jueves, 27 de septiembre de 2007 0 comentarios

Entrevista completa Adam Laurie

Merce Molist recoge la entrevista que realiza a Adam Laurie, un afamado y representativo hacker de la comunidad que merece la pena leer.
Por el contenido de la entrevista, se deduce la diferencia entre hacker y cracker. Es interesante comprobar cómo la intención de este gran tecnólogo es la defensa del que confíe en exceso en la tecnología, cuando esta no merece realmente tanta confianza.
Podéis acceder al texto integro en Entrevista completa Adam Laurie
1 comentarios

Los errores también son amenazas

Tenía pendiente desde la semana pasada comentar los resultados de un estudio de Gartner respecto a las pérdidas millonarias que suponen para las empresas los errores en el uso de las hojas de cálculo.
La noticia publicada por DiarioTI, comenta ejemplos que ponen los pelos de punta. Resumo los más significativos:
"En un caso, un empleado bancario manipuló una hoja de cálculo para ocultar inversiones desafortunadas. Esto ocasionó pérdidas de 691 millones de dólares al banco. Una compañía eléctrica, en tanto, perdió 24 millones de dólares debido a que ciertos datos fueron digitados equivocadamente en una hoja de cálculo. Una academia de policía, por su parte, clasificó erróneamente los resultados y notificó a los postulantes rechazados que habían sido aceptados.
Otra compañía eléctrica usó una hoja de cálculo con errores para calcular sus precios, lo que resultó en una demanda en su contra por 200 millones de dólares."


La reflexión inmediata vuelve a ser la importancia que tiene clasificar la información. ¿Cómo tomar medidas si no sabemos en dónde son prioritarias?¿Vamos a proteger por igual la hoja Excel que utiliza el guardia de seguridad para el control de acceso que la hoja Excel del Director Finaciero con los resultados contables del año?

Como destaca el artículo, "Según Heiser, el 30% de información de importancia crítica para las empresas está almacenada en hojas de cálculo. El analista compara las hojas de cálculo con Skype; es decir, una tecnología para consumidores, que no puede ser usada para aplicaciones empresariales críticas. Es cierto que no podemos proponer una prohibición al uso de hojas de cálculo. Sin embargo, conviene tener presente el riesgo que se corre al usarlas, cuando no hay control de la calidad ni acceso. Es importante verlo como un tema estratégico. Sugerimos comenzar con control de acceso y luego seguir con el control de calidad".

A este interesante informe se suma la noticia de la que se hace eco Kriptópolis sobre los errores de cálculo detectados en Excel 2007. Sin entrar en la polémica que a Kriptópolis siempre le gusta generar respecto a software libre vs propietario, lo que es evidente es que herramientas muy básicas para el desempeño de tareas como son las suites ofimáticas sean del fabricante que sea, son también susceptibles de errores en el código o en la representación numérica y por tanto, errores en la ejecución de los cálculos.

Hay una excelente información sobre la naturaleza del problema aparecido en Excel en relación a la representación y uso de los números en coma flotante en el blog Joel on software. En concreto este error tampoco es para llevarse las manos a la cabeza dado que según parece, solo afecta a 12 operaciones posibles. A continuación copio la respuesta de Joel a la pregunta de si la cosa es grave:
"Q: Isn't this really, really bad?
A: IMHO, no, the chance that you would see this in real life calculations is microscopic. Better worry about getting hit by a meterorite. Microsoft, of course, will be forced to tell everyone "accuracy is extremely important to us" and I'm sure they'll have a fix in a matter of days, and they'll be subjected to all kinds of well-deserved ridicule, but since I don't work there I'm free to tell you that the chance of this bug actually mattering to you as an individual is breathtakingly small."


Venimos arrastrando la lacra del haber querido correr más de lo técnicamente permitido, acelerando los tiempos de entrega de productos y ahora sufrimos los excesos cometidos por esa falta de calidad en el software. Esta discusión también puede servir de argumento respecto a la necesidad de garantizar las responsabilidades profesionales por estos errores software.

¿Podría demandar ahora una empresa al causante de un daño por disponer de un software que no realiza las operaciones matemáticas de forma adecuada? ¿Quién sería el perfil adecuado para peritar este tipo de situaciones?
En fin, un debate abierto que no parece que pronto vaya a solucionarse...aunque los errores seguirán apareciendo y los usuarios permanecerán indefensos ante ellos.
miércoles, 26 de septiembre de 2007 0 comentarios

(In)secure Magazine número 13

Se acaba de publicar el número 13 de la revisa (In)secure Magazine. Entre los contenidos de este número, destaca un artículo en Ingles de ISME, una metodología española creada por Samuel Linares e Ignacio Paredes para llevar la ISO 27001 a la pequeña y mediana empresa.

El indice de este número es el siguiente:

  • Interview with Janne Uusilehto, Head of Nokia Product Security

  • Social engineering social networking services: a LinkedIn example

  • The case for automated log management in meeting HIPAA compliance

  • Risk decision making: whose call is it?

  • Interview with Zulfikar Ramzan, Senior Principal Researcher with the Advanced Threat

  • Research team at Symantec

  • Securing VoIP networks: fraud

  • PCI DSS compliance: a difficult but necessary journey

  • A security focus on China outsourcing

  • A multi layered approach to prevent data leakage

  • Safeguard your organization with proper password management

  • Interview with Ulf Mattsson, Protegrity CTO

  • DEFCON 15

  • File format fuzzing

  • IS2ME: Information Security to Medium Enterprise

El número puede descargarse en (In)secure Magazine 13.
martes, 25 de septiembre de 2007 3 comentarios

¿Soy un zombie?

Hemos hablado alguna vez en este blog de las redes de equipos comprometidos por malware (equipos "Zombis") y el daño que causan. La pregunta normal es ¿Cómo se yo que no pertenezco a una red de estas de manera incosciente?

Esta respuesta no es trivial pero un usuario si puede realizar algunas pruebas básicas para saber si su equipo tiene algo raro o no. Voy a tratar de enumerar algunos sencillos consejos para usuarios Windows.

  • Primero: Ver si todo lo que está en ejecución en nuestro ordenador es todo lo que creemos tener instalado.
  • Para ello, podemos utilizar software de inspección de procesos como el propio administrador de tareas que aparece al pulsar Ctr+Alt+Sup o un programa mejor como el ProcessXP indicando en el menú de View, sección "select columns" que queremos ver cual es el "command line" de los procesos. Traducido, ver cada programa que está en ejecución en qué directorio se encuentra. También es interesante saber si algún programa se intenta ocultar y para ello podemos usar, también de Sysinternal, el Rootkit revealer.


  • Segundo: Ver si nuestro PC está conectado a Internet a los sitios correctos que estamos utilizando.
  • Existen diferentes programas para averiguar esta información aunque solo nombraré varias alternativas:
    - La más sencilla es utilizar el comando NETSTAT con el parámetro -B que indica cada conexión que programa la está utilizando. En esta url hay más información sobre cómo usar este parámetro.
    - Otra opción es usar la aplicación de Foundstone Fport
    - Si somos de interfaces gráficas, la gente de Sysinternal en su momento también creo la herramienta TcpView con estos propósitos.

  • Tercero: Revisar si nuestro ordenador tiene instalado malware utilizando los scanner online que ya se ofrecen.
  • Para eso, podemos hacer una serie de comprobaciones básicas de las claves de registro que suele utilizar el malware a traves de REGEDIT.EXE. En concreto, las claves de registro a mirar son:
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServices

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunServicesOnce

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ RunOnce\Setup

    También disponemos de las Webs que analizan nuestro equipo en remoto para investigar si detectan algún tipo de software extraño como:
    - Safety.live.com de Microsoft.
    - Panda ActiveScan with TruPrevent®


Con estos tres sencillos consejos, podremos en general, obtener indicios suficientes para sospechar si estamos o no contaminados y si nuestro equipo está comprometido, pudiendo pertenecer a una red Zombie.
lunes, 24 de septiembre de 2007 0 comentarios

Checklist para todos...

A través de un post de Chema Alonso y tras pulsar en varios hiperenlaces, sin saber muy bien cómo he llegado a la Web del NIST que han diseñado para concentrar todos los checklist de seguridad organizados por tipo de prodcutos o fabricante.Todos hemos utilizado más de una vez las guías de instalación del NIST que antes eran un documento .pdf donde te iban indicando las opciones de configuración que servían para bastionar el equipo.

Ahora todo forma parte de un programa nacional de seguridad donde el NIST trata de definir los requisitos de seguridad que deben tener ciertas instalaciones de productos.
La Web que almacena toda esta información está accesible en Security Configuration Checklists Program for IT Products.

Esta gente sí se toma en serio el garantizar la gestión de vulnerabilidades y clasifican sus equipos en base al tipo de servicio de infraestructura que soporta. Existe un programa de seguridad nacional para asegurar que los sistemas informáticos de los nodos core de infraestructura crítica están protegidos y son adecuadamente gestionados respecto a las vulnerabilidades conocidas. Toda esta información puede consultarse en la url Federal Desktop Core Configuration settings (FDCC).
viernes, 21 de septiembre de 2007 0 comentarios

Contaminación de contenidos y rentabilidad económica

En relación a mi último post y tal como comenta hoy Sergio Hernando en su post de hoy, los ingresos obtenidos mediante la tecnica del pump-and-dump son para poner los pelos de punta y la perspectiva del problema mucho mayor de lo que mediaticamente se quiere destacar.
Estos numeros tienen una doble consecuencia: alarman a quien sufre este tipo de incidentes respecto las potenciales pérdidas y animan a otros muchos para hacerse millonario con menos esfuerzo que participando en Operación Triunfo o Gran Hermano.

Leed las reflexiones de Sergio que están publicadas en Sergio Hernando: ¿Son los ataques pump-and-dump más rentables que el robo de identidad?
martes, 18 de septiembre de 2007 0 comentarios

Marketing viral y sus efectos secundarios

Ya el año pasado hablé de la Contaminación de contenidos como amenaza, asociado al efecto del "Pump and dump" para influir en la cotización de acciones mediante el phishing.

Ahora tenemos una nueva moda que podría también calificarse dentro de la categoría "contaminación de contenidos" pero utilizada por el mundillo del marketing.
Como ejemplo de un buen anzuelo quiero comentar la noticia publicada en el Diario 20 minutos, donde se hacía referencia a las fotos de una chica bastante guapa que había perdido su cámara.
El redactor del mensaje original apela a la buena intención del público internauta para que de la contribución de todos se pueda resolver el problema.

El anzuelo era muy bueno: unas fotos caseras y muy sensuales de una chica atractiva, el morbo de saber si aparecerían más fotos y en poses más comprometedoras o la preocupación por proteger la privacidad de la chica son ingredientes que llevan a movilizar a cualquier persona.

El mensaje original recuerda a esos mensajes cadena (Hoax) que tocan a la puerta de nuestro corazoncito para que caigamos en ser complices del reenvio de correos. A continuación extracto parte del mensaje:

"Los hay que han perdido la esperanza en la humanidad y no confían en las buenas acciones desinteresadas; sin embargo, la solidaridad también está de moda en el siglo XXI, y los hay capaces de cualquier cosa para devolver un objeto extraviado a sus dueños.

Entonces aparecen unos buenos samaritanos que encuentran la cámara digital y, tras echar un vistazo a las fotos, consideran que lo más justo es devolver el artilugio a su dueña, que debe andar buscándolo.

¿Cómo solucionarlo? Pues registrándose en Facebook, subiendo las imágenes y esperando a que ella, desde algún rincón del mundo, se identifique y vuelva a por lo que es suyo."

Días despues el Diario 20 minutos ha tenido que anunciar que la citada noticia pertenecía a una campaña de marketing viral del portal Facebook.

Evidentemente este tipo de fenómenos de aparición de Webs solicitando la colaboración internauta no es nuevo, pero lo que sí llama la atención es ver a medios tradicionales haciéndose eco de rumores y noticias no confirmadas para colaborar inconscientemente en esas supuestas campañas de "marketing viral".

Aunque imagino que los efectos por parte de quien contrata este tipo de campañas serán positivos y la cotización de la modelo también debe aumentar bastante, creo que para la reputación de los medios tradicionales que primero dan la noticia y luego tienen que rectificar aclarando que han sido víctimas y colaboradores en la difusión de un rumor ya no debe serlo tanto, pensando sobre todo que la reputación y credibilidad de un buen medio de comunicación se basa en la calidad, veracidad y exactitud de las noticias que proporciona.

De hecho, un experimento similar ya lo ha hecho la "genial" gente del programa "Se lo que hicisteis..." para engañar al resto de programas rosa y ridiculizar así la "calidad de las fuentes que manejan". No tiene desperdicio ver en Youtube el "cómo se tramo e hizo" que a continuación adjunto.


Ante semejante ridículo de los medios del corazón, una evidencia como esta debería para hacer reflexionar sobre el significado de la palabra "periodista".

También es lógico pensar que igual que este tipo de mecanismos se lanzan para publicitar productos, no es descabellado pensar en usar los mismos mecanismos para difamar a la competencia. En este caso, sí será posible etiquetarlos como "Hoax" o "Spam".
martes, 4 de septiembre de 2007 0 comentarios

La ciberguerra con fines económicos

Aunque las películas que se suelen contar en temas de In-seguridad informática parecen muchas veces excesivamente paranoicas, está claro que no hay inversión más rentable en I+D cuando se persigue alcanzar a la competencia que copiar al competidor más avanzado. Las guerras comerciales no solo se libran en la puja de contratos, también, de manera silenciosa pero no por ello menos importante, en el terreno del espionaje industrial.

Cuando preguntas por temas de seguridad siempre la respuesta es la misma: “nunca nos ha pasado nada”. La duda que siempre te queda al oírlo es ¿Con qué fiabilidad y certeza está dando esa respuesta? ¿Tiene datos suficientes para poder hacer tal afirmación?

Ese “nunca ha pasado nada puede basarse en varias hipótesis”:
- Realmente no tienen incidentes pero vigilan el comportamiento y tienen la certeza absoluta de que no hay problemas”
- No notan nada porque no vigilan nada, por tanto, no es que no pase, es que no se enteran si pasa o no…

Para poder tener certeza sobre algo hay primero que conocer la situación y comprobar que nuestras afirmaciones son ciertas pero basadas en datos. Así ha sido siempre y así seguirá siendo.

Al respecto de lo que estoy comentando, han aparecido esta semana dos noticias relacionadas con las intrusiones chinas en sistemas informáticos americanos y alemanes.


La primera de ellas, produjo el colapso de la red del Pentagono. La noticia completa puede leerse en: Un ataque de militares chinos logró bloquear la red informática del Pentágono - 20minutos.es
La segunda de ellas, más extensa, aparece en el blog de S21sec, comentando la polémica suscitada en Alemania por estos hechos. El texto completo puede leerse en
Achtung: Hackers sind Verboten!
lunes, 3 de septiembre de 2007 7 comentarios

ISO 27001 y ISO 27002 en castellano

Por empezar fuerte el curso hoy quiero compartir un enlace de gran interes para los dedicados al mundillo de la gestión de la seguridad entorno a la norma ISO 27001.

Dentro de mis protocolos de seguimiento de las normas 27001, 27002 y las publicaciones o comentarios entorno a ella utilizando las alertas de Google, hoy quiero compartir un par de enlaces que proporciona en un documento PDF una traducción no ofical al castellano de las normas ISO 27001 e ISO 27002.

Aunque los enlaces no aparecen refereciados en ninguna página principal de esta Web, Google la enlaza al buscar sobre controles de la ISO 27002.

Dado que puede ser de interés para el público hispanohablante disponer de una versión en nuestro idioma, comparto la url que Google proporciona por si es del interés de todos.
Ambos documentos aclaran que su uso es autorizado sólo para fines didácticos, objetivo que comparte también este blog.
Las urls donde se encuentran son:
 
;