miércoles, 30 de mayo de 2007 0 comentarios

Concienciación a menores sobre seguridad en Internet.

Bajo el titulo "No te creas el cuento" el National Center for Missing & Exploited Children (Centro Nacional de Niños Perdidos y Explotados) ha elaborado un portal de concienciación a menores sobre seguridad en Internet.El portal con información en castellano está consultable en: NO TE CREAS EL CUENTO

Es interesante y pedagógico educar a nuestros menores en el uso prudente de Internet. En concreto, se centra en aspectos de seguridad relacionados con:
  • La navegación en Internet

  • El uso del chat

  • El uso del correo electrónico

  • Redes sociales

  • Qué información personal publicar


Los juegos, basados en un interfaz agradable entrenan al menor para distinguir entre usuarios maliciosos que intentan sonsacarle información sobre los gustos, aficiones e información personal. El juego está disponible en la dirección IDthecreep.

Aquí contamos en España con iniciativas similares como Protegeles.com."
jueves, 24 de mayo de 2007 0 comentarios

Spam en forma de imágenes

Desde el blog de Bruce Schneier llega un enlace a un corto pero interesante artículo sobre la nueva tendencia del spam para saltar los filtros antispam existentes y superar de esa manera las medidas de contención que actualmente están funcionado.

El documento presenta un ejemplo de cada una de las modalidades que se están utilizando y está consultable en Image Spam: By the Numbers - CSOonline.com
viernes, 18 de mayo de 2007 0 comentarios

Seguridad Oracle

Hacía tiempo que no referenciaba a Sergio Hernando porque trato de hacer que mis post sean diferentes de los blog's a los que me siento más cercano para enriquecer mejor la blogsfera.

Muchas veces este blog también tiene el carácter de registro de eventos y recursos interesantes en materia de seguridad y de ahí que hoy quiera enlazar con los documentos que Sergio ha incluido en su post Introducción a la seguridad Oracle.

A menudo se entra en polémicas sobre los monopolios en la informática y siempre suele mentarse a Microsoft como la mayor amenaza en esta materia. Sin embargo, otras empresas de similar embergadura e importancia pasan totalmente desapercibidas en estas discusiones. Hemos de pensar que los diferentes componentes informáticos pueden ser agrupados en forma de arbol donde unos elementos dependen de otros. Este tipo de relaciones se suelen obtener en la realización de un análisis de riesgos. En general, las relaciones comunes de dependencias suelen ser:

1.- Los procesos de la organización dependen de la información y de las personas de la Entidad.
2.- La información puede estar ya en soporte papel o en soporte electrónico.
3.- Para este segundo caso, suele estar almacenada y gestionada en aplicaciones y sistemas gestores de bases de datos.
4.- Por debajo de estos, aparecen los sistemas operativos tanto de servidores como de equipos PC.
5.- Un activo horizontal que presta una funcionalidad a todas las piezas, suelen ser las redes de comunicaciones, necesarias para que los intercambios de información se encuentren operativos.
6.- Por debajo, ya solo quedan las ubicaciones físicas de la Organización, como el gran contenedor que aloja al resto de activos.

Visto esto en forma de pirámide, las dependencias pueden quedar definidas por el siguiente gráfico:


Lo que quiero destacar es que los sistemas gestores de bases de datos ocupan un lugar muy importante en esta pirámide. También en el gráfico podemos ver como garantizar "seguridad de la información" contempla muchos aspectos en función de la altura de la pirámide que tratamos de proteger y el tipo de elemento, abarcando áreas como la seguridad física, la seguridad lógica, la formación al personal, etc.

Como comenta Sergio, "Oracle tiene desplegados a lo largo y ancho del planeta una cantidad enorme de productos, que además suelen ocupar posiciones críticas en las infraestructuras de TI. Son, a fin de cuentas, productos especializados, y sin entrar en detalles sobre lo buenos o malos que pueden ser, son el respaldo de muchas compañías en lo que a tecnología se refiere."

Las guías de seguridad para Oracle pueden ser consultadas en
Getting Started: Security cuyo contenido es:
  • Step 1 Learn "common sense principles" for database security (from governmentsecurity.org)

  • Step 2 Read the Oracle Database Security checklist

  • Step 3 Learn how to encrypt your data

  • Step 4 Learn how to set up granular security via "sensitivity labels"

  • Step 5 Learn how to restrict data access to certain users

  • Step 6 Learn how to set up role-based security

  • Step 7 Learn how to use policy-based (or "fine grained") auditing

El enlace ha sido proporcionado por Xabié Caballé.
jueves, 10 de mayo de 2007 0 comentarios

Una imagen se recuerda mejor que mil palabras

Aparece publicado en InfosecWriters.com un excelente documento entorno a un proyecto de un sistema de autenticación basado en imagenes. En este blog ya se ha comentado algunas veces lo poco natural que resulta para las personas el tener que recordar las dichosas contraseñas y mucho más con la cantidad existente al no estar normalmente integradas las aplicaciones mediante Single Sign On.

En general, resulta mucho más sencillo recordar una imagen o una combinación de ellas y un sistema basado en la selección de trozos de una foto o en pulsar en determinados gráficos sería más intuitivo y eficiente de cara a garantizar la robustez del mecanismo de autenticación.

Aparece sin embargo la misma problemática que las entidades financieras están resolviendo entorno a los teclados virtuales y las capturas de pantalla realizadas con keyloggers pero estos aspectos pueden solucionarse con una adecuada rotación de imagenes o alteraciones mediante filtros de la imagen original. Un ejemplo de este método de autenticación puede experimentarse en http://labs.mininova.org/passclicks/ en donde el individuo debe seleccionar cinco puntos y posteriormente debe verificar que se autentica.


Como curiosidad, esta misma Web ofrece los resultados sobre las zonas de la imagen más pulsadas.


El documento puede descargarse en Graphicals passwords en Infosecwriters.com
lunes, 7 de mayo de 2007 0 comentarios

(IN)SECURE Magazine número 11

Ya ha sido publicado el número 11 de la revista (In)secure Magazine. Los contenidos de este número son:
  • On the security of e-passports

  • Review: GFI LANguard Network Security Scanner 8

  • Critical steps to secure your virtualized environment

  • Interview with Howard Schmidt, President and CEO R & H Security Consulting

  • Quantitative look at penetration testing

  • Integrating ISO 17799 into your Software Development Lifecycle

  • Public Key Infrastructure (PKI): dead or alive?

  • Interview with Christen Krogh, Opera Software's Vice President of Engineering

  • Super ninja privacy techniques for web application developers

  • Security economics

  • iptables - an introduction to a robust firewall

  • Black Hat Briefings & Training Europe 2007

  • Enforcing the network security policy with digital certificates




La revista está descargable en:
(IN)SECURE Magazine número 11
viernes, 4 de mayo de 2007 0 comentarios

La importancia de la integridad de la información

Aprovechando que llega el fin de semana, el post de hoy tiene un tono algo más relajado aunque no deja de ser significativo e impresionante. Disponemos de unas tecnologías actualmente que permiten procesar y trabajar con la imagen como jamás hubieramos pensado.
El video que a continuación enlazo es solo una muestra de lo que hoy en día se puede hacer o manipular.



Frente a tal alarde de la potencial manipulación de la imagen, solo cabe destacar la importancia que tiene cada vez más garantizar la integridad de la información (garantía de la exactitud y completitud de la información y los métodos de su procesamiento).

Necesitamos información que esté protegida y sea confiable (no alterada o manipulada) para que su empresa pueda seguir funcionando y creciendo, pase lo que pase. Cuando cada vez más se utiliza la imagen como prueba, es necesario exigir "evidencias" de no manipulación para que sean consideradas como tal, dado lo sencillo que es hacer que las cosas sean lo que no son.
jueves, 3 de mayo de 2007 1 comentarios

OVAL - Open Vulnerability and Assessment Language

Open Vulnerability and Assessment Language (OVAL™) es un intento de formalización y normalización de los intercambios de información entre herramientas relacionadas con la gestión de vulnerabilidades y bastionado de equipos.

OVAL incluye un lenguaje utilizado para especificar los sistemas de información y valorar la presencia de las vulnerabilidades .

Este lenguaje estandariza los tres principales pasos en la gestión de vulnerabilidades:
- Recoger la información existente respecto a las vulnerabilidades publicadas que puedan afectar a los sistemas de información revisados.
- Verificar que esas vulnerabilidades están o no presentes.
- Realizar informes con el estado de situación tras los examenes realizados.

Para quién quiera conocer más sobre esta iniciativa, puede accederse en la url OVAL - Open Vulnerability and Assessment Language.
miércoles, 2 de mayo de 2007 0 comentarios

Boletin de mayo de Cybex

Creo en algún otro post haber hablado de la complejidad que tiene la evidencia electrónica.
Al respecto del tema en España contamos con la empresa Cybex, firma pionera y líder en España de investigación del fraude empresarial y económico en entornos virtuales. Desde su fundación en el año 2000, Cybex está a la vanguardia en tecnologías relacionadas con la gestión de pruebas electrónicas, así como en los procesos de admisibilidad de éstas en procedimientos judiciales.

Hoy quiero referenciar el nuevo número de la revista e-newsletter de Cybex cuyos contenidos del mes de mayo son:
Editorial:
  • Pruebas Electrónicas: Una nueva realidad

Prueba electrónica
  • Administración de Justicia y Nuevas Tecnologías
    Manuel Marchena Gómez, Fiscal del Tribunal Supremo y Doctor en Derecho

Sobre el terreno
  • Método de documentación estructurada para la gestión de incidencias de TI(II)
    Sandra Frings, Coordinadora de proyectos científicos del Instituto de Fraunhofer IAO, Stuttgart (Alemania)

Tecnología y procedimientos
  • ‘Scena Criminis’, documento informático y formación de la prueba penal en Italia (II)
    Gerardo Costabile, Director de Seguridad de la Información de la Asociación Internacional de Expertos en Investigación Informática

Programa AGIS
  • CONFERENCIA AEEC: Una mirada a la legislación y la praxis sobre prueba electrónica
    Fernando Fernández Lázaro,Jefe de la Sección Técnica de la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía

Jurisprudencia
  • Sumario STC 42/2006 de Febrero de 2006 · Sentencia del Juzgado Penal no 2 de Badajoz acusando a un hacker de un delito de descubrimiento y revelación de secretos.

  • Sumario STC 77/2005 de Marzo de 2005 · Sentencia del Juzgado Penal no 7 de Palma de Mallorca condenando al titular de una web por estafa o fraude informático.


Para la descarga del documento puede utilizarse el siguiente enlace.
Cybex: e-newsletter Mayo
 
;