Al hilo de posts anteriores sobre continuidad de negocio (tipos de proyectos, pruebas, aspectos a tener en cuenta, tiempos, UNE 71599/BS 25999, …), hoy vamos a centrarnos en la realización de las pruebas, pero no de planes de prueba de esos que se revisan simbólicamente una vez al año para cumplir con requisitos de auditoría. Hablaremos de porqué hace falta hacer pruebas de verdad.

Y es que si algo tiene que fallar algún día, está claro que fallará durante una presentación en directo, durante una importante migración o, como no, durante una contingencia.

Empecemos por la parte organizativa:

Uno de los grandes errores de los planes de continuidad es tener únicamente una serie de documentos técnicos para restaurar HW/SW. Evidentemente esto no podemos considerarlo como un plan de continuidad TIC (véase este post sobre los tipos de los proyectos: https://www.securityartwork.es/2013/04/04/continuidad-de-negocio-tipos-de-proyectos/) ya que se habrá quedado fuera toda la parte organizativa, pero es una situación que encontramos bastante frecuentemente. Esto suele ocurrir cuando no se aborda la tarea como un proyecto en condiciones, sino que se le encarga al departamento de TI “Hacer un plan de esos por si esto explota. Y rapidito que tenéis más cosas que hacer”.

Pues bien, dependiendo de la naturaleza del negocio, la parte organizativa seguramente será mucho más importante que la parte técnica, ya que de nada sirve documentar como restaurar equipos si no hay un local donde hacerlo, si no hay personal de respaldo, o nadie que pueda tomar decisiones relevantes. Por culpa de este tipo de documentos puede pasar que ante una contingencia se dediquen recursos a recuperar antes la aplicación de gestionar las vacaciones del personal que la centralita de atención al usuario u otras situaciones similares.

Al respecto, además de crear la política y establecer prioridades, se tienen que crear los planes clásicos de continuidad organizativa como pueden ser reubicación de personal, sustitución de personal, contacto con proveedores y clientes, etc., los cuales deben ir acompañados de un Plan de Pruebas. Puede parecer que estos planes al no tener componente tecnológica no pueden fallar, pero fallan, y lo peor, hacen que otros planes no puedan ejecutarse. Puede parecer que un plan de reubicación de personal no puede fallar ya que solo hace falta tener, por ejemplo, comunicación con el CPD de respaldo, pero en el momento de la contingencia podemos darnos cuenta de que necesitábamos una impresora con la que no habíamos contado, que las comunicaciones no son suficientes, que el local no tiene mesas, que sin la libreta del 2º cajón del administrador de sistemas no se puede acceder a X servidor, o que nadie recuerda la IP a la que conectar para hacer una tarea ya que todo el mundo la tenía en favoritos y sus equipos están en la ubicación a la que no se puede acceder.

Por otro lado, además de probar los planes con el fin de buscar errores o detalles que hayamos dejado fuera, las pruebas de la parte organizativa sirven como entrenamiento por si llega el día en que hay que utilizarlos. Para un técnico restaurar un sistema puede ser algo relativamente rutinario, pero seguramente la responsabilidad de activar la contingencia y de empezar a lanzar planes recaerá en alguien que no se dedica a hacer esto frecuentemente. El cómo se actúe durante la primera hora será decisivo para el buen funcionamiento del plan ya que una mala decisión puede retrasar todo el restaurado, por lo que es imprescindible que quien tenga que tomar las decisiones tenga cierta soltura y que conozca perfectamente el plan, y esto solo se consigue practicándolo.

¿Y qué ocurre con la parte técnica?

Si en la parte organizativa lo más importante es probarlo todo para familiarizarse con el entorno y ver que no se han dejado cabos sueltos, en la parte técnica nuestro peor enemigo es el “pues esto tendría que funcionar, peeeero…. Por desgracia hoy en día tenemos un montón de tecnologías que nos deberían facilitar la vida ante una contingencia como pueden ser SAIs monstruosos, cabinas de discos inmensas, virtualización por todas partes, sistemas de alta disponibilidad, grupos electrógenos, etc. los cuales nos dan una (falsa) sensación de tranquilidad que puede hacer cundir el pánico si no todo es tan maravilloso como nos han prometido.

Todo es superseguro pero, ¿cuántos se atreven a cortar la luz del CPD sin avisar a nadie confiando en que los SAIs harán su trabajo y que los aires aguantarán? ¿Tirarías del cable de red del cortafuegos principal confiando en que el secundario balanceará perfecto? ¿Borrarías un servidor crítico tranquilamente sabiendo que según el fabricante del robot de copias en 20 minutos lo tienes restaurado? Si alguien contesta a todo que sí o es un valiente o lo tiene todo muy atado (lo cual efectivamente puede suceder).

En la práctica es relativamente frecuente encontrar copias de seguridad corruptas, lentitud en los restaurados o comunicaciones, backups de configuraciones de electrónica de red desactualizados o scripts de restaurado que ya no funcionan con el último cambio que se hizo, y la única forma de detectar estas situaciones es, una vez más, probar que todo funciona.

Resulta además muy recomendable (por no decir necesario) hacer las pruebas técnicas junto con la parte organizativa ya que, por ejemplo, ni se trabaja igual ni se dispone de los mismos recursos en la oficina y en la ubicación alternativa. Detalles como no tener una copia de los certificados de la VPN o del fichero de contraseñas disponible desde una ubicación alternativa, haber olvidado abrir algún puerto en el cortafuegos, o tener las instrucciones técnicas de cómo restaurar una copia dentro de la propia copia, son situaciones que se pueden solventar muy fácilmente, pero que se tienen que detectar antes… ¡PROBÁNDOLO!

¿Y si montamos un teatrillo?

A alguno le parecerá que esto es cosa de modernos, pero una buena forma de hacer las pruebas de la forma más realista posible es hacerlas sin avisar a nadie y añadir dramatismo teatrero como si algo realmente hubiese pasado (aunque todos sepan que no es así): en lugar de convocar una reunión para ver cómo se planifica la puesta en marcha de los planes, se puede montar un pequeño circo en la oficina un día que nadie lo espere y llegar a escenificar que ha sucedido alguna catástrofe y que el negocio no puede operar normalmente. También se puede activar el plan antes de la hora de entrar a la oficina llamando por teléfono a los implicados en las pruebas para que acudan directamente al centro de respaldo, de modo que a nadie le dará tiempo de “hacer trampas” y llevarse la documentación que necesita en un USB, o enviarse al correo la última versión del fichero de claves que ha olvidado actualizar en el repositorio de backup.

Para los más imaginativos se puede incluso montar un pequeño juego de rol, donde un “master” va lanzando cataclismos naturales sobre el CPD, o hace que los técnicos enfermen misteriosamente a medida que los pobres contingente recuperan servicios, pero eso lo contaremos en otra ocasión.

Esperamos que haya quedado claro que si realmente queremos que un plan de pruebas tenga sentido y queremos ver como funcionaríamos ante una contingencia real, no nos vale con restaurar un servidor de forma muestral, o firmar un contrato con un proveedor que nos garantiza el suministro: hay simular que el negocio no puede operar y no quedarse en pruebas de concepto o soluciones a medias.

A raíz del informe de seguridad en videojuegos publicado en Diciembre, hoy tenemos un post-entrevista con el director de tecnología de Akamon Entertainment, Carles Pons.

Para poner en situación a nuestros lectores empezaremos comentando que Akamon cuenta con una de las plataformas de juegos sociales online más importantes de España (Mundijuegos.com) con más de 9 millones de usuarios registrados, con presencia en más de 7 países y funcionando en varios idiomas.

Carles, con una comunidad de usuarios así de grande y variopinta seguro que os enfrentáis a incidentes de seguridad de todo tipo (phishing, robo de cuentas, ingeniería social)… ¿Qué tipos de ataques son los más generalizados?

Tenemos bastante variedad, aunque nada distintos de los que suelen ocurrir otras plataformas online: perfiles falsos para suplantar a usuarios, robo de cuentas, intentos de phishing, intentos de recargar fichas de forma fraudulenta, ataques de fuerza bruta…

[Read more…]

Ha pasado ya un año del post “revisión anual de todo“ así que por las fechas en que nos encontramos, deberíamos buscar un hueco para volver a hacer una revisión de todos los puntos que en su día mencionamos.

Curiosamente, unos días después de nuestro post, TrendMicro propuso el 1 de Febrero como día internacional del cambio de contraseñas, así que si la iniciativa sigue adelante recordemos esta fecha y démosle difusión entre nuestros conocidos por el bien común.

Pocas novedades han surgido al respecto durante el presente año, por lo que podemos repetir el proceso haciendo hincapié en los apartados más relevantes y añadiendo algunas comprobaciones adicionales:

• La configuración de la privacidad de Facebook ha cambiado mucho por lo que es muy, muy, muy recomendable revisarla. Si tenemos dudas de si lo estamos haciendo bien conviene utilizar la opción de “ver mi perfil como otro usuario” para tener la certeza de que el usuario X ve exactamente lo que queramos que vea.
• El dashboard que ofrece Google para controlar todo lo referente a la privacidad y permisos de acceso ha sido ampliado con bastantes servicios, por lo que interesa investigarlo. Especial atención al almacenar el histórico de búsquedas online, la capacidad de sincronización de Chrome entre distintos dispositivos, los permisos de acceso a nuestros ficheros en Google Drive y los dispositivos que comparten nuestra ubicación en Google Latitude.
• Mención aparte merece el resumen de actividad de Google donde podemos obtener un resumen ejecutivo de la actividad de nuestra cuenta con datos como, desde donde hemos conectado, información sobre nuestras contraseñas, o un resumen de los contactos más contactados.
• Parecía que Google iba a revolucionar las redes sociales con su agrupación de contactos en “círculos”, pero en la práctica no aporta nada que no se pueda hacer en Facebook con las “listas”. Si somos usuarios de alguna de estas redes sociales es muy recomendable repasar los contactos asignados a cada una de nuestras listas o círculos.
• Hacer limpieza de los dispositivos que tienen permitido sincronizar nuestra cuenta de Dropbox .
• Recordar utilizar MyPermissions.org para acceder directamente a los paneles de control de privacidad de los principales servicios online.
• Re-hacer la copia de seguridad de los datos familiares y enviarla al pueblo/apartamento/casa de los suegros.
• Buscarnos en Google por si se ha publicado algo sobre nosotros que no deba ser de dominio público.

Y como siempre, lo más importante de todo: ¡A cambiar contraseñas!

(N.d.E. Nótese que al “rootear” el móvil se estan deshabilitando las medidas de seguridad impuestas por el fabricante, lo que provoca una exposición del teléfono móvil. Por tanto, solo se recomienda “rootear” el dispositivo a los usuarios avanzados. Y estos deben recordar que algunos fabricantes aseguran que la garantía quedará anulada en caso de modificación del teléfono)

Hace poco tuvimos una conversación mañanera frente a la máquina de café sobre las bondades y maldades de conseguir permisos de administrador (en adelante “rootear”) en dispositivos android, y en la cual la verdad es que no llegamos al consenso.

Para quien no sepa de qué hablamos, los dispositivos android por defecto tienen limitadas algunas funciones con la doble finalidad de, por un lado evitar que el usuario “rompa” su sistema operativo por manazas, y por otro limita la interacción de las aplicaciones con el sistema operativo para evitar que aplicaciones maliciosas puedan hacerse con el control del terminal.

Hasta aquí todo parecen ventajas, pero si además añadimos que limita que se haga un uso inadecuado de los componentes como puede ser subir la velocidad del procesador arriesgándonos a socarrar el terminal (y perder la garantía), parece que poco podemos argumentar a favor de rootear.

[Read more…]

(N.d.E. Aunque en el pasado hemos hablado de puerto seguro en esta entrada y esta otra a propósito de Google, ya hace mucho tiempo de eso (2009), y no viene mal recordar qué es, sus pegas y en este caso en particular, su comparación no tan lejana con algunos aspectos de la LOPD)

Como muchos sabréis, el acuerdo de “puerto seguro”, o safe harbour, es un acuerdo al que se adhieren las organizaciones estadounidenses para poder ser receptoras de transferencias internacionales de datos de carácter personal procedentes de la Unión Europea.

Este acuerdo se firmó para dar salida a la restricción que imponen, entre otras, tanto nuestra Ley Orgánica de Protección de Datos como la Directiva Europea de Protección de Datos, referente a que no se pueden hacer transferencias internacionales de datos de carácter personal salvo que se considere que el destinatario es confiable, de forma que si el destinatario está adherido a este acuerdo se considera que cumple con los principios de privacidad necesarios.

Pues bien, desde su puesta en marcha el sistema ha recibido multitud de críticas en cuanto a lo sencillo que resulta obtener el certificado de Safe Harbour Compliant y las pocas garantías que éste ofrece: para obtenerlo basta con abonar las tasas correspondientes (anualmente) y hacer una declaración en la cual se compromete a cumplir con los siguientes 7 principios de privacidad (traducción libre):

[Read more…]

Todo el mundo debería buscarse en Google. Para quien no lo haya hecho, es un sano ejercicio que seguramente algún vecino, admirador, o compañero de trabajo habrá hecho antes que nosotros y no está de más saber que han podido encontrar al intentar averiguarnos la vida.

No es ningún secreto que en Internet existe muchísima información sobre nosotros y que no siempre es todo lo pública o privada que queremos. En un mundo ideal toda nuestra información estaría publicada, o bien porque nosotros así lo hemos decidido (perfiles en redes sociales, publicaciones en sitios web, etc.) o porque deben ser pública por temas legales/funcionales (becas, multas, apariciones en el BOE, etc), pero sabemos que no siempre es así.

A pesar de que existen leyes que protegen nuestros datos personales, y que pretenden evitar que cualquiera pueda publicar datos nuestros sin nuestro consentimiento, técnicamente nada impide que esta información pueda ser descargada y almacenada sin pedirnos permiso dando lugar a sitios web como Yatedo.com.

Yatedo se dedica básicamente a navegar por LinkedIn duplicando en su web los perfiles de usuario que allí encuentra. Hasta hoy mismo, si buscábamos mi nombre en Yatedo llegábamos a un perfil con mis datos que no era otra cosa que una copia antigua de mi perfil de LinkedIn que ni siquiera se habían molestado en actualizar durante los últimos 3 años (hace 3 años que cambié de trabajo, pero según Yatedo seguía trabajando en mi anterior empresa).

Cualquiera que se haya encontrado a si mismo en esta web supongo que habrá querido eliminar o actualizar sus datos. Para ello Yatedo ofrece la posibilidad de verificar la identidad del usuario tras lo cual te entregan el control sobre tu cuenta para actualizarla o eliminarla. Pues bien, no les basta con inscribirte de forma unilateral en su servicio, sino que para demostrar que eres el dueño de ese perfil ¡tienes que darle a Yatedo tu contraseña de Linkedin!

Plantearos la situación: si ya inspira poca confianza una web que se dedica a registrar usuarios sin su consentimiento, mucha menos confianza me dan como para darles cualquier contraseña por mucho que digan que no la guardarán ni utilizarán para nada malo.

Me parecía increíble que la única forma de darse de baja (sin haberse dado previamente de alta) fuese darles mi contraseña por lo que a través de las FAQ, Yatedo ofrece otra otra opción, por supuesto menos visible, para eliminar las cuentas. Basta con rellenar este formulario indicando que la información de LinkedIn ya no es pública y que deseamos que se elimine el perfil de Yatedo, tras lo cual nuestro perfil dejará de aparecer en los resultados de búsqueda. No deja de resultar curioso que si elijes la opción de eliminar el perfil “porque se ha publicado sin consentimiento” no te dejen alegando que se trata de información pública y que no ganarías nada con ello.

Para quien quiera más información al respecto, existe un blog llamado CloseYatedo en el cual explican los peligros de esta web, detallan aquellas leyes y normativas europeas que incumple y explican como denunciar el caso ante diferentes agencias de protección de datos (entre las que no se encuentra la española).

No podemos cerrar el post sin mencionar que existen otras webs que se dedican a buscar en distintos sitios web y a aglutinar en una única vista toda la información encontrada como puede verse en estos ejemplos:

http://www.webmii.com/Result.aspx/Adri%C3%A1n/Capdevila
http://www.yasni.es/adrian+capdevila/buscar+persona/perfil

Puede parecer que son muy similares a Yatedo, pero mientras una se dedica a copiar y almacenar información, estas últimas generan el contenido con el material que en ese momento hay publico en Internet, simplemente facilitando lo que de otro modo se podría averiguar mediante buscadores corrientes. Personalmente os invito a todos a buscaros en Internet y eliminar toda aquella información publicada para la que no habéis dado vuestro consentimiento, especialmente en Yatedo.

Esta semana hemos podido leer en prensa que Google ha certificado el SGSI de Google Apps, lo que abarca entre otros los siguientes servicios: GMail, Google Talk, Google Calendar, Google Docs/Drive (documentos, hojas de calculo y presentaciones), Google Sites, Control Panel (CPanel), Google Contacts, Google Video y Google Groups.

La verdad es que la lista de servicios incluidos en el alcance impresiona ya que nos aleja de la clásica práctica de muchas empresas (algunas grandes) de coger un alcance pequeñito, utilizar el correspondiente sello en todos los materiales comerciales y decir que la compañía está certificada.

Si bien una certificación así es un proyecto ambicioso y que puede aportar muchas mejoras a la gestión de la seguridad, estoy seguro que el hecho de que Microsoft Office 365 (principal competidor) ya estuviera certificada en ISO 27001 ha sido un factor decisivo para la certificación de Google Apps.

Para quien no se enterase en su momento, la guerra de certificaciones entre Google Apps y Microsoft Office 365 viene de lejos, concretamente de cuando el Departamento de Interior americano contrató el correo electrónico online a Microsoft y Google intentó meter cabeza alegando que como ellos también cumplían todos los requisitos de seguridad querían que saliera a concurso público. Finalmente resultó que Google presuntamente mintió ya que su producto no tenían la certificación FISMA (Federal Information Security Management Act) y fue Microsoft quien se quedó con el pastel no sin antes pasar por una dura guerra de abogados (noticia relacionada).

Dejando de lado los detalles de aquella batalla, ante una certificación de este tamaño no podemos evitar sentir curiosidad por echar un vistazo al inventario de activos de Google, saber como controlan la gestión de la capacidad de “la nube”, ojear los planes de continuidad, o ver un listado de la legislación que han seleccionado como aplicable, ya que seguro que podemos aprender muchas cosas o incluso ver hasta que punto han hecho la vista gorda con esas “cero no conformidades”.

Cuando se empezó a hablar de servicios en la nube pensé que haría falta sacar nuevos estándares, normas y leyes, ya que todo lo referente a tratamiento y almacenamiento online distribuido iba a ser complicadísimo de adecuar, pero después de todo parece ser que no va a ser necesario (aunque sí recomendable).

El caso de Google Apps y Microsoft Office 365 es un claro ejemplo de esa ventaja competitiva que siempre mencionamos cuando hablamos de las bondades de tener un SGSI certificado, pero por suerte para los que nos dedicamos a esto y por desgracia para los que se certifican solo por el sello, en un futuro cercano tener un SGSI certificado (incluso una nube certificada) pasará de ser un factor diferencial a un cumplimiento de mínimos donde los clientes nos dirán “o te certificas, o no juegas con nosotros”.

Como todo en esta vida las modas van y vienen y parece que la moda de los RAT se fue. Para quien no los conozca, las siglas RAT responden a Remote Administration Tool, aunque a cualquiera que le preguntemos dirá que más que para administrar equipos remotamente sirve para espiar a vecinos, amigos y enemigos.

Se trata de programas para generar pequeños virus que una vez infectan un equipo permiten controlar remotamente el ordenador de la víctima permitiendo robar contraseñas, hacen las funciones de keylogger, pueden cargar o descargar ficheros, matar procesos, gastar bromas, grabar webcams, ver escritorios remotos, etc.

Su popularidad vino motivada en gran parte por su facilidad de uso ya que no son necesarios conocimientos avanzados de informática más allá de saber algo de inglés, saber que es una IP y poco más, lo cual provocó que muchos script kiddies se lanzaran a la caza de equipos para infectar. A pesar de su sencillez de uso los usuarios medios pueden llegar a conseguir un parque de equipos infectados decente y usable ya que disponen de opciones avanzadas como la gestión de equipos infectados desde IRC, ocultar el proceso en otros procesos o servicios del sistema, o camuflar el fichero ejecutable dentro de fotos o ficheros ofimáticos.

Por suerte los RAT no utilizan técnicas novedosas de infección por lo que sigue siendo necesario que el usuario ejecute un fichero para quedar infectado así que la mayoría de antivirus nos protegerán de este tipo de software, especialmente de los más conocidos, aunque como siempre, la mejor defensa contra los virus seguirá siendo el sentido común y sospechar de ficheros poco fiables.

Estos programas o virus se han visto obligados a evolucionar en el tiempo para adaptarse a las sucesivas versiones de Windows, principal plataforma que explotan, aunque tras hacer ligeras adaptaciones para funcionar en Windows 7 (con algunas limitaciones) parece que muchos desarrolladores han abandonado su mantenimiento. Desconocemos si este abandono se debe a la dificultad para ejecutarse en equipos con el control de cuentas de usuario, la llegada de Windows Defender para proteger a los incautos sin antivirus, o a que los desarrolladores han perdido el interés, pero el caso es que es complicado que veamos nuevas versiones de grandes glorias como SubSeven, Poison Ivy, o Bifrost, si bien han surgido algunos proyectos interesantes como Flu.

Para los curiosos que nunca hubiesen oído hablar de estos programas os invitamos a descargarlos y probarlos ya que son cuanto menos curiosos y se pueden utilizar incluso para escarmentar a algún usuario descuidado. Eso sí, probarlo en entornos lo más aislados y controlados posibles (máquinas virtuales, equipos de prueba, etc…) ya que a fin de cuentas estaréis infectando vuestros propios equipos con un software que no sabemos a ciencia cierta qué hace.

Solo queda pues esperar a ver si realmente es un “género muerto” o si el tema está en letargo a la espera de volver a florecer en nuevos sistemas operativos o incluso dispositivos.