Hace unos días se publicaba en The Honeynet Project una entrada que hablaba sobre una serie de nuevos plugins para Wireshark desarrollados en el Google Summer of Code (GSoC) de este año.

Uno de esos plugins, WireShnork, permite aplicar las reglas de Snort al tráfico de red capturado por Wireshark y añade un nuevo filtro para que se pueda seleccionar aquellos paquetes que hacen saltar una regla que tengamos definida en Snort. Parece muy interesante, sobre todo a la hora de hacer un análisis forense ya que cuando el tamaño de la captura a analizar contiene miles de paquetes se hace inmanejable y es necesario filtrar por lo más relevante.

Hace un par de semanas se realizó en Valencia una jornada de seguridad organizada por ISMS Forum donde pude asistir, entre otras, a una charla de Jelle Niemantsverdriet (el principal consultor forensics de Verizon), quien, aparte de remarcar la importancia de los logs para llevar a cabo sus análisis —importancia que también se ha remarcado en distintas entradas en este blog—, presento brevemente el framework VERIS desarrollado por Verizon.

El framework VERIS (Verizon Enterprise Risk and Incident Sharing) proporciona un lenguaje común para describir incidentes de seguridad de forma estructurada y repetitiva, basado en lo que denominan las cuatro ‘A’:

Estimados lectores, estoy seguro que todos ustedes conocen la tan socorrida en presentaciones Directiva 95/46/CE, del 24 de octubre de 1995, respecto a la protección de las personas en cuanto a los tratamientos de datos personales. Aprovechando que últimamente la Comunidad Europea está en boga, me gustaría resumir una entrevista realizada en la web VR-ZONE a Sophie Kwansy, secretaria del Comité Consultivo del Consejo Europeo sobre protección de datos.

Sophie Kwansy pone de manifiesto la necesidad de redefinir y actualizar el convenio europeo de protección de datos en vigor, el cual data de 1985, dado que la situación actual ha variado significativamente. Tal y como en la propia entrevista comenta “no existía internet, ni facebook que albergará información personal, ni google que dispusiera de los datos de búsqueda de los usuarios, ni Sony que hackear”. En la convención se incluye a 43 países, de los cuales 27 son estados miembros de la UE y donde cabe destacar la posición de Estados Unidos como mero observador y no partícipe del convenio, alegando importantes diferencias en la forma de afrontar este aspecto (ahora mismo me viene a la cabeza algún libro de Orwell cuyo nombre no recuerdo…).

Siguiendo con nuestra serie de posts sobre sistemas de monitorización social, en este caso toca hablar de NarusInsight y Ghostnet.

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga [PDF, 2.3MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

En el post del otro día fuimos críticos con los esquemas de certificación y nombramos de pasada algunos de sus posibles problemas. Continuamos.

El rigor y la credibilidad de lo que se afirma en un certificado está reñido con varios factores. Entre ellos, tanto con la duración de las auditorías como con la preparación de los auditores y, por tanto, con su coste. También con el rigor a la hora de interpretar y exigir los requisitos contenidos en las normas, por tanto con el número de empresas tanto certificadas como potencialmente certificables y, consecuentemente, con los niveles de ingresos de las entidades de certificación. Podríamos pues decir que la credibilidad de un certificado es o debería ser directamente proporcional al coste de la auditoría. También que la credibilidad de los esquemas de certificación debe tener algún tipo de relación inversamente proporcional al número total de empresas certificables. Si prácticamente cualquier empresa que solicita una certificación la consigue sin mayores problemas esta dimensión de la credibilidad tiende a cero. Es cierto que algunos certificados son denegados o retirados con el tiempo pero suelen ser opciones reservadas para casos flagrantes. Y siempre se puede encontrar alguna entidad dispuesta a certificar casi cualquier cosa. Y es que en el mercado se ofrecen certificaciones a medida, a la baja (en lo técnico y en lo económico) y a la carta y las empresas que consideran la certificación como un fin en sí mismo recurren a ellas. Y la consiguen.

Recientemente he tenido que volver a repasar parte del funcionamiento del Adaptive Security Algorithm de Cisco. De manera breve, este algoritmo es el encargado de inspeccionar el tráfico y permitir o denegarlo basándose en las políticas existentes.

A grandes rasgos, cuando una conexión llega al sistema, es procesada mediante el Session Management Path, quien se encarga de comprobar la tabla de rutas y NAT y las listas de control de acceso, de forma que si la política definida permite el tráfico, se crea una nueva entrada en la tabla de estados mediante el Fast Path, que es el encargado de revisar las cabeceras 3 y 4, comprobar el checksum IP, números de secuencia TCP, etc. El resto de paquetes de la conexión ya establecida son enviados directamente al Fast Path. La conjunción del Session Management Path y del Fast Path es lo que se conoce como Accelerated Security Path (ASP).

Soy español y tengo por costumbre pasarme por El Corte Inglés cada cinco de enero a eso de las 20:00 horas. También de llevar mi coche a revisión la última semana de julio.

Hace dos veranos, como cada año, llevé mi coche al taller. Cuando salía de dejarlo caí en la cuenta de que había olvidado indicar a la persona que me atendió que una de las luces de posición no funcionaba. Da igual, pensé. Seguro que se dan cuenta.

Cuando fui a recogerlo a última hora de la tarde, una chica ataviada con una bata tan blanca que en un taller resultaba chocante, casi elegante (parecía más un científico de laboratorio farmacéutico que la recepcionista de un taller de vehículos) me entregó, grapada junto con la factura, una hoja de control de calidad de las intervenciones, “50 controles de calidad”, sobre la que alguien había marcado otras tantas crucecitas y había estampado su firma.

De entrada he de confesar que la blancura inmaculada de la hoja me resultó algo sospechosa para tratarse de un taller de vehículos. No obstante comprobé aliviado que una de las crucecitas de la hoja se correspondía, precisamente, con la revisión del correcto funcionamiento de las luces de posición y que estaba marcada, como todas las demás, en la columna del “OK”. Estupendo, pensé. La recepcionista me explicó el desglose de la factura y todas las intervenciones realizadas a mi vehículo con cierto nivel de detalle y una sonrisa en los labios. A continuación me cobró y me despidió amablemente. La verdad es que me trató de manera impecable.

En esta pequeña entrada me gustaría comentaros un detalle interesante, que dentro de la fase de information gathering (N. del E. véase el informe sobre este tema que Josemi y Borja Merino publicaron hace unos días) a alguno le puede llegar a ser de utilidad. El otro día estaba haciendo una revisión de una aplicación Web y dentro de la fase de “Testing for web Application Fingerprint” (OWASP-IG-004) me encontré que el servidor Web en cuestión me devolvía en la cabecera HTTP Server el texto “Apache”.

HTTP/1.1 200 OK
Date: Wed, 23 Nov 2011 15:50:43 GMT
Server: Apache
Content-Language: es-ES
Content-Type: text/html;charset=UTF-8
Content-Length: 57942

Continuando con la anterior entrada sobre Echelon, aparte de esa archiconocida red ha habido, y continúa habiendo, otras instituciones y países que se han unido a la utilización de estas prácticas creando sus propias “redes espía”. El FBI, sin ir más lejos, tenía su propio software llamado Carnivore, el cual nació en octubre de 1997 como sucesor de Omnivore y fue reemplazada en 2005 por el software comercial NarusInsight, que explicaremos en el siguiente post de la serie.

Carnivore funcionaba básicamente como un sniffer más que era utilizado bajo el sistema operativo Microsoft Windows. Su tecnología era bastante sencilla y común, pero lo que marcaba la diferencia y la efectividad era que podía ser instalado en los proveedores de Internet o en cualquier otro punto en el que se tuviera un acceso preferente a los datos que se intercambiaban en las comunicaciones. Además de este factor tan importante, como es la posición donde se situaba, su funcionalidad clave era el gran poder de filtrado del que se disponía, siendo éste su elemento diferencial. En la imagen podemos ver una captura de su interfaz de configuración.