Buscar este blog

08 diciembre 2010

Ciber-ataques a diferentes plataformas de pago

Buenas noches,

Desde semanas hemos estado oyendo muchos temas referentes a WikiLeaks y las filtraciones de documentos secretos, habiendo mucha gente que está en contra de las publicaciones y otro tanto a favor.

Desde que Julian Assange fuera detenido por un supuesto abusos sexuales, han ido apareciendo diferentes ataques de Denegación Distribuido de Servicio (DDoS), empezando por el propio Site creado por Assange. Posteriormente, hackers han ido realizando diversos ataques a Visa, Mastercard e incluso un blog de Paypal.

El tema se está debatiendo por diversos sitios ya sea Facebook, twitter, IRC, etc.

Para más información de la noticia:

The New York Times
El Mundo

Un Saludo,
www.itsecurity.es

09 noviembre 2010

La Web de la Marina Británica ha sido Hackeada




Buenas Noches estimados lectores,

Mirando un poco los periódicos on-line me he fijado en una noticia curiosa, y es que han hackeado ni más ni menos que la Web de la Marina Británica. Según los primeros indicios parece que ha sido un hacker Rumano.

El Hacker obtuvo los nombres y contraseñas de los Administradores del sitio web así como de algunos usuarios que frecuentan la Web.

El ataque que se hizo para obtener dicha información fue con uno de los ataques más conocidos y utilizados, SQL Injection, que en parcas palabras es añadir trazas de consultas SQL para obtener información de forma directa o bien de forma indirecta a través del análisis de las distintas contestaciones que generan, las consultas SQL.

A continuación os dejo las fuentes de la noticia, junto con un enlace a la explicación del SQL Injection.

Pero antes me gustaría hacer un inciso, una buena forma de que las Webs estén medianamente seguras, es la de realizar pruebas de hacking ético, siguiendo por ejemplo la metodología OWASP, para comprobar los puntos débiles y vulnerabilidades que puede tener el sitio Web. Posteriormente, se debe de analizar cuáles de las vulnerabilidades son más críticas y crear un plan de acción para intentar reducir las mismas.

Un Cordial Saludo,
www.itsecurity.es

Enlaces:

17 octubre 2010

Contraseñas y su Seguridad

Hola mis queridos lectores,

Al ser hoy domingo, vamos a darle a este post un tono hirónico, gracias a unas tiras cómicas que acabo de descubrir merodeando por algunos blogs.


Por otro lado y siguiendo el tema de las contraseñas, es interesante conocer en cuanto tiemp0 se pueden descubrir las contraseñas, según su formato.

A continuación os pongo un estudio realizado en un blog:

Letters only:

6 letters (the least secure password allowable on Hotmail): 30 seconds
7 letters: 13 minutes
8 letters: 5 hours
9 letters: 6 days
10 letters: 163 days
11 letters: 11 years
12 letters: 302 years

Letters and numbers:

6 characters: 3 minutes
7 characters: 2 hours
8 characters: 3 days
9 characters: 117 days
10 characters: 11 years
11 characters: 417 years
12 characters: 15 thousand years

Letters, numbers and other characters:

6 characters: 23 minutes
7 characters: 18 hours
8 characters: 38 days
9 characters: 5 years
10 characters: 252 years
11 characters: 12 thousand years
12 characters: 607 thousand years

Al final os pongo en la fuente una aplicación que os dice que en cuanto tiempo se tardaría en descubrir la contraseña que introduces.

Un Cordial Saludo,

www.itsecurity.es

Fuentes:

30 septiembre 2010

Intypedia. Nueva Plataforma de Formación de Seguridad

Buenas Tardes,

Hoy me quiero detener brevemente en una nueva iniciativa realizada y promovida por Criptored.

Nace Intypedia la Enciclopedia Visual de la Seguridad de la Información dentro de CRIPTORED (España).
Veinticuatro horas antes de lo previsto, debido a la rapidez con la que buscadores como Google indexan información reciente en la Red, nace intypedia (Information Security Encyclopedia), la Enciclopedia Visual de la Seguridad de la Información. Un proyecto de Aula Virtual dentro de la Red Temática que cuenta con el apoyo económico de GMV y en el que mediante unas lecciones en vídeo los avatares Alicia y Bernardo en su versión en español, y Alice y Bob en su versión en inglés, darán un repaso a los temas más importantes de la seguridad de la información, usando como base los textos que han aportado distinguidos expertos miembros de esta Red Temática. Para mayor información, puede descargar el pdf de la Nota de Prensa del lanzamiento de intypedia, fase en la que colaborarán entre otros los portales Hispasec, Kriptópolis, VirusProt y los blogs Un informático en el lado del mal, Security By Default, Port 666, rs-labs, Linux y Libertad.


La idea de Intypedia es que sea un repositorio gratuito sobre temas de seguridad explicados tanto por autores de referencia de España como del Extranjero.
Los vídeos que se irán mostrando algunos serán de carácter general y otros más particulares.

Dichos vídeos se agruparan en 10 tomos:
Tomo 1:Fundamentos de seguridad de la información
  • Tomo 1:Fundamentos de seguridad de la información
  • Tomo 2:Criptografía
  • Tomo 3:Seguridad en redes
  • Tomo 4:Aplicaciones de seguridad informática
  • Tomo 5:Malware
  • Tomo 6:Gestión de seguridad de la información
  • Tomo 7:Normativas de seguridad de la información
  • Tomo 8:Autenticación
  • Tomo 9:Protocolos seguros
  • Tomo 10:Legislación en seguridad de la información
En lo que resta del año 2010 se van a subir un total de 5 vídeos.

Me alegro mucho que surjan estas iniciativas de formación de seguridad en castellano.
Espero que os guste:



Un Cordial Saludo,
www.itsecurity.es
Enlaces:
www.intypedia.com

19 septiembre 2010

El ciberdelito mueve más dinero que el narcotráfico "a nivel mundial"

Un Artículo de hace unos días de "Expansión", indica que ya los ciberdelitos mueven incluso más dinero que el narcotráfico. Por lo que, podríamos decir que la Seguridad de los Sistemas de Información debiera seguir en auge, ya que cada vez dichos delitos son producidos por sistemas más complejos, por lo que se necesita cada vez un personal más cualificado para intentar reducir el impacto de los ataques cibernéticos.

A continuación os dejo el artículo, comentando unas declaraciones del director general de Norton Symantec para España y Portugal:

Un Cordial Saludo,

www.itsecurity.es

Los ciberdelitos mueven ya más dinero que el narcotráfico, según ha advertido el director general de Norton Symantec para España y Portugal, Salvador Tapia, quien ha señalado el crimen informático más habitual es "el virus que infecta el ordenador".

No obstante, Tapia ha señalado que en los últimos años los delitos informáticos que más han crecido son los económicos, que actualmente representan un 14 por ciento del total, y el acoso sexual, que está registrando un "alto crecimiento".

La dificultad para controlar este tipo de delitos estriba en la dificultad de localizar al delincuente. "Lo hace una persona que aloja el servidor en otro país y que además puede acceder a millones de puntos en un solo segundo", explica Tapia.

A esto hay que añadir que, según explica el jefe del grupo de delitos telemáticos de la Guardia Civil, Juan Salom, "hay mucho índice de delito oculto" debido a que, con frecuencia, cuando una persona es víctima de este tipo de crímenes, no denuncia y simplemente lo asume como un "engaño".

El perfil del ciberdelincuente es "un varón que no suele salir mucho de casa, no tiene muchos estudios, pero tiene una gran imaginación y una gran creatividad". Además, tiene un objetivo único que es "hacerse rico en muy corto plazo".

Entre los consejos para evitar estos ciberdelitos, "tener una seguridad instalada en el ordenador y en cualquiera de los dispositivos que acceden a Internet", cerrar las "pop-ups" (ventanas que de repente se abren en la web) y aplicar el "sentido común".

En cuanto a redes sociales como Facebook, Tuenti o Twitter, Tapia avisa que es importante saber a quién añadimos como amigo y quién puede ver nuestra información. A pesar de esto, a su juicio, "las redes sociales son un buen fenómeno".

07 septiembre 2010

Call For Papers, RootedCon 2011

Buenas noches queridos lectores, después de unas vacaciones vuelvo con ganas renovadas, para escribir nuevos artículos, noticias y eventos interesantes en la seguridad.

Hoy me gustaría mostraros como presentar Call For Papers (CFP) para la segunda edición de la RootedCon en Madrid (2011).

A continuación os transcribo la información que he sacado de la página http://www.rootedcon.es/

CFP

Acerca de Rooted CON

Rooted CON es un Congreso de seguridad informática que se celebrará en Madrid (España) los días 3, 4 y 5 de marzo de 2011, cuyo espectro de asistentes oscila desde estudiantes a fuerzas del estado y servicio secreto, pasando por profesionales del mercado de la seguridad, juristas e, incluso, entusiastas de la tecnología (y de otras cosas).

Tipo de charlas

El Congreso se estructura en charlas y ponencias de dos tipos principales:
  • Rápidas: con una duración de unos 20 minutos.
  • Estándares: con un máximo de 50 minutos de duración.

De acuerdo con las propuestas que se reciban, se determinarán las cantidades de charlas de cada tipo a confirmar; no existe un formato rígido de congreso sino que la agenda se estructura de acuerdo a la demanda y oferta que se vaya recibiendo.

Temas relevantes

Se consideran temas y charlas interesantes, pero no exclusivamente limitadas a:

  • Hacking, cracking, phreaking, virii, WiFi, Voz sobre IP, GSM...
  • Ingeniería inversa, debugging, hooking, fuzzing, exploiting,...
  • Herramientas o técnicas defensivas y ofensivas punteras.
  • Seguridad en "la nube", seguridad y hacking en entornos virtuales, productos y servicios en "la nube", ...
  • Técnicas de criptografía, esteganografía, canales subliminales, ...
  • Ciencia forense, investigación y técnicas antiforense.
  • Redes, protocolos y hacking de capas 2 y 3, encapsulación, ...

Se valorarán especialmente temas y propuestas que no se presentaran en la edición anterior de Rooted CON.

Procedimiento para enviar propuestas

Solamente se admitirán propuestas recibidas a través del formulario de inscripción, que puede accederse en la URL:

Cualquier otro formato, medio o comunicación que no sea a través del citado formulario, no se considerará a efectos de ponencias presentadas y, por supuesto, no será tenido en cuenta o valorado.

Agenda e hitos relevantes

01 Septiembre 2010 - se abre el proceso de inscripción de ponencias ("Call for Papers").
31 Diciembre 2010 - fecha final de presentación de propuestas.
Enero de 2011 - selección de ponentes y charlas.
Febrero de 2011 - material y documentación entregada a la organización.
3,4 y 5 de Marzo 2011 - Rooted CON 2011
Qué está incluido como ponente

Todos los ponentes recibirán las siguientes coberturas:

  • Cena con el resto de ponentes la noche previa al congreso.
  • Alojamiento por cuenta de la Organización
  • Gastos del desplazamiento.
  • Acceso libre a todas las conferencias.
  • Acceso a la fiesta de cierre y tickets para copas gratis.
Patrocinadores y Colaboradores

Rooted CON siempre está buscando patrocinadores de calidad para la organización del Congreso, por lo que si existe un interés, por favor, pónganse en contacto con:

patrocinadores-AT-rootedcon.es

Toda ayuda, ideas, propuestas o colaboraciones que se nos hagan llegar, serán tenidas en cuenta y valoradas por parte de Rooted: dependemos de vosotros para que este Congreso sea uno de los más originales que se realicen.

Contacto

Para consultas, dudas o cualquier tipo de sugerencia:

info-AT-rootedcon.es
Nuestros enlaces

Web: http:/ /www.rootedcon.es
Twitter: @rootedcon
Facebook: http://bit.ly/fbookrooted
LinkedIn: http://bit.ly/linkedinrooted
Lista de correo Rooted: rootedcon-AT-listas.rooted.es
Un Cordial Saludo,
www.itsecurity.es.

27 julio 2010

El Tribunal Supremo Anula Artículos del Reglamento de la LOPD

Buenas Tardes,

Echando una ojeada rápida a las noticias, me he encontrado que el Tribunal Supremo ha anulado varios artículos del último Reglamento que articula la Ley Orgánica de Protección de Datos.

No he tenido tiempo todavía de mirarlo, pero hace una anulación total o parcial de los siguientes artículos:
  • 11.
  • 18.
  • 38.1.a y el 2.
  • 123.2.
También eleva, antes de juzgar el artículo 10. 2.a y b, al Tribunal de Justicia de las Comunidades Europeas (TJCE).

Para más información el enlace completo a esta noticia está en el periódico on-line www.expansion.com

Lógicamente esto dará lugar a cambios substanciales, principalmente a grandes empresas.

Un Cordial Saludo,
www.itsecurity.es

18 julio 2010

Vídeo CAPTCHA

Buenas Noches:
Antes de empezar con la explicación de este nuevo CAPTCHA que está desarrollando la compañía Canadiense NuCaptcha, quería hacer una pequeña explicación de qué es el CAPTCHA y para qué sirve.

Captcha es el acrónimo de "Completely Automated Public Tuning test to Tell Computers and Humans Apart" o lo que es lo mismo, "Prueba de Turing pública y automática para diferenciar máquinas y humanos". Realmente se trata de un desafío - Respuesta, que se utiliza para discernir si quién está intentando realizar la operación web es una máquina (Robot) o bien un humano. Esto permite evitar, la entrada de Robots en la dinámica de la página web y pueda provocar desde ataques de Denegación de Servicio (DoS) hasta aumentar la cantidad de SPAM.

Las debilidades que tienen los actuales sistemas CAPTCHA son:
1) Fondo que no se parece al texto, provoca que se puedan diferenciar las dos capas, por lo que sería relativamente sencillo hallar el texto.

2) Modificación Completa de la Cadena, esto permite que las pequeñas incertidumbres incluidas en la cadena, sean fácilmente detectables y por tanto poder adivinar el texto.


3) Espacio Excesivo entre Caracteres, puede provocar que el atacante pueda estudiar con mayor facilidad una serie de patrones, que junto con un ataque de fuerza bruta, pueda obtener el texto en cuestión.

Dichas debilidades están provocando, que salgan nuevas modalidades de CAPTCHA, como el vídeo CAPTCHA, que es una animación con diferentes capas, al menos dos (Fondo y Texto). La peculiaridad que tiene es que el fondo va cambiando durante el vídeo, además el texto suele tener un movimiento de traslacción y contracción. El CAPTCHA pide, por ejemplo, de una cadena más grande el texto resaltado en un color determinado.

A continuación pongo una foto, con las diferentes flechas de movimiento de las diferentes capas, en este caso son tres:


Esta nueva forma de mostrar el CAPTCHA permite dos beneficios claros:
1) Dificultar aún más la acción de los Robots, impidiendo que tomen referencias claras, para poder descubrir de una forma medianamente sencilla los patrones que se siguen.

2) Impedir la desesperación del usuario, el cual, en muchas ocasiones no entiende los textos que debe poner en la caja de texto, aún cambiándolos varias veces.

Saludos,
www.itsecurity.es

Enlaces:
Read Write Web
Strong CAPTCHA Guidelines v1.2
Blog Segu-info
Wikipedia
C.V. Jonathan Wilkins

08 julio 2010

Actualizado de Diseño de Página

Estimados Lectores,

Si parece que no sale correctamente la página o faltan elementos, estoy en pleno rediseño del blog, para hacerlo más funcional.

Pido disculpas,
www.itsecurity.es

04 julio 2010

Novela: DAEMON


Buenas Noches estimados lectores,

Estos últimos meses he estado enfrascado con una novela, cuyo género lo podríamos poner como "CiberSuspense" o "Techno-Thriller". La verdad que en un principio me dio un poco de reparo leer dicho libro, ya que habitualmente, suelen decepcionar bastante.

El autor del Libro "Daemon" es "Daniel Suárez", asesor independiente de sistemas para empresas. Ha hecho software para industrias de defensa, finanzas, etc.

Tiene una página en la que tiene ciertos enlaces referidos a seguridad, que son interesantes. (www.thedaemon.com)

Esta novela trata de un magnate especializado en vídeo juegos, que por diversas causas pone en jaque todos los Sistemas de Información del Mundo, hay suspense, temas de seguridad, sistemas, asesinatos, acción, etc.

Parece que ha sido un éxito en EEUU e incluso algunos están dándole como un digno sucesor al ya fallecido escritor Michael Crichton.

El ISBN del Libro en Español es: 978-84-89367-75-3, cuesta aproximadamente 20€.

Espero que os guste.
Un Cordial Saludo,
www.itsecurity.es.

20 junio 2010

Tres Problemas en el Inicio de la era de la Información

Buenas Estimados lectores,

Estos días merodeando los blogs que suelo leer, vi un post en el Blog de Enrique Dans, que aunque no está directamente relacionado con la Seguridad, nos ayudará a sacar unas conclusiones muy valiosas. En dicho post, tenía un vídeo de Larry Ellison (Fundador de Oracle) de hace unos años sobre una conferencia que dio en Auckland en 2003.
Vídeo:



Larry comenta que hay tres grandes problemas en el tratamiento de la información, que a continuación os resumo:
  1. Actualmente hay una Fragmentación de Datos enorme, ya que hay una cantidad enorme de repositorios pequeños (BBDD) que hacen que su gestión, mantenimiento y la búsqueda de información de valor añadido sea increíblemente costoso.
  2. Otro problema es el Software de Integración. Desde hace unos años se han comprado una gran cantidad de aplicaciones, sistemas y productos incompletos de diferentes proveedores. Todos estos componentes tecnológicos son diferentes y no han sido diseñados para trabajar conjuntamente con otros. Esto provoca que se necesite un esfuerzo muy grande en consultores para que dichos sistemas se intercomuniquen de forma medianamente decente.
  3. Por último, indica que uno de los más grandes problemas es la falta de automatización. Es decir, se compran o realizan aplicaciones para la gestión empresarial (ERP) y para la relación con el cliente y el marketing (CRM). Estos sistemas son obtenidos a través de diversas empresas que dan sus productos incompletos. Lo que provoca que la empresa cliente tenga que pedir servicios a grandes consultoras de servicios para poder customizarlo a la imagen del cliente, lo que provoca más gastos.
Larry para terminar enumera las implicaciones que tienen estos problemas:
  • Una Gran Complejidad.
  • Un Coste Increíble.
  • Sistemas poco Fiables.
  • Sistemas Inseguros.
  • Escasez de Información.
Estas implicaciones no es baladí para gestionar la seguridad de una empresa por múltiples motivos que os indicaré:
  • La gran complejidad de la obtención de la información provocada por la gran cantidad de repositorios de datos; que hay en una gran empresa, puede provocar que sea muy complejo controlar la seguridad de todas las Bases de Datos, por falta de controles de segregación de funciones entre los empleados, de autenticación y de registros de auditoría, entre otros.
  • El coste no es único por la adquisición, configuración y mantenimiento de la aplicación. El coste se multiplica también a la hora de administrar la seguridad de dichos sistemas.
  • Que los sistemas sean poco fiables pueden provocar diversos problemas de seguridad y todos ellos muy peligrosos para el negocio, sobre todo acrecentados por la escalabilidad y la intercomunicación que hay entre todas las aplicaciones. Que puede provocar fallos de integridad en los datos, pasando por falta de la disponibilidad de la información.
  • Por último, quisiera detenerme un momento en la escasez de información, aquí yo lo matizaría, no es que haya una falta de información, sino que lo que no existe una correlación suficiente de la información que haga que esa sea útil para el negocio. Esta información en relación con la seguridad pasaría lo mismo. Si no hay una correlación de los eventos de seguridad y registros de auditoría puede provocar que haya una transparencia en los problemas de seguridad y por tanto, se tiene una falsa seguridad de lo que realmente esta pasando.
Espero que os haya gustado, yo la verdad que el vídeo lo tengo guardado en mis favoritos, me ha encantado por su sencillez y que me ha ayudado a sacar diversas conclusiones.

Un Cordial Saludo,
www.itsecurity.es

Enlace:
Enrique Dans
Fragmento de la Conferencia de Auckland
Biografía de Larry Ellison

14 junio 2010

Ciberterrorismo el Lado Oscuro de la Red

Buenas Noches,

Hoy quisiera enlazaros un video de Informe Semanal de RTVE, que trata sobre el ciberterrorismo.
No es un reportaje largo, ya que son aproximadamente 15 minutos.

Parece que desde hace un tiempo a aquí, están saliendo cada vez más información en la televisión sobre los riesgos que podría tener el Ciberterrorismo a nivel nacional.

Principalmente este documental se centra en los riesgos que podría tener un ataque en las Infraestructuras Críticas Nacionales.

Espero que os guste:

Informe Semanal: Ciberterrorismo, el lado oscuro de la red - RTVE.es

Saludos,
www.itsecurity.es

04 junio 2010

La Agencia Española de Protección de Datos Multa con 100.000 € a Vodafone

Buenos días estimados lectores,

Acabo de leer una noticia interesante sobre la multa administrativa de carácter grave que ha impuesto la Agencia Española de Protección de Datos (AEPD) a Vodafone por una cuantía de 100.000 €.

La denuncia fue presentada por la Unión de Consumidores de España (UCE) en representación de un ciudadano asturiano, que al entrar al portal "Mi Vodafone" mostraba datos de otros clientes, "sin las debidas garantías de seguridad."

Los datos a los que el denunciante tuvo acceso, correspondiente a otros clientes, variaba cada vez que accedía a la aplicación, incluían el nombre y apellidos del titular del contrato, su número de DNI/NIF/Pasaporte, sexo, fecha de nacimiento, nacionalidad, número de teléfono móvil/fijo, dirección postal completa e incluso a veces su dirección de correo electrónico.


El denunciante ha aportado impresiones de pantalla correspondientes a datos personales de veintidós clientes de Vodafone, y a la duración de la incidencia, que se prolongó durante veinticuatro horas, durante las cuales los datos de clientes de Vodafone de tarjeta prepago fueron accesibles a través del portal "Mi Vodafone".

La compañía telco ha alegado que se trató de una incidencia puntual, que afectó sólo a clientes particulares en la modalidad de prepago y que estuvieran dados de alta en su portal "Mi Vodafone", indicando que duró 16 horas y 1 minuto.

Un Cordial Saludo,

www.itsecurity.es

Fuente:

Periódico On Line Expansión


02 mayo 2010

Formación en Seguridad y Sociedad

"Poco a poco la Seguridad va impregnándose en las raíces de la Sociedad".
Esto sería bueno y necesario, aunque dista bastante de la realidad, este hecho.

Sin embargo, hay pequeños matices que hacen pensar, que algo está cambiando en España; aunque sea poco y lento con respecto a otros países de origen Anglo-Sajón.
De todas las formas me gustaría enumerar principalmente algunas iniciativas en formación y divulgación de la seguridad, centrándome en este caso a INTECO (Instituto de Tecnologías de la comunicación), pero sin olvidarme de la gran labor que están haciendo asociaciones, blogs y congresos que se están realizando últimamente sobre la seguridad (Aunque esto lo dejaremos para posteriores Posts).

Desde que INTECO creara su CERT (Centro de Respuesta a Incidentes de Seguridad) se constata que está apostando fuerte por la Seguridad de los Sistemas de Comunicación y de la Información.
Me gustaría detenerme un poco en la labor gratuita de formación, que está realizando a través de diferentes plataformas que a continuación enumeraré brevemente:
  1. Tienen diversas Jornadas y Talleres técnicos de difusión y divulgación del DNI Electrónico (DNI-e).
  2. Dentro del Observatorio de Seguridad incluyen diferentes artículos, guías, manuales y vídeos divulgativos sobre temas generales de Seguridad.
  3. Han desarrollado una Plataforma On-Line de formación, donde hay diversos cursos de Seguridad (Introducción, Ley Orgánica de Protección de Datos, Sistemas de Gestión de Seguridad de la Información). También tienen una sección importante sobre la Calidad del software y de cómo gestionar los proyectos.
  4. También han creado un Canal en YouTube donde poco a poco van incluyendo vídeos sobre diferentes temas de seguridad.


Por último y fuera ya de INTECO, quiero resaltar un reportaje que ha realizado la Cadena Cuatro sobre la Seguridad en Internet: ¿Estamos desnudos en Internet? donde aparecen personas importantes de la seguridad de compañías y organizaciones como RootedCon, S21Sec, AEPD, Metodo3, Google, Guardia Civil, etc.
En general, el reportaje ha sido interesante, permitiendo que el público en general, conozca de primera mano los posibles problemas de seguridad que puede haber en Internet; si bien, sacaron unas cuantas imágenes que considero que no debían de haberlo sacado, quizás la más llamativa era un cuarto de la Guardia Civil, donde almacenaban pruebas judiciales, donde en algún caso se podían sacar datos que no deberían de estar en conocimiento del público. Para más información, os remito al magnífico blog de 48Bits.

Un Cordial Saludo,
www.itsecurity.es

Fuentes:

25 abril 2010

Conan el Bárbaro

Hoy parece que vamos a hablar de un ser de ficción creado por Robert Ervin Howard, pero me parece que eso va a ser otro día.
Una vez que he atraido vuestra atención, os preguntaréis, del por qué de este título. Pues bien este post viene dado por una nueva herramienta que ha sacado INTECO, "Herramienta de Configuración y Análisis" (CONAN).

Le herramienta lleva a cabo un análisis exhaustivo de los elementos de riesgo de tu PC, agrupando y cotejando toda esa información para su análisis posterior. Es una utilidad especialmente indicada para situaciones en las que un antivirus no nos solucione el problema y necesitemos ir mas allá. Actualmente, la única plataforma aguantada es la de Microsoft desde el Sistema Operativo W2000 en adelante. La licencia es gratuita.

La arquitectura de la herramienta es un Cliente/Servidor. Por lo que hay que bajarse un pequeño cliente, que para que funcione hace falta darse de alta en el CERT de Inteco, pues luego va a almacenar los informes en los servidores de Inteco.
Para iniciar el análisis hay que ejecutar el cliente, CONAN, y posteriormente te pedirá las credenciales, a continuación efectuará el análisis.


En la actualidad esta herramienta realiza el análisis de al menos las siguientes categorías, indicando si están correctamente actualizados y configurados:
  • Sistema Operativo.
  • Firewall.
  • Navegadores (Tales como Internet Explorer y Mozilla, parece que Google Chrome no lo tienen incluido).
  • Conexiones de Red.
  • Interfaces de Red.
  • Unidades Lógicas.
  • Variables de Entorno.
  • Recursos Compartidos.
  • Actualizaciones del Sistema Operativo.
  • Actualizaciones del Sistema Operativo no Instaladas.
  • Servicios en Ejecución.
  • Procesos en Ejecución.
  • ActiveX Instalados.
  • Drivers Instalados.
  • Aplicaciones que se Ejecutan al Inicio.
  • Archivos Hosts.
  • Políticas de Seguridad.
  • Páginas de Inicio y Búsqueda, Extensiones, Prefijos, Zonas de Confianza, Opciones Agregadas en Internet Explorer.
  • Plugins.
  • Browser Helper objetcts.
Una vez que analiza todas estas categorías, CONAN permite la visualización del informe on-line, a través del protocolo HTTPS.





En general, es un estudio bastante completo, qué en algún caso podría dar algún falso positivo, por ejemplo en el fichero Hosts.

De todas las formas desde aquí aplaudimos la apuesta de INTECO por el I+D+I y la Formación, espero que siga así, y sea una organización que favorezca y fomente la Inversión en Investigación y Desarrollo en la Seguridad de Sistemas de Información.

Un saludo,
www.itsecurity.es

Fuentes:

17 abril 2010

¿Estamos seguros de no compartir más información de lo que se quiere?

Desde hace ya unos años y cada vez más, las empresas, organizaciones y particulares compartimos más y más información (Documentos, fotos, páginas html, etc)
Estos documentos, por sí solos son inocuos, es decir, es información compartida, y clasificada por la organización como pública.
El problema viene dado, cuando dichos documentos llegan a manos de un posible atacante. ¿Por qué...? os preguntaréis.
Pues la repuesta a esa pregunta es que muchos documentos tienen internamente una gran cantidad de metadatos.

Los metadatos son datos que describen otros datos. En general, un grupo de metadatos se refiere a un grupo de datos, llamado recurso. El concepto de metadatos es análogo al uso de índices para localizar objetos en vez de datos. Por ejemplo, en una biblioteca se usan fichas que especifican autores, títulos, casas editoriales y lugares para buscar libros. Así, los metadatos ayudan a ubicar datos.

La información que se guardan en los metadatos es muy variable tanto en contenido como en longitud.
Por ejemplo, pueden guardar información como:
  • Quién creo ese documento.
  • Desde que máquina.
  • Qué servidor lo almacenó.
  • Dominios.
  • Software, con el cual, fue modificado y su versión.
  • Sistema Operativo y su versión
  • Carpetas.
  • Coordenadas de Localización.
  • ...
Esta información en diferentes ocasiones se puede hacer de forma manual, aunque es tediosa. Por lo que, existe una herramienta, FOCA de Informática64, que automatiza gran parte de la extracción de los metadatos y su análisis a través de buscadores como google, bing y Shodan.
También existen herramientas de eliminación de metadatos (MetaShield Protector), para asegurarnos que no compartimos más información de la que deseamos.

A continuación pongo unos pantallazos del proceso a seguir:
  • Elegir el dominio a analizar. (www.mipropiodominio.es).
  • Bajarse los documentos (Borrarlos una vez analizados).
  • Extraer los Metadatos.
  • Analizar los Metadatos.
  • Investigar los Datos ofrecidos.

























Fuentes:
Informatica64.
Foca
Google
Bing
Shodan
MetaShield Protector

13 abril 2010

Parecen Subsanados los problemas

Buenos Días mis queridos lectores,

Parece que ya se han arreglado los problemas que afectaron a mi blog.

Por lo que en breve empezaré a postear más a menudo. Quizás también vuelva a cambiar ligeramente el aspecto del mismo.

Gracias por la Espera.
Un Saludo,
www.itsecurity.es

07 marzo 2010

Migración Forzosa de Blogger

POR MIGRACIÓN OBLIGADA POR BLOGGER, ESTE FORO ESTARÁ SIN MOSTRAR NUEVAS ENTRADAS. HASTA QUE PUEDA ARREGLAR ESTA SITUACIÓN, INESPERADA.
INTENTARÉ QUE SEA LO MÁS RÁPIDA.

Gracias y un Estimado Saludo a mis Lectores.
www.itsecurity.es

16 enero 2010

Origen y Breve Historia de la Familia ISO-27000



Buenos Noches estimados lectores.

En este artículo quiero centrarme principalmente en la breve historia de cómo apareció la Familia ISO - 27000. También deseo mostrar una Lista con:
  • Las Normas que se Componen.
  • El Tema que Tratan.
  • Su Estado Actual del Arte.
  • Fecha de Publicación, si procede.
Sin más dilaciones, empecemos.

ORIGEN:
Una de las entidades normalizadoras más antiguas (British Standards Institution) publicó en 1995 la norma (BS-7799-1) con objeto de dar un conjunto de bienes prácticas en Seguridad para las Empresas Británicas.
Posteriormente realizaron la segunda parte de la norma en 1998, en la que establecieron los requisitos, para realizar un sistema de Gestión de la Seguridad de la Información (SGSI).
La BS-7799 dió origen a la Norma Internacional ISO-17799, en el año 2000.
Cinco Años después, se empezó a gestar la Familia de normas ISO-27000, apareciendo la ISO-27001, cuyo origen lo tenía en la BS-7799-2.
A continuación se revisó la ISO-17799 y lo llamaron ISO-27002.
A partir de ahí y gracias a unos grupos de trabajo muy especializados se han ido creando proyectos de normativas para la Familia ISO-27000.

A continuación expongo la lista que he elaborado el 24/01/2010 ciñéndome en tres fuentes:


Para Ampliar la Lista, pulsar sobre la Imagen.