa económica por dos motivos: la calidad del material obtenido y el impacto mediatico que algo así genera, puesto que Elsa Pataky cuida mucho su imagen profesional y mide al milimetro el tipo de posados que realiza y para que revistas lo hace. La portada de Interviú en nada comparte los objetivos y valores para los que Elsa Pataky prestó su imagen y cuerpo en relación a la publicación del numero especial "Cuerpo y mente OK" como puede verse por el titular y foto de la portada de Interviú si los comparamos con la imagen que iba a publicar Elle. En cualquier caso, el "animo de lucro" motivará a otros profesionales a realizar hazañas similares siempre que puedan dado que las recompensas garantizan la rentabilidad del esfuerzo.

Ahora tocará ver como se resuelve este entuerto para los diferentes afectados: Elsa Pataky y la revista Elle. Lo que nadie puede remediar es la repercusión mediatica del incidente y los valores de la revista Elle ya afectados (Imagen y confianza) de los que se hacen eco las portadas de diferentes revistas y Webs:

Como efectos colaterales y en relación a la disponibilidad del sitio Web de Interviú, es tanta la espectación y demanda del material fotográfico que el asunto ha tumbado los servidores como se hace eco la noticia Elsa Pataky tumba la web de Interviú.
jueves, 15 de marzo de 2007 0 comentarios

Recopilación de RSS de seguridad

Vía el blog de Arbor Networks Security Blog he podido descargarme una recopilación de RSS de Seguridad. Yo ya disponía de los mios, pero la lista que proporciona Jose Nazario en este blog es de lo más completa. Aunque la lectura de RSS suele ser mi principal fuente de información, el volumen de enlaces que tengo actualmente ya me desborda y solo puedo consultarlos de vez en cuando. Para ello, he seleccionado los que más me gustan y los he añadido a la pagina personalizada de Gooogle, para tener al menos información diaria de los más importantes.
Las fuentes no están clasificadas pero hay de todo, información sobre incidentes, patrones antivirus, centros de alerta temprana, blogs de opinión en materia de seguridad, etc...

El fichero puede descargarse en: Fichero INFOSEC-OPML.
martes, 13 de marzo de 2007 1 comentarios

Trashing, el reciclaje y las ratas de basurero

No suele ser frecuente que de las lecturas del periodico o de sus semanales pueda extraer algo para publicar en el blog, aunque de vez en cuando ocurre.

Como fiel lector de la sección de Arturo Perez Reverte, cartagenero ilustre como yo (cartagenero también pero nada ilustre), este fin de semana su texto dejaba entrever algunas reflexiones entorno al reciclaje, que yo paso a reutilizar como argumentos en relación a la seguridad de la información y la protección de datos de carácter personal.

En concreto el artículo a leer, previo a este post puede encontrarse en Arturo Perez Reverte:Reciclaje, ayuntamientos y ratas de basurero. Como no me mantengo al día respecto a la utilización de textos con propiedad intelectual, mejor leer el original.

En concreto, Arturo Perez Reverte desconoce que ha sido objeto de una técnica conocida como Trashing y que es una fuente de información notable cuando se investiga o recaban datos de un tercero.

En su caso, el objetivo de dicho trashing ha sido obtener objetos sin valor para Arturo pero que a terceros pudiera ser de interés. La motivación principal de estos carroñeros ha sido el ánimo de lucrarse aunque cuando se trata de incidentes de seguridad en organizaciones u empresas, el trashing suele ser la manera de obtener datos para posteriormente ir a mayores (robo, intrusión en los sistemas de información u otros incidentes).

La medida "inconsciente" que Arturo parece haber utilizado ha sido complicar un poco más la tarea a los supuestos recolectores de basura, aunque no se yo si va a ser eficaz. Lo mismo un manuscrito de Arturo Perez Reverte, con el olor de unas lentejas cocinadas en su casa cotiza más que el manuscrito original. En cualquier caso, si en algo sirve mi humilde opinión, lo más adecuado es una sencilla destructora de papel que tienen ahora precios muy asequibles y que aun generando el mismo desecho, si que le complica a los carroñeros su trabajo dado que tienen que jugar a hacer puzzles de cien piezas con cada hoja que encuentren si consiguen averiguar el orden y la hoja de cada trozo, algo que es casi imposible de reconstruir.
viernes, 9 de marzo de 2007 0 comentarios

La AEAT también tiene problemas con su candado

Esto de la autenticación de servidor empieza a dar los primeros quebraderos de cabeza a los administradores de sitios Web. Es cierto que todas las recomendaciones de seguridad al usuario final insisten en la necesidad de comprobar la autenticidad de la página consultando el candado.

Si bien, el protocolo SSL es interesante para garantizar la seguridad de los datos en tránsito, no menos importante actualmente es autenticar el dominio al que se accede. Para ello, la solución técnica es generar un certificado de servidor asociado al dominio que se aloja. De esta manera, tenemos pruebas de que no estamos siendo víctimas de phishing, pharming, y otras amenazas basadas en la suplantación de identidad.

Parece que la gestión de dominios y su correspondiente certificado de autenticidad es un problema cuando se albergan las páginas Webs en sitios preparados para soportar grandes avalanchas de usuarios. En concreto, el problema que me ha comentado un compañero es con el acceso https de la nada mas y nada menos Agencia Tributaria, uno de los mejores referentes españoles en esto de la E-Administración.

Imagino que tratarán de resolverlo pronto, porque con las nuevas funcionalidades de Internet Explorer 7, como ya comenté, cualquier problema de autenticación se muestra al usuario poniendo la barra de dirección en rojo y hace desconfiar. En concreto, aquí están las capturas de lo que ocurre al acceder a https://www.aeat.es.


El problema se debe al certificado instalado como puede verse.

Con Firefox, la cosa tampoco es muy diferente. Se presenta un mensaje de advertencia al usuario.

Los mensajes en relación al problema si son algo diferentes.
jueves, 8 de marzo de 2007 0 comentarios

Backtrack, la distribución Linux orientada a la auditoría de seguridad.

Leo hoy la creación de una nueva distribución de Linux orientada a la realización de auditorías de seguridad y test de intrusión. Es el resultado de mezclar otras dos distribuciones ya famosas en el mundillo de la seguridad, Whax y Auditor.
BackTrack está basado en Slackware y utiliza el Kernel 2.6.20. Ha sido clasificada por parte de Insecure.org como la mejor distribución Live CD de seguridad como puede verse aquí.
Entre las características de la nueva versión, se destacan:
- Soporte wireless.
- Integración con los frameworks Metasploit2 y Metasploit3.
- Alineado con los marcos metodologicos ISSAF y OSSTMM.
- Diseñado para ser manejado por diferentes niveles de usuarios desde novato a experto.


Descarga: Distribución BackTrack en Remote-Exploit.org
martes, 6 de marzo de 2007 0 comentarios

ISO 27001 e ISO 27004

Alejandro Corletti vuelve a publicar un PDF para su libre descarga sobre la ISO 27001 y la 27004. En el comenta como van a encajar la gestión de la mejora de la seguridad en base a los requisitos de medición y valoración de los resultados obtenidos tras la fase de tratamiento de riesgo. Según su autor; "Se trata de la forma en que se deben realizar las mediciones sobre el estándar ISO 27001. En este artículo se presenta una introducción, una descripción del borrador ISO 27004 y las conclusiones de lo que permite el trabajo entre ambos. Es importante considerar esta norma a la hora de comenzar a diseñar un SGSI, pues es la forma de determinar qué puedo o no medir"

El documento se puede descargar en ISO 27001-ISO 27004.
lunes, 5 de marzo de 2007 1 comentarios

Internet Explorer 7 y la gestión de certificados digitales.

Vengo observando desde la instalación de Internet Explorer 7 un curioso comportamiento respecto al acceso mediante protocolo https cuando el certificado del servidor no es un certificado raiz de "confianza".

Curiosamente la Ley 59/2003, de firma electrónica establece en el artículo 5 que "La prestación de servicios de certificación no está sujeta a autorización previa y se realizará en régimen de libre competencia."

Desde este blog ya he comentado en ocasiones los requisitos establecidos a todo prestador de servicio respecto a la obligación de documentar sus prácticas de certificación. Hoy los tiro no van por ahí sino contra las restricciones que establece Internet Explorer 7 cuando se utilizan "certificados de otra confianza". Ya se que siempre está la opción de usar otro navegador, pero lo que vengo a comentar es lo que pasa en Internet Explorer 7. Cuando uno accede a un servidor con un certificado de dominio diferente de los que vienen en el contenedor de certificados del propio navegador aparece un mensaje como el siguiente.



Si bien este mensaje advierte al usuario del potencial peligro que puede suponer el acceso dado que el certificado no puede ser verificado, no es lógico por otra parte el comportamiento que he detectado. Un usuario u organización pueden decidir libremente en confiar en los certificados raiz que les plazcan

Una vez que uno es consciente de que el certificado no está entre los instalados por defecto, puede considerar que el certificado raiz merece su confianza e instalarselo en el navegador. Esto ocurre normalmente en PKI internas que han generado su propio certificado raiz y sobre el han construido el arbol de confianza de todos sus certificados para usuario o equipos. Pues bien, aunque nos instalemos el certificado raiz y confiemos explicitamente en él, Internet Explorer nos sigue presentando el mismo mensaje advirtiendonos de un supuesto peligro de seguridad que en el fondo no es tal. El mensaje de error es similar a la siguiente captura.



Como puede observarse, las pantallas de aviso son contradictorias. Por un lado se nos indica que el certificado es válido (o sea, no está revocado y es de una entidad raiz autofirmada) pero por otro aparece el texto "no se puede comprobar este certificado raiz hasta una entidad emisora de certificados en la que se confía". Además en la barra de navegación, aparece la URL en rojo avisando sobre el problema.

Este segundo mensaje es falso, puesto que es a elección del usuario final, la decisión de confiar o no en un certificado raiz. Ojo, estamos hablando de un prestador de servicios de certificación sin especificar si son o no reconocidos los certificados generados. Para el caso da igual. No son de confianza las entidades de certitificación que Microsoft mete por defecto en el navegador sino las que aparecen en el listado de Prestadores de servicios de certificación del Ministerio de Industria,Turismo y Comercio.

Alguien debería hacer algo al respecto, pero ante estas nuevas problemáticas de la sociedad de la información globalizada, tampoco sabe uno a donde acudir o a quién reclamar. Sirva el blog para constatar al menos los hechos advertidos.
 
;