Recientemente he tenido la oportunidad de leer un artículo sobre privacidad en las comunicaciones móviles titulado Cellular Telephony and the Question of Privacy ($) donde entre otras cosas se plantea un sistema que garantice la privacidad del acceso a las redes móviles, separando la identidad del terminal de la identidad del usuario mediante un sistema PKI.

En el sistema propuesto, el terminal dispone de un modo de funcionamiento privado donde este envía una petición PER (Privacy Enabling Registration) a la red del operador; dicha petición consiste en un mensaje de certificación que valida al usuario y un valor aleatorio denominado RET (Random Equipment Tag), que se incluirá en los registros VLR (Visitor Location Register) y HLR (Home Location Register) del operador, los cuales permiten enrutar y mantener las llamadas, pero sin asociarlos a un usuario determinado (los siguientes mensajes de registro incluyen peticiones PET en lugar del número de télefono).

En España, la Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones (Ley 25/2007 de 18 de octubre) indica que los operadores de telefonía móvil con servicios prepago deberán registrar la identidad de los clientes que acceden a la red. Aparte de esta ley, cada vez es más habitual que la privacidad y el anonimato en la red se muestren como una problemática real, y ya comienzan a aparecer servicios de Internet integrados con sistemas de identificación como el DNI electrónico, como por ejemplo ha hecho Tuenti recientemente.

Sin entrar en detalles técnicos que seguro que hay muchos que se me escapan y a la vista de un entorno legislativo y político cada vez más preocupado por trazar y registrar todo tipo de comunicaciones, ¿piensan que un sistema así podría ser factible? Y desde otro punto de vista, ¿es necesario o deseable?

“Lo que fue, eso mismo será. Y lo que se hizo, eso mismo se hará. Y no hay nada nuevo bajo el sol.” Eclesiastés, 1:9.

La posibilidad de que ataques cibernéticos afecten al normal funcionamiento de infraestructuras claves para el sostenimiento de las sociedades modernas es una causa creciente de preocupación entre todos los agentes implicados. Prueba de ello son los recientes desarrollos normativos que están teniendo lugar y que en nuestro país se sustancian en la Ley de Protección de Infraestructuras Críticas y el Reglamento que la desarrolla.

Una de las características del temor que produce esta amenaza proviene del hecho de que no sigue una de las reglas establecidas de los enfrentamientos a que la sociedad está acostumbrada: identificar al enemigo. En efecto, hasta este momento los ataques contra una sociedad se producían en el contexto de una guerra o un ataque terrorista. El enemigo, por tanto, era conocido (incluso en el caso de ataques terroristas, ya que estas acciones buscan que la parte atacada sepa quién infringe el daño). Ahora, sin embargo, se toma conciencia de que elementos claves de una sociedad pueden ser atacados inadvertidamente y por un enemigo sin rostro, del cual, además, se desconocen sus motivaciones y por tanto no podemos prever su forma de actuar. Incluso se nos puede atacar de forma remota sin necesidad de encontrase físicamente entre nosotros.

Sin embargo, por muy novedoso que nos pueda resultar esto, en una fecha tan temprana como 1961, mucho antes de los ordenadores personales y las redes de comunicación, ya se previó que una eventualidad como ésta se podría producir. Hablamos de A por Andrómeda, una serie de televisión de la BBC que posteriormente se trasladó a novela, escrita por Fred Hoyle (físico especialista en cosmología) y John Elliot (productor de televisión).

Una de las principales funciones de un SOC es la Gestión de Incidentes de Seguridad. Este servicio comprende la notificación de incidentes a los afectados así como a los responsables de la red atacante, en la mayoría de los casos. Aunque pueda parecer que es algo poco importante, considero que es una de las fases más cruciales en la gestión de incidentes, ya que debe transmitir claramente a la persona interesada los hechos ocurridos, la importancia del problema y la solución del mismo.

Parece un mal endémico del personal técnico el no tener una buena capacidad de redacción y síntesis; podemos hablar sobre multitud de conceptos técnicos, utilizando una infinitud de palabras en inglés pero parece que no seamos capaces de sintentizar y trasladar a un lenguaje más coloquial un incidente de seguridad que hayamos detectado.

Como todo en esta vida las modas van y vienen y parece que la moda de los RAT se fue. Para quien no los conozca, las siglas RAT responden a Remote Administration Tool, aunque a cualquiera que le preguntemos dirá que más que para administrar equipos remotamente sirve para espiar a vecinos, amigos y enemigos.

Se trata de programas para generar pequeños virus que una vez infectan un equipo permiten controlar remotamente el ordenador de la víctima permitiendo robar contraseñas, hacen las funciones de keylogger, pueden cargar o descargar ficheros, matar procesos, gastar bromas, grabar webcams, ver escritorios remotos, etc.

Hace algo más de un año, en Security Art Work se habló sobre la esteganografía y algunos de los métodos utilizados en esta disciplina (entradas una, dos y tres).

Con el artículo de hoy toca rememorar este tema, ya que tal y como está últimamente todo el tema de la privacidad con leyes como PIPA y SOPA, uno se puede preguntar si nos veremos “obligados” a tener que comunicar cierta información mediante técnicas más elaboradas de cifrado. ¿Podría ser la esteganografía una de ellas?

Mañana, sábado 28 de enero de 2012, se celebrará el día de la Protección de Datos en Europa. Es la sexta vez que se celebra desde sus inicios en 2006 y por este motivo queremos tratar algunas cuestiones sobre éste día.

¿De qué trata este evento?

El día de Protección de Datos en Europa es una jornada que tiene como objetivo de promover el conocimiento entre los ciudadanos acerca de cuáles son sus derechos y responsabilidades en materia de protección de datos. Esta jornada está respaldada por las autoridades de Protección de Datos de los estados miembros de la Unión Europea (por ejemplo, la AEPD), el Consejo de Europa y la Comisión Europea.

¿Por qué se celebra el día 28 de enero?

El Comité de Ministros del Consejo de Europa eligió esta fecha para conmemorar el aniversario de la firma del Convenio 108 del Consejo de Europa para la protección de personas con respecto al tratamiento automatizado de datos de carácter personal. Dicho convenio se firmó el 28 de enero de 1981 y establece las bases para la protección de datos en Europa.

Hoy me gustaría compartir con vosotros una aplicación que he descubierto al revisar las ponencias de la próxima RootedCON.

La herramienta en cuestión es XSSer, un Framework que detecta, explota e informa de vulnerabilidades XSS en aplicaciones Web. Supongo que las vulnerabilidades XSS no son desconocidas para nuestros lectores, aunque si tienen alguna duda pueden visitar esta entrada para refrescar conceptos.

Como comenta el propio autor en la web del proyecto, contiene diversas opciones para evadir ciertos filtros y diferentes técnicas de inyección de código.

Para empezar a usar la herramienta, basta con descargar la última versión del repositorio:

$ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser

Una vez realizado esto, podemos ejecutarlo de dos formas distintas, desde consola o mediante su interfaz:

La entrada de hoy corre a cargo de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones y al que nos gustaría ver más a menudo por estos lares.

Aunque la entrada de hoy no es totalmente original como suele ser habitual, ya que fue publicada en su mayor parte ayer en su blog personal “Apuntes de seguridad de la información”, hemos creído interesante traerla también a nuestros lectores ya que guarda relación con dos de los aspectos en los que S2 Grupo está especializada: la Seguridad de la información y la Gestión de procesos (o eventos, en este caso) en tiempo real.

Vamos pues con ella y esperemos que les guste.

Todas las organizaciones, grandes o pequeñas, disponen de sistemas de recogida de eventos que guardan en ficheros de log datos sobre lo que está sucediendo en el funcionamiento de los sistemas de información. Esta materia prima permite establecer un puesto de vigilancia y conocer de primera mano qué ocurre en sus sistemas de información. En algunos casos por tiempo, en otros por desconocimiento sobre las problemáticas a analizar, esos datos no sirven para tomar decisiones que en un momento dado pueden luego costar una factura muy cara. El ejemplo en el mundo físico es como quien coloca cámaras de vigilancia y sensores volumétricos en todos los rincones a vigilar de su empresa, centralizando toda esa información en un cuarto de control y luego no pone vigilantes las 24 horas del día para que monitoricen lo que sucede en esas pantallas y centrales de alarma.

Una de las tareas comunes que deben aplicarse a un servidor que va a pasar a producción es fortalecer la seguridad que lleva por defecto el sistema. A esto se le llama bastionar o securizar. Como son muchos aspectos los que hay que tener en cuenta para llevar a cabo esta labor, he querido hacer un recopilatorio de las principales tareas de bastionado en Linux.

Los siguientes puntos se van a centrar únicamente en la seguridad de la máquina, sin extenderse en los elementos externos que se pueden utilizar para securizar el equipo, como NIDS, IPS, firewalls, auditorías periódicas o cañones de fotones.

• Software siempre actualizado. Imprescindible mantener el sistema siempre a la última en parches de seguridad. No hacerlo es el método más sencillo para que te vulneren o tumben el equipo. La mayoría de malware actual se basa en vulnerabilidades conocidas de un servicio o aplicación para infectar la máquina.
• Configuración deficiente de las aplicaciones. De nada serviría un servidor altamente bastionado si uno de los servicios disponibles tiene una configuración que permita a un atacante vulnerar su seguridad. Como es imposible abarcar todo lo que esta implicación supondría, enumeraré algunas indicaciones generales, aplicables a la mayoría de aplicaciones:
(Leer el resto de la entrada…)

Para hoy tenemos una nueva encuesta, que pueden contestar en esta entrada y en la columna de su derecha. La encuesta dice así:

¿Qué opinas de los congresos, jornadas, seminarios... de seguridad que actualmente hay en el panorama nacional?

• Son apasionantes y muy en línea con la demanda del mercado y las inquietudes tecnológicas del sector.
• Algunos están bien, pero fastidia que solo hablen los patrocinadores... y para contar su libro.
• Sólo se aprovechan comercialmente, en la hora del café (que ahora se llama coffee break).
• Son tan útiles como un teclado sin intro.

View Results

 Loading ...

Respecto a la encuesta anterior, los resultados se dividen entre los optimistas, que consideran que podremos mantener la privacidad en el futuro siempre que queramos renunciar a ciertos servicios, y los pesimistas, que piensan que hagamos lo que hagamos, es una batalla perdida. Como tercera alternativa, la idea de que la pérdida de la privacidad es algo positivo que es inherente al progreso que incorporan las nuevas tecnologías no parece tener demasiados seguidores, ya sea porque nadie considera en realidad que tal pérdida pueda ser considerado un avance, o porque las otras opciones estaban más definidas.

¿Está nuestra privacidad condenada a desaparecer?

• No, siempre que se esté dispuesto a renunciar a ciertos servicios. (53%, 57 Votos)
• Sí, nos forzarán a ello queramos o no. (42%, 45 Votos)
• Sí, pero es algo beneficioso que se llama progreso. (5%, 5 Votos)

Votantes: 107

 Loading ...

¡Esperamos sus respuestas!