Como cada día 1 de septiembre desde hace unos años, volvemos a la carga con el blog; y como cada día 1 de septiembre desde hace unos años esperamos que las vacaciones hayan sido provechosas en todos los sentidos, que hayan descansado y que vuelvan con las pilas cargadas para los meses que nos quedan (sólo 11) hasta el próximo periodo de descanso estival. Tras el mes de agosto, vamos a comenzar con la marcha habitual en Security Art Work, en este caso con un post de José Luis acerca del filtrado en los dispositivos ASA de Cisco. Vamos allá…

Si en nuestra organización disponemos de un IPS, cuando éste detecta un ataque suele filtrar de forma inmediata el tráfico proveniente de la dirección IP atacante; no obstante, si simplemente tenemos un IDS, una vez que nuestros sistemas de detección han detectado y notificado una actividad potencialmente sospechosa, la primera función que suele llevar a cabo el personal de seguridad es el filtrado manual de las conexiones en el firewall corporativo para, posteriormente, realizar un análisis más minucioso del ataque, una análisis forense e incluso, en caso de ser necesario, proceder a denunciar el hecho ante las FFCCSE. En cualquier caso, la velocidad de respuesta a la hora de llevar a cabo el filtrado de la dirección IP que nos ataca es crítica, ya que cuanto más tiempo pueda tener acceso el atacante a nuestros sistemas, mayor será el daño que nos cause, por ejemplo dejando puertas abiertas para conexiones futuras o directamente robando información.

Como todos los años, llegan por fin las ansiadas vacaciones de verano para -casi- todos, y en Security Art Work también nos vamos a tomar nuestro (quiero creer que merecido) descanso estival. Y por supuesto, nos despedimos hasta septiembre, al igual que años anteriores, con un post titulado “¡Vacaciones!” cuyo objetivo principal no es otro que desearles un feliz verano y, de paso, agradecerles a todos su participación (escribiendo o leyendo) en nuestro blog.

Echando la vista atrás, durante estos meses han sucedido cosas muy destacables, buenas o malas, en nuestro mundillo; desde la aprobación del Esquema Nacional de Seguridad o la Ley Ómnibus a la primera BlackHat celebrada en España, pasando por los problemas de seguridad en redes sociales o en tecnologías como RFID hasta llegar a temas de Protección de Infraestructuras Críticas o de information sharing, que por fin parece empiezan a calar en nuestro país. Y por supuesto, lamentamos decir que el terrorismo ha seguido siendo noticia estos meses (ETA asesinó este año a un policía francés, y dos ciudadanos españoles permanecen secuestrados en África).

Después de este titular tan amarillista, viene la historia del triunfo de la concienciación en los usuarios y sobretodo, del sentido común.

Voy a poneros en situación: hace unos años, sugerí a mi padre que pidiera al banco una cuenta para operar por Internet. Inmediatamente, él vio las ventajas de la banca online: transferencias entre cuentas instantáneas, ver el saldo en el momento…

Como buen hijo, le di las recomendaciones de seguridad básicas:

• Nunca acceder al banco pulsando sobre un enlace.
• Buscar que el certificado de la web sea reconocido.
• Que aparezca el candado en la barra inferior.
• Nunca poner todas las coordenadas de la tarjeta.
• Y por último, que usara el sentido común y que si veía algo extraño, que desconfiara.

(Como ya hiciera hace exactamente un año, nuestro director financiero se ha prestado a colaborar con una entrada de opinión que supone un cambio refrescante para la temática del blog, ahora que nos acercamos a esas deseadas vacaciones de las que algunos llevan ya días o incluso semanas disfrutando)

Hace unos días tuve ocasión de leer en una de esas revistas técnico-científicas que solo ojeas en las consultas médicas, cuando el tiempo de espera se hace largo, una entrevista a una veterana neuróloga (con 100 años de vida) que me impactó. Primero por la seguridad que desprendía su vida, sus declaraciones, sus palabras y sus objetivos, y segundo por la enorme diferencia con las conductas de cualquiera de estas mujeres que se autoproclaman paladines del feminismo (pertenecientes al Gobierno o no) y que nos toca mantener con nuestros impuestos.

A estas alturas de la película, todos sabemos la cantidad de problemas que nos puede traer Facebook en lo que respecta a nuestra privacidad. Desde empleados que son despedidos por culpa de hablar mal de su empresa, a acosos por parte de ex-parejas. La semana pasada Sean Sullivan de F-Secure comentó en su twitter la existencia de un directorio en Facebook donde se recogían todos los nombres de los usuario que se puedan buscar. Esta pagina es www.facebook.com/directory

Con esta información a Ron Bowes se le iluminó la bombilla que todos tenemos en la cabeza. Teniendo al alcance de la mano millones de nombres y apellidos de personas, ¿no se podría confeccionar una gran lista de usuarios para utilizarla con ataques de fuerza bruta? La respuesta para él fue afirmativa, y mediante un script en Ruby obtuvo 171 millones de nombres de usuario (100 millones únicos). Ahora sólo faltaba ordenarlos, crear las diferentes combinaciones de nombre/apellido y empaquetarlo todo en un torrent para compartirlo con la comunidad.

Como todos habréis podido observar, ya sea porque ya tenéis una en vuestras manos o porque habéis visto como ha proliferado su uso en distintos establecimientos de venta, por fin tenemos en España tarjetas de crédito con chip. Las tarjetas con chip nos aportan numeras ventajas respecto a las tarjetas de banda magnética:

• Más rapidez
  Las tarjetas con chip y PIN agilizan las transacciones y reducen las colas, porque eliminan la necesidad de firmar y verificar el recibo. La información que contiene una tarjeta con chip permite que algunas transacciones puedan ser autorizadas sin conexión con toda garantía, por medio de los parámetros de seguridad del chip.
(Leer el resto de la entrada…)

El pasado mes de mayo el Servicio de Protección y Seguridad de la Guardia Civil (SEPROSE) puso en marcha el programa COOPERA. Este programa pretende mejorar el Plan General de Colaboración vigente desde 2006, potenciando la cooperación con el sector de la seguridad privada a través del intercambio de información operativa de interés en los ámbitos de competencia que afecten a ambos colectivos, con el objetivo de integrar los servicios de seguridad públicos y privados y potenciar así las capacidades de ambos, en beneficio directo de la seguridad global. Dentro de este programa, al que como Departamento de Seguridad legalmente constituido nos hemos adscrito, se va a intercambiar de forma bidireccional y directa información de interés para todas las partes, a través de web, correo electrónico, SMS… a dos niveles diferenciados: directivo (SEPROSE) y operativo (Comandancias). Además del intercambio habitual, se han conformado diferentes grupos de coordinación sectoriales (banca, infraestructuras críticas…) e incluso se van a establecer modelos de formación comunes para Guardia Civil y Seguridad Privada.

Esta excelente iniciativa pone de manifiesto, una vez más, algunos aspectos de seguridad que ya hemos comentado en diferentes posts de este blog: en primer lugar, los referentes al intercambio de información, al information sharing del que tanto hablan los anglosajones y que, por fin, parece empezar a calar en España. Como en repetidas ocasiones hemos defendido desde aquí, esta tendencia debe ser en la actualidad la tónica general en seguridad, con las debidas garantías y con las relaciones de confianza necesarias para que la información fluya en las direcciones en las que debe hacerlo, permitiendo así reducir los riesgos de todos los actores y repercutiendo por tanto en un beneficio directo para todos. No ahondaremos más en los beneficios del information sharing -de momento, porque seguro que hablaremos más del tema- para que no nos llameis pesados :)

Con el permiso de Roberto, voy a continuar con la serie sobre seguridad en Mifare Classic que él comenzó hace unos meses (véase I y II).

En las anteriores entradas, se han comentado los ataques contra la comunicación lector-tag, donde era necesario capturar el momento de la autenticación. Además era necesario el uso de hardware relativamente caro, el PROXMARK III (240€).

En este post y el siguiente, vamos a ver como es posible recuperar la información de un tag usando hardware barato y ataques contra el tag. En primer lugar vamos a presentar el hardware:

Se trata del lector de touchatag, un lector basado en el ACR122U de ACS. La gran virtud de este lector es la posibilidad de usar las librerías libres libnfc, que han permitido a la comunidad desarrollar aplicaciones sin necesidad de pagar los costosos SDK’s privados.

La otra gran virtud es el precio, 40€ aproximadamente con portes e impuestos incluidos.

En los últimos días se ha hecho pública la existencia de una vulnerabilidad ”crítica” en Windows que abre las puertas a un nuevo modo de ejecutar código cuando se introduce un dispositivo extraíble (bien sea una llave o disco USB, o cualquier otro dispositivo, incluyendo las tarjetas de memoria de móviles y cámaras de fotos) y que ya estaba siendo utilizada por algunos troyanos para expandirse por la red.

Pues bien, ayer se hicieron públicos todos los detalles de esta vulnerabilidad junto con una prueba de concepto, y la situación actual es bastante comprometida para Microsoft, ya que están afectadas todas las versiones actuales de Windows (desde el XP hasta el 7 con cualquier service pack, tanto en versiones de 32 como 64 bits, incluyendo también las versiones 2003 y 2008 para servidores).
Entrando en un poco más de detalle, esta vulnerabilidad permite la ejecución de código por el tratamiento incorrecto que se hace al icono asociado a los accesos directo de windows (archivos con extensión .lnk). Si el icono asociado no es un icono sino otro tipo de archivo (como por ejemplo una dll, que en general pueden contener también iconos, pero en este caso específicamente diseñada), se puede llegar a ejecutar código, evitando todas las restricciones introducidas tanto por Microsoft como por terceras partes para evitar la ejecución automática de código en unidades extraibles.

Hoy en día cada vez se intenta acudir más a estándares del mercado y a estándares de facto para poder abordar la problemática TIC de la empresa. Para una gran parte de las organizaciones es excesivamente costoso realizar sus propios desarrollos para cubrir las necesidades del negocio, tanto en tiempo como en esfuerzo y dinero, así que por norma se recurren a los principales proveedores del mercado, que en cierta manera aportan una seguridad desde el punto de vista tecnológico. Todos conocemos gigantes de bases de datos, colosos de los sistemas operativos de escritorio, o de la electrónica de red, etc. Al final ponemos nuestra confianza y nuestros negocios en quien creemos que tiene más experiencia en resolver nuestro problema. Porque las dos palabras fundamentales son estas: confianza y experiencia.

La seguridad en la empresa no deja de ser otro proceso que nos ayuda a proteger nuestro conocimiento y la continuidad del negocio. Cada día más empresas están empezando a entender la importancia de saber qué pasa en sus organizaciones, y saberlo a tiempo. Monitorización, correlación, eventos… términos que manejan muchas soluciones en el mercado, entre las cuales cuesta distinguir cuál se adapta mejor a mis necesidades. Como en cualquier otro área, hay grandes empresas, con grandes desarrollos para grandes multinacionales, recogiendo problemáticas de gigantes a precios exorbitantes. Y por sus referencias nadie duda de que las soluciones funcionan, tanto aquí como en EEUU, Japón o Guadalajara. Al final todo es igual, ¿o no?