Guía de Pentesting: Information Gathering

Recientemente el CSIRT-cv y el INTECO-CERT han publicado una guía denominada “Pentest: Information Gathering” (140 págs), del que son autores Borja Merino Febrero (@BorjaMerino), habitual colaborador de este blog (y magnífica persona, por lo que pude comprobar en mi visita a León) y José Miguel Holguin (@J0SM1, y que también es otra magnífica persona :), y cuya lectura es totalmente recomendable.

El objetivo principal de la misma es informar sobre algunas de las técnicas que los ciberdelincuentes utilizan para obtener información sobre empresas y organizaciones. Uno de los aspectos más significativos y destacables de esta guía es su enfoque real a la hora de detallar muchas de estas técnicas mediante ejemplos prácticos (utilizando herramientas como Metasploit, Maltego, Nmap, la Foca, etc.).

Lejos de detallar aspectos relacionados con la gestión de la seguridad de la información, el informe ofrece una visión más práctica orientada a responsables de seguridad con un perfil más técnico que administrativo. La guía puede servir de gran apoyo técnico a la hora de implementar contramedidas contra algunos ataques que posiblemente ni siquiera se habían valorado a la hora de crear políticas de seguridad. El enfoque utilizado para explicar muchos de estos ataques (utilizando ejemplos explícitos) puede ayudar a concienciar de manera más eficaz a responsables de seguridad que mediante recomendaciones puramente conceptuales, que en la práctica son difíciles de implementar.

[Read more…]

#5ENISE: una opinión

Ahora que ha acabado 5ENISE, a pesar de la limitada perspectiva que me da no haber podido acudir a todos los talleres que me hubiera gustado (imponderables mecánicos en unos casos, cansancio en otros, falta de tiempo, etc.) y de que es mi primera asistencia a este evento, me gustaría hacer una crítica rápida a lo que vi durante los dos días y pico que estuve allí.

[Read more…]

#5Ebloggers en 5ENISE

Supongo que a estas alturas ya sabrán que el pasado miércoles a las 19h estuvimos en el 1er encuentro Bloggers organizado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT) al amparo del 5º Encuentro Internacional de Seguridad de la Información 5ENISE, junto a varias figuras del mundo de la seguridad.

Antes de nada, cabe señalar la excelente organización del evento llevada a cabo por el INTECO-CERT y la inmejorable atención recibida gracias especialmente a Francisco Losada (@flosadam, la mano oculta que hizo que todo funcionase como un reloj) y Javier Berciano (@jberciano, coordinador del Área de Operaciones de INTECO-CERT), que fue mucho más allá de la cortesía propia de un anfitrión.

Cabe decir que la audiencia “offline” fue menor de la esperada, probablemente a causa del mal tiempo que hacía en León y una posible confusión sobre la gratuidad de la charla, ya que era de acceso libre hasta completar el aforo pero al estar en el marco del 5ENISE alguien pudo pensar que era “de pago”. En cualquier caso, la audiencia “online” fue de aproximadamente 600 personas, lo que ratifica el interés por la mesa redonda y subsanó un poco la relativamente poca (pero muy valiosa) asistencia presencial.

En general, creo que la charla fue muy interesante, aunque en mi caso entré un poco frío y me costó algo cogerme al debate. La mesa redonda comenzó con una presentación de Javier Berciano de cada uno de los ponentes y de la temática de la mesa (“Hacia una sociedad conectada más confiable”), y dio paso a una pequeña reflexión de cada uno de nosotros, a partir de la cual se desarrolló la charla.

Por parte de Yago (Security By Default, YJesus), destacar su falta de confianza en cualquier medida de concienciación, que expresó de manera contundente y con una interesante analogía con los anuncios de la DGT, y su remate final donde señaló el nivel español en materia de seguridad; hay que quitarse los complejos ya que estamos al mismo nivel que otros países considerados en principio superiores.

José Selvi (Pentester.es, @joseSelvi) destacó mediante una analogía con los aviones el hecho de que habíamos aprendido a volar, estábamos ya en el aire, pero ahora vamos a tener que aprender a aterrizar (y no va a ser fácil).

David Hernández o Dabo (Daboweb, @daboblog) hizo énfasis en la responsabilidad derivada de servicios de hosting que proporcionan servidores con una seguridad (muy) deficiente. Al final, no cabe duda que ahorrar en seguridad tiene sus implicaciones y que la seguridad sigue siendo desgraciadamente la primera sacrificada.

Por último pero no por ello menos importante, Sergio de los Santos (Hispasec Laboratorios, @ssantosv) atacó duramente (no por ello sin razón) a la publicidad y el marketing que nos venden funcionalidades inexistentes y generan en los usuarios una falsa sensación de seguridad, además de tirar de polémica (una buena herramienta, según indicó, para hacer que las cosas se muevan) y criticar ciertos S.O. de móviles.

Por mi parte, intenté señalar el más que probable sacrificio de la seguridad por la funcionalidad que puede venir de la mano de las nuevas generaciones, el excesivo optimismo que tenemos las personas y empresas que nos dedicamos a la seguridad y la falta de una labor de publicidad en la que se trasladen las implicaciones que la informática tiene en cualquier ámbito hoy en día y por tanto la necesidad que hay de una mayor seguridad; si hay informática en cualquier ámbito de nuestra vida, debe haber también seguridad.

Hubieron más temas, como las configuraciones por defecto de numerosos servicios hoy en día o la responsabilidad en los casos de software propietario y libre, pero si les soy sincero no los recuerdo todos. Habrá que esperar a la grabación que se hizo de la mesa redonda y que se publicará en los próximos días; espero en cualquier caso que a los que nos siguieron online como a los que asistieron presencialmente les resultase interesante.

Foto (tomada con HDR) cortesía del móvil de Dabo y de un amable fotógrafo asistente. De izquierda a derecha:

@jberciano, @mbenet, @ssantosv, @daboblog, @JoseSelvi, @yjesus y @flosadam.

Security Art Work en el Encuentro Bloggers de Seguridad 2011 (5Enise)

No sé si se lo habíamos dicho ya, pero si no es así, yo se lo digo.

Mañana estaremos (en concreto, un servidor) en la quinta convocatoria del ENISE, participando en la mesa redonda del Encuentro Bloggers de Seguridad 2011 convocado por el Centro de Respuesta a Incidentes de Seguridad de INTECO (INTECO-CERT), junto a una selección de lo mejorcito del panorama blogger español en materia de Seguridad de la Información: David Hernández de Daboblog, José Selvi de Pentester.es, Yago Jesús de Security By Default, moderados por Javier Berciano, Coordinador del Área de Operaciones de INTECO-CERT.

Aunque pueden encontrar toda la información en la página del evento, éste tendrá lugar en el Salón Auditorio A del Parador San Marcos a las 19h bajo el lema “Hacia una sociedad conectada más confiable”, y se retransmitirá en directo en la web desde @intecocert con el hashtag #5Ebloggers y desde la web de 5Enise.

Por lo demás, pasaré los dos días restantes en León, así que si alguien quiere tomarse unas cervezas, no tiene más que enviarme un mail a mbenet@s2grupo.es y encontraremos un hueco.

Póngame un GPS y mándeme la factura a casa

Hace un par de días estuve viendo en La 2 de RTVE parte de un documental muy interesante sobre la problemática de los atascos a nivel mundial (pueden verlo en esta página), y que desvelaba iniciativas y medidas susceptibles de ser aplicadas en un futuro próximo para controlar y reducir este tipo de “fenómenos” y sus consecuencias negativas: pérdida de calidad de vida, disminución de la productividad, emisiones contaminantes, etc. Aunque el documental es totalmente recomendable por muchas razones y desvela parte de los misterios de los atascos, en este post me voy a centrar en aquellas partes que nos tocan más de cerca en calidad de blog de seguridad. Creo.

Imagino que como lectores avispados, sabrán que circular por el centro de Londres no es gratis, sino que hay que abonar una tasa previa. Este tipo de restricciones de circulación se aplican también (con mayor o menor suerte, mayor o menor justicia y por diversas razones) en otras muchas ciudades como Granada, con un importante centro histórico. En otras ciudades, sin embargo, en lugar de cobrar por circular, se recompensa a los conductores por evitar determinadas carreteras o lugares. Ya se trate de “refuerzo” negativo (tasa) o positivo (recompensa), actualmente el sistema para controlar a los vehículos pasa por la instalación de cámaras que fotografían las matrículas de los vehículos, realizan diferentes comprobaciones (¿es un residente? ¿ha pagado la tasa mensual? etc.) y ejecutan la acción correspondiente (sancionar al titular del vehículo, emitir la factura de la tasa, realizar un ingreso en la cuenta del titular, etc.).

No obstante, cabe distinguir entre el modelo de Londres, donde la circulación es “libre” siempre que se abone la tasa correspondiente, y (por ejemplo) Granada, donde la circulación está restringida a transportes públicos, residentes y vehículos específicos y en cuyo caso la “tasa” viene en forma de sanción. Tanto en un caso como en el otro, el sistema son una serie de cámaras ubicadas en los accesos al centro, que fotografían las matrículas del vehículo, que posteriormente son procesadas para identificar vehículos “no autorizados” para la circulación.

Dejemos ahora este sistema de control y pensemos ahora en los sistemas de navegación mediante GPS que hace tiempo que están siendo utilizados por los fabricantes para proporcionar información en tiempo real sobre las condiciones del tráfico y las carreteras cercanas al vehículo “monitorizado” (Google, por ejemplo); en algunos casos, esta información es actualizada por la comunidad de usuarios, aunque en mi opinión (no sé si esta funcionalidad existe ya) no estaría mal que los GPS “aprendieran” automáticamente nuevos caminos y carreteras; dicho de otra forma, si el GPS detecta que el vehículo en cuestión circula a una cierta velocidad (por ejemplo, 40 km/h) por un lugar donde éste no tiene registrada ninguna carretera, debería ser capaz de reconocer eso como potencial camino y recordarla para el futuro. Esa idea es gratis, aprovéchenla. Volvamos a lo nuestro.

Unan ahora la necesidad de control y la funcionalidad de los GPS, e imaginen que en lugar de cámaras, utilizamos el GPS no sólo para obtener información del tráfico y direcciones sino también para controlar el acceso a las zonas de circulación controlada o restringida. Sí, sé que ya sólo faltaba que tu propio GPS se pasase al bando “enemigo” y le dijese al ayuntamiento de turno que estás circulando por una zona de circulación restringida. Pero, ¿y si instalamos en cada vehículo “autorizado” para dicha circulación en zonas controladas un GPS, a partir del que podamos calcular no sólo la entrada a una zona restringida, sino también el tiempo de permanencia, calles transitadas, etc.? Esto nos permitiría llegar a un nivel de granularidad mucho mayor que el actual, e incluso informar al usuario del coste acumulado, establecer tarifas horarias en función del día, la hora, lugares transitados o incluso del nivel de tráfico en ese momento, si vamos a una solución totalmente dinámica. Sin entrar en la complejidad de una solución de este tipo, vayan un poco más lejos y extrapolen este caso a todos los vehículos. Imaginen que cualquier vehículo saliese con un sistema GPS incorporado de serie, en función del cual la Administración pudiera calcular la utilización de carreteras, el acceso a zonas restringidas, y establecer (por ejemplo) el impuesto de circulación en función del uso que se haya hecho del vehículo, el tipo de carreteras utilizadas, etc.

Aunque es posible que un sistema tal les parezca complejo, es una tecnología que ya se encuentra desarrollada (vean Skymeter) y se aplica, por ejemplo, para controlar los taxis de Londres, o los aviones de Heathrow. Ahora bien, aplicarla implicaría no sólo un coste significativo (será por dinero…), sino proporcionarle a la Administración (o la empresa contratada) los datos de localización de tu vehículo en todo momento, y renunciar a una parte significativa de nuestra privacidad. Por supuesto que este tipo de trazabilidad ya la permitimos voluntariamente en muchos casos (piensen en sistemas como Foursquare, en la geolocalización activada voluntariamente en los smartphones, o en aquellos que corren con GPS para el cálculo de distancias y luego suben el trayecto realizado a la web del proveedor del GPS, ya sea Garmin, Nokia Sports o Polar), pero una cosa es que sea para obtener un servicio y otra para que nos “facturen” y sea obligatoria.

Con sus ventajas e inconvenientes, tecnologías como este me llevan a hacerme la siguiente pregunta, en la que espero su participación:

[poll id=”23″]

El doble juego de los auditores externos (de las entidades certificadoras)

No sé si recuerdan el primer post que José Rosell escribió en este blog, hace ya más de cuatro años. Hablaba del doble juego de las entidades de certificación, que deben velar por su negocio sin olvidar la obligación de poner unos límites a las entidades que certifican. No dejemos de lado que si la entidad A impone unos requisitos muy estrictos, los clientes acabarán por certificarse con la entidad B, porque algunas veces, un sistema de gestión sin “sello” es para gerencia casi como no tener nada. Es más, me juego con ustedes una cena a que entre un sello y un sistema de gestión bien implantado, muchas empresas escogerían el sello. Ya puedes ser buena persona, que como seas feo como un demonio, no te quiere nadie. Así que mejor ser guapo, que ya descubrirán lo mala persona que eres cuando te hayan conocido.

Dejemos eso de lado (pero no del todo). Como sabrán y si no es así se lo digo yo, entre S2 Grupo y AENOR hay una buena relación derivada de la realización de congresos y conferencias a lo largo de estos últimos años en el fomento de la seguridad, y en especial de la implantación de Sistemas de Gestión de Seguridad de la Información. Y trabajamos bien por dos razones: AENOR no realiza tareas de consultoría o implantación de SGSIs, y S2 Grupo no realiza tareas de certificación en nombre de nadie. Y esto último requiere una pequeña aclaración. Hubo un momento en el que S2 Grupo se planteó llegar a realizar procesos de auditoría bajo la marca AENOR, y de hecho el que escribe estas líneas es Auditor de Sistemas de Gestión de Seguridad de la Información por AENOR. No obstante, antes de lanzarse a la piscina, S2 Grupo consideró que implantar y auditar SGSIs eran aspectos que presentaban conflictos de intereses obvios, así que se descartó la idea; no era ético o aceptable jugar a las dos bandas, y nos decantamos por lo que hasta hoy seguimos haciendo: implantar SGSIs. Podría decirles que nos encantaría tener acceso a los procedimientos, formas de trabajar y documentación que la competencia utiliza para implantar SGSIs, pero déjenme decirles, créanme o no, que no lo necesitamos.

La cuestión es que la competencia y el exceso de trabajo han hecho que esta situación que nosotros rechazamos en su día (y que hoy volveríamos a rechazar, todo sea dicho) sea más común de lo habitual, sea con la certificadora que sea. En unos casos es la propia entidad certificadora la que tiene otra rama de negocio que se dedica a consultoría e implantación, en otros es el auditor que audita en nombre de la entidad acreditada el que realiza también tareas de implantación, y en otros no tienes ni idea de a qué se dedica la empresa a la que pertenece el auditor. Resumiendo, no es extraño sino más bien algo habitual, que la persona que está auditando el SGSI que has ayudado al cliente a implantar (y que incorpora procedimientos, normativas, modelos de trabajo y otro mucho know-how que ha llevado años pulir y desarrollar), al día siguiente esté en otro cliente implantando un SGSI. Si a eso le añadimos la predisposición de algunos clientes, que por falta de experiencia o miedo a decir que no “por si acaso” le dan al auditor toda la información del sistema documental y herramientas utilizadas que éste pide, pues “la tenemos montada”. Esa es la principal razón por la que, como sabrán algunos de nuestros clientes, evitamos —en la medida de lo posible, ya que al final es un requisito propio que no podemos, debemos ni queremos trasladar íntegramente al cliente— trabajar con auditores que no sean, en este caso, de AENOR.

Antes de que alguien lo comente, por supuesto, un auditor de una entidad certificadora también puede abandonar su trabajo y llevarse con él parte del material al que ha accedido durante sus auditorías, como nos comentaron en este blog hace algún tiempo, pero en ese sentido sólo queda esperar que la empresa auditora tenga implantados procedimientos que garanticen que únicamente se solicita la información exclusivamente necesaria para la gestión del expediente del cliente, y por supuesto, encomendarse a la ética del auditor en cuestión.

Algunos dirán, correctamente, que diseñar e implantar un SGSI no es una labor de ingeniería aeronáutica, y tienen razón, pero tampoco es algo que se pueda “parir” en un par de semanas. Otros dirán que todo esto no es más que una pataleta, y seguramente tampoco les falta razón. No obstante, cuando me presento a un proceso de auditoría en calidad de consultor “de compañía” (chistes aparte), me gustaría saber que los modelos, experiencia y trabajos que he realizado durante esos meses no van a acabar (al menos, no de manera inmediata) en manos de la competencia, y creo que las entidades auditoras deberían velar por mantener la independencia de sus auditorías y proteger el material de sus clientes, aunque fuese únicamente por una cuestión de imagen.

Ya saben, primero guapo, y luego ya veremos.

Continuidad de Negocio: UNE 71599 / BS 25999

Como seguramente recuerden, el pasado 12 de mayo tuvo lugar una jornada en la que participamos junto con AENOR y Tecnofor, titulada El papel de los Sistemas de Gestión en las TIC. Durante las próximas semanas iremos incluyendo en el blog las presentaciones que tuvieron lugar. Por una simple cuestión de orgullo, comenzaremos con la mía, que versaba sobre la Continuidad de Negocio, desde el punto de vista de la UNE 71599 / BS 25999. Aunque se pierden los chistes y mi vis cómica, espero que les guste la presentación.

[Otras presentaciones de Security Art Work]

Pueden descargar esta y el resto de presentaciones desde la página de descargas de la jornada.

Hijos digitales

hd

Durante el trabajo que hasta la fecha hemos desarrollado en el proyecto ProtegITs, no pocas veces se nos ha acercado una madre o un padre (en realidad, siempre ellas más que ellos) y nos ha comentado sus inquietudes sobre el uso que su hijo/a hace de Internet, los móviles, la videoconsola, las redes sociales, etc., por lo general esperando una solución mágica para sus preocupaciones que desgraciadamente no existe. La comunicación ayuda, pero para qué nos vamos a engañar, ni es la respuesta ni suena a respuesta, y menos a respuesta buena, bonita, y… fácil.

Como hemos dicho en más de una charla, la tecnología que hoy nos abruma (a unos más que a otros) está aquí para quedarse. Nos guste o no, ni los móviles ni Internet desaparecerán mañana devolviéndonos al siglo pasado, y que el padre o la madre intenten negar la realidad con soluciones del tipo “en casa no hay Internet” sólo pone a sus vástagos en inferioridad de condiciones frente a otros niños de su generación. Evidentemente el problema en este caso no es que no haya soluciones, sino que los progenitores no están preparados ni a menudo capacitados para entender qué narices está pasando a su alrededor. Y si uno no entiende un problema, difícilmente puede encontrarle una solución.

[Read more…]

Jornada: El papel de los Sistemas de Gestión en las TIC

(N.d.E. Interrumpimos la programación habitual del blog para informarles de una jornada que tendrá lugar el próximo jueves 12 de mayo en Valencia, y que estamos seguros de que será de su interés. A continuación, los detalles)

jS2 Grupo, empresa especializada en la seguridad de los procesos de negocio, y AENOR, la Asociación Española de Normalización y Certificación, organizan el próximo jueves la jornada “El papel de los Sistemas de Gestión en las TIC” en Valencia, con el fin de plantear modelos de gestión certificables basados en la experiencia y en las buenas prácticas de numerosas organizaciones, que sirvan de base para un uso eficaz y eficiente de las Tecnologías de la Información y las Comunicaciones en un entorno seguro.

Vamos a centrar nuestros esfuerzos en ofrecerles una jornada amena, que no les deje indiferentes y que recuerden durante mucho tiempo, pero sobre todo, que les aporte el valor de nuestra experiencia para ayudarles en sus decisiones futuras. Compartiremos con todos ustedes nuestra visión de cómo los modelos de gestión de TIC certificables pueden ayudarnos a implantar procesos de desarrollo de software que garanticen su calidad y seguridad, a prestar servicios a clientes internos o externos atendiendo a los estándares internacionales de la gestión de servicios TI (ITIL), o a garantizar el cumplimiento de las organizaciones de la legislación vigente, atendiendo, por ejemplo, al nuevo código penal o a las reformas que se vislumbran a medio plazo en materia de protección de datos.

La Jornada tendrá lugar el próximo 12 de Mayo, a las 9:00 am, en la Fundación Universidad Empresa de Valencia (ADEIT), situada en la Plaza Virgen de la Paz, 3, 46001 Valencia. Para más información e inscripciones, pueden entrar en http://www.s2grupo.es/jornadas o llamar al 902 882 992.

En la imagen de debajo pueden ver la programación prevista para la jornada, y descargar el el tríptico de la jornada (PDF, 140KB) si lo desean. Esperamos contar con su presencia y tener la ocasión de saludarles personalmente.

[Read more…]

Reflexiones de última hora

Como este viernes no les hemos deleitado con ninguna entrada para que ocupen el tiempo libre que tendrán durante el fin de semana, aquí les dejamos unas perlas de conocimiento para que reflexionen:

– Si no lo mide no puede gestionarlo.
– Si no lo mide no puede mejorarlo.
– Si no lo mide probablemente no le interese.
– Si no puede influir sobre ello no lo mida.

Pasen un buen fin de semana.