Posteos etiquetados Seguridad Informática
Cifrado de datos en equipos portátiles
Oct 27
Categoría: Seguridad de la Información
Esta mañana he visto una noticia que me ha sorprendido. Resulta que a Joan Laporta le robaron el portátil en el transcurso del partido Barcelona – M. United el 25 de abril de 2008. Un ladrón se coló en las oficinas centrales del club blaugrana y sustrajo del despacho presidencial el ordenador personal del presidente del barcelona. De aquel ordenador nada más se supo y como no, a mi me se me encienden las luces cada vez que escucho algo de esto, máxime cuando la principal preocupación de Joan Laporta es que se filtre información que contenía dicho portátil.
De todo lo anterior, a mi se me ha venido a la cabeza que acabamos de hablar de entornos compartidos y no mencioné nada acerca de algo muy básico, el cifrado del disco duro, o como mínimo de los archivos personales. El control de acceso basado en usuario / contraseña no basta, hoy cualquiera pone un live-cd de linux y te lee todo el disco duro. Solución, utilizar cifrado del disco duro o software que crea espacios de disco cifrados como el que ya mencionamos en un post anterior. Este mecanismo es básico en entornos compartidos donde la sustracción de un portátil no es sólo un problema por disponibilidad sino por las fugas de información que se puedan derivar de la información allí contenida.
Lo cierto es que resulta difícil imaginarse a alguien entrando en las oficinas sin ser visto, sin controles físicos de entrada suficientes, sin cámaras de vigilancia, sin alarmas, sin guardias en la puerta… esto en una casita de campo es muy lógico pero la oficinas del FCB me parece algo… extraño.
Salu2!
Seguridad: ¿Por donde empezar? (II)
Sep 11
Categoría: Seguridad de la Información
Seguridad Informática
******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************
Una vez que hemos visto algunas de las posibilidades de formación a nivel personal y de normas certificables que pueden verse ligadas de uno u otro modo en nuestro futuro profesional, bien como consultor, bien como implantador en nuestra propia empresa o bien como auditor, vamos a pasar al ámbito de la Seguridad Informática.
Dentro de la Seguridad Informática hay varias certificaciones con prestigio dependiendo de a qué nos queramos dedicar. Si hablamos de hacking ético, la certificación por excelencia es CEH (Certified Ethical Hacker). Esta es la que encontrareis en todos los requerimientos de los currículum, sin embargo, no es la que más conocimientos os proporcionará según comentarios en la lista de pen-test de security-focus. Allí comentan que si realmente deseas aprender tu certificación es OSCP. Esta certificación se obtienen una vez se ha hecho una intrusión real sobre un sistema y los cursos los imparten los creadores de la distribución linux dedicada a Ethical Hacking, Backtrack. Es un curso bastante asequible si nos paramos a mirar los precios en los que se mueven este tipo de acciones formativas y además, según las muestras que te dejan ver los videotutoriales parecen bastante buenos, eso si, hay que saber inglés. Desde un punto de vista de desempeño profesional, OPST (OSSTMM PROFESSIONAL SECURITY TESTER) es una certificación ofrecida por ISECOM que certifica a profesionales bajo la metodología OSSTMM cuya versión 2.2 podeis descargar desde aquí. Otra metodología que complementa normalmente a OSSTMM es ISSAF (Information System Security Assessment Framework).
Las comunidades Hacker editan e-zines, algunos de estos e-zines se encuentran disponibles a partir de elhacker.net (os recomiendo saqueadores, SET). En esta misma página podeis encontrar infinidad de material que os puede servir para instruiros por vuestra cuenta, incluyendo las revistas en castellano de hackXcrack que pueden ser un buen comienzo.
En temas de análisis forense aún no me he movido demasiado pero CHFI (Computer Hacking Forensic Investigator) al igual que su hermando de hacking ético (CEH) goza de prestigio y es referente en materia de análisis forense.
Conclusiones
Aquí os voy a ofrecer un par de diagramas con itinerarios profesionales que os pueden dar una idea de cómo afrontar la formación en materia de Seguridad de la Información y Seguridad Informática respectivamente. Esto no debe ser tomado como una guía sino como una opinión basada en lo que yo he estudiado e investigado por mi cuenta.
Tal como os he dicho no dejéis de tomar esto como una opinión pero para más información podeis ir a portales de ofertas de trabajo online como por ejemplo infojobs y buscar por consultor de seguridad o por hacking ético y contrastar la información que aquí os he dejado.
Me gustaría que esta serie de post fuera el punto de inicio para que todos aquellos profesionales de la seguridad que pasen por aquí pusieran su granito de arena al respecto en términos de su opinión y sus conocimientos de certificaciones en este sector.
Salu2!!
******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************
Seguridad: ¿Por donde empezar? (I)
Sep 10
******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************
Categoría: Seguridad de la Información
Seguridad Informática
Cuando uno se plantea definitivamente que esto de la seguridad le mola de verdad y quiere que pase de ser su hobby a que forme parte de su vida cada día pasando a ser su trabajo comienza a bucear y tras 15 googleminutos da con ISACA, quizá antes. Uno piensa, mmm esto parece un buen punto de partida y realmente lo es, pero no os confundáis, sacar el certificado CISA no te enseña a auditar. CISA te provee de un conjunto consistente de conceptos que te permiten afrontar con los conocimientos suficientes las diferentes áreas de la seguridad de la información y la seguridad informática a nivel conceptual. Y por qué digo lo de la seguridad de la información y la seguridad informática?, pues porque aunque suenan parecido se parecen en bien poco. La seguridad de la Información se entiende desde un punto de vista global a nivel de negocio mientras que la seguridad informática se decanta por el lado técnico. Haciendo una puesta en común con la ISO 27001, la seguridad de la información iría en consonancia con la norma al completo mientras que la seguridad informática equivaldría a profundizar en algunos controles puntuales de los puntos 10,11 y 12 de la norma. Un ejemplo bien claro lo supone el control 12.6.1 “Control de las vulnerabilidades técnicas” en el que se enmarcaría un Hacking ético.
Cuando uno da con ISACA además de CISA descubre CISM y el recientemente creado CGEIT que se situan en diferentes niveles de conocimientos como el propio desglose de sus siglas muestra (CISA tiene un enfoque de auditor, CISM de Manager de Seguridad de la Información, lo que se conoce como CSO y CGEIT una visión a nivel estratégico que podemos considerar emparejada a ISO 38500, y con emparejada me refiero a que tratan conceptos a nivel de Gobierno de las Tecnologías de la Información cada uno desde su lado). Tras unos googleminutos más uno encuentra (ISC)2 y su certificado CISSP que estando más orientada al plano técnico no deja de lado aspectos importantes del plano organizacional tal como muestran sus secciones “Business Continuity and Disaster Recovery Planning” e “Information Security and Risk Management“.
Siguiendo en el plano de seguridad de la información pero adentrándonos en las normas y estándares internacionales podemos encontrar la bien conocida ISO 27001 (de la familia 27000 la norma que regula los conceptos es de descarga libre y esta disponible a partir de aquí) que regula los requisitos de certificación para un Sistema de Gestión de Seguridad de la Información, ISO 19011 que supone las directrices de auditoría para cualquier sistema de gestión.
Profundizando en el apartado 14 de ISO 27001 podemos encontrar BS 25999, que consta de dos partes: BS25999-1 donde se describen un conjunto de buenas prácticas (el equivalente a ISO 27002 pero para continuidad de negocio) y BS25999-2 donde se definen los requisitos para un BCMS (Business Continuity Management System) y que equivaldría a ISO 27001, la parte certificable. Lo cierto es que podemos perdernos si nos vamos por los laterales puesto que podemos encontrar normas de ámbito más específico como la ISO 15408 muy bien descrita en este post y cuyo cometido es clasificar el desarrollo seguro de un software en 7 niveles dando un significado claro del nivel de seguridad ofrecido por una solución comercial. O el estándar ANSI/TIA 942 sobre ubicación del CPD y niveles de disponibilidad.
No quiero enredar más, en la siguiente parte del post os ofreceré las conclusiones que yo he podido sacar hasta el momento de forma más clara pero, en lo que respecta a seguridad de la información lo descrito hasta el momento es un buen comienzo.
******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************
HackxCrack
Ago 5
Categoría: Seguridad Informática / Seguridad Lógica
Allá por el año 2005 se editó en españa una revista de hacking en la que se exponían aquellos conceptos, casos prácticos, protocolos, lenguajes de programación, bugs, etc que son necesarios para iniciarse en el mundo del hacking. Esta revista se denominó HackxCrack y esta siendo para mi, sin duda alguna una lectura muy interesante y útil. Por eso, me tenía reservado este post para antes de irme de vacaciones. Estas revistas están disponibles en formato PDF y os las podeis descargar desde este enlace
Como veis os dejo deberes, son 30 números que no se leen, se estudian, yo empecé hace bastante y voy por el 18 sin probar demasiadas cosas con las que trato de quedarme con el concepto y otras que afortunadamente las puedo saltar porque ya las estudié con anterioridad. Espero que os guste y las disfruteis igual que yo.
Salu2!!
Localizando un ordenador zombi
Ago 5
Categoría: Seguridad Informática / Seguridad Lógica
Navegando entre las noticias de seguridad a las que me encuentro suscrito me encontrado con una entrada en el blog de Alvaro Paz que me ha resultado más que interesante.
En dicha entrada, se expone un programa denominado BotHunter que es capaz de reconocer ordenadores zombis pertenecientes a una botnet dentro de una LAN, todos los detalles lo podéis ver aquí.
Salu2!
Buffer Overflow (I) en CTICRM digital
Jul 31
Categoría: Seguridad Lógica
Desde la asociación murciana Consejo de Tecnologías de la Información y las Comunicaciones de la Región de Murcia llevamos ya casi dos años empujando para que las diferentes soluciones comerciales, así como las líneas de investigación en vigor sobre temas tan de actualidad como IT Governance se acerquen a la sociedad de la Región de Murcia y del resto de España.
Como una de las iniciativas de la actual Junta Directiva se creó una revista de la que soy responsable directo y cuya edición va por el número 3. En este número podéis encontrar artículos realmente interesantes y contamos con nuevos colaboradores, nuevas secciones y también ISSN.
Una de las nuevas secciones es “El tutorial” y he querido inaugurarla con algo que llevo trabajando mucho tiempo; un tutorial completo de Buffer Overflow en el que pretendo exponer como es posible llegar desde el bug al exploit a fondo y de la manera lo más cercana posible. Esto lo he hecho con la intención de que no sea necesario ponerse enfrente del ordenador y seguir todos los pasos sino que con un estudio pormenorizado del tutorial cualquiera con unos conocimientos medianos pueda entender cómo se pueden localizar estos errores y cómo se pueden aprovechar por un tercero.
En este número tan sólo figura la parte I de posiblemente III si me queda el tiempo suficiente para llegar hasta el fondo en este asunto.
Aqui os dejo los enlaces a la página de CTICRM, y a la revista CTICRM digital donde podreis adquirir de manera totalmente libre y gratuita cualquiera de sus números.
Si cualquiera de vosotros quiere colaborar con la revista puede ponerse en contacto conmigo en la dirección hernandezrma@gmail.com
Espero que lo disfruteis.
Salu2!
La Guerra Fría Digital
Jul 2
Hoy en día, no hay ninguna duda de que nos encontramos en una nueva era y una nueva sociedad, la era digital y la sociedad de la información. Tampoco cabe duda de que actualmente sería difícil pensar en un desarrollo vertiginoso de la difusión de conocimientos y la disponibilidad de la información sin una base tecnológica e informática. Las organizaciones dependen de la tecnología hasta el extremo y su información se encuentra albergada en sistemas de cuya seguridad depende el buen funcinamiento de una parte de la organización y en casos muy críticos, de la organización completa. En torno a esta información giran las actividades de negocio, el trabajo de las personas y en última instancia y desde un punto de vista global, la economía de un país.
Por todo lo anteriormente mencionado, resulta interesante reflexionar en el cambio de planteamiento al que estamos asistiendo, podemos decir que desde ya a nivel global, en cuanto a la defensa nacional. Pensando fríamente, con un grupo de Hackers bien confeccionado se podrían plantear objetivos estratégicos (organizaciones guvernamentales, grandes empresas por volumen de negocios, empresas con colaboraciones con defensa, empresas del sector energético y un largo etcétera) que pueden ser dañados vía Internet. El ejército norcoreano dispone de un ejército de 100 Hackers, desde Estados Unidos sonaron declaraciones sobre un posible ataque de un hacker chino al pentágono, también Inglaterra e Israel los han sufrido. Todo aquello que está expuesto a Internet es susceptible de ser atacado y es por ello que se debe analizar aquello que resulta crítico con el objeto de imponer la medidas de seguridad adecuadas para su protección.
Diferentes gobiernos a lo largo y ancho del planeta han creado ya o se disponen a crear ejercitos de hackers y estrategias de ciberdefensa y es que “cuando el río suena, agua lleva”. Líderes guvernamentales de todo el mundo comienzan a establecer la cyberseguridad como una de sus prioridades dándole la importancia y atención que merece un elemento básico de un castillo de naipes que si pierde uno de sus pilares clave, la información, caerá pudiendo arrastrar con él parte del sustento económico de la nación.
El ejército Americano dispuso hace bastantes años de un escudo antimisiles con el objetivo de proteger su territorio de posibles ataques externos (principalmente de los rusos) lanzando un mensaje al mundo, “señores, tenemos un escudo antimisiles, si nos atacan, más vale que acierten”. La Seguridad Nacional está empezando a contar con la seguridad lógica y por ende la disuasión ha cambiado de ámbito, hace apenas unas semanas Jeff Moss fue nombrado Asesor de Barack Obama pasando a formar parte del Consejo Asesor de Seguridad Nacional de Estados Unidos, también se ha trasladado de escenario; el pasado 10 de Junio el parlamento europeo aprobaba una propuesta para impulsar un plan europeo de ciberseguridad. Y es que, señores, podemos seguir con la filosofía del avestruz y esconder la cabeza bajo tierra o coger el toro por los cuernos y afrontar los riesgos que plantea un entorno dinámico, una sociedad informatizada y una información globalizada. Bienvenidos a lo que es a día de hoy, y esperemos que siga siendo, La Guerra Fría Digital.
Salu2!
Ser o No Ser… esa es la cuestión
Jun 29
Hace ya algún tiempo que vengo detectando ciertas irregularidades o desconocimiento en el mundo profesional en cuanto a las denominaciones que se otorgan tran la obtención de ciertas certificaciones, véase CISA, CISM, Lead Auditor 27001, …
Todas y cada una de estas certificaciones tienen, por decirlo de alguna manera, dos hitos. El primero es pasar un examen que acredita que dispones de los conocimientos necesarios y el segundo es la presentación de los justificantes necesarios para que la correspondiente organización promotora del certificado te los reconozca y te otorgue finalmente dicho certificado y la denominación correspondiente.
En la etapa en la que se dispone del examen y no de la Certificación se debe indicar que se dispone del documento acreditativo de haber pasado el examen correspondiente incluyendo (Exam Pass). Por tanto mientras no haya confirmación de la correspondiente organización de que la verificación de los méritos profesionales es suficiente, aquel que ha pasado el examen debería considerarse como CISA Exam Pass, CISM Exam Pass o IRCA Lead Auditor Exam Pass, pero el caso es que habitualmente eso de poner el Exam Pass queda muy largo y hay a quien se le pasa…
Esta mañana he estado echando un vistazo a los requisitos que se solicitan para ser IRCA Lead Auditor ISO 27001 y aquí os pongo parte de la información que IRCA facilita en este documento:
Educación
- Secundaria, como mínimo.
Experiencia laboral
- Cinco Años, o 4 años con un título universitario o terciario
- dos años de experiencia en temas relacionados con seguridad en al información
Formación en auditorías
- Curso de Lead Auditor ISO 27001 certificado por el IRCA o una alternativa aceptable
Experiencia en Auditorías
- Cuatro Auditorías como auditor “en entrenameinto”, totalizando 20 días de los cuales 10 deben ser en las intalaciones de la organización auditada.
- Tres auditorías como auditor líder “en entrenamiento”, totalizando 15 días, de los cuales 10 deben ser en las instalaciones de las organizaciones auditadas.
Para otras certificaciones se requieren, al igual que para ésta, requisitos de experiencia que hayan sido validados por la organización que ha de conceder la certificación (ISACA en caso de CISA y CISM). Es por esto que me gustaría llamar la atención sobre el hecho de que pasar el examen no autiraza a aquel que lo pasa a disponer de la denominación si antes no ha acreditado el resto de requerimientos.
Por último decir que IRCA dispone de un Directorio Online donde se puede acudir para saber si alguien que pone en su tarjeta que es IRCA Lead Auditor 27001 es realmente lo que dice ser.
Salu2!
Phishing, la etapa final o cómo el dinero se esfuma
May 28
Hará ahora unas 3 semanas que asisití a una conferencia en la que intervenían dos ponentes, uno era el principal responsable de la III brigada de delitos telemáticos ubicada en Murcia y el otro era Xabiel García Pañeda, Perito Informático experimentado y que ofreció una gran visión desde la mente del perito informático de lo que debe ser un peritaje bien llevado de principio a fin. A todo aquel que tengais la suerte de tenerlo cerca (Asturias) y podais acudir a alguna de sus conferencias es altamente recomendado. En esta conferencia se comentaban los ataques de phishing y allí me di cuenta de que la fase final no es muy comentada y resulta extremadamente curiosa (al menos para mi).
Es por todos conocido cómo opera un ataque de phishing hasta que los números de cuenta y resto de información necesaria llegan a quien no deberían haber llegado nunca, al atacante, pero… quizá no es tan conocido cómo es posible que ese dinero llegue a manos del ciberdelincuente y sea tan difícil cogerle, al fin y al cabo, a algún lugar redirigirá el dinero.
En esta tarea entran en juego los conocidos como muleros, término heredado de las personas que introducen droga en los diferentes paises portandola dentro de su cuerpo con el objetivo de no ser descubiertos. Estos muleros de la red tienen como principal función la de blanquear el dinero que les llegará a sus cuentas.
Las bandas de crimen organizado reclutan a estos muleros mediante mensajes de correo electrónico en los que les ofrecen grandes cantidades de dinero, trabajo desde casa, contrato laboral, el trabajo perfecto. En el momento de la contratación, el mulero se está convirtiendo en cómplice de una estafa de importantes dimensiones.
El recien contratado mulero comienza a recibir en su cuenta grandes cantidades de dinero de las cuales manda un alto porcentaje, entorno al 80%, a la empresa que lo contrató por un servicio de envio rápido de dinero, quedándose con el restante 20%. Inmediatamente después, el dinero es retirado por el phisher en otra oficina de la misma entidad de envío de dinero en otra parte del mundo con documentación falsa.
Vale, ahora habrá quien diga… ¿y la transferencia quien la hace? pues la transferencia puede hacerla el propio phisher tomando las debidas precauciones. Imaginemos que cogemos un módem de ono, de estos piratas que circulan por ahí y le ponemos una MAC de la que ya dispone otro usuario… en el momento de realizar la transferencia, debido a la asignación de direcciones que hace el servicio DHCP de ono tendremos la misma dirección IP que el titular verdadero vinculado a esa MAC, ¿en qué resulta esto?, en el titular que tenía asignada tal dirección IP imputado en un caso de estafa y en ONO buscando entre sus registros indicios de duplicación de tal MAC.
Aquí os dejo los principales objetivos del phishing a día de hoy extraidos de marshal8e6. Como podeis ver principalmente bancos americanos pero hay otros de interés, podeis ver más aquí
salu2!!
Un ordenador infectado envía 600.000 mensajes de Spam al día
May 20
Recorriendo esta mañana las noticias de actulidad me he topado con este dato tan aplastante procedente de un estudio conducido por la compañía Marshal8e6 (cuyo comunicado lo podeis encontrar aquí). Este estudio ha sido realizado por TRACElabs. En spamspam podeis leer este fragmento que es una transcripción directa de los datos que Marshal8e6 expone.
Y no, no es exageración. Según la compañía estadounidense Marsahll8e6, un estudio realizado a equipos de cómputo infectado por alguna de las botnets más prolíferas de nuestros tiempos es capaz de enviar por la red hasta unos 25 mil mensajes de Spam por hora, lo que a la postre nos da la cifra de 600 mil mensajes de correo electrónico no deseados por día y que a la vez nos arroja la suma de 4.2 millones de mensajes de Spam a la semana; impresionante tomando en cuenta que se tratan de cifras de una sola computadora infectada.
Marshal8e6 comunica que TRACElabs infectó sus sistemas de manera intencionada y oberservó el comportamiento de los bots. Los investigadores observaron qué cambios se producian en el registro, qué puertos abrían para su comunicación y observaron cuanto SPAM eran capaces de generar.
El estudio se extendió a 9 botnets que TRACElabs consideró las de mayor tamaño incluyendo: Xarvester, Mega-D, Gheg, Grum, Donbot, Pushdo, Bobax, Rustock y Waledac. Éstas botnets aglutinan el 70% del volumen total de spam de acuerdo con los datos de Marshal8e6.
Los resultados del estudio se pueden encontrar aquí.
Al hilo de esto, me gustaría resaltar cómo se están recuperando los volúmenes de Spam. A fecha 1 de Abril de 2009 exponía este post donde se observaba un gráfico obtenido de la misma empresa que conducía el informe anteriormente mencionado donde, si bien se mostraba que los niveles de SPAM habían bajado considerablemente tras el cierre de la empresa de servidores McColo, también se observaba un ligero repunte. Este repunte se puede confirmar en los diagramas que a día de hoy podemos ver en su correspondiente sección, señores, el SPAM ha vuelto… si es que algún día nos dejó….
Salu2!
