Pues va a ser verdad eso de que en cualquier lugar o en cualquier momento, nos encontramos con un agujero de seguridad… Yo les pregunto, ¿cuál creen que es lugar más seguro para recoger información de clientes? ¿Qué utilizarían? Verán porqué les planteo esto.

Hace unas semanas iba yo tranquilamente por un conocido centro comercial cuando me ofrecieron un folleto por ser socio en un determinado establecimiento. El objetivo de dicho papel era recoger, de nuevo, los datos de los clientes habituales y ya registrados como tal en su sistema pero para una actualización de los mismos.

Hace unos días se publicaba en The Honeynet Project una entrada que hablaba sobre una serie de nuevos plugins para Wireshark desarrollados en el Google Summer of Code (GSoC) de este año.

Uno de esos plugins, WireShnork, permite aplicar las reglas de Snort al tráfico de red capturado por Wireshark y añade un nuevo filtro para que se pueda seleccionar aquellos paquetes que hacen saltar una regla que tengamos definida en Snort. Parece muy interesante, sobre todo a la hora de hacer un análisis forense ya que cuando el tamaño de la captura a analizar contiene miles de paquetes se hace inmanejable y es necesario filtrar por lo más relevante.

Hace un par de semanas se realizó en Valencia una jornada de seguridad organizada por ISMS Forum donde pude asistir, entre otras, a una charla de Jelle Niemantsverdriet (el principal consultor forensics de Verizon), quien, aparte de remarcar la importancia de los logs para llevar a cabo sus análisis —importancia que también se ha remarcado en distintas entradas en este blog—, presento brevemente el framework VERIS desarrollado por Verizon.

El framework VERIS (Verizon Enterprise Risk and Incident Sharing) proporciona un lenguaje común para describir incidentes de seguridad de forma estructurada y repetitiva, basado en lo que denominan las cuatro ‘A’:

Estimados lectores, estoy seguro que todos ustedes conocen la tan socorrida en presentaciones Directiva 95/46/CE, del 24 de octubre de 1995, respecto a la protección de las personas en cuanto a los tratamientos de datos personales. Aprovechando que últimamente la Comunidad Europea está en boga, me gustaría resumir una entrevista realizada en la web VR-ZONE a Sophie Kwansy, secretaria del Comité Consultivo del Consejo Europeo sobre protección de datos.

Sophie Kwansy pone de manifiesto la necesidad de redefinir y actualizar el convenio europeo de protección de datos en vigor, el cual data de 1985, dado que la situación actual ha variado significativamente. Tal y como en la propia entrevista comenta “no existía internet, ni facebook que albergará información personal, ni google que dispusiera de los datos de búsqueda de los usuarios, ni Sony que hackear”. En la convención se incluye a 43 países, de los cuales 27 son estados miembros de la UE y donde cabe destacar la posición de Estados Unidos como mero observador y no partícipe del convenio, alegando importantes diferencias en la forma de afrontar este aspecto (ahora mismo me viene a la cabeza algún libro de Orwell cuyo nombre no recuerdo…).

Siguiendo con nuestra serie de posts sobre sistemas de monitorización social, en este caso toca hablar de NarusInsight y Ghostnet.

El Informe sobre la Protección de Infraestructuras Críticas en España 2011 elaborado por S2 Grupo y cuyos autores son Antonio Villalón, Nelo Belda, José Miguel Holguín y José Vila está disponible para su descarga [PDF, 2.3MB].

Cualquier comentario o consulta sobre éste pueden realizarla enviando un correo electrónico a admin EN securityartwork.es, o a avillalon EN s2grupo.es.

Reproducimos a continuación la nota de prensa publicada el pasado 28 de noviembre.

En el post del otro día fuimos críticos con los esquemas de certificación y nombramos de pasada algunos de sus posibles problemas. Continuamos.

El rigor y la credibilidad de lo que se afirma en un certificado está reñido con varios factores. Entre ellos, tanto con la duración de las auditorías como con la preparación de los auditores y, por tanto, con su coste. También con el rigor a la hora de interpretar y exigir los requisitos contenidos en las normas, por tanto con el número de empresas tanto certificadas como potencialmente certificables y, consecuentemente, con los niveles de ingresos de las entidades de certificación. Podríamos pues decir que la credibilidad de un certificado es o debería ser directamente proporcional al coste de la auditoría. También que la credibilidad de los esquemas de certificación debe tener algún tipo de relación inversamente proporcional al número total de empresas certificables. Si prácticamente cualquier empresa que solicita una certificación la consigue sin mayores problemas esta dimensión de la credibilidad tiende a cero. Es cierto que algunos certificados son denegados o retirados con el tiempo pero suelen ser opciones reservadas para casos flagrantes. Y siempre se puede encontrar alguna entidad dispuesta a certificar casi cualquier cosa. Y es que en el mercado se ofrecen certificaciones a medida, a la baja (en lo técnico y en lo económico) y a la carta y las empresas que consideran la certificación como un fin en sí mismo recurren a ellas. Y la consiguen.

Recientemente he tenido que volver a repasar parte del funcionamiento del Adaptive Security Algorithm de Cisco. De manera breve, este algoritmo es el encargado de inspeccionar el tráfico y permitir o denegarlo basándose en las políticas existentes.

A grandes rasgos, cuando una conexión llega al sistema, es procesada mediante el Session Management Path, quien se encarga de comprobar la tabla de rutas y NAT y las listas de control de acceso, de forma que si la política definida permite el tráfico, se crea una nueva entrada en la tabla de estados mediante el Fast Path, que es el encargado de revisar las cabeceras 3 y 4, comprobar el checksum IP, números de secuencia TCP, etc. El resto de paquetes de la conexión ya establecida son enviados directamente al Fast Path. La conjunción del Session Management Path y del Fast Path es lo que se conoce como Accelerated Security Path (ASP).

Soy español y tengo por costumbre pasarme por El Corte Inglés cada cinco de enero a eso de las 20:00 horas. También de llevar mi coche a revisión la última semana de julio.

Hace dos veranos, como cada año, llevé mi coche al taller. Cuando salía de dejarlo caí en la cuenta de que había olvidado indicar a la persona que me atendió que una de las luces de posición no funcionaba. Da igual, pensé. Seguro que se dan cuenta.

Cuando fui a recogerlo a última hora de la tarde, una chica ataviada con una bata tan blanca que en un taller resultaba chocante, casi elegante (parecía más un científico de laboratorio farmacéutico que la recepcionista de un taller de vehículos) me entregó, grapada junto con la factura, una hoja de control de calidad de las intervenciones, “50 controles de calidad”, sobre la que alguien había marcado otras tantas crucecitas y había estampado su firma.

De entrada he de confesar que la blancura inmaculada de la hoja me resultó algo sospechosa para tratarse de un taller de vehículos. No obstante comprobé aliviado que una de las crucecitas de la hoja se correspondía, precisamente, con la revisión del correcto funcionamiento de las luces de posición y que estaba marcada, como todas las demás, en la columna del “OK”. Estupendo, pensé. La recepcionista me explicó el desglose de la factura y todas las intervenciones realizadas a mi vehículo con cierto nivel de detalle y una sonrisa en los labios. A continuación me cobró y me despidió amablemente. La verdad es que me trató de manera impecable.

En esta pequeña entrada me gustaría comentaros un detalle interesante, que dentro de la fase de information gathering (N. del E. véase el informe sobre este tema que Josemi y Borja Merino publicaron hace unos días) a alguno le puede llegar a ser de utilidad. El otro día estaba haciendo una revisión de una aplicación Web y dentro de la fase de “Testing for web Application Fingerprint” (OWASP-IG-004) me encontré que el servidor Web en cuestión me devolvía en la cabecera HTTP Server el texto “Apache”.

HTTP/1.1 200 OK
Date: Wed, 23 Nov 2011 15:50:43 GMT
Server: Apache
Content-Language: es-ES
Content-Type: text/html;charset=UTF-8
Content-Length: 57942