viernes, 30 de enero de 2009 0 comentarios

I'd like Windows 7 y la nuevas opciones de seguridad.

He podido descargar e instalar la versión Beta de Windows 7 y las primeras impresiones son muy buenas. Teniendo en cuenta donde lo tengo funcionando, que es un pequeño ultraportatil con un giga de ram sobre una partición de 14 GB, este sistema operativo si hace Wow!. La interfaz gráfica es rápida, la gestión de ventanas tiene novedades y el consumo de recursos muy razonable. Todavía no he podido darle mucha caña pero la primera experiencia convence.

Además, lo puedo comparar con mi añorado Windows XP SP3 que está también instalado en este equipo y creo que por primera vez, ya hay una seria amenaza que puede hacer retirar XP del mercado. Además, en este ultra pórtatil venía con Suse Linux y no aguanté ni una semana con él. No quiero excusarme pero no soy un usuario de los que le gusta teclear mucho y menos de los que para acceder a ventanas en la interfaz gráfica tiene que esperar un tiempo que a estas alturas del mercado, se me hacía insufrible. A eso había que añadir cuelgues aleatorios que congelaban el equipo, imposibilidad de configurar partes del hardware, etc. Soy sólo un usuario normal, tengo conocimientos de Linux elementales pero esta distro no parece que sea para un perfil muy básico. Ubuntú parece algo más amigable aunque habría que comparar los rendimientos contra XP y Windows 7 para ver si realmente es o no competitivo.



Respecto a la seguridad, por lo poco que he podido revisar, tengo gratas noticias:
- El escudo de aviso de "riesgos para la seguridad" es configurable, con lo que ahora podemos decidir de qué queremos recibir notificación.
- El gestor de avisos UAC también es configurable y no como en vista, que tenías que habilitar o deshabilitar. Ahora hay cuatro opciones dependiendo de la severidad de los cambios que deseas monitorizar.
- El firewall ya es bidireccionar e imagino que stateful como el anterior. Ahora podemos establecer reglas por interfaz, por dominio de conexión, por programa, por puerto.
- El sistema operativo se hace también cargo ahora de las copias de seguridad y puede gestionarlas.
- Mejoras en el control parental.

Adjunto algunas capturas de pantalla:





miércoles, 28 de enero de 2009 1 comentarios

Día Europeo de la Protección de Datos

Como estos últimos años, hoy es el Día Europeo de la Protección de Datos. Como conmemoración a este hecho, la Agencia Española de Protección de Datos ha elaborado una entrada en su Web con información muy básica sobre qué es eso de la "protección de datos" y cuales son nuestros derechos como ciudadanos. Hay un sencillo vídeo en flash aquí y mucha más información en AEPD: Día Europeo de la Protección de Datos.

También la gente de S2 Grupo ha elaborado un sencillo post con un par de puntos que todo el mundo debe conocer y que pueden ser consultados en Son "tus" datos. Recomiendo leer la entrada pero como resumen quedaría:

Los datos de carácter personal son, como indica su nombre, de la persona. Es decir, suyos, de ustedes. Usted, y sólo usted, es el propietario de sus datos personales; para bien o para mal, le pertenecen, y excepto en algunas cuestiones puntuales, tiene el derecho de decidir qué se hace con ellos. No lo olviden. Sus datos son suyos.

El cumplimiento de la LOPD por parte de una empresa busca a) garantizar el adecuado tratamiento de los datos personales custodiados, y b) asegurar el cumplimiento de la legislación aplicable, con objeto de evitar las posibles sanciones de la AEPD. Cualquier persona que gestiona datos de otras personas debe entender que tratar datos correctamente es más que una obligación legal; es su pequeña aportación al ejercicio de un derecho constitucional, su participación en la defensa de los derechos no sólo propios sino también de los de sus conciudadanos. Es, de alguna forma, la aplicación de ese lema que dice aquello de “No hagas a los demás lo que no quieres que te hagan a ti”.


Sobre este último punto, en su momento ya publiqué para la revista INFORMAS del Ilustre Colegio de Ingenieros en Informática de la Región de Murcia cual era mi opinión personal. De este artículo hace ya casi cuatro años pero la situación es similar o peor, dado que el nuevo R.D. 1720/2007 establece más medidas y más requisitos para los encargos de tratamiento que siguen sin ser conocidos, y obviamente por tanto, incumplidos.

También es interesante la aportación que ha realizado el Instituto Nacional de Tecnologías de la Comunicación (INTECO). En su misión de promover y difundir la cultura de la seguridad de la información y sensibilizar e informar sobre la protección de datos personales ha publicado la Guía para entidades locales: cómo adaptarse a la normativa sobre protección de datos, que ha sido elaborada por el Observatorio de la Seguriad de la Información de INTECO con la colaboración de la Federación Española de Municipios y Provincias y la Agencia Española de Protección de Datos.

Esta guía tiene como objetivo resolver dudas y ayudar a los profesionales de los Ayuntamientos, Diputaciones, Consells y Cabildos insulares en la implantación de la normativa y cumplimiento de las obligaciones derivadas de la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD). Los gobiernos locales, como administraciones que manejan y tratan datos de carácter personal de los ciudadanos, están obligadas a asegurar a través de sus profesionales el derecho fundamental a la protección de sus datos personales reconocido por la Constitución Española. El documento puede descargarse aquí.
domingo, 25 de enero de 2009 0 comentarios

Guía sobre el control parental del Inteco

El Observatorio de Seguridad de la Información del INTECO acaba de publicar una guía sobre qué es y cómo se configura el control parental en los diferentes sistemas operativos.
En este blog ya he comentado en anteriores veces algunas aplicaciones interesantes para este propósito.
Sin embargo, esta guía, como explica la Web del Inteco, "ofrece a padres y tutores información necesaria para activar y configurar las herramientas de control parental de los sistemas operativos. Informa acerca de los extremos y parámetros a configurar para que los menores en su acceso a Internet no resulten afectados por ataques provenientes de terceros ni sometidos a contenidos no adecuados para los mismos."

Podéis descargarla en este enlace.

Aunque las recientes versiones de los sistemas operativos incluyen cada vez más funcionalidades al respecto, se requiere también este tipo de funcionalidades en los programas de mensajería instantanea que son a día de hoy, los servicios de más exito entre menores y por tanto, la primera linea de batalla donde debe trabajar el control parental. Para concienciarse, sólo hay que recordar el anuncio de la Red Europea INSAFE que puede verse en la dirección Safenet2.com.
jueves, 22 de enero de 2009 1 comentarios

Calculadora para valorar vulnerabilidades

Sergio Hernando ha publicado un extenso y excelente artículo sobre la importancia de la gestión de parches y la necesidad de hacer una valoración a medida sobre la relevancia de cada actualización, para no convertir a la seguridad en una amenaza.

La gestión de parches tiene por objetivo ponderar el riesgo que supone el sistema parcheado frente a los efectos colaterales o secundarios que puede tener la instalación de nuevo software en los sistemas en producción.
El texto de Sergio puede ser leido en Boletines de seguridad != gestión de seguridad.
Al respecto también quería dar a conocer un sistema de valoración de vulnerabilidades que es fruto del consenso de varias compañías y empresas preocupadas por normalizar un criterio de cualificación de las vulnerabilidades. Este sistema, conocido como Common Vulnerability Scoring System (CVSS) usa cuatro conceptos para dar una puntuación final sobre lo relevante que puede ser una vulnerabilidad.
miércoles, 21 de enero de 2009 0 comentarios

La función de auditoría como mecanismo de seguridad

Aunque ultimamente ando muy saturado de trabajo, en el Blog del Inteco dejo unas reflexiones sobre la importancia de la función de la auditoría en los actuales sistemas de información. Os extracto algunas partes y os invito a pasar por el Blog del Inteco para leer el texto completo.

En estos últimos tiempos se viene hablando de la necesidad de mejorar los mecanismos de control sobre diferentes actividades, en general, de gestión económica dentro de las grandes compañías y empresas, para generar confianza y evitar el fraude. Las organizaciones han incorporado a su funcionamiento las ventajas de las tecnologías de la información, modificando sus procesos de negocio para mejorar el rendimiento y la productividad. Sin embargo, en el diseño de estos sistemas de información, desde el comienzo, ha primado el rápido funcionamiento y la puesta en marcha de los servicios sin parar mucho a pensar en la fase de diseño, en mecanismos de control y auditoría sobre los procesos. Llega actualmente el momento en el que esas desconsideraciones sobre la importancia de garantizar la fiabilidad de los procesos que han sido automatizados están poniendo de manifiesto una gran preocupación por la gestión y control de las tecnologías de la información, ya que han dado lugar a la aparición de nuevos riesgos no identificados debido principalmente a la complejidad de la infraestructura, la alta dependencia de la organización sobre los sistemas de información y los abusos de privilegios por parte de usuarios legítimos.

Fruto de esta preocupación puede entenderse el interés y la demanda que actualmente tienen las normas, recomendaciones y estándares considerados buenas prácticas de gestión de la tecnología, como pueden ser la norma ISO 27001, que especifica los requisitos para la construcción de Sistemas de Gestión de la Seguridad de la Información (SGSI) y la norma ISO 20000, que establece los requisitos para la construcción de Sistemas de Gestión de Servicios de Tecnologías de la Información (SGTI).

En términos técnicos, una auditoría viene definida por el establecimiento de cuatro aspectos relacionados con la actividad auditora:
  • Objetivo.

  • Evidencias.

  • Independencia.

  • Conclusiones.


Estos cuatro conceptos establecen los pilares de una posible definición de auditoría que sería “el proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.”

La Auditoría de Sistemas de Información tiene como misión ser un mecanismo de control interno para evaluar la CONFIANZA que se puede depositar en los sistemas de información basada en evidencias.

La auditoría de sistemas de seguridad es una medida de seguridad que debe ser considerada por su importancia, dado que permite detectar deficiencias antes de que éstas puedan ser utilizadas o puede servir para averiguar si se han producido o no irregularidades en el uso de los sistemas de información. Es un mecanismo que evita los abusos de poder.

Al igual que es un tópico de seguridad el tema del conocido post-it con la contraseña al lado del equipo al que permite el acceso, los logs que no son nunca consultados son otro que suele repetirse cuando se revisan sistemas de información. Estas trazas auditables informan de situaciones anómalas en el momento en que se producen y proporcionan pruebas electrónicas que puedan ser utilizables en caso de finalmente llevar al campo jurídico la denuncia correspondiente. Sin embargo, la práctica habitual es la de no mirar los logs y además, no conservarlos con garantías jurídicas suficientes para que puedan ser utilizados como evidencia en juicio. Es otro tópico más en el que se demuestra que la "sensación de protección" no se corresponde para nada con la seguridad efectiva que realmente se tiene ni con el objetivo que justifica el esfuezo económico que se hace para disponer de espacio para su almacenamiento. Los logs cuestan dinero pero si no cumplen con el objetivo por el que se recogen y almacenan, mejor no hacer nada.

Respecto a la normalización de la prueba electrónica, habrá que estar atentos a los trabajos de la Asociación Española de Evidencias Electrónicas (AEDEL) que nace con el objetivo de ser referente técnico y jurídico en aquello que las evidencias y pruebas electrónicas afecten a los ciudadanos, queriendo hacer posible con su actividad que la sociedad española – ciudadanos, padres, jóvenes, entidades públicas y privadas, sin distinción de tamaño o sector- puedan disfrutar de un marco de seguridad y confianza en los entornos digitales y en Internet.
jueves, 15 de enero de 2009 3 comentarios

David Bisbal hackeado

Hoy se ha hecho público que David Bisbal ha sido objeto de extorsión cibernética fruto del acceso ilegítimo de una fan al correo electrónico personal del artista. Los hechos también son explicados en su propio comunicado.

Sorprende que el método de acceso parece haber sido simplemente que la fan ha podido adivinar las preguntas alternativas que se formulan como método de autenticación alternativo a no conocer la contraseña. Del incidente, íntimamente relacionado con otros similares producidos durante la campaña a las elecciones americanas, me sorprenden dos cosas:
- Por un lado, la importancia del bloqueo de una cuenta si tras sucesivos intentos fallidos no se adivina ni la contraseña ni las respuestas alternativas que permiten el acceso.
- Por otro, el alto valor de los activos que David Bisbal maneja a través del correo electrónico.

Es cierto que la fluidez del email permite agilidad e inmediatez en las gestiones profesionales y personales pero dudo yo que David Bisbal enviara por carta ordinaria información excesivamente valiosa o comprometedora. El formato electrónico parece tener la curiosa habilidad de hacer disminuir el valor de la información, pero una canción es una canción ya sea un fichero mp3 o una partitura escrita.

Para estos casos donde la información es tan sensible, yo utilizo un método muy simple basándome en la creación de unos contenedores seguros de información. La idea es bien sencilla, utilizar el software freeware Truecrypt y consta de los siguientes pasos:
  • 1.- Se crea un fichero truecrypt del tamaño deseado (1,2,o más MB) para guardar la información importante que se desea enviar.

  • 2.- Se introducen los archivos valiosos dentro del fichero truecryt.

  • 3.- Se envía por correo electrónico el fichero truecrypt que hace de contenedor seguro.

  • 4.- Se envía un SMS al destinatario o se llama por teléfono para indicar la clave simétrica utilizada para proteger el fichero truecrypt.


El tutorial sobre como usar truecrypt se puede consultar aquí.

También recomendar los consejos que Julián Inza da en su blog para evitar la ingeniería social sobre contraseñas.

  • La longitud de las contraseñas no debe ser inferior a los siete caracteres.

  • Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.

  • La contraseña no debe contener el identificador o el nombre del usuario o de otras personas.

  • La contraseña no debe ser (o contener) una palabra del diccionario (de cualquier idioma).

  • La contraseña no debe ser una fecha, o un número identificable como el teléfono, el DNI, la matrícula del coche,…

  • La contraseña no debe estar compuesta por letras cuyas teclas sean consecutivas en el teclado

  • Un truco interesante es pensar en una frase (que no sea de uso muy frecuente) y utilizar laa letras iniciales de cada palabra. Ojo, que mucha gente usa este truco y acaba poniendo +vpemq100v (¿adivinas el refrán?)

miércoles, 14 de enero de 2009 1 comentarios

¿Funcionan los analisis de riesgos?

Interesantes reflexiones de Joseba Enjuto sobre la problemática del "análisis y gestión del riesgo en materia de seguridad de la información".
Ni una sola coma tiene desperdicio. También es muy interesante el artículo inicial que genera su reflexión.
Más información en Seguridad y Gestión: ¿Funcionan los analisis de riesgos?

Esto va muy en la línea de un próximo post que se plantea el por qué hacemos las cosas, en materia de seguridad.

PD: Gracias a los ahora más de 1.000 suscriptores vía RSS que ya seguís a diario este humilde blog. Intentaré estar a la altura de las circunstancias con post algo más meditados y reflexivos sobre la "cuestión de la seguridad".
viernes, 9 de enero de 2009 0 comentarios

Resumen del 2008 y tendencias para el 2009

Como suele ser ya rutinario en este blog, en el cambio de año toca hacer balance del pasado y pensar en lo que se nos viene encima para el 2009. Este año me he dormido demasiado y ya están publicados muy buenos resumenes en otras Webs. Quiero destacar el repaso de Hispasec al 2008 en los post Resumen del 2008 (I), (II) y (III)

Como estudios ya publicados con las tendencias para el 2009, destacar los realizados por GDATA,Websense,Fortinet,Karspesky, lo publicado por la revista Networkworld basado en los estudios de la consultora Forrester y el extenso informe de E-SET.

Como resumen, nos podemos quedar con las conclusiones de Fortinet que enumera las 9 tendencias más relevantes:
1.- Hacer más con menos – Consolidar la seguridad y algo más: Los mecanismos integrados de seguridad se sucederán en un número aún mayor que antes, porque los departamentos de IT de las empresas están siendo presionados por la economía para recortar los costos y mantener la integridad de la red, en esencia, hacer más con menos.

Además de la integración de dos o más funciones de seguridad en un único dispositivo para el capital y el ahorro operacional, las empresas pueden buscar "superset", soluciones de seguridad que pueden abarcar otras funcionalidades de la red como la optimización WAN y SSL. En pocas palabras, la eficiencia será la nueva tecnología necesaria para el año 2009.

2.- Bloqueo de la información de seguridad: Según recientes estudios, a partir del robo de información sensible (ataques a bases de datos AKA) en TJMax y otros, más empresas se están dando cuenta de que no basta con restringir el acceso en la puerta de entrada a sus redes, sino que deben proteger sus bases de datos para detectar y prevenir tanto ataques internos como externos.

Además, la última reglamentación de PCI-DSS (Payment Card Industry Data Security Standard) ha sido actualizada y requiere la aplicación de un firewall como medida de seguridad para proteger la información crediticia de los clientes. Como resultado de esto, se hará más hincapié en la seguridad de bases de datos y el cumplimiento de la reglamentación, obligando a las empresas a incorporar medidas de seguridad como parte de la estrategia de seguridad global de sus redes.

3.- Múltiples vulnerabilidades de la Web 2.0: La popularidad de sitios de redes sociales y las operaciones in-the-cloud (como SaaS – Software as a Service) han ampliado el significado de "red" y muchos hackers encuentran grietas en la protección con el objetivo de poder ingresar y salir de la red. Como resultado, las empresas tienen una mayor necesidad de emplear firewalls en aplicaciones Web y mecanismos para prevenir fugas de información de la red corporativa y evitar la distribución involuntaria de esa información.

4.- Mayor ancho de banda, más velocidad - Tolerar lo bueno, lo malo y lo feo: 10 Gb de velocidad de navegación no es una quimera sino una realidad que se recibió con satisfacción, y su adopción se espera que aumente durante el año 2009. Sin embargo, la apertura del grifo de la red significa también que muchas cosas malas llegarán de la mano de las cosas buenas. Es crucial la disponibilidad de protocolos de seguridad que trabajen con la velocidad 10 Gb, y debería ser el próximo área de enfoque para mantener la integridad de las redes de alta velocidad.

5.- 3G - la próxima gran amenaza para la seguridad móvil: La actividad malintencionada en dispositivos móviles como teléfonos inteligentes ha sido escasa hasta la fecha, pero se espera que los consumidores adopten por la tecnología 3G de banda ancha móvil, lo que permitirá la apertura de un nuevo y enorme mercado para la actividad cibercriminal.

Por ejemplo, estamos viendo sólo la punta del iceberg con la reciente vulnerabilidad del Sistema Operativo Android de Google. 3G le permite a los operadores ofrecer una gama más amplia de los más avanzados servicios móviles, como transmisión en tiempo real y alta calidad de audio / vídeo, y una mayor capacidad de la red. Todo esto se suma a una mayor oportunidad para las infecciones de virus y los ataques, y exige un enfoque centrado en garantizar seguridad a los millones de dispositivos móviles en funcionamiento en la actualidad.

6.- Mayor flujo de efectivo en el subsuelo digital: Durante el último par de años, operaciones organizadas de hackers han construido sus bases y ahora esperamos que amplíen su actividad. Ofrecerán más herramientas, como botnets (software que se ejecuta de manera autónoma) o recolectores de información de cuentas de red (por ejemplo, redes sociales).

Los programa de afiliados aumentarán a medida que esas organizaciones busquen alimentar su estructura; si funciona, seguirán ofreciendo más programas de incentivos para "Script kiddies" (crackers inexpertos que usan programas, scripts, exploits, troyanos, nukes, etc. creados por terceros para romper la seguridad de un sistema). Una nueva generación de usuarios está conectada en el ciberespacio. Esta generación será más vulnerable a los canales subterráneos, como el phishing y los exploits kits. Esto, a su vez, los tentará a unirse al lado oscuro.

7.- Que comiencen los juegos: Los juegos online han cobrado mucho impulso durante el año pasado, en particular en Asia. Esto seguirá creciendo con la próxima generación de usuarios. Como resultado de ello, se producirá más interactividad en estos mundos virtuales. Hemos visto un fuerte aumento de troyanos destinados a recolectar información de cuentas de usuario, y esto será algo a considerar durante 2009 en este mercado en crecimiento.

8.- Aumento de ataques selectivos y premeditados: A lo largo de 2008, hemos visto una caída sostenida en la distribución mensual de malware --con la excepción de ataques de scareware que elevó el volumen de malware en el segundo semestre del año.

A medida que entramos en una era de guerra informática, los ataques que utilizan malware serán mucho más agresivos que en la actualidad. Veremos más en 2009: ataques premeditados a objetivos específicos, orientados a empresas y gobiernos.

9.- La aplicación de la Ley en la red: La aplicación de la ley durante 2008 implicó un agresivo esfuerzo para llevar ante la Justicia a los autores de malware y organizaciones hackers. Sin embargo, llevará más que el 2009 para acabar por completo con esa actividad delictiva. Este será un proceso lento, que requerirá un esfuerzo sin precedentes entre los distintos organismos de aplicación de la ley para abordar eficazmente las cuestiones de la seguridad cibernética.
miércoles, 7 de enero de 2009 2 comentarios

Actual situación de la validación de certificados digitales

Tras el descanso vacacional de las navidades, vuelvo a reengancharme con la actividad blogera aunque la actual carga de trabajo no me permita todavía grandes disertaciones y extensos y profundos post sobre los temas que a todos nos preocupan.

Sin embargo si puedo localizar y compartir con vosotros los lectores los enlaces de otra gente que está haciendo un muy buen trabajo sobre temas relacionados con la problemática de la que trata este blog.

He podido encontrar un excelente texto que aclara con todo detalle cual es la actual situación de los servicios de validación de certificados digitales en España, qué establece la Ley al respecto y qué servicios se están prestando.
Aquí aparece claramente descrito cómo algunos prestadores, entre ellos la FNMT han decidido que los servicios de validación de certificados no sean gratuítos.
Ahora se nos presenta la paradoja de que, en el uso de estos certificados para la tan atractiva factura electrónica, el emisor va a generar un documento y el receptor (según el prestador que elija) puede tener que pagar para poder verificar si la factura que ha recibido es correcta o no. ¿Esto de la factura electrónica no eran todo ventajas y ahorro de costes?

El texto completo podéis leerlo en "Apuntes electrónicos: Validación de certificados digitales".
 
;