Mes de concienciación en Ciberseguridad

21 de octubre de 2011 Por

Como todos sabemos, la seguridad informática es un ámbito relativamente nuevo,y aún a día de hoy,a pesar de todas las noticias relacionadas que aparecen en los medios de comunicación, sigue siendo un campo inexplorado para muchos profesionales, incluso entre los dedicados a la informática.

Es por ello que iniciativas cómo la que os presento hoy son necesarias para acercar y dar a conocer la problemática existente en lo que a seguridad informática se refiere, explicando claramente los problemas más comunes, e incluso dando ejemplos con los que poder aumentar la seguridad informática en nuestro entorno, tanto corporativo como particular.

Esta iniciativa se denomina el mes de la ciberseguridad (Cyber Security Awareness Month) del que este año se celebra su octava edición, y está promovida por el Departamento de Seguridad Nacional de los Estados Unidos de América, en cooperación con la National Cyber Security Alliance (NCSA) y el Multi-State Information Sharing and Analysis Center (MS-ISAC).

[Read more…]

Historia de una vulnerabilidad

16 de septiembre de 2011 Por

En este post vamos a hablar acerca de una vulnerabilidad descubierta por el equipo de CSIRT-cv y publicada ayer, como podéis ver en su página de alertas. La aplicación afectada es JasperServer, un servidor para generación de informes, análisis de datos y Business Intelligence ampliamente utilizado, y que tiene una versión de código abierto, que es la que se ha demostrado vulnerable.

Durante un test de seguridad realizado a la versión 3.7.0 CE, se detectó que, además de los parámetros necesarios para ubicar al usuario en la aplicación, había un parámetro llamado _flowExecutionKey que iba cambiando cada cierto tiempo, probablemente para controlar el flujo del usuario dentro de la aplicación. A continuación se puede ver un ejemplo de petición válida en el sistema:

POST /flow.html?_flowExecutionKey=XXXXXXXXXX&_eventId=create HTTP/1.1
Host: 192.168.1.3
User-Agent: Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.2.12) ...
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-es,es;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Proxy-Connection: keep-alive
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http:// 192.168.1.3/flow.html?_flowId=userListFlow&curlnk=3
Cookie: JSESSIONID=A7747A6C2AB278B5AD442A8755744184; treefoldersTree=1%7Copen%3B
Pragma: no-cache
Cache-Control: no-cache
Content-Length: 167

userDetails={"userName": "user", "fullName": "User User", "email": "user@example.com", "password": "user", "enabled": true, "roles": [{"roleName": "ROLE_ADMINISTRATOR"}]}

[Read more…]

Nuestras herramientas de trabajo, ¿legales o ilegales?

5 de julio de 2011 Por

La preocupación por la seguridad en Internet no es un tema nuevo, sino que viene tratándose en diversos ámbitos desde hace varios años. El ámbito legislativo también se ha preocupado de ello, y prueba de ello es la Convención de Budapest o Convención sobre Cibercrimen celebrada en Budapest en 2001. En la resolución de esta convención (así como en el artículo explicativo al respecto) se empieza a ver la ciberseguridad como un problema, y se proponen medidas genéricas para la tratar de garantizar la seguridad en la red.

Con el paso del tiempo, el texto de esta convención ha sido adoptado por diferentes países (30 hasta la fecha, y en otros 16 está en proceso de adopción), que han hecho esfuerzos en materia de legislación para generar un marco legislativo común en el que poder luchar contra estas amenazas globales.

En el caso europeo, la aplicación del texto de la convención a la legislación europea comunitaria, así como sus sucesivas adaptaciones y correcciones, ha dado lugar a una noticia controvertida que conocimos hace unos días. Se trata de la pretensión de los ministros de justicia de prohibir las herramientas de hacking.

Más concretamente, pretenden prohibir “la creación y distribución de herramientas (como por ejemplo, software malicioso para crear botnets o contraseñas de ordenadores obtenidas de forma no legítima) para cometer ofensas” (traducción libre del original en inglés).

Pero, ¿qué entra dentro de la definición de herramientas? Esta es la pregunta que generaba suspicacias en las noticias aparecidas en los últimos días.

Revisando el último borrador de la directiva sobre ataques contra sistemas de la información, de septiembre de 2010, y referenciado en la nota de prensa original, se comprueba que las herramientas pueden ser (Anexo, artículo 7 del borrador):

  • Un programa informático, diseñado o modificado con el propósito fundamental de cometer cualquiera de las ofensas referidas en la directiva.
  • Un contraseña, código de acceso, o dato similar por lo que un sistema o parte de él puede ser accedido.

También se habla (Anexo, artículo 2 del borrador) de los ataques son delito cuando no se cuenta con la autorización del propietario del sistema o un representante legal del mismo, o la legislación del país lo tipifica específicamente como delito.

Teniendo todo esto en cuenta, creo que debemos estar tranquilos porque el uso de aplicaciones de hacking para la realización de test de seguridad seguirá siendo legal (amparándonos en la autorización del propietario), aunque no lo tengo del todo claro para otros campos en los que no se tiene autorización expresa del propietario del sistema vulnerable, como la investigación en materia de seguridad, el reporte de nuevas vulnerabilidades, etcétera.

¿Qué os parece a vosotros? ¿Podremos seguir trabajando como hasta ahora o nos convertiremos en forajidos en unos pocos años?

¿Se acaban las direcciones IP?

2 de marzo de 2011 Por

A principios del pasado mes de febrero se oyó, vio y leyó en multitud de medios a todos los niveles que IANA, el ente internacional que se encarga del reparto de direcciones IP, ha asignado los últimos bloques de direcciones IP que todavía quedaban libres.

nanobots

Entre los ríos de tinta que la noticia ha hecho correr, llama la atención un cierto alarmismo que se ha generado, llegando incluso algunos a preguntarse si, al haberse acabado las IP, su conexión ADSL doméstica pasaría de ser dinámica a estática (podéis verlo en los comentarios de esta noticia). Al respecto, os dejo unas reflexiones, con el objetivo de intentar arrojar un poco de luz sobre este tema tan controvertido últimamente.

[Read more…]

TIC Tank: Telecomunicaciones para misiones críticas

13 de diciembre de 2010 Por

El pasado 30 de noviembre se celebró en Valencia el evento TIC Tank, cuya temática ésta vez versó sobre la importancia estratégica que tienen las telecomunicaciones en nuestra sociedad, y como se aplican en las misiones críticas y de emergencia.

En primer lugar participó Michel Bergeron, jefe del servicio de comunicaciones y servicios TI de la Base de Soporte de la ONU en Valencia, quien nos habló de la infraestructura de esta base de reciente creación. En su charla, expuso las características de los despliegues de servicios de telecomunicaciones de la ONU en zonas críticas, y cómo la creación de la nueva sede de Quart de Poblet aumentaba la seguridad de esta infraestructura crítica al eliminar un punto único de fallo. De este modo, actualmente los despliegues de la ONU se comunican con el centro de mando de la ONU a través de dos enlaces (Brindisi, en Italia, y Quart de Poblet), que trabajan en modo activo-activo. Además de actuar como puente de comunicación entre las zonas de despliegue de fuerzas de la ONU y su centro de mando, la nueva base de Quart de Poblet proporcionará todos los servicios de telecomunicaciones, que el señor Bergeron definió como críticos dada su relevancia como apoyo en el terreno a las misiones de paz, necesarios para el correcto desempeño de dichas misiones: sistemas de voz, videoconferencia, recuperación ante desastres, enrutamiento y almacén de datos o mensajería electrónica.

En el debate generado tras las ponencias entre los asistentes y ponentes, el señor Bergeron destacó la importante y a la vez complicada labor de coordinación en la intervención que existe ante tragedias como la sucedida en Haití.

[Read more…]

Google nos ayuda a mantener la seguridad de nuestra cuenta

2 de noviembre de 2010 Por

Como todos sabéis, la seguridad de la información ha pasado en los últimos años de ser un terreno reservado a unos pocos a estar en boca de todos, gozando de gran repercusión en los medios tradicionales, que hasta hace poco parecían dejar de lado muchas veces el mundo virtual. Con nuestros datos repartidos en cientos de aplicaciones, tanto de escritorio como web, y la facilidad actual para conectarse a Internet, las intromisiones en la seguridad de las aplicaciones y el robo de información personal están a la orden del día.

Es por ello necesario realizar campañas de concienciación para que el usuario medio, normalmente poco consciente de las implicaciones que tiene usar cierta aplicación o servicio y despreocupado a la hora de introducir sus datos personales, contraseñas y/o tarjetas de crédito en cualquier aplicación que se proponga usar, tenga más cuidado en lo que a seguridad de la información y revelación de datos de carácter personal se refiere.

En esta línea, octubre es el mes de la concienciación por la ciber seguridad para la NCSA (National Cyber Security Alliance), que durante todo el mes de octubre está haciendo campaña a través de diferentes canales y a través de las empresas que lo forman. Se han realizado todo tipo de eventos, creado multitud de campañas y cientos de recursos en esta línea.

Pero entre todos ellos destaca por su simplicidad y, a mi juicio, efectividad, la lista de comprobaciones de seguridad que Google ha lanzado para sus cuentas. En ella se cubre la seguridad, únicamente web en este caso, en todos sus aspectos y de una forma sencilla y concisa.

Tenemos 18 recomendaciones repartidas en cinco grupos de elementos: el ordenador, el navegador, configuración de cuenta, configuración de correo electrónico y un muy genérico recomendaciones finales, que engloba otras consideraciones que no caben en las categorías anteriores. Si bien están pensados para las cuentas de Google, son recomendaciones simples que se pueden extrapolar a cualquier otro servicio web, y su uso constituye un ejemplo de buenas prácticas que nunca está de más seguir.

Como contrapartida, decir que esta “checklist” está disponible únicamente en inglés, pero al estar enfocado a un público general el nivel de inglés requerido no es muy técnico, por lo que seguir las directrices que nos recomiendan no debería ser excesivamente complejo. Espero que les sirva de utilidad a ustedes, o si ya las aplican, a otras personas menos puestas en este tema.

La CMT facilita conocer la operadora a la que pertenece un teléfono móvil: ¿intromisión en la privacidad?

25 de octubre de 2010 Por

A principios de agosto se hizo público que la CMT (Comisión del Mercado de las Telecomunicaciones) disponía de un nuevo servicio por el que los usuarios pueden conocer el operador asociado a un número de teléfono móvil en el ámbito español.

En los principios de la telefonía móvil bastaba con identificar los primeros dígitos de un teléfono móvil para saber el operador al que estaba asociado un número. Si no recuerdo mal, los que empezaban por 654 eran de Amena (ahora Orange), y los que empezaban por 607 o 610 de la antigua Airtel (ahora Vodafone). Pero actualmente, con el auge de los OMV (Operadores Móviles Virtuales) se ha facilitado el proceso y se ha convertido en usual cambiar un número de móvil de una compañía a otra, para intentar ahorrar al máximo en la factura de nuestro móvil, lo que hace muy difícil seguir la pista de los operadores asociados a nuestros móviles.

A primera vista, este servicio puede tener sus ventajas, puesto que visto desde la óptica de un usuario de a pie nos permite conocer el operador móvil de nuestros contactos para ahorrar en nuestras facturas. Es de sobra sabido que las llamadas entre teléfonos de la misma compañía siempre es más barato, así que este podría ser un buen método para decidir a quién llamar primero. Sin embargo, me muestro reticente a considerar este un servicio cuyo uso se vaya a generalizar entre los usuarios, y también se producía en mi interior cierto aire de desconfianza, porque viéndolo desde la óptica de un operador móvil (o una persona que se quiera hacer pasar por él), este servicio puede permitir a ese operador o persona malintencionada conocer la compañía que me presta servicio y ejecutar, entre otros, acciones comerciales no deseadas contra mí.

Según parece, los datos que ofrece esta web son de carácter público y no se está incurriendo en ninguna ilegalidad al divulgarlos públicamente cuando van disociados de sus propietarios como es el caso. Pero a pesar de ello, la necesidad de identificarnos para poder comprar un número de teléfono o utilizar uno existente y la tan manida LOPD (Ley Orgánica de Protección de Datos), con la eterna disputa sobre si el teléfono móvil es un dato personal o no, me hacen ver con cierto recelo esta nueva plataforma y su utilidad de cara al ciudadano “de a pie”.

¿Qué opinan ustedes? ¿Creen que es una plataforma útil para el usuario, o por el contrario genera más problemas que ventajas?

El teléfono móvil SÍ es un dato personal:
http://www.eldia.es/blogs/el13devalentinsanz/?p=478
http://www.iurismatica.com/blog/el-numero-de-telefono-movil-es-un-dato-de-caracter-personal/
http://www.samuelparra.com/2009/01/29/consecuencias-de-no-considerar-el-numero-de-telefono-movil-como-dato-personal/

El teléfono móvil NO es un dato personal:
http://www.carlosucelay.com/index.php?option=com_content&view=article&id=19

Acceso al portal:

https://numeracionyoperadores.cnmc.es/portabilidad-movil/operador

Nueva vulnerabilidad en Windows puede causar nueva era de ataques a través de USB

20 de julio de 2010 Por

En los últimos días se ha hecho pública la existencia de una vulnerabilidad ”crítica” en Windows que abre las puertas a un nuevo modo de ejecutar código cuando se introduce un dispositivo extraíble (bien sea una llave o disco USB, o cualquier otro dispositivo, incluyendo las tarjetas de memoria de móviles y cámaras de fotos) y que ya estaba siendo utilizada por algunos troyanos para expandirse por la red.

Pues bien, ayer se hicieron públicos todos los detalles de esta vulnerabilidad junto con una prueba de concepto, y la situación actual es bastante comprometida para Microsoft, ya que están afectadas todas las versiones actuales de Windows (desde el XP hasta el 7 con cualquier service pack, tanto en versiones de 32 como 64 bits, incluyendo también las versiones 2003 y 2008 para servidores).
Entrando en un poco más de detalle, esta vulnerabilidad permite la ejecución de código por el tratamiento incorrecto que se hace al icono asociado a los accesos directo de windows (archivos con extensión .lnk). Si el icono asociado no es un icono sino otro tipo de archivo (como por ejemplo una dll, que en general pueden contener también iconos, pero en este caso específicamente diseñada), se puede llegar a ejecutar código, evitando todas las restricciones introducidas tanto por Microsoft como por terceras partes para evitar la ejecución automática de código en unidades extraibles.

En este nuevo escenario ya no resulta suficiente deshabilitar la ejecución automática de unidades extraíbles, puesto que nos podemos infectar únicamente navegando hasta la carpeta que contenga el código malicioso, ya que el explorador de ficheros de windows, al intentar cargar el icono asociado al enlace, ejecutará el código malicioso, infectando nuestro equipo. Parece claro entonces que la solución pasa por deshabilitar la carga de iconos para los accesos directos, lo que produciría que todos los accesos directos del escritorio, menú inicio y barras de tareas pasarían a tener el icono por defecto, con la consiguiente pérdida de funcionalidad y comodidad de uso para el usuario final.

Esta modificación ya ha sido publicada ya por Microsoft como solución temporal mientras se realiza el parche de seguridad correspondiente, y se puede seguir en el siguiente enlace (en el apartado de Workarounds). Este es un duro varapalo a Microsoft, que tendrá que forzar la máquina para distribuir el parche correspondiente si no quiere ver mermada de nuevo su imagen debido a las oleadas de nuevos ataques que se prevé aparecerán en los próximos días aprovechando esta vulnerabilidad.

Para finalizar, no está de más repetir una vieja premisa, que hoy debemos volver a recordar y cumplir más que nunca: hay que desconfiar de las unidades extraíbles cuya procedencia no está específicamente comprobada, así como de cualquier equipo sobre el que no tengamos control antes de introducir alguno de nuestros discos USB en él, si no queremos acabar con un virus o un troyano sin darnos cuenta.

Más información: CSIRTCV, Hispasec, Microsoft.

Nuevo canal de comunicación de alertas sobre fraude online

24 de junio de 2010 Por

Como todos ustedes saben, día a día se suceden las alertas sobre fraude en la red, comúnmente conocido por su término inglés phishing. Para evitar que los atacantes tengan éxito es crucial, además del sentido común al navegar por la red de redes, la rápida detección de las páginas fraudulentas, para que estas puedan ser reportadas a las autoridades competentes y bloqueadas lo antes posible.

En este sentido la NFCTA (National Cyber-Forensics and Training Alliance), junto con otras organizaciones estadounidenses y empresas dedicadas al comercio electrónico como Accuity, eBay o Pay-Pal, y con el soporte tecnológico de Microsoft, han desarrollado un canal de comunicación llamado Internet Fraud Alert, con el que pretenden mitigar los efectos de las estafas bancarias y robos de identidad.

Pero, ¿en qué consiste Internet Fraud Alert?

Internet Fraud Alert es un nuevo sistema de comunicación directo y centralizado entre todas las entidades u organismos implicados en los casos de fraude en la red, incluyendo a los investigadores que descubren credenciales o números de tarjeta de crédito robadas, las entidades (ya sean bancarias o de otro tipo) con que se pueden usar las credenciales robadas, y otras entidades como proveedores de servicio y gobiernos, entre otros. También cabe destacar que este grupo no es cerrado, y las empresas y entidades interesadas e involucradas en la investigación del fraude online pueden solicitar su adhesión a Internet Fraud Alert rellenando el formulario existente en su web.

Con este canal se pretende reducir el tiempo necesario para encontrar el origen de la estafa e intentar reducir dentro de lo posible los usuarios afectados y las pérdidas económicas que puedan ocasionar. Según el Anti-Phishing Working Group, en 2009 se reportaron más de 410.000 alertas por phishing, y el número de entidades explotado por los atacantes crece de forma continuada.

Como no podría ser de otra manera, desde Security Art Work apoyamos este tipo de iniciativas que contribuyen a lograr un Internet más seguro y a mejorar la imagen de la Red como medio para realizar compras y transacciones bancarias, dos elementos que todavía generan desconfianza entre el grueso de la población.

Vía: Genbeta
Nota de prensa original: Microsoft

Seguridad de la computación en la nube: el Hipervisor

28 de mayo de 2010 Por

Recientemente se ha publicado un informe de la Cloud Security Alliance en el que se destacan las principales amenazas o problemas de seguridad que se pueden encontrar en la utilización de la computación en la nube (también conocida por su sinónimo en inglés Cloud Computing). Como ustedes sabrán, la computación en la nube se basa en la externalización de toda la infraestructura utilizada por la empresa en sus procesos informáticos, de forma que un proveedor de servicios mantiene tanto el hardware como el software necesario, y proporciona al usuario un punto de acceso a toda esa infraestructura.

Como mantener una infraestructura separada para cada cliente es muy costoso, las empresas que proporcionan este tipo de servicios (llamados Infraestructure as a Service, o IaaS) utilizan técnicas de virtualización para rebajar costes y aumentar las posibilidades de escalado de sus sistemas. La virtualización permite en este caso compartir recursos del proveedor entre varios clientes. Pero estos recursos no suelen estar preparados para soportar los niveles de aislamiento requeridos por las tecnologías actuales de virtualización. Para salvar este bache y controlar los recursos que se asignan a cada cliente, los entornos de virtualización disponen de un sistema (llamado Hipervisor) que actúa de mediador entre los sistemas virtuales de los clientes y el sistema principal.

Este hipervisor añade otra capa de abstracción, lo que genera un punto de fallo más además de los puntos de fallo en aplicaciones y sistemas operativos controlados habitualmente. Pero lo importante de este punto de fallo es su criticidad, ya que podría permitir puentear el hipervisor y acceder de forma directa a la infraestructura física, obteniendo acceso a todos los datos del equipo físico (incluidos datos de otros clientes). Esto ya ha sido demostrado anteriormente, con los prototipos de malware llamados Red Pill y Blue Pill de Joanna Rutkowska, y en las conferencias BlackHat de los años 2008 y 2009.

Una vez conocido este problema y la amenaza que supone para la seguridad de nuestros datos, el siguiente paso consiste en mitigarlo. En esta linea se pueden realizar las siguientes acciones:

  • Implementar sistemas de “mejores prácticas” de seguridad durante la instalación y configuración de los sistemas y aplicaciones.
  • Llevar un control exhaustivo del entorno para detectar actividades y cambios no autorizados tanto en las tareas y procesos habituales como en los datos almacenados en los sistemas virtualizados.
  • Promover controles de autenticación y acceso muy estrictos para el acceso y realización de operaciones administrativas.
  • Implantar de Acuerdos de Nivel de Servicio (SLA) para la aplicación de parches y corrección de vulnerabilidades.
  • Realizar análisis de vulnerabilidades y auditorías de la configuración de forma periódica.

Para concluir, cabe resaltar la importancia que está cobrando la computación en la nube en estos momentos, con lo cual detectar y solventar estas y otras amenazas es crucial para adaptarse a las necesidades de seguridad del usuario, y dotar al servicio de las garantías necesarias en esta materia.